À quoi ressemble une stratégie holistique en cybersécurité ?

La différence entre une approche traditionnelle et une approche holistique de la cybersécurité

Le domaine de l’informatique et les technologies de pointe ne sont plus les seuls responsables de la sécurité de nos ressources numériques. En effet, la cybersécurité a besoin d’une stratégie performante qui implique tant la technologie, que les individus et les processus. À mesure que les internautes prospèrent dans des économies émergentes, les problèmes de désinformation et de cyberattaque auxquels font face les pays « cyber avantagés » se poseront partout dans le monde.

De plus en plus de données seront construites, stockées et utilisées, rendant encore plus urgent le besoin de mise en place de mesures spécifiques. En 2020, alors que nous nous dirigeons vers la quatrième révolution industrielle, nous envisageons une connectivité et une digitalisation toujours plus importantes.

Cependant, du fait que les dernières technologies soutiennent le progrès économique et la commodité, elles posent également des défis majeurs en matière de sécurité, tant en termes d’impact que de fréquence.

Traditionnellement, une stratégie de cybersécurité commence par la mise en place d’antivirus et se termine par des logiciels avancés promettant de stopper les programmes malveillants de toutes sortes. À mesure que le cyberespace devient de plus en plus complexe, des vers informatiques et des virus se multiplient et se complexifient tout autant.

Aujourd’hui, nous avons besoin de bien plus que des outils et technologies pour assurer la sécurité de nos ressources numériques. En 2020, plus de 68 % des chefs d’entreprise affirment que les risques de cybersécurité auxquels leurs organisations sont confrontées augmentent nettement.

Pour faire face à ces risques, les chefs d’entreprise devront s’équiper d’outils, de connaissances et de compétences appropriés pour faire face aux problèmes de vol de données et aux risques organisationnels. Cela pourrait inclure de nouveaux profils de direction au sein des conseils d’administration, une meilleure évaluation et atténuation des risques et des partenariats avec des prestataires externes pour mettre en place des outils et des solutions de cybersécurité efficaces dans l’objectif de faire face aux défis et assumer les responsabilités en matière de cybersécurité.

Les faiblesses dans l'élaboration d'une stratégie globale de cybersécurité

Une approche efficace et intégrée de la sécurité des données et des applications fait encore défaut dans les organisations. Voici les trois points faibles spécifiques auxquels les entreprises sont confrontées, selon M. McKinsey :

  • Manque de structure – Les conseils d’administration et les comités exécutifs reçoivent plus de rapports qu’ils ne peuvent en traiter et comprendre. Il existe plusieurs indicateurs clés de performance et de risque. Ces rapports sont souvent mal structurés, avec des données incohérentes et des niveaux de détail trop élevés pour aboutir à un résultat ou une détection significatifs. Des recherches indiquent que du fait que les responsables sécurité travaillent manuellement à la création de feuilles de calcul en compilant les données de ces rapports, le résultat est bien souvent une compilation insatisfaisante pour les membres du conseil d’administration.
  • Manque de clarté – La plupart des rapports n’énoncent pas clairement les implications des différents niveaux de risque pour les processus opérationnels. Les membres du conseil d’administration s’en sortent rarement avec le jargon technique et les abréviations. Ils ont donc du mal à se faire une idée claire de l’état de risque de leur organisation. Les principaux dirigeants affirment que les rapports sur les risques sont trop techniques et qu’ils les dépassent manifestement.
  • Manque de données cohérentes et en temps réel – Les différents départements d’une même organisation utilisent souvent des informations différentes et contradictoires pour décrire et évaluer les aspects du risque informatique. Il faut ajouter à cela le fait que les données sous-jacentes sont souvent trop anciennes pour être d’une quelconque utilité dans la gestion ou le traitement de cyber risques en évolution rapide.

Il est donc important de comprendre qu’une stratégie holistique de cybersécurité peut combler ces lacunes et contribuer à renforcer la résilience globale de l’organisation.

Les étapes de l'élaboration d'une stratégie holistique de cybersécurité

Voici comment une organisation peut systématiquement élaborer une stratégie globale pour aborder la cybersécurité dans un monde où les risques et les menaces se succèdent rapidement.

Obtenir une vue d'ensemble de la direction

Une approche holistique de la gestion du risque informatique a pour prérequis une vue d’ensemble de la direction de l’entreprise et de son paysage de risques à plusieurs niveaux.

