Connaissez-vous votre niveau de risque?

Ne faites pas cela! Voilà un avertissement familier dans le domaine de la sécurité IT. N’utilisez pas de systèmes hérités, renoncez à l’utilisation de telle interface ou de tels ports, entend-on souvent. Même si ces avertissements sont souvent tout à fait justifiés, ils ne peuvent pas toujours être mis en pratique. Non pas à cause d’un manque de volonté des responsables, mais plutôt parce que la dynamique business et la forte concurrence exigent parfois des solutions rapides et de nouvelles architectures dans lesquelles des failles de sécurité peuvent apparaître. A vouloir l’éviter, on perdrait en agilité. Et même si chacun sait qu’il faut protéger les services cloud, des erreurs se produisent parfois dans le feu de l’action. Ainsi, chaque nouvel appareil connecté, chaque service cloud déployé et chaque changement de configuration peut représenter une faille de sécurité potentielle. De nouvelles vulnérabilités sont publiées en permanence, tandis que les cybercriminels développent des méthodes d’attaque de plus en plus sophistiquées.

Chaque entreprise a des points faibles et risque une attaque

Les risques de sécurité se cachent souvent là où il y a de l’agitation et là où on ne les voit pas. Dans de nombreuses organisations, par exemple, un Shadow IT s’est développé en raison de collaborateurs utilisant des instances cloud et des logiciels sans que le service informatique en soit informé. Dans un environnement IT en croissance dynamique, il n’est pas toujours possible de tout documenter avec soin. Une vue d’ensemble fait la plupart du temps défaut. Il arrive donc que des anciens systèmes abandonnés ou des instances cloud orphelines continuent à fonctionner et que des vulnérabilités passent inaperçues.

Même dans le département sécurité, des erreurs se produisent, parce qu’on a par exemple mal évalué une situation ou que l’on n’a pas configuré un système de manière optimale. Il ne sera jamais possible de combler tous les points faibles et d’éviter tous les risques. Faire la leçon n’est pas d’un grand secours. Les entreprises ont davantage besoin d’une stratégie de gestion des risques: on peut vivre avec certains d’entre eux, pas avec d’autres. Pour en décider, il faut d’abord connaître et évaluer ses risques. Après quoi, il est possible de prendre des mesures ciblées afin de réduire les dangers les plus importants.

Tenir compte des sources internes et externes

Pour évaluer les risques de manière réaliste, les entreprises doivent non seulement connaître leur surface d’attaque, mais aussi la mettre en relation avec les informations de sécurité externes. Tous les risques ne concernent pas de la même manière toutes les entreprises. Ainsi, par exemple, la fameuse faille Log4Shell, qui a fait parler d’elle il y a environ un an, n’est dangereuse que pour les organisations utilisant le composant Log4J.

En outre, le risque posé par une vulnérabilité dépend de la fréquence à laquelle elle est exploitée par les hackers. Ainsi, une faille bien qu’ancienne considérée comme importante peut s’avérer plus dangereuse qu’une nouvelle faille critique pour laquelle les chercheurs en sécurité n’enregistrent actuellement que peu ou pas d’activité cybercriminelle. En fonction de leur taille et de leur secteur d’activité, les entreprises sont également la cible de différents groupes de pirates. Si l’entreprise fait partie des cibles actuelles et qu’elle présente, qui plus est, des points faibles souvent exploités, alors le risque de cyberattaque est élevé.

L’aide des prestataires de services managés

Il est parfois plus compliqué encore pour les entreprises de suivre et d’évaluer les sources de sécurité externes que d’analyser leur propre surface d’attaque. Chaque jour, des entreprises de sécurité, des organisations policières, des autorités gouvernementales, des organisations à but non lucratif et des analystes publient en effet d’innombrables informations sur l’activité cybercriminelle. Les garder à l’œil et les suivre avec le niveau de détail nécessaire relève quasiment de l’impossible pour les équipes internes. Epaulés par un éditeur de cybersécurité réputé, les fournisseurs de services managés peuvent aider leurs clients à relever ce défi. En collectant et en analysant les informations de sécurité externes et en informant leurs clients de manière proactive sur les risques pertinents, ils les aident à évaluer les risques avec un minimum d’efforts.

