17 juin 2021
Le manque de visibilité et de contrôle augmente les risques cybernétiques
Les nouvelles technologies de sécurité sont de plus en plus faciles à adopter et de plus en plus d’argent y est investi. Cependant, les défis sous-jacents persistent, ce qui entraîne des risques cybernétiques.
Chris Hallenbeck, directeur de la sécurité de l’information (CISO), Tanium
La cybersécurité a finalement atteint la salle de conférence. Comme nous le montre la dernière étude de CDW Canada, les violations coûtent des millions de dollars par incident aux organisations, ce qui devrait être suffisant pour attirer l’attention de la plupart des PDG.
Bien que les nouvelles technologies de sécurité soient de plus en plus faciles à adopter et que de plus en plus d’argent y est investi, les défis sous-jacents persistent, ce qui entraîne des risques cybernétiques.
Dans cette optique, voici quelques points clés à retenir sur les plus grands défis soulignés dans le rapport :
Comprendre les cas d’utilisation et les facteurs non technologiques qui aideront à tirer le meilleur parti du déploiement de la technologie SOAR (Security Orchestration, Automation and Response) et de l’intelligence artificielle / apprentissage machine
L’intelligence artificielle, l’apprentissage machine et la technologie SOAR assurent la sécurité, l’orchestration, l’automatisation et la réponse. Ils sont produits à un rythme croissant et déployés par un nombre grandissant d’organisations.
Fondamentalement, tout dépend des individus. Nous estimons un déficit de plus de trois millions de professionnels en sécurité informatique à l’échelle mondiale à l’heure actuelle. Ces outils sont donc souvent achetés pour combler partiellement les lacunes en matière de compétences.
Dans le cas de SOAR, il s’agit généralement d’une réponse à l’historique d’investissement dans les solutions ponctuelles, ce qui signifie que les analystes des centres des opérations de sécurité (SOC) sont submergés par les alertes.
Je préconise ces outils pour automatiser les tâches répétitives. Toutefois, pour optimiser leur valeur, les organisations doivent également réaliser qu’elles ont encore besoin d’individus compétents pour comprendre leurs résultats. Ils ne représentent pas l’arme fatale qui permettra de résoudre les pénuries de compétences, mais ils permettent de mieux allouer les ressources existantes.
Le télétravail et l’adoption du nuage font de l’exposition des appareils un contributeur important à l’augmentation des incidents et des coûts qui y sont reliés
La nouvelle ère du télétravail, les points d’extrémité distribués et les services en nuage conviennent au modèle de sécurité à vérification systématique : un sage prédisait dans un mantra : « Ne jamais faire confiance et toujours vérifier. »
Plus vous déplacez de ressources dans le nuage, plus c’est facile. Une majorité d’applications en nuage disposent d’API ouvertes et d’autres éléments nécessaires à la vérification systématique. Aujourd’hui, nous n’avons plus aucune excuse pour ne pas examiner à ce modèle de sécurité.
Cependant, les organisations doivent faire preuve de prudence pour adopter une approche holistique lorsqu’elles authentifient en continuité les utilisateurs pour accéder à des ressources spécifiques.
Cela signifie non seulement vérifier l’identité de l’utilisateur et les droits d’accès, mais aussi la posture de sécurité de l’appareil qu’il utilise. C’est un défi de contrôler et de sécuriser ces points d’extrémité distribués aujourd’hui, mais la visibilité de la sécurité des appareils n’est pas négociable.
Échec de réponse adéquate aux implications de sécurité pour l’accès de la chaîne d’approvisionnement et des partenaires tiers aux données et aux systèmes des entreprises
Le risque associé à la chaîne d’approvisionnement des organisations a été posé plus tôt cette année, mais la vérité est qu’elle se bâtit depuis de nombreuses années. Trop de programmes d’assurance de tiers sont fondés sur des questionnaires manuels, basés sur des feuilles de calcul et la confiance que vos partenaires y répondront honnêtement. Le résultat est une image incomplète et ponctuelle du risque du fournisseur.
Nous devons obtenir un modèle basé sur les données où vous pouvez évaluer la posture de sécurité de votre fournisseur, quasiment de machine à machine. Ce modèle doit prendre en charge la télémétrie de la vulnérabilité et des correctifs, ainsi que les données sur l’architecture de sécurité, le cycle de vie du développement du logiciel, la modélisation des menaces et plus encore pour obtenir une image plus globale et précise.
Une approche axée sur les données signifie également que pour avoir une connaissance continue des risques. Vous pouvez effectuer ces vérifications une fois par mois plutôt qu’une fois par an.
Mettre en œuvre des programmes de gestion des vulnérabilités officiels et des tests de pénétration réguliers pour comprendre les surfaces d’attaque
Aujourd’hui, trop de programmes de gestion des vulnérabilités s’écroulent devant le premier obstacle. Les équipes de sécurité sont heureuses si elles peuvent analyser la vulnérabilité de tous les terminaux d’entreprise en un mois.
Ces données sont ensuite envoyées aux services informatiques pour qu’elles exécutent les correctifs disponibles avant les essais et le déploiement. Le délai d’attente risque d’être au moins de 75 jours après la mise à disposition d’un correctif.
Ceci dit, nous savons que les agresseurs potentiels construisent des codes d’exploitation et des balayages destinés aux machines vulnérables sur Internet, et ce, en quelques minutes.
La visibilité de tous les terminaux de l’entreprise est fondamentale (vitesse et échelle). Les organisations doivent obtenir des réponses complètes sur les actifs vulnérables en quelques secondes ou quelques minutes, et non en plusieurs semaines.
Les tests de pénétration sont un autre élément essentiel pour améliorer la résilience organisationnelle. Trop souvent, les équipes rouges soulignent les problèmes et ne les corrigent que de manière restrictive.
Aucune leçon globale n’est apprise, notamment sur les raisons pour lesquelles les équipes bleues n’ont pas repéré les attaques. J’aimerais voir plus d’équipes violettes. Cela suppose une collaboration étroite entre des équipes rouges et des équipes bleues. Ainsi, lorsque l’ancien système détecte un incident, les deux équipes peuvent collaborer et résoudre le problème sous-jacent avant d’en tirer des leçons.
Les équipes violettes encouragent le dialogue pour améliorer la détection globale et les réponses. Quelle organisation ne pourrait-elle pas bénéficier de cela aujourd’hui?
Pour savoir comment la plateforme Tanium offre aux organisations une visibilité en temps réel, un contrôle complet et une réponse rapide dans l’ensemble des opérations, contactez votre représentant de compte CDW.