Voici quelques pièces essentielles du puzzle :

  1. Actifs – Définir clairement vos actifs numériques critiques.
  2. Contrôles – Utiliser des contrôles différenciés pour équilibrer la sécurité et la flexibilité.
  3. Processus – Mettre en place des processus de cybersécurité tournés vers l’avenir et axés sur des réponses efficaces en un rien de temps.
  4. Organisation – Recruter les bonnes compétences, prendre des décisions efficaces et mettre en place une coopération à l’échelle de l’entreprise.
  5. Gouvernance – Investir dans la résilience opérationnelle basée sur la transparence des cyber risques.
  6. Tiers – Se concentrer sur l’ensemble de la chaîne de valeur, y compris les fournisseurs de services tiers.

Se concentrer sur les risques hautement prioritaires

Atténuez les risques les plus importants en suivant cette approche simple :

  • Identifier les risques – Après que vos responsables sécurité de l’information aient dressé une liste des risques critiques, des risques connus et des nouveaux risques potentiels, établissez la stratégie de votre organisation pour les risques identifiés. La cyber résilience de toute organisation peut être mesurée par le niveau de sécurité de ses actifs critiques. Impliquez la direction générale dans l’identification de ces risques et attribuez-leur un numéro de priorité.
  • Analyser et évaluer – Après avoir identifié les risques, permettez à des experts internes et externes d’évaluer chaque risque en fonction de sa probabilité d’occurrence et de son impact potentiel. Sur la base de cette analyse, les responsables des risques peuvent établir un ordre de priorité pour l’atténuation des risques, en commençant par les risques les plus susceptibles de se produire avec l’impact négatif le plus important.
  • Traiter les risques – Créez une vue d’ensemble de toutes les mesures prises pour atténuer les risques identifiés et évalués. Évaluez les initiatives d’atténuation des risques sur la base de leur efficacité à réduire la probabilité d’un évènement à risque et l’impact qu’un tel évènement pourrait avoir. Si, après l’atténuation des risques, le niveau de risque dépasse les limites, des mesures d’atténuation supplémentaires doivent être prises.
  • Surveiller – Les capacités de surveillance sont les instruments les plus importants pour introduire la discipline de la cybersécurité dans toute une organisation. Le rapport généré après les activités de surveillance doit être concis, bien écrit et exempt de jargon technique pour la commodité des membres du conseil d’administration.

À titre d’exemple, l’ANSSI a publié une boîte à outils appelée “EBIOS Risk Manager” pour évaluer et traiter les risques numériques, qui peut aider à gérer ces questions.

Éliminer le cloisonnement

La plupart des organisations ne parviennent pas à transformer leurs dispositifs de gestion du risque cyber en raison des nombreuses unités fonctionnelles disparates qui font obstacle à tout changement. Dans de nombreuses entreprises, les propriétaires de données et les responsables hiérarchiques limitent leurs opérations au pool de données ou à l’unité commerciale dont ils sont responsables, sans regarder plus loin pour avoir une meilleure vue d’ensemble.

En effet, bien souvent, les rapports frustrent les décideurs puisqu’ils n’abordent pas la situation dans son ensemble et contiennent des détails qui parfois ne sont pas d’une importance vitale dans un contexte plus large.

Pour faire face à ce problème, il est conseillé de créer un tableau de bord holistique et unifié qui reflète l’état actuel de la cybersécurité pour tous les biens numériques essentiels. Un tel tableau de bord oblige tout le monde à s’en tenir à un langage universel, à des façons communes de désigner les risques et à des directives communes d’évaluation. Néanmoins, que se passerait-il si ce type de tableau de bord n’était pas lié au terrain et à la réalité de votre sécurité, d’un point de vue technique ?

Favoriser la collaboration

Afin de créer un tableau de bord pertinent, les groupes d’intérêt doivent collaborer et harmoniser les définitions des KRI (Key Risk Indicators), les niveaux de menace et les conformités. Lorsque l’on parle de cybersécurité holistique, on ne peut pas envisager une stratégie basée sur les efforts individuels d’une équipe technique ou d’experts commerciaux par exemple. Pour une véritable stratégie de cybersécurité globale, les groupes d’intérêt doivent se réunir pour comprendre d’une part comment les exigences technologiques impactent la force commerciale et d’autre part comment les objectifs commerciaux peuvent influencer la technologie. Il est important de noter qu’un reporting global et pertinent des risques cyber concerne autant les individus concernés que la technologie ou les tableaux de bord.

Une transformation réussie se produit lorsque les chefs d’entreprise et principaux dirigeants sont impliqués dès le premier jour et sont prêts à faire des compromis pour trouver un équilibre entre productivité et protection. Pour faciliter ces décisions, les dirigeants auront besoin de cadres expérimentés qui deviendront à terme des référents pour une cybersécurité holistique.

