Risk Management
Pourquoi est-il temps de cartographier la surface d'attaque numérique ?
Une étude de Trend Micro pointe des difficultés à maîtriser les cyber risques face à la multiplication des vecteurs d'attaque.
Par Bharat Mistry, Technical Director, Trend Micro.
Il y a plus d’un an, une cyberattaque visant un oléoduc américain opéré par Colonial Pipeline, a propulsé les rançongiciels sous les feux de la rampe jusqu’à attirer l'attention de la Maison Blanche. Dans les mois suivants, nombre de gouvernements ont multiplié les initiatives visant à améliorer la sécurité des entreprises, tandis que la gestion des cyber-risques est devenue une pratique recommandée.
Les auteurs de l'attaque contre Colonial Pipeline en ont sans doute, sans le vouloir, beaucoup fait pour la sécurité. Mais, reconnaître l'importance de la gestion des risques et passer à sa mise en pratique sont deux choses bien différentes.
Par où les entreprises doivent-elles commencer ? Tout d'abord par une cartographie et une compréhension pointue de la surface d'attaque. Malheureusement, comme le révèle une nouvelle étude de Trend Micro, seule la moitié des entreprises (51 %) y parvient et beaucoup d'autres subissent de réelles carences en matière de visibilité.
Qu'est-ce qu'une surface d'attaque ?
La surface d'attaque est constituée de tous les équipements numériques susceptibles d'être compromis par des cybercriminels, en local ou à distance. Elle fédère ainsi :
- Les ordinateurs portables et fixes
- L'internet des objets
- Les applications mobiles/web et les sites web
- Les endpoints distants utilisant le protocole RDP
- Les réseaux privés virtuels (VPN)
- Les serveurs
- Les services Cloud
- Les infrastructures et services de la chaîne logistique et collaborative (supply chain)
Les attaques misent sur une diversité d'outils et de techniques pour atteindre leurs cibles, du phishing à l'exploitation de vulnérabilités. Une fois immiscées au sein des réseaux, elles peuvent se déplacer latéralement vers les différents segments de la surface d'attaque. Le rapport de sécurité 2021 de Trend Micro révèle à quel point les entreprises sont vulnérables à ce jour.
La visibilité n'est pas simple
Un adage en matière de cybersécurité stipule que "vous ne pouvez pas protéger ce que vous ne voyez pas". Ainsi, une visibilité pertinente sur toutes les composantes de la surface d’attaque constitue la toute première étape pour juguler les risques de compromission. Mais la tâche n’est pas aussi facile qu'il y paraît. Les personnes interrogées dans le cadre de notre nouvelle étude estiment qu'elles n'ont une visibilité que sur 62 % de leur surface totale d'attaque. Le chiffre réel pourrait être bien inférieur, et plusieurs facteurs y contribuent :
- L’absence d’outils adaptés
- Des outils trop nombreux et hétérogènes, qui entraînent un cloisonnement des informations de sécurité
- Des supply chains opaques
- Des environnements cloud temps-réel et versatiles
- Les dimensions, la complexité et la nature multisite des environnements IT actuels
- Le nombre croissant d'équipements distants et la recrudescence du shadow IT, dans le droit fil de la crise sanitaire
Une approche basée sur une plateforme de sécurité
Les carences de visibilité sont amplifiées par la pénurie de compétences en cybersécurité, ce qui ne facilite en rien la maîtrise d’une surface d'attaque en constante expansion. Sans surprise, près des trois quarts (73 %) des responsables informatiques et des dirigeants interrogés sont préoccupés par l’envergure de leur surface d'attaque. Près de la moitié (43 %) admet même qu'elle est "hors de contrôle" et plus de la moitié (54 %) reconnaît que leurs méthodes d'évaluation ne sont pas assez sophistiquées.
Les RSSI doivent bénéficier d'une visibilité sur toutes les composantes de la surface d'attaque et utiliser ces informations pour évaluer en permanence l'exposition de leur entreprise aux risques. Mais surtout, ils doivent disposer d'outils adaptés pour prévenir, détecter et répondre aux menaces ciblant ces ressources, sans pour autant mobiliser des équipes de sécurité déjà très sollicitées.
Ceci est loin d'être évident, car la plupart des entreprises disposent d'outils hétérogènes, déconnectés entre eux, et parfois redondants, ce qui crée des silos de données et des carences de visibilité résultant en un volume important de faux-positifs.
Les équipes de sécurité doivent donc passer en revue toutes ces alertes, entraînant des retards dans la détection et le traitement des vulnérabilités les plus critiques. C’est précisément ce qui octroie davantage de temps aux cybercriminels pour lancer leurs attaques de l'intérieur.
Dans ce contexte, une approche basée sur une plateforme unifiée de cybersécurité présente de réels avantages. Cette plateforme unifiée offre une vue holistique de la surface d'attaque, permettant d'évaluer l'exposition aux risques et de déployer automatiquement des mesures correctives. Des alertes, moins nombreuses mais plus fiables, favorisent les gains de temps parmi les équipes de sécurité qui peuvent se consacrer à des tâches plus stratégiques. Une plateforme unifiée est également le moyen d’adapter la sécurité aux objectifs métiers : la gestion fastidieuse et onéreuse de multiples produits autonomes et cloisonnés n’est plus d’actualité.
Dans un monde où l'instabilité géopolitique a insufflé une nouvelle priorité dans la lutte contre les rançongiciels, il est temps de changer. Et ce changement passe par cette vision d’une plateforme de cybersécurité consolidée, performante et plus économique.