Gérer les risques
Aujourd'hui et demain

Cyberprévention

Pierre-Yves Popihn (NTT Com) : « Cybermenace : les entreprises doivent se préparer aux situations d'urgence »

Pour cet expert chez NTT Com Security France, un cabinet spécialisé en sécurité de l'information et en gestion du risque, les modèles traditionnels de cybersécurité devraient se retirer au profit d'une approche plus globale de cyberdéfense et de prévention précoce des risques.

Pourquoi ne peut-on plus se contenter des solutions traditionnelles de cybersécurité ?
La cybercriminalité a pris une telle ampleur qu’elle place aujourd’hui de nombreuses entreprises au pied du mur. La physionomie de la menace a considérablement évolué : si l’infiltration des réseaux d’entreprise était autrefois le jeu de hackers en quête d’adrénaline, les vols de données ciblés ou autres actes de sabotage ultra perfectionnés sont aujourd’hui quotidiens. Et cela, sans parler des nouvelles technologies et exigences des entreprises qui n’ont fait qu’aggraver le dilemme de la sécurité… Dans ce contexte, les composantes traditionnelles de la sécurité se révèlent insuffisantes ou inadaptées pour protéger efficacement les systèmes d’information et repousser les attaques ciblées.
Quelles sont les limites de ces composantes ?
À elle seule, la protection du périmètre a atteint ses limites. Elle n’est plus adaptée aux exigences d’un environnement professionnel de plus en plus interconnecté. Face à la pluralité des modes de communication et des échanges entre les entreprises et leurs collaborateurs, fournisseurs, prestataires externes et clients, les solutions informatiques traditionnelles, jusqu’ici uniquement axées sur les restrictions d’accès, doivent s’élargir. Côté clients, une défense anti-malware uniquement basée sur les signatures est aujourd’hui insuffisante.
D’où le concept plus élargi de cyberdéfense…
La notion même de cyberdéfense représente un changement de paradigme dans la sécurité informatique. L’élargissement des concepts de sécurité traditionnelle, basés sur la protection du périmètre, est l’un des fondements d’une stratégie de cyberdéfense intégrale. Outre les mesures réactives, une solution de sécurité complète doit également comprendre une protection active. Le pare-feu réseau classique sera par conséquent complété par des mécanismes de sécurité proactifs englobant également les applications et les données ainsi que tous les terminaux.

Cela signifie-t-il qu’il faudrait s’équiper d’une batterie de nouveaux dispositifs combinés ?
La cyberdéfense ne se résume pas uniquement à la somme de mesures de sécurité prises séparément, ni à une combinaison de solutions à des problématiques spécifiques comme les dispositifs anti-APT (Advanced Persistent Threats). Il s’agit davantage d’une démarche globale, basée sur des solutions couvrant l’ensemble du service de sécurité et assurant une gestion complète et cohérente des risques. La cyberdéfense dépasse la simple gestion des infrastructures et des technologies – ces dernières ne constituant généralement que la base de services étendus à plus forte valeur ajoutée. La première étape d’une stratégie de cyberdéfense intégrale consiste à faire le bilan des risques en présence (Risk Insight). Chaque entreprise a son propre profil de risques qu’elle doit établir par une classification et une évaluation des risques pour les données et les processus à protéger. Ce profil de risques forme ensuite le socle d’une stratégie de cyberdéfense pérenne autour des quatre piliers que sont la prévention, la détection, la protection et l’intervention.
Il s’agit donc d’établir au préalable un bon diagnostic de la vulnérabilité de l’entreprise. Quelles sont les structures sur lesquelles il faut le plus porter sa vigilance ?
La prévention doit tout d’abord porter sur la gestion des infrastructures autour de dispositifs classiques comme la protection du périmètre via des passerelles de messagerie avec filtres anti-spam et anti-malware, pare-feu de nouvelle génération, systèmes VPN et solutions d’analyse dynamique de type Sandbox. Dans le cadre d’une approche intégrale, les applications métier et les données doivent gagner en visibilité et en sécurité. Ceci passe notamment par des solutions de protection contre la fuite de données (DLP : Data Leakage Protection) ou de gestion des droits numériques (DRM : Digital Rights Management).