L’Extended Detection and Response (XDR) joue un rôle clé à cet égard. De nombreux fournisseurs de services managés utilisent déjà cette technologie pour proposer des services MDR (Managed Detection & Response). Le XDR collecte des informations de tous les systèmes de sécurité connectés sur tous les vecteurs de l’environnement IT – des instances cloud aux terminaux et e-mails, en passant par les serveurs et le réseau. Les données sont analysées à l’aide de l’IA et les messages pertinents sont identifiés puis corrélés en alertes exploitables, tout en tenant compte de l’intelligence sur la menace globale.

Comment réussir une gestion active des cyber-risques?

Le XDR ne permet pas seulement d’être réactif, il aide aussi à être proactif. La plateforme rassemblant les informations de sécurité internes et externes complètes, elle peut identifier et évaluer en permanence les risques pour l’entreprise. Grâce à la présentation claire des données dans un tableau de bord, les fournisseurs de services managés voient en un coup d’œil où se trouvent les plus grands dangers pour le client et où il est urgent d’agir. Ils peuvent ainsi avertir le client de manière proactive et l’aider à réduire ces risques.

L’évaluation des risques est particulièrement efficace en combinaison avec le Managed XDR. Les analystes de sécurité spécialisés de l’éditeur de cybersécurité se chargent de la surveillance et de l’évaluation des messages sur la plateforme XDR. Ils soulagent les équipes IT des partenaires et des clients et augmentent encore la sécurité en leur faisant profiter de leurs connaissances et de leur expérience sur l’ensemble de la clientèle. Ils sont aussi là pour apporter leur expertise et leur soutien en cas de questions.

XDR, un élément constitutif du Zero Trust

L’évaluation des risques basée sur le XDR et la Threat Intelligence est en outre un élément important pour la mise en œuvre d’une stratégie Zero Trust comprenant des mesures techniques et organisationnelles visant à réduire les risques d’attaque. Le Zero Trust signifie ne faire confiance à personne. Grâce à des contrôles de sécurité internes et externes étendus, il s’agit de garantir que seuls les utilisateurs autorisés peuvent accéder aux systèmes, aux applications et aux données. Mettre en œuvre un modèle confiance zéro complet est toutefois très coûteux et peut prendre des années. En règle générale, les entreprises doivent procéder à une réorganisation en profondeur de leurs réseaux. Il est en revanche possible de déployer le XDR en quelques semaines et de pouvoir ainsi évaluer et réduire les risques de manière proactive. La technologie collecte et met en corrélation les données télémétriques et les alertes de tous les systèmes de sécurité connectés pour les analyser à l’aide de l’IA en tenant compte de la Threat Intelligence globale. Les entreprises peuvent ainsi mettre en œuvre des mesures de confiance zéro de manière très ciblée, là où se concentrent leurs plus grands risques. En cas de cyberattaque, le XDR permet en outre d’accélérer la détection et la réaction.

En conclusion

Dans le monde entier, les cyber-incidents représentent aujourd’hui le risque commercial le plus important pour les entreprises. L’évaluation et la gestion des cyber-risques s’avèrent donc indispensables. Il y aura bien entendu toujours des risques avec lesquels il faudra vivre. L’essentiel est donc de prioriser les dangers individuels les plus importants et de réduire ensuite la probabilité d’occurrence et les dommages potentiels par des mesures ciblées. La situation en matière de sécurité, tant interne qu’externe, évoluant de manière dynamique, la gestion des risques doit se faire en continu.

Les services managés peuvent apporter une aide utile, la technologie XDR permettant de mettre en place une évaluation des risques simple et efficace. Les fournisseurs de services managés peuvent proposer le XDR de manière indépendante ou managée en collaboration avec les éditeurs de solution de sécurité. Ils bénéficient ainsi d’analyses approfondies et sont en mesure d’identifier rapidement les dangers pour les atténuer. Ils remplissent ainsi leur rôle de partenaire de confiance et aident leurs clients à se défendre contre les cyberattaques.