Environ la moitié des RSSI estiment que leur organisation est mal préparée pour faire face à une attaque coordonnée. C’est pourquoi ils investissent massivement dans la gestion du risque. Selon Deloitte, les entreprises consacreraient plus de 10 % de leur budget IT annuel à la cybersécurité, ce qui représente entre 2 et 5 millions de dollars chaque année pour une entreprise moyenne.
L’industrie de la cybersécurité sait très bien vendre des outils conçus pour prévenir les attaques. Mais selon une étude menée par Dynatrace, 75 % des RSSI se disent inquiets des vulnérabilités qui touchent leurs applications. Chaque produit doit être fourni sous licence, cela va de soi ; mais tous doivent également être dûment gérés, ce qui implique de mobiliser des ressources en personnel supplémentaires, d’organiser des formations et d’engager des efforts d’adaptation et d’intégration. Et tout cela alors même que les RSSI peinent à dénicher le personnel qualifié dont ils ont besoin.
Le plus décourageant dans tout cela, c’est que ces sommes colossales investies dans la cybersécurité n’ont pas réellement porté leurs fruits, comme en témoigne le fait que les deux-tiers des RSSI s’attendent à subir une attaque de ransomware au moins une fois au cours des 12 prochains mois. Pire encore, parmi les entreprises contraintes de payer une rançon faute de moyens de défense suffisants pour prévenir l’attaque, 92 % n’ont pas été en mesure de récupérer leurs données.
Le moment est venu d’admettre que la prévention est loin d’être infaillible.
Nous devons donc revoir notre façon d’envisager la cybersécurité. La mentalité adoptée par nos clients, qui consiste à envisager l’hypothèse d’une brèche ou tout du moins à se préparer à une violation, n’a rien de défaitiste. Au contraire, c’est une preuve de bon sens. Les RSSI visionnaires ont appris que le moyen le plus rapide de rentabiliser un investissement dans la sécurité consistait, non pas à prévenir une attaque, mais plutôt à en minimiser l’impact.
Prenons un peu de recul. La réussite des attaques telles que le ransomware est généralement imputable à une mauvaise résilience :
incapacité à réduire le nombre de vulnérabilités sur l’ensemble de la surface d’attaque ;
incapacité à répondre de manière efficace, efficiente et rapide.
Dans ces conditions, qu’advient d’une entreprise qui mise tout sur la prévention dès lors que l’ennemi a franchi les douves, escaladé les murs et contourné la sécurité du système ?
L’équipe de sécurité identifie l’attaque et crée un ticket qu’elle soumet au service IT qui, à son tour, déclenche la restauration d’une sauvegarde (en supposant qu’elle n’ait pas été, elle aussi, rendue inutilisable à la suite de l’attaque). Malheureusement, la sauvegarde renferme toujours la faille exploitée par le hacker, ou pire encore, contient des artéfacts de l’attaque, par exemple les comptes administrateur créés à des fins malveillantes pour exploiter le code.
Les entreprises et les organismes gouvernementaux ont besoin d’une approche plus intégrée et itérative où les sauvegardes fournissent véritablement aux équipes d’intervention une chronologie des événements qui leur permet de mener une enquête numérique. Dès lors, les équipes sont en mesure de chasser les failles de sécurité et de restaurer leurs systèmes sans crainte de subir d’autre interruption ou une double extorsion.
Avec les cyberattaques traditionnelles orientées vers l’exfiltration, les RSSI s’inquiétaient de l’impact des pertes secondaires (atteinte à la réputation, amendes réglementaires, litiges). Car à moins d’être parvenus à intercepter l’incident en cours, ces pertes entraînaient des coûts irrécupérables. Le mal était déjà fait : et plus vous faisiez preuve de négligence dans la gestion de votre réponse, plus les conséquences du litige étaient lourdes à porter.
