La sécurité avant tout
Les entreprises doivent se conformer à de nombreuses réglementations, locales et internationales. Si l’on ajoute à ce fardeau l’éventail des normes sectorielles qui occupent l’esprit des gestionnaires de risques, on comprend vite la nécessité de tester l’environnement informatique de manière approfondie et formelle. Les acteurs de la menace deviennent de plus en plus sophistiqués et les complexités qui jonchent la panoplie de systèmes informatiques post-pandémie présentent plus de risques que les RSSI n’ont jamais rencontrés.
Comme lors d’une course, l’équipe de sécurité se doit donc de les tester… à vitesse maximum. Ils se font alors passer pour des cybercriminels, pensent comme des cybercriminels, planifient comme des cybercriminels et se déplacent comme des cybercriminels. Ils trouvent des chemins furtifs et des opportunités de mouvement latéral, tout comme le ferait un véritable hacker. Ils exploitent les lacunes des workflows hybrides. Ils exploitent les mêmes techniques du monde réel que celles utilisées aujourd’hui pour inciter les utilisateurs à révéler des informations sur eux-mêmes et leur environnement professionnel. Et ils n’hésitent pas à détourner des comptes cloud pour accéder à une cible.
Lorsque l’équipe de sécurité a terminé, le responsable des systèmes d’information de l’organisation cible dispose d’une image claire et nette de l’efficacité des mesures de sécurité actuelles face à une attaque réelle. Les équipes de sécurité se tiennent au courant du paysage des menaces et s’informent de la manière dont les opérateurs malveillants mènent leurs activités. Elles connaissent les dernières techniques, procédures et jeux d’esprit. Les meilleures équipes de sécurité, cependant, vont au-delà des tests de pénétration standard nécessaires à une stricte conformité. Elles le font parce qu’elles savent que de nombreux systèmes « conformes » sont vulnérables. Ces systèmes peuvent être compromis et le sont effectivement, ce qui peut entraîner des dommages.
Les maillons les plus faibles
Les analyses automatisées qui ne découvrent que des vulnérabilités techniques racontent une histoire insipide et ne révèlent certainement que très peu de détails sur les menaces réelles auxquelles une entreprise est confrontée, ou sur la façon dont ces risques peuvent se transformer en catastrophes. C’est pourquoi les exercices de l’équipe de sécurité axés sur les menaces simulent de multiples scénarios afin de couvrir toutes les failles possibles dans l’armure numérique. Parfois, ces failles impliquent des vulnérabilités dans la technologie. Mais d’autres cas peuvent concerner des processus ou des personnes. Les acteurs malveillants ont l’habitude de trouver les maillons les plus faibles, où qu’ils se trouvent, et les cyber défenseurs doivent donc apprendre à faire de même. Les équipes de sécurité peuvent les y aider.
La valeur de l’équipe de sécurité devient rapidement évidente lorsqu’elle est en mesure de signaler qu’une formation approfondie est la voie idéale vers un dispositif de lutte contre les menaces plus robustes, plutôt que le colmatage d’une série de failles techniques. Quels que soient les programmes d’amélioration qu’une organisation choisit de lancer, l’équipe de sécurité fournit des conseils très utiles sur la direction et les priorités. Les pen-tests standard passent à côté de beaucoup de choses, étant donné les méthodes modernes du cybercriminel. Et bien qu’il soit important de disposer d’un programme complet de correctifs, la duplication par les équipes de sécurité des méthodologies standard de détection des acteurs malveillants révélera une liste comprenant les exploits les plus courants et des voies d’attaques plus complexes, ce qui permettra de remporter des victoires rapides – toujours bienvenues pour le RSSI qui tente de prouver la valeur ajoutée de son SOC.
En ce qui concerne la technologie, les RSSI qui ont fait appel à des équipes de sécurité éprouvées opteront probablement pour une solution préconfigurée de détection et d’atténuation des menaces basée sur le réseau, qui renforce considérablement les capacités de détection des menaces et offre un délai de rentabilité plus court et complémentaire que la détection et la réponse aux endpoints (EDR). La visibilité est améliorée sans qu’il soit nécessaire de modifier les environnements en profondeur, et la lassitude à l’égard des alertes est considérablement réduite.
Enfin en état de marche, mais pour combien de temps ?
Lors d’une course automobile, les concurrents sont heureux de vous voir sortir de la piste. Les spectateurs ne se soucient pas d’un perdant et tournent leur attention vers ceux qui restent dans les virages. Mais il s’agit là d’une course sans ligne d’arrivée. Les RSSI et leurs analystes, avec le soutien d’équipes de sécurité toujours vigilantes, doivent travailler chaque jour pour s’assurer que chaque expérience numérique traverse le cycle de vie du développement comme un bolide en état de marche capable de mener l’organisation à la victoire.