Causerie au coin du feu sur la sécurité : Perspectives pour les cadres supérieurs qui s’attaquent à la cybersécurité en 2024

L’étude a démontré que les budgets des TI ont diminué de plus de 50 pour cent dans l’ensemble du Canada et ont également diminué en proportion des revenus (ou du budget des organismes gouvernementaux).

En dépit des contraintes de budget systématiques, les budgets alloués à la sécurité faisant partie intégrante des budgets des TI ont augmenté proportionnellement d’une année à l’autre, pour les organisations de toutes tailles et dans tous les secteurs.

Ivo Wiens : « Nous avions l’habitude de constater que la sécurité ne se trouvait jamais sur la première ligne des dépenses. Ou ne faisait jamais partie des dépenses croissantes dans les organisations. Maintenant, nous commençons à percevoir un changement à ce niveau. Je suppose que la sécurité est devenue une conversation autour de la table de cuisine plutôt qu’une simple conversation de salle de conférence. »

M. Wiens a fait remarquer que la nécessité de la cybersécurité en tant que pratique est maintenant plus importante, avec un budget supérieur alloué à l’amélioration de la posture de sécurité. De plus, M. Boi-Doku explique pourquoi cela pourrait être le cas.  

Ben Boi-Doku : « L’impact des menaces de sécurité est plus réel aujourd’hui. Qu’il s’agisse d’un rançongiciel ou d’un refus de service pour un organisme de soins de santé ou encore d’un vol dans les services financiers, elles ont un impact plus important sur les individus que par le passé. » 

Il commente également la façon dont les professionnels des TI peuvent présenter des risques devant la haute direction dans le but de mieux tenir compte des dépenses en cybersécurité.

Ben Boi-Doku : « Lorsque l’on regarde le discours de la haute direction, ce qu’il faut être capable de faire – c’est d’expliquer aux cadres le risque pour mon environnement en tant qu’organisation sous forme de question financière? Quelle est notre maturité en matière d’analyse quantitative des risques ou d’évaluation des risques? C’est ainsi que vous serez en mesure de mieux parler à la haute direction. »

Sur le choix des cadres de sécurité 

Un cadre de sécurité offre les meilleures pratiques et règles pour la mise en œuvre de la sécurité dans l’ensemble d’une organisation. Choisir le bon cadre est essentiel pour répondre aux exigences de conformité et contrôler les dépenses de sécurité.

Ivo Wiens : « Parfois, nous avons des clients qui disent qu’ils n’ont aucune exigence de conformité ou qu’ils n’ont pas besoin d’être conformes. Pourquoi choisir un cadre de sécurité si je n’ai aucune exigence de conformité spécifique au sein de mon entreprise? En outre, comment le choix de cette exigence pourrait-il m’aider à prioriser les dépenses? » 

Roshan Abraham : « Ce ne sont pas tous les clients qui ont un besoin d’une conformité définie. Ils voudront peut-être se conformer parce que les clients avec qui ils traitent veulent qu’ils le fassent. Du point de vue de la haute direction, mettre sur la table tout ce dont vous avez besoin n’adapte pas vraiment votre réponse aux besoins de conformité. »

« Disposer d’une norme de sécurité qui correspond aux exigences de l’industrie et à votre secteur d’activité, en plus de vous donner l’occasion d’avoir une conversation avec la direction à propos des limites où vous pouvez vous rendre et où vous devrez faire marche arrière afin de répondre à la problématique de la maturité. » 

Abraham a mentionné que les exigences de conformité (comme PCI ou ISO 27001) étaient le principal facteur pour choisir un cadre. M. Boi-Doku ajoute des réflexions sur la façon dont les organisations devraient considérer les cadres de sécurité.  

Ben Boi-Doku : « Au contraire, vous n’avez pas nécessairement besoin de commencer par un cadre. Le parcours de sécurité présente plusieurs horizons et choisir un cadre dès le départ pourrait ne pas être logique pour toutes les entreprises. »

« Si vous êtes une organisation qui vient tout juste de démarrer, vous allez mettre en place des technologies de sécurité adaptées à l’objectif avant même de savoir qu’elles constituent des contrôles de sécurité s’alignant sur un cadre. Par conséquent, j’aimerais mentionner la cyberhygiène de base couverte par les contrôles de sécurité de CIS et je vais demander à Roshan de développer ce sujet. »

Roshan Abraham : « En ce qui a trait aux normes de sécurité, chaque norme est différente et répond aux besoins d’un objectif différent et d’un public différent. Par exemple, la norme ISO 27001 est rédigée pour donner à la direction la capacité de corriger le tir. Un élément comme le CMMC est bon lorsque vous devez travailler sur un contrat très sensible, par conséquent, il sera directif et difficile. »

