Ransomware et SASE : comment développer une posture de sécurité

Voici trois étapes essentielles pour développer une résilience complète face à des cyberattaques toujours plus complexes, en prenant garde à y intégrer l'humain.

La crise sanitaire a favorisé la recrudescence des ransomware. Afin de les contrer ou de limiter leur impact, la mise en œuvre d'une passerelle Web sécurisée en complément d'un cloud access security broker (CASB) pour la protection des données, le tout au sein d'un modèle Zero Trust sont d'une importance critique.

Mettre en œuvre une passerelle web sécurisée (SWG) directement sur les postes utilisateurs

Internet étant un vecteur d’attaque privilégié pour les pirates, il est donc primordial de se protéger contre les destinations web malveillantes (malware, phishing et sites de command-and-control ou C&C) et d’avoir recours à une passerelle web sécurisée qui va bloquer en temps réel l’accès à ces URL corrompus. Cependant, comme des destinations web inoffensives peuvent être utilisées pour télécharger des fichiers infectés (par le biais de pièces jointes sur Gmail par exemple), la capacité à analyser les fichiers au moment du téléchargement pour détecter les menaces et les bloquer en temps réel est une fonctionnalité essentielle. Une passerelle web sécurisée on-device capable de décrypter et d’inspecter le trafic au niveau local sur chaque terminal, évitera en plus la latence, les violations de confidentialité, et les problèmes de coût et d’évolutivité des SWG.

Déployer un CASB mais en version multimode

Conçues pour sécuriser les environnements cloud en fournissant des défenses pour les applications SaaS et les plateformes IaaS, les offres CASB peuvent être déployées selon différents modes offrant selon la version choisie, une protection différente face aux ransomwares. Tout d'abord, les CASB exclusivement API vont offrir une visibilité et un contrôle sur les données non utilisées des services cloud et rechercher les fichiers infectés. Ensuite, grâce aux agents proxy sur les appareils gérés, ils seront capables d’analyser en temps réel les téléchargements de fichiers à la recherche de menaces et les bloquer si nécessaire. Enfin, grâce au reverse proxy sans agent ces opérations pourront être réalisées sans installer de logiciel sur les terminaux, une solution idéale pour les environnements BYOD. Pour ériger une défense optimale contre les ransomwares pour tous les cas d’usage cloud, les organisations doivent se doter d’un CASB multimode offrant les trois modèles de déploiement.

Zero Trust : 1 / VPN : 0

Si les violations de données par suite d’attaques de ransomwares font régulièrement la une des médias, avec la généralisation du télétravail, la sécurisation granulaire de l’accès distant aux ressources on premise devient plus critique que jamais. De nombreuses organisations cherchent à résoudre ce problème par le biais de réseaux privés virtuels (VPN) qui pourtant ont souvent démontré leurs limites en termes de latence, d’entrave à la productivité et de manque d’évolution. En effet, outil d’accès et non pas de sécurité, le VPN ne respecte pas les principes fondamentaux du Zero Trust et offre un accès total au réseau et à tout ce qui s’y trouve. C’est là qu’une approche ZTNA (zero trust newtork acess) prend tout son sens. Les solutions ZTNA basées sur le cloud préservent l’expérience utilisateur, offrent l’évolutivité requise et permettent de délivrer des accès à des applications spécifiques (plutôt qu’à l’ensemble du réseau) tout en appliquant des politiques de sécurité en temps réel conçues pour stopper les ransomwares. 

Mais pour une organisation qui souhaite déployer un SWG, un CASBE et un ZTNA séparément pour se protéger soit contre les attaques ciblant le web, celles ciblant le cloud ou encore les ressources on premise,  la tâche peut s’avérer lourde et complexe. C’est pourquoi elle doit concentrer ces trois éléments au sein d’une plateforme SASE unifiée pilotée de manière centralisée et facile à gérer. Solution cloud faisant converger les solutions de connectivité réseaux et sécurité, le SASE fera gagner du temps aux administrateurs tout en aidant les équipes à sécuriser l’ensemble des interactions contre les ransomwares. La plupart des offres SASE reposent sur une protection basée sur signatures qui analyse les fichiers en fonction de catalogues de menaces déjà identifiées. Évidemment, une telle approche ne permet pas de détecter les nouveaux ransomwares de type zero-day. Les entreprises doivent donc se tourner vers les plateformes SASE qui utilisent une protection comportementale, basée sur du machine learning pour évaluer les fichiers et être ainsi capables de détecter les menaces même inconnues.

Selon Gartner, d’ici 2024, au moins 40% des entreprises développeront des stratégies explicites pour adopter le SASE (contre moins de 1% fin 2018). Le recours au SASE pour étendre les protections à l’ensemble des ressources de l’entreprise doit également être associé à une formation adaptée des employés à la sécurité, afin de les aider à identifier les tentatives de phishing et les emails illégitimes (principal vecteur d’attaque par ransomware). C’est en couplant les bonnes solutions aux bonnes stratégies que les organisations s’assureront de toujours garder une longueur d’avance sur les cybercriminels.