Avec le ransomware, le RSSI assume désormais la responsabilité des pertes principales, à savoir l’incapacité de l’organisation à accomplir sa mission essentielle et à servir ses clients. Aujourd’hui, chaque seconde compte, et les répercussions sont redoutables : interruption des flux de trésorerie, incapacité des hôpitaux à fournir des services critiques, impact sur l’ensemble de la chaîne logistique an aval. Les équipes de sécurité les plus en avance font ce qu’elles peuvent pour détecter et contrer les menaces, en cherchant à contrôler la surface d’attaque, à comprendre l’ennemi et à réagir face à des alertes extrêmement fidèles et fiables. Mais les entreprises mobilisent de plus en plus de ressources dans des outils qui leur permettent de se relever rapidement en cas d’attaque.
La transformation numérique : un bienfait pour la sécurité
Bon nombre d’organisations ont entrepris une transition de grande envergure visant à migrer leurs données et applications dans le cloud, et la plupart des outils qu’elles utilisent s’orientent de plus en plus vers des modèles d’abonnement SaaS (Software-as-a-Service). Certains RSSI ont préféré conserver un rôle de supervision, jugeant la sécurité trop stratégique pour en céder le contrôle. Ceux-là ont commis une erreur et sont passés à côté d’une opportunité.
Premièrement, le cloud permet de bien mieux comprendre ce que nous cherchons à protéger, en mettant généralement les actifs en contexte dès l’instanciation. À l’inverse, lorsque les entreprises déploient un serveur physique, un système réseau et une pile logicielle, les registres d’actifs peuvent se révéler sommaires et incomplets.
Plus important encore, le cloud permet de mieux sécuriser un grand nombre d’éléments du parc, pour autant que le bon processus et une gouvernance adéquate soient en place autour de l’architecture et de la configuration de ces plateformes. Les économies d’échelle permettent aux prestataires de services d’investir dans des systèmes de défense qu’aucune entreprise individuelle ne peut se permettre d’acheter ou d’entretenir.
Tout ceci indique qu’il faut changer les mentalités. Nous sommes entrés dans une ère de responsabilité partagée dans laquelle les RSSI doivent répartir les obligations de chacun. Une ère où les actifs appropriés doivent demeurer sous le contrôle direct de l’organisation concernée. Les RSSI vont être amenés à encadrer l’élaboration de stratégies et la formation des utilisateurs, sans oublier l’implémentation et la gestion de la pile de sécurité.
Les responsables de la sécurité de l’information devront consacrer plus de temps à la vérification préalable de leurs prestataires de services, de manière à comprendre leur rôle dans ce modèle de responsabilité partagée avant de leur confier la responsabilité de leur sécurité, et à s’assurer que les mesures appropriées sont en place.
Les fournisseurs de solutions de cybersécurité ont longtemps vendu une approche orientée vers la prévention et la détection. Les RSSI auront peut-être du mal à céder le contrôle à des tiers, avec le risque de réduction d’effectif et de coupe budgétaire que cela implique ; tout dépend du jugement que vous et votre entreprise portez sur vous-même. La question concerne-t-elle l’étendue de votre contrôle et votre enveloppe budgétaire, ou plutôt votre capacité à exploiter une fonctionnalité efficace qui s’aligne sur les besoins métier ?
Dans tous les cas, le changement est inévitable. Recourir à un ensemble complexe d’outils disparates n’est pas simplement inefficace : cette approche est vouée à l’échec.
Les entreprises doivent adopter une approche Zero Trust, partir du principe qu’il y a violation et apprendre à en minimiser au mieux l’impact. Les RSSI doivent s’engager dans la transformation numérique et partager la responsabilité de la sécurité du parc. Ils verront ainsi leurs opérations de sécurité gagner en efficacité, tout en améliorant la résilience de leur entreprise.
Pour en savoir plus sur la manière d’élaborer une stratégie de sécurité cyber-résiliente et de préparer un plan de restauration à toute épreuve contre le ransomware, téléchargez ici notre guide intitulé « The Best Defence Against Cyber Threats ».