Les cyberattaques réussies révèlent que le niveau de protection actuel est insuffisant. La sécurité informatique doit donc se transformer. «Assume the breach» est le nouveau paradigme assumé compte tenu de l’évolution des infrastructures informatiques. Reste à voir où cela mènera.
Texte: Andreas Heer, Image: Adobe Stock,
Il n’aura pas fallu attendre longtemps pour que le Centre national pour la cybersécurité (NCSC) annonce un record en 2021, avec plus de 800 actes cybercriminels enregistrés pour la première semaine du mois de février. Les responsables de la sécurité dans les entreprises ne s’ennuient pas non plus. «Ces derniers mois, nous avons observé une recrudescence des attaques DDoS et par rançongiciel», précise Stefan Marzohl. En tant que Head of Cybersecurity Sales B2B chez Swisscom, il œuvre au plus près de la clientèle.
Ces attaques aboutissent de temps en temps. À la mi-avril, une entreprise située en Suisse orientale annonçait avoir dû mettre tous ses systèmes informatiques à l’arrêt pour venir à bout d’une infection par rançongiciel. Toutefois, la plupart de ces incidents ne sont pas rendus publics. Cela ne veut pas dire pour autant que les entreprises ne s’activent pas en coulisses. «Les entreprises prennent conscience que de simples mesures préventives ne suffisent plus», ajoute Stefan Marzohl. «Nous assistons à une transformation au profit de la Threat Detection & Response.»
En soi, les formes d’attaque ne sont pas nouvelles. Mais le contexte a changé. Les collaborateurs travaillent à la fois sur le réseau de l’entreprise, mais aussi à l’extérieur et en télétravail. De nombreuses entreprises transfèrent leur infrastructure dans le cloud. Avec à la clé des avantages indéniables, mais aussi son lot de nouveaux défis en matière de sécurité informatique. En effet, les systèmes et les applications sont désormais accessibles par le biais du réseau sécurisé de l’entreprise, mais aussi via Internet. D’où la nécessité de revoir l’architecture de sécurité, comme l’explique Stefan Marzohl: «Un exemple: la politique de sécurité des entreprises peut prévoir l’installation d’un pare-feu physique sur leur réseau local. Les spécialistes sont alors confrontés à différents types de pare-feux et de systèmes de sécurité: ceux des entreprises propres et ceux du cloud.»
Les conséquences en cas d’erreur de configuration sont encore plus importantes, car les systèmes sont beaucoup plus exposés. En effet, plus besoin d’accéder en premier au réseau de l’entreprise, les assaillants peuvent attaquer directement l’infrastructure dans le cloud. «La gestion des politiques d'accès constitue un défi majeur dans ces environnements décentralisés», précise Stefan Marzohl pour résumer la situation.
Conséquence logique: la transformation de l’infrastructure IT induit aussi un bouleversement de la sécurité informatique. «Assume the breach», telle est l’approche actuelle. La tendance est à la Threat Detection & Response et au Security Incident Management renforcé. Les questions de SIEM (Security Information and Event Management), de SOC (Security Operations Center) et de Security Incident Response (CSIRT) ne sont plus l’apanage des banques et des assurances, mais font aussi débat dans les secteurs d’activité moins sensibles.
Cela étant, pouvoir surveiller en continu l’infrastructure et réagir aux incidents de sécurité nécessite des experts en sécurité bien formés, qui sont encore rares. La demande en expertise externe sous forme de Managed Security Services ne devrait donc pas baisser, tout comme le nombre de cyberattaques.
La mise en réseau croissante, l’utilisation de services cloud et la diversité des endpoints entraînent une augmentation sensible des cibles et de nouvelles vulnérabilités. Par conséquent, la Cybersécurité doit se transformer afin de relever les nouveaux défis de manière adaptée et décisive.
En savoir plus sur ce thème: