Le paysage actuel des menaces n’a jamais été aussi complexe, et la rapidité avec laquelle un attaquant peut exploiter les failles du système de sécurité ne cesse d’augmenter. Face à cette combinaison redoutable, les entreprises commencent à reconnaître les limites de leur approche traditionnelle et réactive de la cybersécurité et s’orientent davantage vers une « chasse aux menaces ».
En règle générale, “les chasseurs de risques” sont à l’affût d’éventuelles failles ou d’acteurs malveillants au sein de leur environnement et cherchent à en limiter les dégâts. Cependant, le concept-même de la « chasse aux menaces » suppose que l’entreprise a déjà été compromise avant de réagir.
Or cela ne suffit plus… Les entreprises doivent en effet changer de mentalité : obtenir une vue d’ensemble de leur environnement leur permettant d’identifier à l’avance les zones à risques, plutôt que de réagir aux menaces au fur et à mesure qu’elles surviennent.
Spécifiquement conçues pour inciter les entreprises à adopter une approche plus pragmatique et prudente de la cybersécurité, les nouvelles réglementations telles que NIS2 et DORA ont pour objectif est de privilégier cette nouvelle forme de « chasse aux risques ».
Beaucoup plus proactive dans son approche, cette traque permet aux entreprises d’identifier, d’évaluer et d’atténuer les risques avant qu’ils ne se transforment en véritables menaces. Mais comment les entreprises peuvent-elles s’y prendre pour traquer les risques ?
Dans notre secteur, nous ne comprenons pas encore bien le raisonnement des acteurs de la menace et, par conséquent, les risques qui existent au sein d’une entreprise. Pourquoi ? Parce que les entreprises peinent à évaluer la rapidité avec laquelle les menaces évoluent. En d’autres termes, elles continuent de se défendre en maintenant leur sécurité pour lutter contre d’anciennes attaques sans en anticiper les évolutions.
Certes, NIS2 contribue à relever le niveau de sécurité de base, mais la directive ne fournit pas suffisamment de détails pour aider les entreprises à combler ces lacunes par elles-mêmes. Ces dernières doivent former des équipes spécialisées capables d’agir comme des attaquants et de tester les limites des politiques et des structures existantes.
Le périmètre de la « chasse aux risques » ne doit pas se cantonner à chercher les vulnérabilités numériques exploitables par des menaces externes. Il doit être exhaustif et capable de déterminer la résilience de l’entreprise en cas d’attaque DDOS ou de panne Internet, par exemple.
Plusieurs méthodes existent pour traquer les risques, telles que l’utilisation d’analyses avancées, d’informations sur les menaces et de techniques de détection d’anomalies. La méthode de « chasse aux risques » basée sur les informations disponibles est selon moi la plus efficace. Elle implique l’utilisation d’informations sur les menaces pour guider la recherche des risques.
Contrairement à la « chasse aux menaces » qui se sert d’indicateurs de compromission (IOC) et de tactiques, techniques et procédures (TTP) pour déterminer les points de risque ou les endroits où un attaquant donné pourra exploiter un risque, la « chasse aux risques » se concentre sur les indicateurs d’attaque (IOA). Ce sont des modèles ou des comportements qui signalent une attaque en cours ou imminente. Ces indicateurs permettent de déterminer les TTP que les hackers utilisent lors d’une attaque.
Un large éventail de technologies permet d’aider les entreprises à cartographier leur environnement et à y intégrer des données pour identifier les points à risque. De nombreuses entreprises réalisent des simulations numériques d’attaques, par exemple, pour évaluer la résistance de leur infrastructure de sécurité en cas d’attaques de différentes ampleurs. Dans ce cas, les équipes sécurité peuvent ajuster leurs politiques en fonction de ces informations pour mieux se préparer à une attaque réelle.
Ce ne sont donc pas les outils et les informations qui manquent pour aider les entreprises à identifier les risques. Là où le bât blesse, c’est au niveau des compétences nécessaires pour utiliser correctement ces outils et les appliquer dans un environnement déjà très complexe. Rares sont les personnes qui possèdent les compétences ou les connaissances suffisantes pour mettre en œuvre une stratégie et comprendre ce qu’il faut faire pour atténuer les risques identifiés.
Constituée à la fois de membres des équipes Red Team et Blue Team, la « Purple Team », est l’équipe la mieux armée et la mieux adaptée pour traquer les risques. Chacune de ces équipes fait intervenir des compétences spécifiques : la Red Team cherche généralement à identifier les vulnérabilités au sein d’une entreprise, tandis que la Blue Team aide à combler les lacunes.
Pour ce faire, les entreprises n’ont pas besoin de recruter de nouvelles équipes pour réaliser un audit efficace, mais constituer des équipes hétérogènes dotées d’un ensemble de compétences combinées pour traquer ensemble les risques internes, à la fois du point de vue de la défense et de l’attaque. Ces Purple Teams, grâce aux technologies d’IA, peuvent analyser les données pertinentes et interpréter leur signification pour effectuer les changements et les mises à jour qui s’imposent.
Même avec les meilleures équipes et les bons outils en place, les équipes sécurité doivent encore se battre pour comprendre les données sur les risques qu’elles collectent. Malheureusement, les RSSI et les professionnels de la sécurité sont souvent mal préparés à la traque aux risques. Ils s’appuient sur différents outils produisant des quantités impressionnantes de données désagrégées.
Ces données doivent ensuite être recoupées et classées par ordre de priorité pour identifier les tendances principales. Le processus actuel ne permet pratiquement pas d’assimiler et d’obtenir des informations exploitables. Les outils de sécurité cloisonnés et les processus manuels fournissent une vision incomplète des cyber-risques et limitent la capacité des équipes sécurité à y remédier de manière efficace.
Afin d’évaluer la pertinence des données, les RSSI doivent regrouper l’ensemble des outils au sein d’une solution globale capable de relier les données et de quantifier les risques à l’échelle de l’entreprise de manière visible. Les données brutes ne sont d’aucune utilité pour une équipe sécurité qui manque à la fois de ressources et de temps. Grâce à des technologies telles que l’IA, elles peuvent analyser les données et présenter un plan clair et concret à leur direction.
Pendant trop longtemps, les entreprises se sont contentées de réagir aux cyber-dangers qui les menaçaient, peut-être en raison du manque d’investissement au sein des équipes sécurité ou d‘une incompréhension des acteurs de la menace. L’adoption de NIS2 et de DORA va placer la sécurité en tête des priorités et offrir ainsi aux professionnels l’opportunité de moderniser leurs dispositifs et de solliciter des financements plus importants.
En mettant en lumière les lacunes du système actuel de manière claire et concise, les équipes sécurité pourront se démarquer et aider leur direction à prendre les mesures nécessaires pour se conformer à la loi.
La traque des risques ne devrait pas se limiter à la conformité réglementaire. Ces audits devraient faire partie d’un cycle continu pour permettre aux équipes sécurité de garder une longueur d’avance sur les acteurs de la menace et de garantir que le système de sécurité reste adapté aux objectifs visés.
Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent…
Une des thématiques émergentes en 2024 sera de ré-évaluer le socle constitué par le réseau…
Dans un environnement où les menaces sont de plus en plus aiguisées et où les…
Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du…
La cybersécurité est plus que concernée par les révolutions induites par l’informatique quantique. S’il est…
La cybersécurité est une discipline qui évolue constamment au gré des nouvelles menaces. Certains développeurs…