CISO Insider : Numéro 2

Les auteurs d'attaques par rançongiciel ciblent vos ressources les plus précieuses, là où ils pensent pouvoir vous soutirer le plus d'argent, qu'il s'agisse des éléments multimédias les plus perturbateurs ou les plus précieux s'ils sont retenus en otage, ou des éléments multimédias les plus sensibles s'ils sont libérés.

Le secteur d'activité est un facteur déterminant du profil de risque d'une organisation ; alors que les dirigeants de l'industrie manufacturière citent l'interruption des activités comme principale préoccupation, les RSSI des secteurs de la vente au détail et des services financiers donnent la priorité à la protection des informations sensibles permettant d'identifier les personnes ; les organisations de soins de santé, quant à elles, sont tout aussi vulnérables sur les deux fronts. En réponse, les responsables de la sécurité modifient énergiquement leur profil de risque pour s'éloigner de la perte et de l'exposition des données en renforçant leur périmètre, en sauvegardant les données critiques, en redondant les systèmes et en améliorant le cryptage.

L'interruption des activités est aujourd'hui au centre des préoccupations de nombreux dirigeants. L'entreprise supporte des coûts même si l'interruption est brève. Un RSSI du secteur de la santé m'a récemment dit que, sur le plan opérationnel, un rançongiciel n'était pas différent d'une panne d'électricité majeure. Bien qu'un système de sauvegarde adéquat permette de rétablir rapidement l'alimentation électrique, il n'en reste pas moins que les temps d'arrêt interrompent l'activité de l'entreprise. Un autre RSSI a indiqué qu'il réfléchissait à la manière dont les perturbations pouvaient s'étendre au-delà du réseau principal de l'entreprise et concerner des problèmes opérationnels tels que des problèmes de pipeline ou l'effet secondaire de la fermeture de fournisseurs clés par un rançongiciel.

Les tactiques de gestion des perturbations comprennent à la fois des systèmes redondants et la segmentation pour aider à minimiser les temps d'arrêt, permettant à l'organisation de déplacer le trafic vers une autre partie du réseau tout en contenant et en rétablissant un segment affecté. Cependant, même les processus de sauvegarde ou de reprise après sinistre les plus robustes ne peuvent pas résoudre entièrement la menace d'une interruption de l'activité ou d'une exposition des données. Le revers de la médaille de l'atténuation est la prévention.

De nombreux RSSI avec lesquels je m'entretiens adoptent une approche par palettes pour la prévention et la détection des attaques, en utilisant des couches de solutions de fournisseurs qui couvrent les tests de vulnérabilité, les tests périmétriques, la surveillance automatisée, la sécurité des points d'extrémité, la protection de l'identité, etc. Pour certains, il s'agit d'une redondance intentionnelle, dans l'espoir qu'une approche en couches couvrira les lacunes, comme des piles de fromage suisse, dans l'espoir que les trous ne s'alignent pas.

Notre expérience a montré que cette diversité peut compliquer les efforts de remédiation, en créant potentiellement une plus grande exposition au risque. Comme le fait remarquer un RSSI, l'inconvénient de l'assemblage de solutions multiples est le manque de visibilité dû à la fragmentation : « J'ai une approche « protection optimale », ce qui en soi pose certains problèmes car il y a alors un manque de visibilité sur les risques globaux parce que vous avez ces consoles indépendantes qui gèrent les menaces, et que vous n'avez pas cette vision globale de ce qui se passe dans votre entreprise ». (Soins de santé, 1 100 employés) Les attaquants tissant une toile complexe qui s'étend sur plusieurs solutions disparates, il peut être difficile d'obtenir une image complète de la chaîne d'exécution, d'identifier l'étendue de la compromission et d'éradiquer complètement les charges utiles des logiciels malveillants. Pour stopper une attaque en cours, il faut pouvoir examiner plusieurs vecteurs afin de détecter, dissuader et contenir/remédier aux attaques en temps réel.

La promesse de la XDR n'est pas encore comprise par la plupart des gens. De nombreux RSSI avec lesquels nous nous entretenons ont déployé un point de départ puissant dans la PEPT. La PEPT est un atout qui a fait ses preuves : nous avons constaté que les utilisateurs actuels de la protection évolutive des points de terminaison ont fait leurs preuves en matière de détection et d'arrêt des rançongiciels plus rapidement.

Toutefois, la technologie XDR étant une évolution de la PEPT, certains RSSI restent sceptiques quant à son utilité. La technologie XDR n'est-elle qu'une PEPT auquel on a ajouté quelques solutions ponctuelles ? Dois-je vraiment utiliser une solution entièrement distincte ? Ou bien ma PEPT offrira-t-elle un jour les mêmes capacités ? Le marché actuel des solutions XDR ajoute encore à la confusion, car les fournisseurs s'empressent d'ajouter des offres XDR à leurs portefeuilles de produits. Certains fournisseurs élargissent leur outil de PEPT pour y intégrer des données supplémentaires sur les menaces, tandis que d'autres se concentrent davantage sur la création de plates-formes XDR dédiées. Ces derniers sont conçus dès le départ pour offrir une intégration prête à l'emploi et des capacités centrées sur les besoins de l'analyste de sécurité, laissant le moins de lacunes possible à combler manuellement par votre équipe.

