Trois façons de protéger votre organisation des ransomwares

Les cyberattaques continuent de faire la une des journaux alors que de plus en plus d'entreprises sont victimes de la ransomware economy. Les escroqueries en ligne ont augmenté de 400% au début de la pandémie, et ce chiffre ne ralentit pas.

Alors que la pandémie a obligé les organisations à restructurer le lieu de travail, nous nous sommes habitués à travailler et vivre à distance depuis plus d'un an. Cette situation place les développeurs et les équipes de sécurité devant plusieurs défis.

Tout d'abord, nous devons comprendre nos piles technologiques. Il s'agit de l'ensemble de l'infrastructure informatique, des systèmes d'exploitation aux langages de programmation en passant par les serveurs, le stockage des données, les outils de surveillance des applications ou encore les solutions de veille stratégique. Pour les responsables informatiques, jongler entre une vaste pile technologique et des malfaiteurs utilisant des techniques de plus en plus sophistiquées exige une nouvelle approche de la sécurité afin d’assurer la sécurité des systèmes, des données et des appareils. 

Dans le monde de la technologie, les solutions ne peuvent pas exister en silo. L'époque où un ordinateur accomplissait une tâche et était géré par une personne est révolue. Aujourd'hui, nous disposons d'outils pour gérer des milliers d'applications dans des dizaines de clouds. Selon Netskope, les entreprises de 2,000 à 4,000 employés ont utilisé en moyenne 1,148 applications en 2020. Les pratiques du passé, telles que les audits humains, ne peuvent pas suivre ce nombre d'applications. Chacune de ces applications pourrait être compromise par des attaquants malveillants, et nous ne le saurions jamais.

Les développeurs de logiciels doivent intégrer l'automatisation au cœur de leur infrastructure pour suivre les centaines ou milliers de mises à jour des applications. Si les équipes ne suivent pas leur chaîne d'approvisionnement, la sécurité de l'organisation s’érodera et offrira des données précieuses aux cybercriminels.  

Deuxièmement, nous devons revoir notre approche face à l’explosion de l’information. Nous avons tous entendu l'adage selon lequel si tout est une urgence, rien ne l'est. Nous recevons en permanence des alertes de nos plateformes de développement, des outils de surveillance, même de nos montres. Quelque peu paradoxalement, ce monde de notifications constantes nous a conditionnés à ignorer les alertes. La solution à ce problème semble simple - donner la priorité aux notifications qui comptent - mais le nombre d'alertes et de fausses alertes associées signifie que des milliers d'avertissements ne sont pas pris en compte. Nombre d’entreprises ne sont pas aussi sûres qu'elles pensent l’être. La réponse aux alertes doit être automatisée et, pour ce faire, nous devons mettre en place des systèmes capables d'évoluer avec les personnes qui surveillent ces alertes.

N’importe quel responsable informatique travaillant dans une organisation moderne reçoit des milliers d'alertes chaque jour. L'ampleur de ces notifications est stupéfiante : 27 % des responsables informatiques reçoivent plus d'un million d'alertes de sécurité par jour ! Distinguer les alertes critiques du « bruit » pose un problème crucial pour les personnes aux commandes de l'infrastructure de sécurité d'une organisation.

Nous devons automatiser le processus en retirant les humains de cette « première ligne » critique de l'alerte. Les outils d'automatisation peuvent efficacement passer les alertes au crible et permettre aux humains d'accéder à celles qui sont significatives. En automatisant nos outils, nous pouvons définir plus rapidement les alertes qui nécessitent une attention immédiate.

Troisièmement, nous devons créer une culture du suivi pour nous assurer que les problèmes soient résolus. Il se peut que nous apprenions l'existence d'un problème par le biais d’une alerte mais que nous soyons distraits par une autre tâche. Les distractions sont inévitables. Mais si nous accusons réception d'une alerte sans la traiter, cela revient à ignorer l'alerte en premier lieu. Une approche passive ou réactive de la cybersécurité peut être préjudiciable ; nous devons plutôt mettre en œuvre des technologies qui automatisent les tâches répétitives, font apparaître les anomalies nécessitant une intervention humaine et libèrent les praticiens de la sécurité pour qu'ils effectuent un travail plus utile.

Comme nous l'avons vu avec SolarWinds, des alertes apparemment inoffensives ont le pouvoir de conduire à des cyberattaques massives. Les attaquants qui ont pénétré SolarWinds avec le logiciel malveillant Sunburst ont passé plus d'un an au sein de l'organisation avant d'être identifiés, ce qui souligne l'importance de la coopération et de l'attention portée à un programme de cybersécurité proactif. Les développeurs devraient envisager et créer des alertes dans leurs propres solutions afin de donner un contexte et une urgence appropriés, aidant ainsi les utilisateurs à découvrir les signaux qui comptent.

Nous devons prendre du recul, revoir notre approche de la sécurité et l'adapter à la nouvelle normalité. Évaluer nos processus actuels qui alertent nos équipes en cas de violation. Informer nos employés et nos clients. Établir une méthodologie quant à la manière dont les partenaires et les clients sont alertés. En prenant ces mesures, les organisations renforceront leurs positions en matière de sécurité et rendront leurs équipes plus agiles en cas d’intrusion.