 « Il y a aussi le CIS, qui n’est pas tant un cadre qu’un ensemble de contrôles définis avec des mesures de protection. Mais ces mesures de protection s’harmonisent avec pratiquement toutes les autres normes. » 

« La plupart des membres du personnel cadre des TI à qui j’ai parlé et qui ne désirent pas s’occuper de la conformité semblent bien s’accommoder du cadre CIS parce qu’après tout, ce sont des choses qu’ils ont l’habitude de faire de toute façon. Cela leur donne une orientation un peu plus pratique sur ce qu’il faut faire en premier. » 

À l’ère du nuage, la sécurité fondée sur le modèle à vérification systématique a rapidement gagné en popularité. Cependant, bien que l’accès avec vérification systématique (zero-trust access, ZTA) constitue un élément essentiel du modèle de sécurité à vérification systématique, il ne devrait pas être le seul point de mire. La détection et la réponse aux menaces sont des mesures tout aussi importantes pour assurer une sécurité complète et atteindre les objectifs à long terme de la stratégie de défense à vérification systématique.

Par rapport à l’étude 2023, il y a peu de changements aux politiques de sécurité soutenant le modèle à vérification systématique. Il est à noter que moins d’un tiers des organisations dispose d’une politique de surveillance qui rend obligatoire un contrôle de la sécurité axé sur la détection des menaces.

Ivo Wiens : « Il y a sept ou huit ans, lorsque nous menions cette étude, le modèle à vérification systématique était quelque chose dont les gens n’avaient jamais entendu parler. Maintenant, dans cette étude, nous arrivons au point où nous sommes à deux doigts de briser la philosophie du modèle à vérification systématique dans ses éléments fondamentaux. »

Ben Boi-Doku : « Lorsqu’on ne regarde que la conversation sur le parcours de sécurité, bien sûr, la prévention apparaît comme la toute première étape. Vous allez donc empiler vos contrôles afin d’éviter une violation. Mais le fait est que nous savons tous que nous devrions agir comme si nous étions déjà victimes d’une violation. »

« Un autre problème, c’est qu’il n’y a pas d’architecture globale du modèle à vérification systématique que l’on pourrait choisir et suivre. Donc, les organisations traversent le parcours du modèle à vérification systématique avec ce qu’elles estiment être ce qui se fait de mieux. »

« J’aimerais également ajouter que ne parier que sur le seul élément de prévention représente un risque important. C’est une partie de la stratégie globale, mais ce n’est pas tout. »

L’architecture à vérification systématique est une conversation nuancée

M. Wiens a parlé de l’augmentation de l’adoption du modèle à vérification systématique par rapport à il y a quelques années, tandis que M. Boi-Doku a décrit comment le modèle à vérification systématique pourrait être mal interprété et considéré comme un ensemble limité de mesures de prévention. La sécurité à vérification systématique doit inclure des composants de soutien et une stratégie globale.

Ivo Wiens : « Cela commence par la définition de votre approche. L’histoire complète couvrant la façon de protéger votre entreprise et ce que cela signifie pour votre entreprise. »

« Il n’existe pas de conformité universelle au modèle à vérification systématique. Lorsque les clients demandent comment ils peuvent être conformes au modèle à vérification systématique, je leur réponds généralement que cela n’existe pas. Ce qui existe, ce sont les nombreux autres cadres qui la soutiennent et beaucoup de technologie qui peut vous aider sur cette voie. »

M. Wiens a ajouté que la navigation dans le parcours du modèle à vérification systématique exige des décisions nuancées sur la technologie et sur la stratégie. Il ne devrait pas être considéré comme une solution unique pour les besoins de sécurité. Jusqu’à ce que les éléments manquants comme la détection et la réponse aux menaces soient intégrés au modèle à vérification systématique, il est difficile de réaliser ses avantages.

Roshan Abraham : « Je pense que la détection et la réponse exigent que vous soyez en mesure de filtrer les éléments qui sont vraiment importants pour vous. Donc, une fois que vous avez des capacités de détection et de réponse en jeu, vous devez être en mesure de les aider à concentrer leur attention sur ce qui est vraiment important grâce à une bonne connaissance de vos actifs essentiels, de vos utilisateurs essentiels et de ce à quoi ils devraient avoir accès. »

Le passage au nuage public, qui s’est accéléré pendant la pandémie, n’est pas passé inaperçu par les adversaires. Les cyberattaqueurs ont adapté leurs tactiques, techniques et procédures (TTP) pour cibler les environnements infonuagiques publics, reconnaissant la dépendance croissante à ces plateformes pour le stockage et le traitement des données.