Face à la pénurie de talents en matière de sécurité et à la nécessité de réagir rapidement pour contenir les menaces, nous avons encouragé les dirigeants à recourir à l'automatisation pour libérer leur personnel afin qu'il se concentre sur la défense contre les menaces les plus graves au lieu de s'occuper de tâches banales comme la réinitialisation des mots de passe. Il est intéressant de noter que de nombreux responsables de la sécurité avec lesquels je me suis entretenu ont indiqué qu'ils ne profitaient pas encore pleinement des capacités automatisées. Dans certains cas, les responsables de la sécurité ne sont pas pleinement conscients de cette opportunité ; d'autres hésitent à adopter l'automatisation par crainte de perdre le contrôle, de s'exposer à des imprécisions ou de sacrifier la visibilité sur les menaces. Cette dernière préoccupation est tout à fait légitime. Cependant, nous constatons que les adeptes de l'automatisation efficace obtiennent exactement le contraire (plus de contrôle, moins de faux positifs, moins de bruit et plus d'informations exploitables) en déployant l'automatisation aux côtés de l'équipe de sécurité pour guider et concentrer les efforts de l'équipe.

L'automatisation couvre un large éventail de capacités, depuis les tâches administratives automatisées de base jusqu'à l'évaluation des risques basée sur l'apprentissage automatique. La plupart des RSSI déclarent avoir adopté la première forme d'automatisation, déclenchée par un événement ou basée sur des règles, mais ils sont moins nombreux à avoir tiré parti des capacités intégrées d'intelligence artificielle et d'apprentissage automatique qui permettent de prendre des décisions d'accès en temps réel basées sur les risques. Il est certain que l'automatisation des tâches routinières permet à l'équipe de sécurité de se concentrer sur la réflexion plus stratégique que les humains maîtrisent le mieux. Mais c'est dans ce domaine stratégique (dans le triage des réponses aux incidents, pour ne citer qu'un exemple) que l'automatisation a le plus de potentiel pour permettre à l'équipe de sécurité de devenir un partenaire intelligent, capable d'analyser les données et d'établir des modèles. Par exemple, l'IA et l'automatisation sont capables de corréler les signaux de sécurité pour soutenir la détection complète et la réponse à une violation. Près de la moitié des praticiens de la sécurité que nous avons récemment interrogés déclarent devoir corréler manuellement les signaux.1   Cela prend énormément de temps et rend presque impossible une réaction rapide pour contenir une attaque. Avec une bonne application de l'automatisation (comme la corrélation des signaux de sécurité) les attaques peuvent souvent être détectées en temps quasi réel.

Nous avons constaté que de nombreuses équipes de sécurité sous-utilisent l'automatisation intégrée dans les solutions existantes qu'elles utilisent déjà. Dans de nombreux cas, l'application de l'automatisation est aussi simple (et à fort impact !) que la configuration des fonctionnalités disponibles, comme le remplacement des politiques d'accès à règles fixes par des politiques d'accès conditionnelles basées sur le risque, la création de playbooks de réponse, etc.

Les RSSI qui choisissent de renoncer aux possibilités offertes par l'automatisation le font souvent par méfiance, car ils craignent que le système ne commette des erreurs irrémédiables lorsqu'il fonctionne sans surveillance humaine. Parmi les scénarios possibles, on peut citer la suppression inappropriée de données utilisateur par un système, la gêne occasionnée à un cadre qui a besoin d'accéder au système ou, pire, la perte de contrôle ou de visibilité d'une vulnérabilité qui a été exploitée.

Mais la sécurité tend à être un équilibre entre les petits inconvénients quotidiens et la menace constante d'une attaque catastrophique. L'automatisation peut servir de système d'alerte précoce pour une telle attaque et ses inconvénients peuvent être atténués ou éliminés. En outre, l'automatisation, dans ce qu'elle a de meilleur, ne fonctionne pas seule, mais aux côtés d'opérateurs humains, où son intelligence artificielle peut à la fois informer et être contrôlée par l'intelligence humaine.

Pour garantir un déploiement en douceur, nous avons ajouté à nos solutions des modes « rapport seul » afin d'offrir une période d'essai avant l’application. Cela permet à l'équipe de sécurité de déployer l'automatisation à son propre rythme, en affinant les règles d'automatisation et en surveillant les performances des outils automatisés.

Les responsables de la sécurité qui utilisent le plus efficacement l'automatisation la déploient aux côtés de leur équipe pour combler les lacunes et servir de première ligne de défense. Comme me l'a récemment dit un RSSI, il est pratiquement impossible et excessivement coûteux d'avoir une équipe de sécurité qui soit présente partout à tout moment ; et même si c'était le cas, les équipes de sécurité sont sujettes à des changements fréquents. L'automatisation fournit une couche de continuité et de cohérence permanente pour soutenir l'équipe de sécurité dans les domaines qui requièrent cette cohérence, tels que la surveillance du trafic et les systèmes d'alerte précoce. Déployée dans cette capacité de soutien, l'automatisation aide à libérer l'équipe de l'examen manuel des journaux et des systèmes et lui permet d'être plus proactive. L'automatisation ne remplace pas les humains : il s'agit d'outils qui permettent à votre personnel de hiérarchiser les alertes et de concentrer ses efforts là où cela compte le plus.