BTEX 2023 : Surmonter les défis de cybersécurité dans l’environnement d’aujourd’hui

Vince Mammoliti, chef de l’ingénierie des canaux chez Check Point, a répondu à la première question. « Une chose que nous recommandons (chez Check Point) est de suivre la méthodologie de maillage de cybersécurité de Gartner. Dans le passé, la plupart des gens ont utilisé les meilleurs produits ou services disponibles. Nous recommandons une consolidation et une agrégation de ces services. Lorsque nous commençons à parler du multicloud, l’adaptation réelle de la sécurité se complique davantage à mesure que nous ajoutons l’agilité et la rapidité de réponse. Nous informons les gens sur le choix d’une plus grande maturité en matière de sécurité. Et qu’apporte la maturité en matière de sécurité? Elle s’agit de consolider, de regrouper et de mettre à profit vos renseignements sur les menaces, votre recherche proactive des menaces et sur votre réponse aux incidents, en vue d’adopter une approche plus holistique et ajouter une sécurité juste à point. »

Robert Weiland, qui dirige l’équipe de réponse aux incidents chez Sophos, a cité les demandes croissantes auxquelles les organisations font face en ce qui concerne le nuage. « En ce qui concerne ce sur quoi les entreprises devraient porter tout spécialement leur attention pour ce qui est de l’environnement infonuagique, c’est de combler leur manque d’expertise alors qu’ils tentent de suivre le rythme de toutes les exigences du nuage. Et deuxièmement, chaque fois que vous lancez un service infonuagique, vous devrez percer des trous dans votre pare-feu. Vous allez augmenter votre surface d’attaque. »

Weiland a également décrit un cas récent qui illustre l’importance de penser de l’intérieur vers l’extérieur. « Nous avons récemment eu un client qui était infiltré par un acteur de menace de rançongiciel. Les informations d’identification de l’administrateur de domaine avaient été compromises. Puis, ils ont pu les utiliser pour accéder à l’utilisateur Office 365. Et ils ont pu le faire parce qu’ils provenaient de l’adresse IP de l’entreprise. Donc, lorsqu’ils pensaient au nuage, ils ne pensaient pas au besoin de se protéger de l’intérieur vers l’extérieur. Ils pensaient simplement, protéger les données dans le nuage, protéger les données sur place, mais ne pensaient pas que leur propre emplacement pourrait en fait être l’endroit d’où cette attaque pourrait être lancée. »

Peter Scheffler, architecte principal de solutions de sécurité chez F5, a répondu en décrivant une récente attaque par déni de service distribué (DDoS) qu’il a aidé à atténuer. « Nous avons vu certains acteurs de menace attaquer les ressources gouvernementales en raison d’un événement qui s’est produit au Parlement, il y a environ un mois. Ce que nous avons pu faire pour ce client a été lui fournir suffisamment d’information, afin de pouvoir quantifier l’attaque, et définir comment nous pouvions l’atténuer. Moins d’environ 18 heures à partir du moment où leur site est devenu inaccessible, jusqu’au moment où ils nous ont contactés, nous les avons remis en service pour pouvoir fournir la visibilité et les informations dont ils avaient besoin pour être en mesure de l’atténuer. » Mais aussi, et c’est très important, de pouvoir remettre le site en marche. »

Scheffler a également souligné l’importance non seulement de réagir rapidement, mais aussi de suivre un plan à long terme qui améliore la visibilité pendant les contrecoups. « Vous devez comprendre ce qu’est le plan à long terme, quelle sera la prochaine étape, et comment vous agirez de façon stratégique. C’est une partie de plaisir que de réagir à trois heures du matin, mais nous devons être en mesure de fournir de la visibilité et de comprendre à quoi était due la dérive. Nous avons apporté ces changements, mais quels étaient ces changements? Est-ce que nous nous rappelons tous exactement ce que nous avons fait à trois heures du matin? Il était essentiel de documenter cela dans un dossier d’exploitation ou un environnement Terraform. »

Derran Guinan, ingénieur principal de systèmes chez Veeam, a déclaré que Veeam aide de trois façons principales : en assurant une sauvegarde rapide et sécurisée, en fournissant des analyses de surveillance et par l’orchestration.  