Ils exploitent le modèle de responsabilité partagée de la sécurité informatique en nuage publique, où le fournisseur de services infonuagiques est responsable de la sécurité de l’infrastructure, tandis que le client est responsable de la sécurité de ses données et de ses applications.

Par rapport à l’étude 2023, moins d’organisations ont conservé leurs données confidentielles et secrètes dans le nuage public. La principale préoccupation citée par 74 % des répondants à l’étude 2024 se rapporte à la sécurité.

M. Abraham répond à cela que les préoccupations concernant la sécurité informatique en nuage découlent de la maturité opérationnelle d’une organisation qui tire parti du nuage. Une bonne compréhension des risques impliqués est essentielle en plus des façons dont les risques peuvent être contrebalancés.

La sécurité informatique en nuage est une action réciproque

Roshan Abraham : « Il s’agit d’une histoire de maturité en termes de fonctionnement de vos contrôles de sécurité. Si vous migrez vers le nuage, l’idée que vous pouvez simplement transférer le risque sur votre fournisseur de nuage est une idée fausse. »

 « Est-ce que je pense que le nuage représente une partie importante de la plupart des stratégies organisationnelles, surtout lorsqu’elles passent à l’IA et à la main-d’œuvre véritablement mondiale? Oui. Mais nous sommes en pleine métamorphose en termes de structures des coûts et de modèles d’abonnement. »

M. Boi-Doku a ajouté que pour assurer une sécurité adéquate dans le nuage, les organisations doivent examiner les capacités natives du nuage et les contrôles de sécurité. Ceux-ci pourraient être très différents des mises en œuvre sur place.

Ben Boi-Doku : « Lorsqu’un client déclare que ses attentes en matière de sécurité n’ont pas été satisfaites dans le nuage, je me pencherais sur certains éléments, par exemple de quelle façon ont-elles été mises en œuvre dans le nuage? Le client a-t-il simplement transféré sa charge de travail de son établissement au nuage? Ou a-t-il vraiment profité de l’efficacité du nuage? Donc, il existe beaucoup de contrôles et de technologies de sécurité qui sont natifs du nuage et qui ont été adoptés dans le cadre global de gouvernance ou de sécurité? »

Roshan Abraham : « Les organisations qui constatent vraiment un bon retour sur investissement ont opté pour un modèle Développement et exploitation, ou DevOps. Par exemple, elles utilisent des conteneurs. La conteneurisation des actifs dans le nuage est un bon moyen de gérer les risques. Mais si vous essayez simplement de faire fonctionner des machines virtuelles dans le nuage, cela ne vaut probablement pas le retour du point de vue d’un directeur financier. »

Ivo Wiens : « Une partie de la gestion des fournisseurs de services infonuagiques consiste également à comprendre les risques que vous prenez à l’interne. Il ne s’agit pas simplement pas de s’assurer que la facturation est effectuée correctement. Il s’agit de comprendre les écarts entre vous et le fournisseur du point de vue de la sécurité. »

Grâce à leur capacité à analyser rapidement de grandes quantités de données, à identifier les tendances et à prédire les menaces futures, l’intelligence artificielle (IA) et l’apprentissage automatique (AA) sont essentiels dans les mises en œuvre de cybersécurité. Elles peuvent également s’adapter à l’évolution des paysages et des menaces informatiques, et, malgré un investissement initial important, peuvent fonctionner avec des ressources limitées, ce qui les rend inestimables face aux menaces croissantes, aux pénuries budgétaires et aux paysages informatiques en évolution rapide.

Selon l’étude, les grandes entreprises sont les plus avancées, et l’industrie des services financiers ouvre la voie avec 37,5 pour cent rapportant des mises en œuvre de cybersécurité par IA/AA matures et avancées.

L’IA présente un grand potentiel dans tous les cas d’utilisation de la cybersécurité

Les experts partagent leur point de vue sur la façon dont l’IA pourrait potentiellement aider à améliorer la cybersécurité pour les organisations. Selon eux, l’IA a un rôle important à jouer dans l’amélioration de la détection des menaces, l’automatisation des fonctions de sécurité et la réduction de la charge de travail du côté des politiques.

