Retour aux sources de la sécurité informatique

Beaucoup d'organisations consacrent trop d'argent à un large éventail de solutions qui ne fonctionnent pas bien et n'offrent pas une vision complète et intégrée des risques de sécurité informatique.

Les cyber-attaques grandissent en nombre comme en puissance. Au cours du premier semestre de 2017, 918 violations de données ont été signalées, ce qui a entraîné l'exposition de plus de 1,9 milliard de lignes données dans le monde, selon des très études récentes. Nous avons assisté à pléthore d’attaques ultra-sophistiquées contre les principales organisations, ainsi qu'une militarisation des ransomwares et autres logiciels malveillants tels que WannaCry et NotPetya. 

Pour construire une défense solide, il faut commencer par revenir aux bases de la stratégie. Beaucoup d'organisations consacrent trop d'argent et de temps à un large éventail de solutions qui ne fonctionnent pas bien en tant qu’ensemble et n'offrent pas une vision complète et intégrée des risques dans l'environnement. Cette situation est aggravée par le manque de ressources en matière de cybersécurité, qui a fait couler beaucoup d'encre. De plus, l’utilisation simultanée de solutions et plateformes provenant de nombreux vendeurs créent de fait des failles qui peuvent être visées par les pirates informatiques. L'essentiel est d’établir ce que nous appelons une approche de la sécurité par couches, fondée sur des contrôles de sécurité qui sont reconnus comme étant la base d'un degré élevé de sécurité dans toute l’organisation.

Concrètement, quelles sont les racines du problème auquel nous sommes confrontés ? Il n'est pas très difficile de devenir un cybercriminel. Des kits d'exploitation sont disponibles en ligne, qui simplifient le processus de cyber-attaque, même pour les plus inexpérimentés des pirates. Ces kits comprennent un code d'exploitation pré écrit, et les criminels auront souvent accès à du support et des mises à jour pour ces kits, tout comme les logiciels commerciaux légaux. En ajoutant à cela des outils sophistiqués, initialement conçus pour le cyber espionnage et désormais facilement accessibles, nous obtenons une boite de jeu remplie d’armes létales.

Si les correctifs étaient régulièrement appliqués et que la sécurité de chacun était maintenue à un niveau décent, les attaques pourraient être endiguées. Cependant…

Les logiciels sont intrinsèquement vulnérables : Des centaines de milliers de lignes de code ont été écrites par des humains. Or les humains font des erreurs ; personne n'écrit de logiciels complètement exempts d'erreurs et immunisés contre les agresseurs potentiels.

Les logiciels plus anciens ont davantage de vulnérabilités exposées et les logiciels hérités ne sont pas corrigés : Plus le logiciel est ancien, plus ses vulnérabilités sont découvertes, exposées et exploitées. De plus, les logiciels ne sont plus corrigés passés un certain âge. Ce n'est pas une règle universelle mais, en général, les logiciels hérités ne reçoivent pas les mises à jour dont ils ont besoin.

Les logiciels plus récents ne sont pas correctement corrigés : Les correctifs étaient disponibles pour les systèmes d'exploitation Windows pris en charge avant WannaCry et pour les systèmes non pris en charge après cette attaque. Pourtant, et ce même avec ces patchs disponibles, des organisations ont été victimes de NotPetya un mois après WannaCry. Peut-être qu'ils n'avaient pas les outils en place pour patcher leur environnement ou qu'ils avaient des ressources limitées. Quelle qu'en soit la raison, la disponibilité des correctifs ne signifie pas qu'ils sont correctement implémentés.

C'est pourquoi il est si important de se protéger grâce à une approche multi couches, qui permet de choisir moins de produits, afin de réaliser des économies de temps et tout en améliorant rapidement le niveau de sécurité. Le patch ne protégera pas contre tout, mais c'est l'étape la plus importante du plan de cybersécurité. Si l’application des correctifs n’est pas possible – en cas de systèmes hérités, ou si les correctifs risquent de créer des dysfonctionnements dans l’environnement IT –, il faut bloquer les applications qui ne sont pas corrigées à l'aide d'outils tels que les listes blanches d’applications et la gestion des privilèges. Quel que soit le mode et l'endroit d'accès des utilisateurs à leur bureau, il est essentiel qu’ils aient accès qu’aux applications autorisées dont ils ont besoin pour être productifs, et qu'ils ne puissent pas introduire des applications non autorisées susceptibles de réduire la stabilité de l’informatique du bureau, de menacer la sécurité, de violer la conformité des licences, de provoquer des temps d'arrêt ou d'augmenter les coûts. Certains prétendent que le contrôle des applications est lourd et peut perturber les utilisateurs, mais il existe des approches plus granulaires, dynamiques et automatiques qui offrent une sécurité adéquate sans inconvénients majeurs. 

Une fois les bases de sécurité établies au niveau logiciel, il faut considérer l’aspect humain. L'éducation des utilisateurs est vitale pour empêcher les courriels de phishing potentiellement malveillants de s’infiltrer, tandis que des sauvegardes régulières (y compris hors réseau, pour se protéger contre les ransomwares) réduiront le risque de perte de données. Une configuration correcte des pare-feu Windows peut également contribuer à stopper la propagation des ransomwares au sein de l'entreprise. Cependant, le patching et le contrôle des applications doivent être en haut de la liste pour toutes les organisations cherchant à renforcer leur stratégie contre les attaques et peuvent contribuer à en réduire considérablement la dimension, ce qui permet de prendre plus facilement en charge les attaques qui passent, même avec des ressources limitées.

Les grandes attaques ont un impact mondial et médiatique, mais ensuite, les organisations retournent à un état de cécité vis-à-vis des enjeux de cybersécurité. Il est probable qu'elles corrigent les vulnérabilités qui ont été les pointées du doigt, mais elles n'examinent pas toujours sérieusement la façon dont elles mettront à jour leurs machines par la suite, et ne mettent pas en place un plan de sécurité et d'intervention proactif en cas d'incident qui peut simplifier et accélérer le retour à la normale après une attaque, et réduire considérablement les chances d’être infecté en premier lieu. Le fondement d'une approche dite de "retour aux sources" est l’établissement d’un programme de sécurité de façon stratégique plutôt que réactive ou tactique.