« Veeam est une solution de plateforme. Nous avons une solution qui assure une sauvegarde et une récupération rapides et sécurisées. Nous voulons nous assurer que nos sauvegardes sont chiffrées. Nous voulons nous assurer que nous offrons la possibilité de stocker les données sur un stockage immuable. Même si nous couvrons nos données, nous voulons être en mesure de balayer ces sauvegardes et nous assurer que des composants de rançongiciels ou d’autres parties de logiciels malveillants ne s’y trouvent pas, et s’ils s’y trouvaient, nous voudrions nettoyer ces données avant de procéder à la restauration », a déclaré Guinan.  

Puis, il a poursuivi. « Deuxièmement, nous voulons fournir des analyses de surveillance pour être en mesure de comprendre l’ensemble de l’environnement de sauvegarde : il pourrait s’agir d’identifier les meilleures pratiques, de la sécurité, d’anomalies (par exemple) “nous avons vu les sauvegardes mensuelles se produire avec une croissance de 1 pour cent, puis un jour, tout à coup elles ont connu une croissance de 80 pour cent”. Pourquoi?Il y a peut-être une bonne raison pour cela. C’est peut-être aussi quelque chose de malveillant. »

Guinan a conclu sa réponse en soulignant la valeur de l’orchestration. « Troisièmement, nous voulons fournir une orchestration éprouvée. Encore une fois, tout ce qui est fait manuellement aujourd’hui va probablement échouer ou ne pas être aussi rapide que nous en avons besoin aujourd’hui. Nous voulons donc nous assurer que les choses sont entièrement orchestrées. »

Avi Mergui, expert en sécurité prévente chez Fortinet, a expliqué comment les entreprises consolident leurs services en s’en tenant à des fournisseurs de confiance. « La façon dont nous voyons les choses chez Fortinet est que la pile évolue. « Vous ne pouvez pas simplement permettre que votre pare-feu de nouvelle génération ne puisse pas communiquer pas avec vos autres appareils. Votre commutateur doit être en ligne, votre point d’accès doit être en ligne. Vos utilisateurs qui se connectent à partir de différents endroits doivent pouvoir accéder correctement aux applications. » Et ce que nous voyons maintenant, c’est une consolidation, les entreprises choisissent des fournisseurs de confiance et ils en achètent plus lorsque cela est logique de le faire, car vous avez une approche avec un seul panneau de verre, avec toute cette visibilité. »

« La visibilité est l’un des principaux avantages de la consolidation », poursuit Mergui. « Nous constatons beaucoup de fatigue liée aux alertes, où les gens reçoivent une quantité folle d’alertes qui, souvent, sont ignorées. Vous pourriez avoir un rançongiciel dans votre environnement, et vous ne le sauriez jamais parce qu’il n’a pas encore été chiffré. Il est juste là à sonder, à attendre. Nous constatons un grand pas vers une approche consolidée, où tous les produits communiquent entre eux de manière significative, afin que vous n’ayez pas cet écart de données. Vous devez avoir cette visibilité complète de couche sept de l’application, car si vous ne l’avez pas, vous êtes essentiellement une cible facile qui attend juste d’être attaquée. »

Selon Ali Afshari, directeur général de la sécurité chez Cisco, il y a un écart important entre les petites, les moyennes et les grandes organisations. « Les réponses sont différentes au niveau de l’entreprise, à un petit niveau ou au niveau du marché intermédiaire. Nous traitons avec de grandes organisations. Ils ont un budget beaucoup plus important, et beaucoup plus de dollars à dépenser. Puis il y a un écart entre les moyennes et les petites organisations, où la même personne TI qui s’occupe de vos pare-feu est également responsable de vos courriels et de votre sauvegarde. Il y a donc certainement un grand écart. Comment remédiez-vous à l’écart? Vous y remédiez en intégrant la connaissance des menaces à l’intérieur de chaque produit. »

Afshari a également fait valoir que la recherche sur les menaces est un important facteur de différenciation en matière de produits de sécurité. « Lorsque vous achetez un produit, vous n’achetez pas seulement un logiciel, vous voulez qu’il soit maintenu à jour. Vous voulez que les dernières menaces y soient mises à jour. Ainsi, la recherche sur les menaces devient un facteur de différenciation important entre toutes les organisations de sécurité. Et je suis certain que tout le monde se lèvera et dira : « Nous avons les meilleurs et les plus brillants. » Nous essayons tous de le faire. Je pense qu’il existe un peu de « Ce sont mes renseignements ». Mais je pense qu’il est préférable de partager entre différentes organisations. Mais à la fin de la journée, je pense que lorsque vous achetez un produit de sécurité, vous voulez que les renseignements sur les menaces se trouvent à l’intérieur même de ce produit, car les acteurs de menaces changent constamment. Et vous voulez vous assurer que c’est ce que vous avez. Et c’est là que vous devez y remédier. »

