Pourquoi les solutions de sécurité informatiques traditionnelles sont-elles vouées à l’échec ?

Le Gartner prévoyait une hausse de +8,2% des dépenses en solutions de sécurité IT en 2015, à environ 76,9 milliards de dollars. Mais malgré ces dépenses, les responsables IT sont-ils pour autant mieux préparés contre les cyberattaques ?

Alors que l’approche traditionnelle de la sécurité se base sur la distinction entre menaces internes et externes, la réalité démontre qu’il est impossible d’établir de véritables frontières à l’intérieur des infrastructures modernes et que les menaces y sont déjà présentes. Les systèmes d’information et les réseaux actuels sont complexes et perméables, ils doivent être capables de fonctionner et d’assurer les activités de l’entreprise, les exposant à de nombreuses menaces.

Aujourd’hui, toutes les entreprises doivent affronter les risques à l’intérieur de leurs propres murs, qu’il s’agisse des employés et collaborateurs, des clients ainsi que de personnes malveillantes ayant infiltré l’organisation. Les attaques qui font les gros titres des médias chaque semaine entachent sérieusement la réputation de l’entreprise concernée ainsi que ses revenus.

Mais construire des murs autour d’un système qui a déjà été infiltré n’est pas efficace. Ces délimitations freinent également l’efficacité et la vitesse d’exécution que les entreprises sont en droit d’attendre aujourd’hui. Celles-ci risquent de souffrir de restrictions excessives et de voir leur vulnérabilité augmenter face aux menaces internes ainsi qu’aux menaces externes sophistiquées.

Cependant, le vrai défi en termes de cyber sécurité n’est pas de sécuriser nos systèmes d’information, mais d’accepter la probabilité d’une attaque imminente et de comprendre ce qui se passe réellement au sein des systèmes d’information complexes. Il est illusoire de penser qu’une serrure et une clef représentent une sécurité parfaite. En réalité, nous savons que les serrures se cassent et que les clefs peuvent être copiées. La meilleure solution doit permettre aux entreprises de continuer à s’exposer à toute sorte de risques, dans l’intérêt des activités de l’entreprise.

Nous pouvons analyser 3 raisons principales pour lesquelles les approches de sécurité traditionnelles ont échoué :

1. Vous ne pouvez pas empêcher les menaces d’atteindre votre entreprise.

L’approche traditionnelle vous fait penser que vous pouvez empêcher les hackers de l’extérieur de votre réseau de vous attaquer en resserrant les contrôles et en imposant des restrictions. Les entreprises ont investi énormément de temps et d’argent dans des contrôles de périmètre et dans la reconfiguration de réseaux, tout ceci afin de préserver les systèmes d’information des infiltrations. Malheureusement, la majorité des réseaux en entreprises sont déjà infiltrés, d’une manière ou d’une autre. Les cybercriminels ont prouvé leur capacité à dépasser les contrôles de périmètres, et toute personne ayant accès au réseau représente également un certain risque. Nous devons partir du principe que nous sommes constamment en danger et que beaucoup de menaces, souvent les plus traitres, feront leur chemin au sein de l’entreprise avec une relative facilité.

2. Vous ne connaissez pas l’étendue des menaces dans leur totalité.

Il existe de larges gammes de solutions qui ont pour but de définir les « mauvaises actions » et d’agir pour vous en protéger. Alors que cette approche peut protéger contre des attaques simples qui utilisent les mêmes outils et tactiques de manière répétée, il est bien connu que les cybercriminels les plus sérieux sont des experts et changent leurs stratégies constamment, en utilisant des malwares sur-mesure pour des assauts ciblés. Sans compter que cette approche nécessite des mises à jour constantes et échouent à suivre le rythme des tactiques d’attaques évoluant beaucoup plus rapidement. C’est une approche réactive qui est incapable de défendre l’entreprise contre de nouvelles attaques.

3. La menace ne vient pas forcément de l’aspect technologique.

L’erreur serait d’oublier le facteur humain, il est important de se souvenir que les cyberattaques sérieuses sont dirigées par des personnes compétentes qui s’insinuent habilement à travers le réseau.

L’approche traditionnelle que nous avons décrite précédemment est incapable de gérer la complexité et la finesse des plans d’action des criminels. Qu’ils soient externes et internes à l’entreprise, les hackers possèdent certaines caractéristiques ou envoient certains signaux identifiables avant de passer à l’acte. Un contractuel qui se connecte à une heure inhabituelle de la journée, des groupes de fichiers en train d’être regroupés, l’installation du compte d’un nouvel employé ou un important volume d’emails envoyés via un serveur spécifique… Ce sont des signaux qui sont souvent insignifiants pris à part mais qui, une fois réunis, forment une image beaucoup plus inquiétante.

En plus de la nature humaine de l’attaque, nous devons nous souvenir que la vulnérabilité des employés et autres collaborateurs en interne est souvent utilisée à leur insu par les criminels, prêts à exploiter leurs faiblesse afin de réaliser des actions à leur place. Evidemment, une formation permettrait de réduire ce risque mais il est impossible d’empêcher tous vos employés de prendre de mauvaises décisions constamment.

Pour conclure, le défi des responsables de la sécurité IT est d’accepter l’existence de d’erreur et de prendre en considération le comportement humain. Cela requiert de voir et de comprendre les indicateurs qui indiquent les activités inhabituelles au sein du réseau, afin de détecter l’émergence de comportements menaçants.

Les entreprises doivent réaliser que les menaces existent et que les solutions traditionnelles n’y changeront rien. Les innovations permettent aujourd’hui de changer notre rapport aux menaces et surtout au risque « humain » en entreprise.

Les entreprises futures n’auront plus besoin d’antivirus, elles se focaliseront sur les habitudes des êtres humains qui les composent.