Faire entrer l'identité dans l'ère du XDR
Aujourd'hui, il est tout aussi important de protéger le « qui » (l'identité), que le « quoi » (les terminaux). La cybersécurité devient une histoire personnelle et l'identité s'impose désormais comme le nouveau périmètre d'attaque. Retour sur l'évolution et le futur de la cybersécurité.
Sécuriser le « quoi »
L'ère de l'internet a révolutionné nos modes de vie, bouleversé notre économie, démultiplié nos moyens de communication etc.mais également engendré et alimenté le marché de la cybersécurité, créant un besoin urgent de sécuriser le « quoi ».
Internet est, en effet, devenu le terrain de jeu d'une nouvelle génération de criminels. Au lieu de cambrioler les maisons ou de braquer des banques, ils ont appris à transformer en armes les pages web, les fichiers, les courriels etc., utilisant des capacités de connectivité à des fins malveillantes.
Les cyberattaques dévastatrices qui n'ont pas cessé de faire la une des médias, ont prouvé qu'il ne suffisait pas de sécuriser l'internet mais qu'il fallait également protéger les endpoints.
La sécurisation - des ordinateurs de bureau encombrants, lents et compliqués aux appareils légers, portables et puissants - est alors devenu le nouveau « quoi ».
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
Sécurité réseau avancée : un remède de courte durée
Une approche innovante, consistant à fusionner la technologie de sandboxing basée sur les applications avec une nouvelle méthode d'analyse statique des fichiers, a alors vu le jour. Elle a permis d'éliminer les signatures antivirus obsolètes et inefficaces et de détecter des logiciels malveillants inconnus, sans aucune intervention humaine.
Malheureusement, cette technique a vite été dépassée car elle ne protégeait que les actifs sur site et sur réseau alors qu'elle ne sécurisait pas les dispositifs mobiles, qui fonctionnaient souvent hors du réseau de l'entreprise.
Antivirus de nouvelle génération : un travail inachevé
Devenus inefficaces, les anciens antivirus ont vite été remplacés par un nouveau type de technologie baptisé « antivirus de nouvelle génération ». L'IA a remplacé les signatures, rendant cette nouvelle technologie prédictive et incroyablement efficace pour sécuriser le « quoi ».
Lire aussi : XDR : service ou technologie ?
Mais une nouvelle catégorie de malwares, appelés attaques sans fichier (fileless), a modifié le paysage des menaces, prouvant une fois de plus que « rien n'est efficace à 100 % ». La protection en a été radicalement améliorée, mais ces nouveaux types d'attaques ont échappé au système. Le marché s'est alors de plus en plus focalisé sur ce qui manquait à ces solutions nouvelle génération pour protéger efficacement le « quoi ».
De l'EDR à l'XDR : le « quoi » tant attendu
C'est à la suite de ces évolutions que l'EDR (endpoint detection and response) a fait son apparition. Cette solution a permis de sécuriser entièrement le « quoi », et de donner aux clients les moyens de se protéger contre les attaques, qu'elles soient basées ou non sur des fichiers.
Puis, l'heure est venue d'adopter un nouveau type de sécurité instantanée, automatisée et autonome capable de prévenir, de détecter et de répondre à tous les types d'attaques, sur tous les actifs de l'entreprise, des postes de travail aux dispositifs IoT en passant par les conteneurs et workloads dans le cloud : le XDR. Sécuriser le « quoi » est essentiel et constitue une quête sans fin, mais le XDR prouve que c'est enfin possible.
Sécuriser le » qui «
Ces dernières années, le « quoi » coexiste avec une nouvelle réalité : la façon dont nous utilisons la technologie et les endroits où nous l'utilisons ont radicalement changé aujourd'hui. Et cela n'a pas échappé aux cybercriminels : les appareils étant de mieux en mieux protégés, l'usurpation d'identité est devenue un point névralgique pour accéder à un terminal. Et comme tout est accessible par mot de passe, le XDR doit prendre en considération ce besoin.
L'identité s'est imposée comme le nouveau périmètre d'attaque. Alors que l'adoption d'un modèle de travail hybride, alternant présentiel et distanciel, s'installe durablement, les utilisateurs et leurs terminaux sont constamment en mouvement. Ils doivent donc être protégés contre les malwares et rester accessibles aux utilisateurs autorisés au bon moment.
Dans l'ère numérique actuelle, sécuriser le « qui » est devenu essentiel pour assurer la pérennité des ressources des entreprises.
Aujourd'hui, le pouvoir d'une entreprise réside dans ses utilisateurs qui utilisent des terminaux pour accéder à des applications, des services cloud, des bases de données, des sites Web, etc. Un accès non autorisé ou compromis peut avoir de graves répercussions.
Plusieurs attaques de la supply chain, comme Kasaya, ont mis à mal l'Active Directory et réussi à obtenir un accès non autorisé. Tous les spécialistes cybersécurité se souviennent également de la vulnérabilité Zerologon, une menace pour les réseaux d'entreprise.
En outre, les erreurs de configuration des systèmes d'annuaire et d'identité sont trop fréquentes, créant des failles de sécurité encore plus importantes que les vulnérabilités du code elles-mêmes.
Lire aussi : { Tribune Expert } - L'IA : notre plus grande alliée ou notre pire ennemie dans la lutte contre les cybermenaces ?
La cybersécurité n'est plus juste une histoire de machine. Aujourd'hui, un programme de sécurité complet doit impérativement combiner le « quoi » et le « qui ».
Blandine Delaporte, - SentinelOne.
Sur le même thème
Voir tous les articles Cybersécurité