Cybersécurité : mieux vaut prévenir que guérir
Changer la vision de la remédiation pour que le remède n’intervienne pas en aval mais en amont, à la façon d’un antidote. Un nouveau paradigme : agir avant de subir
Avec le Covid 19, nous avons été soumis pendant plus de deux ans à la propagation rapide et planétaire d’une maladie infectieuse. Notre époque semble avoir un goût particulier pour les pandémies. En effet, une autre épidémie généralisée se déploie de façon parallèle, et fait des ravages tout aussi planétaires. Là encore nous ne sommes plus dans le registre de l’épidémie, mais dans celui de la pandémie : le monde entier est touché. Les virus y sont très agressifs, la contagion extrêmement forte, les clusters multiples. Beaucoup sont affectés par les symptômes de cette maladie pouvant être létale pour ceux qui n’en sont pas protégés. Cette pandémie, c’est celle des cyberattaques.
Employer le terme de « pandémie » pour désigner le phénomène n’est pas le moins du monde exagéré, car il s’agit bien d’une maladie infectieuse présente sur tous les continents. Celle que des hackers sans scrupules (c’est presque un pléonasme) inoculent aux Systèmes d’Information des entreprises et des organisations, sous la forme de virus et de pratiques délétères pour la santé de la vie sociale en général, et de la vie économique en particulier (phishing, spywares, ransomwares, malwares, etc.).
Les gestes barrière sont bien trop souvent inefficaces, notamment ceux des PME, la plupart du temps sous-équipées ou se pensant à tort soit exemptées des attaques en raison de leur petite taille, soit protégées par un matériel dont la perméabilité à la moindre attaque révèle surtout la parfaite obsolescence.
Aux grands maux, les grands remèdes ?
On parle beaucoup de « remédiation » dans le monde de la cybersécurité. Ces pratiques sont envisagées comme une thérapie. Et, comme l’indique l’idée de « remédier », il s’agit effectivement du traitement d’une atteinte à la santé ou à l’équilibre d’un système – en l’occurrence une violation de sécurité. Le terme vient du latin remedium « remède, médicament », lui-même dérivé de mederi « soigner, traiter ». Ainsi, procéder à une remédiation après une attaque consiste à appliquer le remède adéquat de façon curative pour faire disparaître les symptômes et la maladie liés à une attaque malveillante, et limiter ainsi les dommages qu’elle peut occasionner.
Tous les spécialistes de la remédiation sont-ils pour autant de bons médecins des systèmes ?
Si remédier, c’est guérir un trouble, le remède suit logiquement l’apparition de la maladie. On intervient donc après que l’attaque a eu lieu. Pourtant, les résultats escomptés ne sont pas toujours au rendez-vous. Loin de là. Plutôt que de véritables traitements, nombreuses sont les procédures qui sont un sparadrap sur une jambe de bois. Bien qu’elles génèrent d’importants gains pour ceux qui les commercialisent, ces solutions n’éliminent pas complètement le risque qu’elles sont censées traiter. À titre d’exemple, les processus de destruction automatique d’une activité suspecte repérée ne permettent pas de connaître la nature de la menace ou de la violation elle-même. En outre, la détection de la cause, condition de tout remède sérieux à une attaque, n’est pas assurée ici. De plus, aucune de ces méthodes ne permet d’être certain de l’élimination complète de la menace. En effet, l’attaquant peut rester dans les systèmes après une telle procédure : une attaque peut tout à fait avoir été pensée pour en cacher une autre, plus sournoise et plus indétectable car dissimulée dans la première. Enfin, les méthodes d’intervention pour « remédier » dans l’après-coup font souvent l’impasse sur un fait pourtant essentiel : selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et l’Association pour le Management des Risques et des Assurances de l’Entreprise (AMRAE), il se passe en moyenne 167 jours entre une intrusion cybercriminelle et sa détection. Et, d’après les études de Mimecast, en 2019 plus de 60% des compromissions de sécurité n’ont été détectées qu’après au moins un mois après avoir eu lieu. Ce qui laisse largement aux pirates le temps d’agir tranquillement.
Quand on espère une complète guérison après une attaque de virus bien organisée, les thérapeutes de l’après-coup ne sont donc pas les meilleurs garants de la sécurité de nos Systèmes d’Information.
Le hacker virtuel : une autre façon de voir, une autre façon de faire, une vraie façon de réussir
Si l’on recherche efficacité et sécurité (après tout, dans « cybersécurité », il y a « sécurité » !), il est raisonnable d’adopter un nouveau point de vue face à ces questions.