Veiller à ce que la cybersécurité ne soit pas un obstacle à l'innovation

Les dirigeants des organisations pourraient avoir besoin de repenser les structures et la gouvernance des entreprises pour permettre une posture de cybersécurité plus solide. C’est précisément sur ce point qu’ils doivent accorder une attention particulière. Si la cybersécurité est essentielle pour les entreprises de toutes tailles, elle doit être intégrée dans une entreprise de la base vers le sommet, afin qu’elle ne devienne pas un facteur de dissuasion pour l’innovation et la transformation.

Pour qu’une stratégie de cybersécurité holistique soit mise en place dans n’importe quelle entreprise, il est important qu’elle soutienne le changement et le progrès technologique et qu’elle ne les entrave pas.

Investir dans la cybersécurité

Un nombre croissant d’entreprises se rend compte aujourd’hui que les cyberattaques sont une dépense qu’elles doivent atténuer. Le coût de la cybercriminalité peut être calculé en fonction de quatre éléments de coût disparates : la détection et l’escalade, la notification, la réaction et le coût de la perte de clientèle.

Un élément essentiel d’une stratégie globale de cybersécurité consiste à atténuer le risque d’une cyberattaque. On estime que d’ici 2030, la prime annuelle brute souscrite pour la cyberassurance augmentera de 200 %, passant de 2,5 à 7,5 milliards de dollars.

Pour les grandes organisations, le coût d’une cyberfraude pourrait facilement s’élever à 2 millions de dollars de pertes. Les entreprises étant de plus en plus connectées, les cybercrimes auront un impact non seulement sur leurs données et leurs systèmes, mais aussi sur ceux de leurs partenaires et clients.

C’est pourquoi de nombreux experts encouragent les entreprises à envisager de se faire assurer contre les cyber-crimes. Cependant, cela ne protégera toujours pas les infrastructures d’un point de vue technique.

Les conditions préalables à une approche holistique de la cybersécurité

Une approche holistique de la cybersécurité est avantageuse pour toute organisation si elle est considérée comme une responsabilité partagée par tous et non comme un travail réservé à un groupe restreint d’experts en sécurité.

Il n’est plus à prouver par diverses statistiques que l’humain fait partie des plus grands risques de sécurité dans toute organisation. Il est donc important de préparer ses collaborateurs aux réflexes et actions à mettre en place en cas d’incident de sécurité particulier.

Les risques commerciaux peuvent être largement réduits en intégrant cette responsabilité partagée dans la culture d’une entreprise. Pour aborder l’aspect humain de la cybersécurité, il faut favoriser une culture de la sécurité où les employés se sentent encouragés à suivre certaines procédures. Les responsables doivent faire comprendre que la sécurité est une activité qui concerne l’ensemble des collaborateurs, et une attitude pro-sécurité doit être transmise par le haut de l’organisation.

La formation et l’éducation des employés peuvent également contribuer grandement à aider le personnel à comprendre les menaces potentielles et leur devoir de suivre les procédures et processus qui contribuent à prévenir les évènements liés à la sécurité.

Une culture de la réactivité, de l’information et de l’ouverture plutôt que celle du blâme, de la honte et de la peur peut aider les entreprises à renforcer leur résilience afin d’atténuer et de limiter les dommages éventuels.

Des technologies holistiques pour une approche globale

La plupart des entreprises, même les start-ups de cybersécurité, se concentrent souvent sur une seule technologie verticale. Ces entreprises essaient uniquement de se défendre contre les logiciels malveillants et autres menaces immédiates. En résumé, résoudre une partie de l’équation sans penser à l’ensemble.

Imaginons qu’une entreprise élabore une stratégie EDR (Endpoint Detection & Response). Bien que la détection et la réponse soient une pièce importante du puzzle de la cybersécurité, elles ne sont pas suffisantes en soi. Une stratégie EDR permet aux entreprises d’identifier les incidents de sécurité, d’enquêter sur ceux-ci et d’y remédier au niveau des endpoints. Cela devrait être l’une des premières lignes de sécurité à l’intérieur des systèmes d’exploitation, combinée à un EPP (Endpoint Protection Platform, antivirus).

Un EDR sophistiqué pourrait donner les options suivantes pour répondre à une menace :

  • Mettre fin à l’exécution de processus malveillants
  • Placer des fichiers spécifiques dans des zones de quarantaine
  • Arrêter l’exécution de processus sur la base de son chemin, son nom, ses arguments, le processus parent, etc.
  • Empêcher les processus de communiquer au niveau réseau

Cela donne un niveau de visibilité plus profond dans les endpoints, car l’EDR identifie et interprète tout ce qui est inhabituel dans un endpoint.