Avec la vague de l’Internet des objets (IoT) et du BYOD (Bring Your Own Device), qui autorise les employés à utiliser au bureau leurs propres ordinateurs ou smartphones, les experts de la sécurité ont également du fil à retordre…
En effet, chaque terminal sous ses différentes formes (PC de bureau, ordinateur portable, tablette ou smartphone) doit désormais faire l’objet d’une attention renforcée. Au vu de leur exploitation croissante par les attaquants, ces périphériques doivent en effet occuper une place plus prépondérante dans tout projet de sécurité intégrale. Face aux difficultés d’une sécurité basée sur les signatures et la neutralisation des attaques ciblées, des solutions intelligentes de nouvelle génération doivent être mises en œuvre au niveau des terminaux. On doit donc s’attendre à une généralisation des micro-hyperviseurs capables d’isoler les applications pour améliorer la sécurité des terminaux. De même, une surveillance renforcée des terminaux permettra de détecter et d’évaluer en amont les comportements suspects et de bloquer toute prolifération.
Qu’en est-il des autres grandes tendances du web ?
La prévention ne doit pas non plus négliger les grandes tendances actuelles comme le cloud ou encore l’interconnexion croissante entre les systèmes d’information et les unités de production, les systèmes de contrôle industriel Scada (Supervisory Control and Data Acquisition). Un projet de cyberdéfense intégrale doit également intégrer le facteur humain. La sensibilisation et la formation des collaborateurs jouent en effet un rôle clé dans toute stratégie de cyberdéfense préventive, évitant par là-même que l’humain ne devienne le maillon faible.
Après la prévention, quelles sont les autres étapes à suivre ?
L’étape suivante est la détection précoce : une analyse de sécurité complète effectuée sur la base de données en temps réel associée à une surveillance proactive. Pour être efficace, la surveillance ne se limite pas aux seuls journaux et alertes système. Elle doit également analyser le comportement habituel de l’environnement informatique afin de déceler toute anomalie. C’est notamment le cas lorsque des systèmes qui n’avaient jusqu’à présent jamais communiqué entre eux se mettent à échanger tout d’un coup d’importants volumes de données ou encore lorsque des systèmes internes, jusqu’ici « silencieux », communiquent soudainement avec des systèmes externes. Grâce à leur capacité à détecter les menaces en amont, les systèmes de détection précoce constituent l’un des éléments incontournables d’une solution de sécurité intégrale.
Ces systèmes de détection complexes laissent-ils les entreprises toujours capables aujourd’hui de gérer leur système de sécurité en interne ?
Les systèmes implémentés dans les entreprises sont souvent trop lents. De plus, une entreprise ne peut manifestement pas s’atteler seule à la mise en œuvre d’une protection complète contre les cyberattaques. Les menaces sont effectivement trop hétérogènes et virulentes. Quant aux coûts, ils sont beaucoup trop élevés. Sans parler du fait qu’il n’est en général pas viable économiquement et stratégiquement pour une entreprise de faire de la sécurité son cœur de métier.
 A qui les entreprises peuvent-elles s’adresser ?
C’est là que les Centres des opérations de sécurité (SOC) externes entrent en jeu. Véritables centres de défense proactifs au service des entreprises, ils associent technologies et expertise technique pour détecter les attaques en amont. En clair, leurs outils intelligents effectuent une analyse permanente du trafic de données et établissent des corrélations entre des informations extrêmement diverses, le tout étant validé en bout de chaîne par des analystes chevronnés. Le SOC d’un fournisseur de services de sécurité managée vous offrira un champ de vision élargi pour identifier et isoler les menaces en amont. Cependant, pour être efficace, ce type de structure doit disposer d’une base de données mondiale valide pour opérer une surveillance proactive. Seul un système de cyberveille mondiale (Threat Intelligence) offre la fiabilité nécessaire à la mise en place d’une protection complète contre les dernières menaces les plus critiques. Contrairement aux acteurs nationaux de la sécurité managée, un prestataire d’envergure internationale est capable de surveiller et d’analyser les messages et les incidents sur les infrastructures informatiques hétérogènes de milliers de clients. Cette base de données lui permet ensuite d’effectuer une analyse en temps réel des menaces, passage obligé vers des solutions de cyberdéfense efficaces.

Dans le monde de la sécurité, on martèle que le risque zéro n’existe pas. Lorsqu’une attaque survient, quelles sont les réactions possibles ?
Les entreprises doivent bien se préparer aux situations d’urgence, c’est-à-dire à réagir lorsque les incidents surviennent. Il faut accepter cette situation, ce qui est encore loin d’être le cas. En effet, d’après notre dernier rapport Security Global Threat Intelligence Report sur le paysage de la sécurité dans le monde, les trois quarts des entreprises ne sont pas prêtes à faire face à ces incidents. Or une sécurité informatique forte passe aussi par une stratégie d’intervention sur incidents. La procédure d’urgence devra donc être définie puis appliquée en cas d’attaque pour bloquer toute exfiltration de données. Ici aussi, l’accompagnement de professionnels chevronnés pourra faire toute la différence lors de la constitution et de la préparation des équipes d’intervention. La stratégie de cyberdéfense doit être mise en place progressivement à partir du profil de risques établi. Point important : dans une démarche de défense intégrale, la surveillance et la protection des terminaux sont à considérer comme des facteurs clés. La défense proactive et la détection précoce des menaces s’appuieront en outre sur des technologies et une expertise pointue. Un plan d’intervention sur incidents devra également être défini. Aujourd’hui, seule une approche intégrale de ce type peut permettre à une entreprise de protéger au maximum son information et ses systèmes IT.

Propos recueillis par Ségolène Kahn

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.