Une fois que tous les panélistes ont répondu à leurs questions individuelles, Wiens a fermé avec une question ouverte à tout panéliste prêt à y répondre.  

Robert Weiland de Sophos a déclaré que Sophos met sa télémétrie au service de ses clients. « Nous avons (chez Sophos) beaucoup de télémétrie. Et je pense que la philosophie que nous avons est la cybersécurité en tant que service ou la cybersécurité offerte. Nous utilisons cette télémétrie dans le cadre d’un système appelé "système d’alerte précoce". Nous comprenons que nous ne remettons pas nécessairement la responsabilité à nos clients en leur disant "Voici les renseignements sur la menace et faites attention". Mais si nous voyons des choses se produire dans cet environnement qui mérite détection, nous pouvons communiquer avec ce client et lui dire "Hé, il semble que vous ayez un problème ici. Il se passe quelque chose." Peut-être que notre confiance n’est pas élevée, mais nous voulons leur faire savoir qu’il semble y avoir quelque chose qui se passe. »

Pour sa part, Avi Mergui de Fortinet a mentionné qu’ils se concentrent sur la collaboration, car elle est plus susceptible de vaincre les acteurs de menaces. « Les renseignements sur la menace sont très importants. Je ne doute pas que chacune des entreprises ici ait une énorme empreinte en ce qui concerne cela. Mais l’important, c’est ce que vous faites avec cette information. Nous collaborons même avec nos concurrents les plus proches. Parce que si vous ne partagez pas, les attaquants gagnent. Nous sommes les défenseurs, n’est-ce pas? Oui, nous voulons tous faire des ventes. Nous voulons tous être rentables et tout cela. Mais en fin de compte, si vous ne communiquez pas et ne partagez pas les leçons apprises, vous n’êtes pas aussi précieux que quelqu’un qui partage cette information, collabore et fournit. »

Derran Guinan de Veeam a également réagi en disant que les essais de sauvegardes sont une pierre angulaire de leur pratique. « Une chose que je retrouve toujours parmi les nouvelles personnes à qui je parle quotidiennement sur la protection des données est l’importance de tester les sauvegardes. Tant de gens finissent par avoir une situation où quelque chose de mauvais se produit. Il pourrait s’agir de cybersécurité. Il pourrait s’agir d’autre chose. Et lorsqu’ils essaient d’utiliser leurs sauvegardes, devinez ce qui arrive? Exact. Ils échouent. Et nous leur disons toujours "Eh bien, les avez-vous testées?"Et elles n’avaient pas été testées. Donc, tout cela peut être automatisé dans un produit. Chez Veeam, nous automatisons cela, où nous pouvons activer les contrôleurs de domaine la nuit, monter les sauvegardes, tout vérifier par rapport à tout ce que nous faisons, et les vérifier par rapport aux scripts personnalisés. Et c’est pour s’assurer que lorsque de mauvaises choses se produisent, la sauvegarde est là et peut être récupérée. »

Enfin, Peter Scheffler de F5 a parlé de l’état de maturité actuel de l’automatisation, et de la façon dont les organisations ne devraient pas encore se fier entièrement à une interface utilisateur graphique (IUG). « Lorsque nous examinons beaucoup d’organisations, nous, en tant que fournisseurs, favorisons l’automatisation et l’orchestration. Ensuite, vous questionnez quelqu’un au sujet des outils qu’il utilise. Et vous obtenez un regard vide (et ils répondent) « Nous avons des scripts pour faire ceci. Nous avons des scripts pour faire cela. » Je pense qu’en tant que fournisseurs, nous devons continuer à pousser cela, que oui, une interface graphique est un endroit confortable, mais ce n’est pas une façon évolutive de faire des affaires. Ce n’est pas un moyen évolutif de réagir aux choses lorsque les choses se passent mal. »