Protection informatique de base: défis

Pour que la sécurité informatique perdure

Les responsables de la sécurité informatique doivent rester attentifs aux développements techniques et aux exigences de l’entreprise. Dans le contexte actuel, cette tâche a encore gagné en complexité. Coup d’œil sur les défis stratégiques de la Security Prevention.

Texte: Andreas Heer, publié pour la première fois le 13. septembre 2019, mis à jour le

Les spécialistes en Risk Based Security ont constaté un net recul des nouvelles failles de sécurité au début de l’année 2020. On pouvait donc s’attendre également à une baisse des nouveaux exploits potentiels à déjouer par les responsables de la sécurité informatique. Le début de l’année 2020 était prometteur. Cependant, la tendance s’est inversée en quelques mois à peine. La crise du coronavirus et l’expansion du télétravail ont conduit à une augmentation massive des cyberattaques. Ces dernières ont ciblé les ordinateurs portables professionnels et les appareils personnels des collaborateurs en télétravail, dont la connexion Internet et le réseau Wifi privé sont souvent moins bien protégés que les réseaux locaux des entreprises.

Security Prevention: un rempart contre la routine du quotidien

Tandis que se vidaient les rues et les transports en commun, les canaux de communication se remplissaient d’e-mails de phishing: des prétendues informations sur le coronavirus envoyées par des expéditeurs prétendument officiels, des e-mails avec des liens vers de fausses cartes de situation sanitaire sur Internet et de fausses notifications des outils de chat et de réunion en ligne en plein boom.

 

De vieilles connaissances sont venues compléter le tableau. Apparu pour la première fois en avril 2019, le Ransomware-as-a-Service REvil, alias Sodinokibi, a été à l’origine d’un tiers environ des attaques par rançongiciel en 2020, selon différentes sources. Ce malware est d’autant plus perfide qu’il ne se contente pas de crypter les données des systèmes infectés: il les vole. Parmi les entreprises touchées, même celles qui avaient réussi à s’en sortir sans payer de rançon, grâce à une stratégie Disaster Recovery, ont dû faire face malgré tout au vol de leurs données. Et pendant que les crocus fleurissaient dehors, à l’intérieur, les CISO (Chief Information Security Officer) planchaient encore sur l’analyse des risques.

 

On peut avoir acté le principe du télétravail et mis en place les mesures de prévention adéquates. Mais ces mesures sont-elles suffisantes en cas de changement d’échelle, si tout à coup les collaborateurs sont nombreux à travailler depuis chez eux? La bande passante et les ressources des connexions VPN et RDP sont-elles suffisantes? Qu’en est-il des mises à jour des ordinateurs portables professionnels? Devant la recrudescence du phishing, faut-il sensibiliser davantage les collaborateurs aux dangers potentiels?

 

Les responsables de la sécurité doivent constamment réévaluer la pertinence de leurs mesures de protection à l’égard de la situation actuelle. Entre la crise du coronavirus et la sophistication croissante des attaques, les CISO n’ont aucun risque de souffrir d’un quotidien monotone. La résolution de ces questions est partie intégrante de la gestion des risques et sert de point de départ pour ajuster la stratégie de sécurité informatique et la protection de base.

Trouver des réponses ou l’aiguille dans une botte de foin

Des questions comme «Notre entreprise est-elle touchée par le phishing et les mesures de protection sont-elles efficaces?» sont aussi faciles à poser qu’elles sont difficiles à résoudre. Car pour ce faire, le CISO a besoin de données issues de différentes sources. Le log du firewall montre peut-être qu’un malware a tenté de communiquer avec son serveur Command&Control depuis le réseau local. Mais pour trouver l’utilisateur de l’ordinateur infecté, grâce à l’adresse IP indiquée, il faut consulter un autre log: celui du serveur d’authentification.

 

Idéalement, ces informations sont regroupées dans un tableau de bord central. Un tel Security Information and Event Monitoring (SIEM) ou une plateforme Security Analytics fournissent un aperçu rapide des incidents techniques et permettent de trouver l’aiguille dans la botte de foin des fichiers log. C’est un élément vraiment central pour pouvoir réagir aux incidents de sécurité. Mais aussi pour ajuster les mesures de protection existantes.

Équilibre entre les besoins de l’entreprise et ceux de la sécurité

L’aspect technique des mesures de sécurité informatique s’accompagne d’une dimension organisationnelle. Celle-ci consiste à déterminer l’approche / le dispositif de sécurité (security posture) nécessaire en fonction du système concerné. Quels sont les environnements critiques pour l’entreprise et dans quels domaines peut-on au mieux faire face aux défaillances?

 

Et surtout en ce qui concerne les prescriptions réglementaires et les lois sur la protection des données, le CISO doit savoir où les données sont stockées et traitées. Ce n’est qu’à partir de l’ensemble de ces informations qu’un responsable de la sécurité peut formuler des recommandations d’action et des recommandations stratégiques conformes à la stratégie de l’entreprise. La sécurité informatique doit adapter ses mesures aux besoins des affaires opérationnelles, sans réduire leur capacité d’action, autant dire que l’équilibre est précaire.

 

Et une autre évolution apparaît, au plus tard lorsque les collaborateurs en télétravail accèdent aux applications d’entreprise depuis le cloud comme c'est le cas en ce moment: la protection périmétrique classique, le mur de protection autour de l’informatique d’entreprise, est un concept dépassé à l’ère du cloud et du travail flexible. Le CISO doit aussi proposer une réponse à ces défis.

Security Prevention

La prévention est le fondement de la protection contre les cyberattaques. Vos mesures de protection sont-elles à la pointe du progrès? Soulevez les bonnes questions quant à votre infrastructure.

 

> Whitepaper

Que comprend la protection de base? 

Le cursus de Computer Information Systems Security Professional (CISSP) définit six mesures pour la Security Prevention:

  1. Mettre à jour les systèmes et les applications
  2. Désactiver les services et protocoles inutiles
  3. Utiliser des systèmes de détection et de prévention des intrusions
  4. Utiliser un logiciel antivirus et le mettre à jour
  5. Protéger les réseaux avec des firewalls
  6. Définir les processus de maintenance et d’entretien des systèmes (Systems Management)
Hand with smartphone

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?

> Inscription

En savoir plus sur ce thème