Le moment est-il venu de rétablir la prévention ?
Le piratage de données n'est inévitable que si nous persistons à le considérer comme la nouvelle norme.
D’après une récente étude de Kaspersky, 86 % des RSSI estiment que le piratage de données est inévitable. De ce fait, la plupart des équipes de sécurité concentrent leurs efforts, et leurs budgets, sur des actions temporaires, la limitation des dommages, la compensation des risques et la mise en place de sauvegardes pour restaurer les zones endommagées. Ce constat regrettable, amorcée à "l’ère des super brèches informatiques" de 2013-2015, a, en effet, restreint le dialogue stratégique autour de mesures immédiates prises après coup. En parallèle, nous ignorons comment réagir aux incidents de sécurité en temps réel et faire obstacle à la fois aux violations de données et aux incidents destructeurs actuels.
Qu’est-ce qu’une violation de données ?
Une violation de données est un événement juridique, engendré dès l’instant où des informations sensibles ont fait l’objet d’un accès non autorisé, obligeant l’entreprise, dont la sécurité a été atteinte, à se conformer aux lois afférentes.
L’extrême vélocité des cyberattaques actuelles est l’une des principales raisons pour lesquelles ces violations sont désormais perçues comme inévitables ; elles ont également contribué à faire comprendre qu’incidents de sécurité et violations de données sont indissociables. Si l’on examine de plus près ce qu’est une violation de données, on peut déterminer à quel moment, il serait judicieux d’intervenir. Si toutes les violations de données commencent par un incident, tous les incidents ne donnent pas lieu à des violations. Un incident se produit à chaque fois que les systèmes de sécurité sont compromis, la violation n’est établie que s’il y a pillage des données.
Aujourd’hui, la majorité des dommages subis par les entreprises prennent la forme d’incidents destructeurs éclairs, et non d’interminables attaques poussives axées sur l’espionnage et l’exfiltration ; cette évolution notable tranche avec la situation d’il y cinq ans, lorsque les intrusions faisaient la une de la presse.
Lorsqu’un éditeur de solutions de sécurité propose de faire barrage à ces violations, c’est qu’il ne possède pas la technologie adéquat pour prévenir les incidents, et qu’il s’applique davantage à proposer des fonctionnalités et des outils décisionnels en aval, inspirés bien souvent de victimes d’intrusions antérieures.
Pourquoi est-il si difficile de se défendre contre des attaques ?
Si les attaques s’exécutent en temps réel, "à la vitesse de la machine", les tentatives visant à restaurer les systèmes ou à repousser ces attaques doivent toutes s’opérer manuellement sur plusieurs jours, voire plusieurs semaines. Il est facile de voir comment toute forme de défense contre les violations de données semble inutile. Pire encore, les technologies en place sont de moins en moins à même de se défendre contre des menaces éclairs toujours plus rapides et destructrices, comme WannaCry et NotPetya en 2017, ou les attaques actuelles, telles que Dopplepaymer ou Maze.
Il est plus que temps de mettre en lumière la vitesse d’exécution des attaques, microseconde par microseconde. Les solutions proposées doivent offrir davantage de visibilité et des niveaux élevés d’automatisation, de même qu’un mécanisme d’auto-défense autonome, pour écarter les menaces à mesure qu’elles se profilent et revenir à un état de fonctionnement fiable.
Quel est le véritable coût de ces violations de données "inévitables" ?
Malgré la médiatisation des piratages de données dans l’univers de la sécurité informatique, pourquoi est-il toujours considéré comme "inévitable" ? La réponse est simple : en cas de piratage, la récupération des données est favorisée à la mise en œuvre de techniques de prévention adéquates pour neutraliser les menaces.
Au cours de cinq dernières années, les experts de l’industrie ont répété maintes et maintes fois que la question n’était pas de savoir si, mais quand le vol de données se produirait. Or, en ce début d’année 2020, il semblerait que ce ne soit pas nécessairement le cas. Les défenseurs sont désormais capables de maîtriser et prendre le contrôle des activités sur leurs propres équipements, et ce en temps réel, en intégrant une contextualisation entièrement pilotée par l’IA. Les commentaires des experts ne nous ont pas échappé, en particulier après la fuite de données chez Marriott en 2019 ! Comme l’a affirmé Brian Krebs : "Les assaillants peuvent l’emporter en faisant mouche une seule fois, alors que les défenseurs n’ont d’autre choix que de faire mouche 100 % du temps".
Les éditeurs et fournisseurs de solutions de sécurité sont de plus en plus conscients des coûts engendrés par les incidents de sécurité, des durées d’immobilisation provoquées par l’arrêt de la production, du temps nécessaire à la restauration des données sauvegardées, sans parler de l’atteinte à la réputation de l’entreprise, pratiquement impossible à chiffrer.
Si la défense est correctement organisée, il suffira de faire mouche une seule fois pour arrêter efficacement une attaque.
Que peut-on y faire ?
Fort heureusement, il existe aujourd’hui des technologies permettant de faire face aux incidents, à la vitesse des machines. Grâce à des technologies d’auto-défense adaptatives, et à une veille enrichie en fonction du contexte, les défenseurs sont en mesure de suivre les assaillants microseconde par microseconde, au fil des manœuvres opérées sur les postes de travail traditionnels, cloud ou virtuels. À l’instar de l’organisme qui produit des globules blancs pour combattre une infection, la technologie repère en un clin d’œil les actions malveillantes et s’attaque à celles-ci, en les éliminant avec précaution ainsi que le risque qu’elles représentent.
Des ordinateurs "auto-réparables", intelligents et autonomes, capables de détecter les menaces même en présence d’appareils IoT, permettent d’anticiper et de prendre de vitesse les attaques dans cette nouvelle ère de cyberguerre "code contre code".
Il est parfaitement envisageable de s’appuyer sur les nouvelles technologies pour faire face aux cyberattaques et évoluer à la même cadence qu’elles, en changeant notre façon de penser la cybersécurité et en étant plus ambitieux en matière de prévention. Tant que nous continuerons à investir dans les nouvelles technologies et à anticiper la vélocité du paysage actuel des menaces, l’adage "Mieux vaut prévenir que guérir" demeurera de circonstance et ce, que nous continuions simplement à stopper les fuites de données ou que nous allions de l’avant en prévenant les attaques actuelles.