Les responsables de la sécurité IT ont plus de travail que jamais en ce moment. Les attaques contre les entreprises de toutes sortes deviennent de plus en plus sophistiquées et variées. La dépendance des entreprises envers un système IT fonctionnel continue de s’accroître. Et les risques financiers et de réputation, par exemple en cas de fuite de données sensibles, augmentent également. Dans le même temps, le paysage IT à sécuriser devient de plus en plus complexe et interconnecté, ce qui a un impact sur le nombre de scénarios d’attaques théoriques et pratiques. Pour faire face à cette situation, les responsables doivent très systématiquement, sur la base d’une analyse des risques, dresser un tableau aussi complet que possible des mesures appropriées et les mettre en œuvre de manière hiérarchisée au fil du temps. Différents frameworks sont disponibles pour une telle «cyber security roadmap», comme par exemple NIST, ISO ou CIS.
Un équilibre correct entre externalisation et savoir-faire interne
La rapidité d’action est un facteur critique pour la mise en œuvre d’une cyber security roadmap. L’objectif final est de minimiser la fenêtre temporelle pour des attaques désastreuses et des dommages qui pourraient être classés comme dus à la négligence en raison d’un manque de contrôles. Et bien sûr, la grande majorité des entreprises sont confrontées ici à des ressources limitées en termes de finances et de personnel. Il est donc naturel d’envisager l’externalisation des tâches là où un service sophistiqué peut être facilement acheté et rapidement mis en œuvre. Cela permet en outre de profiter des effets d’échelle et de l’offshoring, tout en économisant les investissements initiaux ainsi que les coûts de personnel. Toutefois, chaque recours à l’externalisation entraîne aussi des inconvénients qui doivent être évalués de manière réaliste. Sinon, il est possible que le niveau global de protection diminue au lieu d’augmenter. Voici quelques exemples:
- Chaque partenaire d’externalisation ajoute de la complexité à la chaîne d’approvisionnement en cybersécurité. Ce qui s’applique aux risques d’attaques de la chaîne d’approvisionnement en général s’applique également ici.
- Les partenaires d’externalisation reçoivent souvent des informations très précieuses sur l’infrastructure interne d’une entreprise, et ces informations sont souvent les conditions préalables à une attaque de plus grande envergure. Par exemple, si la jeune entreprise de surveillance de la sécurité OT d’un pays étranger propose de gérer pour vous simultanément l’inventaire des assets et la gestion des vulnérabilités sur le shopfloor, alors cette entreprise pourrait recueillir des informations très sensibles sur les possibilités d’attaque de votre infrastructure. Il est difficile, voire impossible de savoir si le prestataire de services, voire la société qui pourrait le racheter dans quelques années, est digne de confiance ou même capable de protéger vos données.
- Tandis que les sous-traitants en cybersécurité tels que les SOC peuvent établir une corrélation pour les modèles d’attaque entre leurs différents clients et offrir ainsi un avantage notable, ils ne disposent en revanche généralement que de très peu d’informations contextuelles sur vos processus IT et commerciaux internes, ce qui les empêche de vous donner une vue d’ensemble personnalisée des modèles d’attaque. Il faut veiller ici à une coopération étroite avec vos spécialistes internes lors de la conception du processus.
- Si l’on répartit l’externalisation de sa cybersécurité sur plusieurs prestataires de services, cela entraîne potentiellement des ruptures de médias et d’information qui compliquent encore la vue d’ensemble ainsi que l’évaluation de la situation et des contre-mesures utiles.
- Enfin et surtout, toute externalisation des contrôles de cybersécurité, au moins par les moyennes et grandes entreprises, devient contre-productive si le développement du savoir-faire interne et du personnel spécialisé reste sur la touche et que la connexion personnalisée à l’IT et l’OT d’entreprise est négligée. Il s’agit donc de trouver le bon équilibre.
Une pensée agile comme celle des pirates
Un autre aspect à considérer pour une cyber security roadmap efficace est la nature dynamique de l’environnement, qui devrait permettre de redéfinir les priorités à tout moment. Dans le cas des attaques ciblées, les pirates ne sont pas impressionnés par les efforts de défense déployés par une entreprise. Ils se concentrent sur les failles qui passent inaperçues. On pourrait citer Kevin Mitnick, pirate notoire reconverti en Security Consultant: «Vous pouvez dépenser une fortune en technologies et en services, mais votre infrastructure réseau pourrait tout de même rester vulnérable aux manipulations à l’ancienne». Pour trouver et combler ces failles, il est nécessaire de les traquer en comparant constamment les scénarios d’attaque actuels avec vos propres mesures défensives. Si vous adoptez le point de vue des pirates, vous trouverez souvent des failles qui peuvent être comblées avec un effort raisonnable et qui vous permettront de détecter les attaques à temps ou de mieux vous défendre. Pour ce faire, vous avez toutefois besoin de spécialistes de la sécurité qui ont une bonne vue d’ensemble de votre entreprise tout en ayant suffisamment de liberté pour se tenir constamment à jour et échanger des informations avec d’autres experts dans des trusted groups. En tant que CERT avec 25 années d’expérience dans le trusted community management, nous considérons que des échanges réguliers et actifs à un niveau de confiance élevé constituent l’un des moyens les plus efficaces de suivre le rythme des pirates en matière de cyberdéfense.
Conclusion
En raison de la complexité de la situation, les projets de cybersécurité doivent aujourd’hui être abordés de manière très systématique et globale, à l’aide d’analyses de risques et de cyber security roadmaps. Afin d’atteindre la rapidité et la rentabilité nécessaires dans la mise en œuvre, le recours à l’externalisation est souvent judicieux, mais implique à son tour des risques et des limitations qui ne peuvent pas être ignorés. En outre, il doit être possible de réagir au dynamisme élevé des pirates, ce qui exige une certaine agilité dans la mise en œuvre des mesures. Les experts en sécurité interne qui ont une bonne vue d’ensemble de leur propre entreprise au niveau opérationnel et qui sont en réseau avec leurs pairs à un niveau de confiance élevé doivent être considérés comme un facteur de succès critique pour la détection et la défense précoces contre des attaques complexes.