Roshan Abraham : « Je pense que l’endroit où l’IA démontrera vraiment des progrès ou des rendements précoces, c’est lorsqu’il s’agit de déterminer si une menace est axée ou non sur l’IA. Il ne suffit plus de suivre une formation pour les utilisateurs finaux et de supposer qu’ils vont récupérer des courriels mal conçus. C’est un défi dans lequel les outils d’IA améliorés pourraient nous aider. »

Ben Boi-Doku : « Donc, même si vous regardez les temps de réaction face aux incidents accélérés face aux incidents [avec l’aide de l’IA], ce que vous voyez vraiment c’est l’analyse comportementale de l’utilisateur de l’IA, capable de passer à travers des volumes de lacs de données afin d’identifier ce qui est normal et ce qui ne l’est pas. Il s’agit également de protéger, détecter et réagir de façon automatisée. C’est donc là que nous réalisons que l’IA profite vraiment à l’industrie de la sécurité. »

Roshan Abraham : « Du point de vue des risques et des politiques, l’IA est pertinente pour de nombreuses organisations. Vous avez trois clients différents avec trois ensembles d’exigences différentes dans les contrats. Il existe des produits qui peuvent ingérer ces contrats et vous donner un cadre de conformité consolidé. Tout cela vous aurait demandé des jours, des semaines, des mois. »

M. Wiens lance cette mise en garde, que même si les systèmes d’IA ont évolué, il faut tout de même exercer une surveillance appropriée de leurs résultats. Les organisations doivent envisager d’utiliser l’IA avec prudence.

Ivo Wiens : « Mais évidemment, chaque point de sortie doit être hautement vérifié et modifié, n’est-ce pas? Puisqu’il y existe des possibilités d’erreurs et qu’il ne s’agit pas d’une copie directe dans un document de politique. »   

L’IA et l’AA peuvent habiliter les cyberattaquants en améliorant leur capacité à exploiter les vulnérabilités et à échapper à la détection. Les cybercriminels peuvent utiliser l’IA pour automatiser le processus de détection des vulnérabilités en augmentant leur efficacité et leur portée. De plus, l’IA peut être utilisée à mauvais escient pour créer des tactiques sophistiquées d’hameçonnage et d’ingénierie sociale, ce qui rend plus difficile pour les victimes de reconnaître les activités frauduleuses.

L’étude 2024 a montré que les organisations canadiennes entretiennent de graves préoccupations concernant le risque que l’IA rende leurs adversaires plus puissants. Les trois principaux risques cités comprennent la possibilité pour les cyberattaquants d’effectuer les actions suivantes :

1. Automatiser le processus de découverte et d’exploitation des vulnérabilités (58,4 pour cent)
2. Identifier de nouveaux vecteurs d’attaque (50,3 pour cent)
3. Accélérer le développement de nouvelles souches de logiciels malveillants (42,6 pour cent)

M. Boi-Doku a mis en garde contre les cyberattaques de nature sophistiquée, qui peuvent se produire en grand volume. Il a suggéré de prioriser les maillons faibles de l’organisation contre de telles attaques comme première étape vers la prévention.

L’IA antagoniste peut donner lieu à des cyberattaques effrénées

Ben Boi-Doku :« La croissance de l’IA antagoniste augmenterait la sophistication et le volume des attaques. C’est quelque chose qui est très préoccupant. De quelle façon les prévenez-vous? Nous devons nous assurer que les fruits à portée de main, les plus vulnérables d’une organisation, sont protégés. De plus, nous devons nous assurer de réduire considérablement l’exposition de la surface d’attaque. »

Dans le même ordre d’idées, M. Abraham a suggéré d’utiliser l’IA pour l’analyse de la vulnérabilité et la correction des failles avec une plus grande prévisibilité.

Roshan Abraham :« Voir comment l’IA peut aider les organisations à analyser leurs propres environnements pour comprendre où se trouve leur vulnérabilité m’intéresse beaucoup. J’ai également hâte de voir les possibilités de l’IA en matière de gestion des actifs. »

M. Wiens a abordé l’utilisation de l’IA au sein de l’organisation comme une menace en soi. Messieurs Boi-Doku et Abaraham ont suggéré la mise en œuvre d’un modèle à vérification systématique pour limiter l’accès de l’IA aux données organisationnelles.

Ivo Wiens :« Une autre partie du problème concerne les menaces internes. Où commencez-vous à établir des politiques au sein de l’organisation concernant l’utilisation de l’IA? »

Ben Boi-Doku : « Ne jamais faire confiance! Traitez l’IA comme un autre acteur dans votre parcours de la vérification systématique. Assurez-vous qu’elle n’a accès qu’aux renseignements dont elle a besoin et que les personnes qui peuvent en tirer parti ne peuvent extraire que des données adaptées à leur rôle. »

Roshan Abraham :« Vous devez faire attention aux paramètres que vous définissez qui sont ce à quoi l’IA aura accès, et vous devez garder le contrôle. Et chaque fois que quelque chose y est exposé, vous devez traiter la situation comme une violation. »

La conversation s’est poursuivie à propos de plusieurs aspects du paysage moderne de la cybersécurité, en livrant des conseils utiles pour les décideurs.

Pour accéder aux points de données et aux renseignements mentionnés dans ce blogue, téléchargez l’Étude canadienne 2024 sur la cybersécurité ci-dessous.