Une meilleure cyber-résilience en cinq étapes vitales

A une époque où les cyber menaces se multiplient, la façon d'y répondre, de s'adapter et de tirer parti de l'expérience est déterminante. Une erreur de stratégie de sécurité pourrait avoir un grave impact sur la réputation d'une marque, la fidélité des clients et les résultats financiers. C'est pourquoi les organisations regardent de plus en plus au-delà de la cybersécurité pour se concentrer sur la cyber-résilience.

Ce début 2020 connaît déjà un flux constant de violations de données, de révélations de bugs critiques ou encore d'attaques de ransomware. Récemment, la société internationale de devises étrangères Travelex, victime d’une cyber-attaque, a été mise à l’arrêt pendant plusieurs semaines en raison d’une faille non corrigée. Cet exemple illustre les enjeux importants auxquels sont désormais soumis les RSSI (Responsables de la Sécurité des Systèmes d’Informations).

Des SI plus fluides et volatiles

Les systèmes informatiques (SI) traversent une période de changement fondamental, les entreprises cherchant à générer de la croissance de leurs projets de transformation numérique. Les environnements traditionnels gagnent en fluidité et volatilité, dominés par le cloud, les machines virtuelles et les conteneurs. La priorité est l'agilité : les équipes DevOps s'appuient sur l'infrastructure-as-code pour tester et déployer rapidement les applications, permettant ainsi l’entreprise de répondre aux demandes du marché en constante évolution. Mais ces tendances créent également de nouveaux risques. Les systèmes cloud, les processus DevOps, les architectures de micro-services ainsi que l'explosion des points de terminaison de l'IoT ont considérablement élargi la surface d'attaque. Les collaborateurs à distance introduisent de nouvelles menaces quel que soit le moment et quel que soit l’endroit où ils se connectent au réseau de l'entreprise. Des équipes de cybersécurité débordées peinent à gérer les bases d’hygiène informatique, et encore davantage à traquer les attaques sophistiquées

Quelle différence entre sécurité et résilience

La sécurité implique un état binaire : quelque chose est sûr ou ne l'est pas. La cyber-résilience est plus holistique. Cette approche admet qu'aucune organisation ne peut être à 100% à l'abri d'un agresseur déterminé. Au contraire, la résilience consiste non seulement à mettre en place les meilleures défenses possibles, mais aussi à s’assurer qu'une organisation victime puisse continuer à fonctionner normalement, même lors d'un incident majeur. Elle implique aussi que l’organisation puisse apprendre, s'adapter et s'améliorer lorsque tout est rentré dans l’ordre.

La cyber-résilience en 5 étapes

La cyber-résistance consiste à rendre les systèmes informatiques aussi sûrs que possible, à minimiser l'erreur humaine, puis à accélérer la réponse aux attaques et à limiter l'impact en cas de coup direct. Il n’y a pas de solution miracle pour y parvenir, mais les cinq étapes suivantes y contribuent précisément.

1- Sécuriser les systèmes par leur conception s’avère l’une des meilleures pratiques préconisées dans toute l'Europe par les régulateurs des directives RGPD et NIS (Network and Information System Security). Déployer des systèmes d'exploitation en utilisant des modèles sécurisés comme ceux fournis par le CIS (Center for Internet Security) et auditer tout ce qui est destiné aux environnements de production et continuer par la suite. Cette approche continue est la seule façon de gérer les risques étant donné la volatilité de traitements dans le cloud.

 2- Automatiser tout ce qui peut l’être. La négligence et l'erreur humaine, cause majeure des incidents de violation de données, nécessitent d’améliorer la fiabilité et de réduire les risques par une utilisation judicieuse des systèmes technologiques. Tout peut être automatisé, de la gestion de vos certificats TLS (Transport Layer Security) à la gestion des correctifs et même de l'infrastructure en tant que telle. Les sauvegardes automatiques peuvent constituer une protection utile contre les attaques paralysantes par des ransomwares.

3- Mettre en œuvre une politique de contrôle d'accès stricte basée sur les fonctions, selon le principe du moindre privilège, pour mieux verrouiller les risques. Combiner cela à une authentification multifactorielle pour tous les comptes afin d'éviter les attaques de type phishing et d'ingénierie sociale (manipulation psychologique) qui constituent la première étape de tant de violations de la sécurité. Enregistrer tous les changements de systèmes et de groupes afin d'avoir une visibilité sur les éventuelles activités suspectes.

4- Envisager d'ajouter des contrôles physiques à votre dispositif de cybersécurité. Il peut s'agir de vidéosurveillance et de cartes magnétiques utilisées pour entrer physiquement dans les bâtiments et les zones d'accès restreint. Les données provenant de ces contrôles doivent également être enregistrées de manière centralisée pour monitorer l'activité, et notamment celles des visiteurs au sein d’un bâtiment.

5- Collecter autant de données que possible, telles que les logs au niveau des systèmes et des applications, les métriques relatives aux systèmes, et bien plus encore. Puis à l’aide un outil de recherche conçu pour tout type de données, complété par des techniques de machine learning et de data science, donner un sens à cet énorme volume d'informations collectées qui renforcent les systèmes SIEM pour améliorer la détection et la réponse aux incidents, et ainsi construire une architecture plus résiliente aux menaces futures.