Les organisations françaises doivent réduire leur déficit de résistance aux attaques

Pour obtenir une résistance totale face aux cyberattaques, les organisations doivent apprendre à connaître complètement leur surface d'attaque. La question est comment ?

L’accélération de la transformation numérique de notre économie a considérablement élargi la surface d'attaque potentielle, créant des déficits dans les capacités et les processus de cybersécurité de la plupart des organisations.

Ce concept de “déficit de résistance aux attaques”, qui se caractérise par un écart important entre ce qu'une organisation doit protéger et ce qu’elle est réellement capable de protéger, s’explique principalement par une combinaison de plusieurs facteurs, comme une connaissance incomplète de la surface d'attaque, des tests de sécurité trop peu fréquents ou un manque de compétences techniques.

Selon une récente enquête, il est apparu que la France est le pays qui a le score de confiance le plus faible dans sa résistance aux cyberattaques (59 %), en dessous du score de confiance moyen qui s’établit à 63 %. D’une manière générale, les surfaces d’attaques ne sont pas suffisamment surveillées : 60 % des organisations à travers le monde avouent qu’un quart de leur surface d’attaque est inconnue ou non-observable, les rendant vulnérables aux menaces externes. En France, 12% des responsables interrogés estiment que plus de la moitié de leur surface d'attaque est inconnue ou non observable.

Combler le déficit de résistance aux attaques

Pour obtenir une résistance totale face aux attaques, les organisations doivent apprendre à connaître complètement leur surface d’attaque en se posant régulièrement les bonnes questions : quelles sont les ressources manquantes ? Comment la surface d'attaque évolue-t-elle ? Combien de temps faut-il pour détecter un actif inconnu sur le réseau ?

Mais connaître sa surface d’attaque n’est pas suffisant. Une fois le périmètre connu, il est important de mettre en place des tests de sécurité adaptés et réguliers, ainsi que d’allouer les ressources et talents nécessaires (internes et externes) qui vont piloter la gestion de la surface d’attaque et la mettre à l’épreuve.

La fréquence des tests de sécurité est par ailleurs un élément essentiel ; il est important que les tests suivent le rythme des mises à jour des applications. Dans la plupart des cas, les équipes de développement effectuent des mises à jour logicielles chaque semaine. Mais il faut penser à tester régulièrement les actifs de production, car les mises à jour seules ne suffisent pas. Dans la réalité des faits, seule une application sur trois en moyenne est testée plus d’une fois par an.

Disposer d’outils d’analyse et de tests adaptés est également important. Les outils de scan automatisés recherchent et détectent de manière fiable les vulnérabilités les plus connues. Rapides et peu coûteux, ils sont plutôt bien adoptés par les organisations de tout horizon. Malheureusement, ils ne sont pas programmés pour détecter les vulnérabilités les plus critiques. A ce niveau-là, il faut pouvoir penser comme un cybercriminel, et en l’occurrence, travailler avec des hackers éthiques, pour identifier des vulnérabilités qu'aucune technologie ne peut détecter.

Renforcer son équipe en continu

L'un des moyens les plus efficaces pour renforcer la résistance d’une organisation face aux attaques est l'amélioration continue des équipes. Or, par manque de temps, d'argent ou d’outils nécessaires dans l’investissement de leurs équipes, de nombreuses organisations se retrouvent avec des talents dont les compétences ne sont pas testées afin de répondre à leur besoin concernant leur surface d’attaque. De ce fait, leur vulnérabilité augment, car les équipes ne peuvent pas augmenter la fréquence des tests, ni acquérir de nouvelles compétences techniques ou encore, mettre à jour leurs modèles de menaces.

Ce manque d'investissement met les organisations dans une situation complexe. Sans amélioration des compétences, l’équipe de sécurité répétera les mêmes erreurs, reproduisant ainsi les vulnérabilités et n’apprenant pas comment détecter les faiblesses ou les signes d’une attaque.

Afin d’assurer la sécurité de leur organisation, les équipes ont donc besoin d’une formation continue. Mais l’exercice est généralement peu attrayant pour les développeurs, qui préfèrent coder que suivre une formation. Pour être mieux acceptées, les formations devraient prendre compte les dernières tendances en matière de menaces mais aussi s’adapter à la configuration spécifique de l’organisation.

Assurer la gestion de la résistance aux attaques

La plupart des solutions de gestion de surface d’attaque présentent les mêmes limites que les outils de scan de vulnérabilités, elles couvrent un périmètre assez large mais manquent de contexte et de finesse.

Il faut désormais envisager de changer la perception des organisations, pour prendre en compte non seulement la gestion de la surface d’attaque, mais aussi et surtout la gestion de la résistance aux attaques, avec des tests de sécurité plus réguliers, impliquant des hackers éthiques qui vont mettre à l’épreuve les barrières de sécurité les plus solides pour chaque fois repousser les limites de la protection.

La prise de conscience réduit le risque. Mais seules les organisations qui mesurent leur déficit de résistance aux attaques sont réellement armées pour le combler efficacement.