Quand l’accumulation des logiciels de sécurité annule leur efficacité

A l’heure actuelle, de nombreuses entreprises utilisent conjointement des dizaines d’outils de sécurité, ajoutant une nouvelle solution chaque fois qu’un problème insoluble apparaît.

Il faut dire que la menace est forte : en 2017, les cyberattaques ont augmenté de 48% et ont touché 92% des entreprises (selon le baromètre du Cesin publié en début d’année). Il est normal que les entreprises souhaitent multiplier les approches pour tenter de se protéger le plus efficacement possible.
Mais cette accumulation de solutions installées pose un réel problème pour les analystes des équipes de sécurité qui se retrouvent écrasés sous le poids des multiples outils utilisés en interne et n’ont plus le temps nécessaire pour l’analyse des données brutes. Il n’y a rien d’étonnant à ce que les équipes chargées de la sécurité en viennent à passer à côté de certaines alertes, voire même à finir en burn-out.
Pendant ce temps, de véritables menaces passent entre les mailles du filet. Alors, s’il n’est ni efficace ni viable de multiplier les outils, comment peut-on préserver l’intégrité de nos systèmes tout en veillant à ce que nos équipes de sécurité restent toujours pleinement mobilisées ?

Trouver le juste équilibre  

À l’échelle planétaire, la pénurie de spécialistes de la cyberdéfense est aiguë, puisque plus d’un million de postes restent à pourvoir. Or, les outils de sécurité génèrent des centaines ou des milliers d’alertes chaque jour, si bien qu’une entreprise qui compte seulement deux experts en sécurité est tout simplement incapable d’examiner comme il se doit chaque menace potentielle. Et quand un employeur parvient à mettre la main sur un spécialiste de la sécurité aux compétences pointues, ce qui n’est pas un mince exploit, encore faut-il que ce recrutement soit précédé de l’adoption de technologies et de stratégies adaptées, faute de quoi il sera aussi utile qu’un traitement d’appoint comme l’intégration d’outils supplémentaires.
En désinstallant un outil de sécurité, on a souvent le sentiment de fragiliser le réseau. Or, c’est justement cette hésitation qui pourrait nuire à l’efficacité des mécanismes de sécurité. La multiplication des alertes qui découle d’un recours à un nombre excessif de technologies entrave la tâche des analystes désireux d’identifier et de passer en revue de véritables menaces. Il est donc nécessaire de tailler dans le vif. Au reste, pour peu qu’elle s’opère de façon raisonnée, la rationalisation de la pile de logiciels [AC(1] permet non seulement d’économiser des ressources qui pourront être réinvesties dans le programme de sécurité, mais aussi de gagner un temps que les analystes comme les DSSI pourront consacrer à d’autres tâches d’égale importance.

Rechercher la simplicité  

Quand on jauge l’efficacité d’une pile de logiciels existante, il est impératif de réfléchir aux types de menaces auxquels le réseau reste vulnérable. Les équipes IT ont-elles les moyens de repérer les menaces issues de l’intérieur, qu’elles soient intentionnelles ou accidentelles ? Sont-elles capables de détecter et juguler des ransomwares allant à la vitesse de la machine, ou les menaces qui se présentent pour la toute première fois ? L’entreprise a-t-elle un outil pour détecter les opérations furtives qui se passent sur son réseau ? Combien de temps faut-il pour déceler une présence étrangère qui a déjà commencé à s’attaquer au réseau ?
Dans le cadre du travail que nous réalisions il y a peu chez un de nos clients, nous avons pris sur le fait un agent externe avancé qui modifiait l’historique des fichiers afin de dissimuler les traces de ses activités. Sans outil de supervision de l’activité réseau et sans moyen de détecter des anomalies en temps réel, cette attaque aurait échappé à la vigilance de l’entreprise. Les technologies qui nous permettent de visualiser en temps réel l’activité des utilisateurs et des appareils sont le complément essentiel à toute pile de logiciels de sécurité.
Il faut dire que les défenses périmétriques ne sont pas conçues pour s’attaquer aux menaces qui ont déjà réussi à infiltrer le réseau. Prenons le cas des menaces internes. Une étude réalisée par Forrester a montré que 36 % de cas de violation de sécurité étaient dus aux actions involontaires d’employés dont l’honnêteté n’est pas à remettre en cause. Les entreprises doivent donc disposer à minima d’une technologie capable d’identifier et d’endiguer les menaces venues de l’intérieur.
Alors que les réseaux sont de plus en plus connectés et complexes, l’IA va, elle aussi, jouer un rôle majeur dans la protection de la kyrielle de composants en perpétuel mouvement. En simplifiant des réseaux trop enchevêtrés et en aidant les équipes de sécurité à faire le tri entre les menaces, l’IA sera un atout de poids pour détecter les dangers et protéger les données des entreprises.

Préparer l’avenir  

Pour se prémunir contre les tentatives de harponnage et juguler les menaces venues de l’intérieur, les entreprises ne peuvent plus se contenter de superposer les couches de défenses périmétriques. Il leur faut des logiciels plus simples, une batterie d’outils qui permettent à leurs équipes de détecter toute vulnérabilité ou menace émergente.
Parallèlement à l’évaluation et, parfois, à la simplification de la pile de logiciels de sécurité en place, il faut s’intéresser aux technologies capables de déceler toutes les menaces, y compris celles qui n’ont pas été préalablement identifiées. À une époque où nous devons reconnaître notre incapacité à prévoir les mouvements des hackers, l’IA est notre meilleure arme pour détecter et contrecarrer les attaques inédites ou celles qui sont parvenues à infiltrer le réseau sans déclencher la moindre alarme. Faute d’outils capables d’identifier les menaces de demain, les professionnels de la sécurité informatique auront toujours un temps de retard sur les pirates.  
De la même façon que les outils de sécurité en place sont incapables de détecter les menaces sans précédent, le paysage des cyber-risques impose, lui aussi, l’adoption d’une stratégie nouvelle. En employant exclusivement des outils de sécurité qui offrent de nombreux atouts outre la détection des menaces, vous pouvez réduire à l’essentiel votre programme de sécurité sans compromettre la solidité des défenses du réseau. En d’autres termes, il est peut-être temps d’associer défense de pointe et adoption d’une politique minimaliste en matière de logiciels.