Certains EDR auront également des droits complets sur tous les terminaux, ce qui peut devenir extrêmement dangereux, surtout lorsqu’ils peuvent être gérés à partir de l’Active Directory. Cela deviendrait un levier pour un piratage en profondeur après qu’un AD ait été compromis. Ce n’est en revanche pas le cas avec TEHTRIS EDR, car nous proposons un niveau de sécurité bien plus élevé. Mais nous recommandons néanmoins au CISO et au personnel de sécurité IT de se pencher sur les risques d’ajouter des agents puissants et dangereux sur tous les appareils, interconnectés aux points faibles de votre infrastructure.

Ainsi, l’EDR offre une visibilité sur vos endpoints, bien qu’il y ait tout de même des limites.

Tout d’abord, l’EDR seul présente des « angles morts » (sauf s’il est connecté à une solution holistique). Ensuite, il nécessite un personnel de sécurité formé à la détection et à l’intervention, ainsi que des compétences et du temps pour l’intégration de la solution. Bien que cela soit possible pour les grandes entreprises, certaines PME pourraient avoir quelques difficultés en terme de budget. De plus, la formation n’est pas suffisante si personne n’essaie de configurer correctement l’EDR pendant la phase d’intégration. Il faut également maintenir ces configurations. Mais alors que se passe-t-il s’il y a ensuite un nouveau dossier avec un nouveau produit et un nouvel Authenticode à analyser et de nouveaux comportements de processus ? Si vous avez des milliers d’agents EDR déployés, que se passera-t-il s’ils n’ont pas de politique efficace pour lutter contre toutes les menaces inconnues ? Même les nouveaux ransomwares resteront un énorme problème.

Enfin, l’EDR ne se concentre pas sur certains détails, comme l’insécurité du réseau dans votre organisation. Par exemple, que se passe-t-il si tout le trafic est autorisé partout vers n’importe où dans votre organisation avec une infrastructure de réseau à plat ? Ou si les accès illégaux à distance existent facilement à cause d’un VPN compromis ? Par conséquent, les menaces peuvent entrer par un réseau et se déplacer latéralement sur le réseau et parler à un serveur distant, sans entrave. L’EDR vous aidera, et vous en avez évidemment besoin, comme première défense. Combiné à votre EPP, le duo EDR+EPP ne pourra pas tout gérer.

Par conséquent, vous avez maintenant également besoin de la surveillance du réseau et de la sécurité du système ou des applications. Si votre secteur est fortement réglementé, vous pourriez également avoir besoin d’un système de sécurité des données et des applications pour protéger vos informations contre les pirates informatiques.

Pour aller plus loin, il existe le système de gestion des informations et des évènements de sécurité (SIEM). Il s’agit d’une plateforme permettant d’intégrer les logs provenant de diverses sources, comme les logs de systèmes, des réseaux et des applications, sous une même coupe.

Afin d’aller plus loin dans la garantie de la cyber-résistance, vous pouvez également explorer les intégrations de technologies suivantes :

  • Honeypots (Deceptive Response),
  • Network Traffic Analyzers (NTA, NIDS, analyse de flux),
  • Security Operation Center (SOC) et Managed Detection Response (MDR),
  • Intelligence artificielle et algorithmes améliorés (analyse comportementale),
  • Renseignement sur les cybermenaces (bases de données, sandboxes) et outils avec IoC, hunting,
  • Automatisation, réponse et orchestration de la sécurité (SOAR)

Vous pensez que c’est trop complexe ou trop cher ? Ce n’est pas le cas et cela dépend surtout de la technologie et des produits que vous choisirez.

TEHTRIS XDR Platform est un service intelligent que TEHTRIS vous propose pour construire votre programme de cybersécurité holistique. Efficace et intelligent, il est actuellement déployé dans plus de 50 pays. TEHTRIS a bloqué des pirates informatiques parfois soutenus par des États, des ransomwares inconnus, etc.

En fin de compte, pour faire face aux menaces mondiales, nous avons besoin d’une vision holistique de la cybersécurité et d’outils qui peuvent nous aider à atteindre un niveau de cyber résistance intermédiaire, voire élevé.

Chez TEHTRIS, nous avons une compréhension claire de votre meilleure stratégie de cybersécurité et nous la mettons en œuvre pour vous.

Toute entreprise est aussi cyber résistante que son maillon le plus faible. Et vous, que faites-vous pour assurer la cyber résistance ?