Plutôt qu’intervenir une fois que le mal est fait, ne serait-il pas plus judicieux de passer à l’action avant qu’il ne surgisse, en empêchant proactivement les cybercriminels de nuire ? La médecine chinoise nous l’enseigne depuis des temps très anciens : prévenir est le meilleur moyen de rester en bonne santé. Il vaut mieux prévenir que guérir. Pour la cybersécurité, c’est la même chose : il vaut mieux prévenir une attaque en analysant failles et fragilités de son Système d’Information qu’avoir à réparer les dégâts après.
Si l’on attend que le mal soit fait pour agir, peut-on vraiment parler de « sécurité » ? La cybersécurité réellement active et efficace est en réalité une cyberprévention.
Agir avant de subir est donc le mot d’ordre. Le moyen est de se transformer soi-même en hacker. L’idée générale est d’automatiser la surveillance pour détecter ses propres faiblesses avant qu’un hacker plus ou moins doué ne parvienne à le faire.
Des technologies de pointe basées sur des prototypes conçus à l’origine pour détecter les vulnérabilités dans des environnements militaires et gouvernementaux hautement sensibles permettent cela : scanners de vulnérabilité en ligne capables de détecter sans rupture les faiblesses des infrastructures, estimation de la maturité cyber des entreprises, pédagogie de cybersensibilisation, système d’auto-hacking pour mesurer la résistance des systèmes, etc. Couplés à l’Intelligence Artificielle et au Machine Learning, ces robots veillent sans interruption sur les Systèmes d’Information dont ils ont la garde, et pas seulement lorsqu’un dommage a eu lieu.
En mettant en œuvre des procédures de surveillance continue, ces dispositifs de pointe analysent en permanence les flux, à la recherche de toute anomalie susceptible de signaler une violation de sécurité. Ce processus de balayage dynamique est mis à l’épreuve en simulant périodiquement des méthodes d’attaque courantes afin que la couverture reste dans un état de vigilance constant. Afin de fournir une réponse rationnelle et intelligente aux futures violations, ces technologies innovantes sont conçues pour retenir les tentatives d’intrusion passées et en tirer des enseignements. En dépassant les capacités des produits de sécurité traditionnels, ces solutions robotisées offrent une protection contre les logiciels malveillants tout en continuant à apprendre de nouvelles méthodes d’attaque en temps réel grâce au Machine Learning. Elles sont capables d’analyser quotidiennement chaque système d’application à la recherche de nouvelles vulnérabilités et mettent automatiquement à jour ces systèmes avec de nouveaux correctifs, de sorte que la protection reste constante et sans effort.
Ces nouveaux outils reviennent à fabriquer un véritable hacker virtuel qui veille sans relâche sur les systèmes. Et qui ne dort jamais !
Dans cette perspective, le mot cybersécurité reprend tout son sens. Avec cette approche proactive automatisée, le remède précède désormais la maladie, et devient l’antidote.
On pourrait s’interroger sur le coût de telles solutions. Les sommes exigées par une logique d’anticipation peuvent sembler plus importantes a priori. Pourtant, tout compte fait, ces solutions efficaces sont plus économiques que les options de soins et de guérison post-attaque.
En effet, lorsqu’elles doivent « faire le ménage » après une attaque, les entreprises, grandes et petites, subissent des dommages financiers : embauche de consultants en sécurité, de spécialistes de la « fidélité à la marque » et de professionnels du droit et des relations publiques.
Lorsqu’une PME doit détecter et réparer une brèche de manière réactive après une attaque, le coût moyen de ces opérations est d’environ 26 000 euros. En revanche, celles qui adoptent une approche proactive en investissant dans la surveillance de la sécurité, les plans d’intervention, la protection financière et en engageant des spécialistes de la correction des vulnérabilités avant qu’un événement indésirable ne se produise peuvent probablement éviter les frais supplémentaires et les tracas liés à la recherche de ces services spécialisés au milieu d’une crise, et peuvent en sortir pratiquement indemnes.
Se hacker avant que quelqu’un d’autre ne le fasse, c’est une nouvelle version du proverbe : on n’est jamais si bien servi que par soi-même.
Retrouvez l’article sur FinYear
Solutions
Nos solutions
Cyber Detection
Cyber Security Rating
Ressources
Articles
FAQ
Glossaire
Compagnie
Qui sommes-nous
Nos bureaux
Media
Partenaires
Devenir partenaire
Partenaires MSSP
Partenaires d'assurance
2022 © Menaya inc.
Compagnie
Qui sommes-nous
Nos bureaux
Media
Ressources
Articles
FAQ
Glossaire
Partenaires
Devenir partenaire
Partenaires MSSP
Partenaires d'assurance
2022 © Menaya inc.
2022 © Menaya inc.