La pyramide des besoins en informatique : comment construire une cybersécurité sur des fondations solides

Mélissa Bischoping
Tanium

Avant d'investir dans des technologies de cybersécurité avancées, connaissez-vous réellement tous les équipements de votre parc informatique ? Sans cette visibilité, vos défenses restent fragiles.

Dans un environnement de menaces en constante évolution, les entreprises se précipitent souvent vers des technologies de pointe. Mais en ignorant les fondamentaux, elles construisent une sécurité fragile et illusoire. Il est temps de revenir à la base : la connaissance de son parc informatique.

La cybersécurité est aujourd’hui une préoccupation majeure pour toutes les entreprises, qu’il s’agisse de grandes organisations ou de PME. Pour autant, la course à l’armement technologique ne doit pas faire oublier l’essentiel. Comme l'a théorisé Abraham Maslow pour les besoins humains, il existe une hiérarchie des besoins en informatique. Matt Swann, de Microsoft, a créé la « hiérarchie des besoins en matière de réponse aux incidents » pour illustrer ces concepts. Cette pyramide constitue une feuille de route claire pour hiérarchiser les priorités en matière de maturité de la cybersécurité. Cependant, l'expérience montre que de nombreuses entreprises tentent d'atteindre le sommet de cette pyramide alors que les fondations sont encore incertaines.

La pyramide des besoins en cybersécurité

La version originale de la pyramide de Swann comprend 9 niveaux qui peuvent être divisés en 3 sous-niveaux. Nous pouvons examiner l'utilité de la pyramide au-delà de la réponse aux incidents grâce à un système à cinq niveaux pour la sécurité informatique :

  • Niveau 1 : la fondation, la visibilité et la gestion des actifs. C’est le socle de tout. Avant de penser à la protection, une entreprise doit impérativement savoir ce qu’elle possède. Cela inclut la détection, l’inventaire et la cartographie en temps réel de tous les équipements connectés à son réseau (serveurs, PC, téléphones, objets connectés, cloud, etc.). Sans cette visibilité exhaustive, toute stratégie de défense est vouée à l’échec.
  • Niveau 2 : la protection de base. Une fois les actifs identifiés, il est possible d’appliquer les premières couches de protection : gestion des correctifs, déploiement des antivirus, pare-feu et contrôles d'accès pour les utilisateurs et les machines.
  • Niveau 3 : le contrôle d’accès et la conformité. À ce niveau, on ajoute des mesures comme la gestion des identités et des accès (IAM) et l'authentification multifacteur (MFA). C’est ici que l’on s’assure que les systèmes sont en conformité avec les politiques de sécurité internes et les réglementations externes (RGPD, etc.).
  • Niveau 4 : la détection et la réponse aux incidents. Les entreprises qui ont bâti les fondations peuvent mettre en place des outils de détection des menaces (EDR, NDR) pour surveiller leur environnement et réagir rapidement aux attaques. La capacité à contenir une menace et à la neutraliser dépend directement de la qualité des données collectées en amont.
  • Niveau 5 : la résilience et l’automatisation. Le dernier niveau de la pyramide consiste à utiliser des technologies avancées comme l’intelligence artificielle et l’automatisation pour anticiper les menaces, automatiser la réponse et garantir la continuité des activités en cas d’incident majeur.

On ne peut pas protéger ce que l'on ne connaît pas

C’est le principe fondamental de cette pyramide. Le problème est que de nombreuses entreprises font l’impasse sur le premier niveau. Une étude a montré que 94 % des décideurs informatiques découvrent chaque semaine de nouveaux terminaux non identifiés sur leur réseau. Ce phénomène, appelé "Shadow IT" (informatique fantôme), est une porte ouverte aux cyberattaques.

Sans une visibilité parfaite sur l’ensemble des actifs, les outils de sécurité les plus sophistiqués deviennent inutiles. Un antivirus ne peut pas protéger une machine qu’il n’a pas détectée. Un correctif de sécurité ne peut pas être appliqué sur un serveur dont l’existence est inconnue. Les correctifs de sécurité défaillants ne peuvent pas être corrigés s'ils ne sont pas signalés avec précision et en temps opportun. Les équipes de sécurité investissent dans des solutions coûteuses de détection et de réponse, mais elles ne couvrent qu’une partie de l’environnement, laissant des zones entières vulnérables.

En d’autres termes, si vous ne disposez pas d’une source de vérité unique et en temps réel sur l’état de votre parc informatique, vous naviguez à l’aveugle. Une cyberattaque n’a pas besoin de contourner une centaine de défenses sophistiquées ; il lui suffit de trouver le seul terminal non répertorié pour s’infiltrer.

À mesure que les technologies émergentes de l'automatisation et de l'intelligence artificielle accélèrent et amplifient nos flux de travail informatiques et de sécurité, la qualité des données en temps réel ne fera que gagner en importance.

Le défi de la cybersécurité ne réside pas dans l'accumulation de technologies, mais dans la solidité de ses fondations. Pour atteindre le sommet de la pyramide et une véritable résilience, les entreprises doivent avant tout s’assurer de la base : une connaissance parfaite et en temps réel de leur environnement. C’est la seule voie pour pouvoir enfin protéger efficacement ce que l’on sait exister et anticiper les menaces de demain.