Risques informatiques : l’état des lieux et des perspectives
La sécurité informatique est un domaine qui ne cesse d’évoluer avec l’augmentation des risques informatiques. Alors que les attaques se multiplient et se diversifient de plus en plus, l’apparition de nouvelles technologies comme les objets connectés, et le travail hybride font naître de nouveaux défis. Paul Dominjon, directeur des solutions cybersécurité chez Microsoft, fait le point sur les risques et perspectives.
Le nombre de cyberattaques a été multiplié par quatre en France en l’espace d’un an durant la pandémie,alertait l’ANSSI. Observe-t-on aussi une évolution dans leur nature ?
Nous avons constaté plusieurs tendances à ce sujet. D’abord, le business autour du ransomware s’est beaucoup structuré. Les acteurs se professionnalisent. On parle maintenant de l’écosystème du ransomware, de RaaS (Rransomware as a Service) avec ses développeurs et ses sous-traitants. C’est un mode d’attaque peu coûteux mais très rémunérateur, qui peut toucher les entreprises de tous secteurs. Les budgets de ces attaquants peuvent rivaliser parfois avec ceux d’organisations étatiques.
Enfin, il faut noter le poids des risques venant des systèmes industriels, avec les attaques visant l’obsolescence des systèmes. Ce n’est pas un risque tout à fait nouveau, mais sa prise en compte par les entreprises est récente. L’enjeu est ici double. Il faut surveiller les technologies qui composent la chaîne d’approvisionnement, avec des équipements vieillissants comme de nouveaux objets connectés. Mais également évaluer le risque venant de ses partenaires et sous-traitants , qui n’ont pas nécessairement le même niveau d’exigences en matière de cybersécurité.
Lire aussi Ransomware : comment les hackers prennent vos données en otage
Le recours massif au télétravail a aussi fait naître de nouveaux risques en termes de sécurité informatique ?
Effectivement, il faut désormais sécuriser le travail des équipes qui sont en partie ou entièrement à distance. Cette nouvelle organisation a forcé à repenser la sécurisation du travail à distance, et aussi les solutions que l’on devait apporter en face.
Aujourd’hui, on ne peut plus faire confiance au réseau ou à l’emplacement depuis lequel l’accès est demandé. L’image d’un système protégé comme un château fort, avec une logique purement périmétrique est obsolète. Nous n’avons plus forcément la capacité dans toutes les entreprises de mettre des barrières qui protègent des menaces. Il faut recentrer le sujet sur la défense en profondeur, avec comme base l’identité, en s’appuyant sur un modèle zéro confiance, ou zero trust. Il est alors nécessaire de s’assurer dynamiquement du contexte d’accès (identité de l’accédant, statut de l’appareil, localisation) avant d’autoriser éventuellement et sous conditions l’accès à la ressource (application ou service). Cette question de l’identité est primordiale pour se prémunir des risques informatiques
Protéger ses données est également essentiel ?
Il faut en effet pouvoirles classifier et les protéger, en fonction du niveau de risque qu’elles représentent. Cela permet de mieux comprendre et limiter les usages non conformes à la politique de sécurité de l’entreprise. La fuite d’information est souvent une des conséquences de cyberattaque.
Est-il possible d’avoir une vue d’ensemble ?
Certaines entreprises ont intégré leurs technologies d’alerte et de sensibilisation dans une plateforme de sécurité globale. C’est un peu ce que nous proposons chez Microsoft. Un outil qui permet de détecter les menaces, mais aussi d’y remédier de façon intégrée. L’idée est de donner une vue d’ensemble de la chaine d’attaque. Et d’y associer une bonne supervision,une tour de contrôle de la sécurité qui pourra alerter 24 heures sur 24 et 7 jours sur 7, afin de réagir rapidement en cas de suspicion.
Nous avons montré dans notre état des lieux annuel qu’en appliquant de bonnes pratiques, l’on pouvait éviter 98% des attaques, ce qui est loin d’être négligeable…
*Pour en savoir plus, vous pouvezretrouver sur le site de Microsoft le rapport complet sur l’état de la cybersécurité en 2020 et 2021.
Toutes les entreprises doivent-elles aujourd’hui se préparer à être la cible d’attaques informatiques ?
Le risque zéro n’existe pas. Et la question désormais n’est plus de savoir si on sera une cible, mais quand on le sera. Et comment on réagira.
Il est primordial d’évaluer et classer les risques qui peuvent toucher les systèmes informatiques au sein de chaque entreprise.
Comment prévoit-on concrètement ces risques liés à la sécurité informatique ?
Il faut mettre en place des systèmes d’évaluation des risques. Ces derniers étant différents pour chaque entreprise, sa couverture géographique, les applications qu’elle utilise, le recours au télétravail ou aux objets connectés en son sein, etc.
Pour renforcer la prévention, en complément des revues régulières de configuration, la réduction de la surface d’attaque est primordiale. Nous avons depuis août acquis une société,RiskIQ, qui est spécialisée dans ce domaine. L’idée est de pouvoir proposer une vue globale des applications et infrastructures publiées sur Internet et des risques associés.
Côté détection, on distingue deux types de menaces. Les connues, qui reposent sur une stratégie que l’on a déjà observée ailleurs, et les inconnues, plus ciblées, que l’on ne rencontrera pas forcément dans un autre cas de figure. Il faut pouvoir les détecter suffisamment tôt, en repérant des comportements anormaux, qui laissent penser qu’une attaque est en train de se jouer. Dans ce domaine nous nous appuyons sur les technologies de « machine learning ».
Enfin côté remédiation, la capacité de réagir rapidement sur un incident critique grâce à une automatisation poussée du SIEM (Security Information & Event Management)/SOAR (Security Orchestrated Automated Response) avec Azure Sentinel, permet de limiter les impacts potentiels.