Pascal Le Digol, Country Manager France chez WatchGuard Technologies revient sur la trop grande confiance qui règne encore parfois chez les responsables de la sécurité des PME/ETI et les raisons pour lesquelles ils devraient toujours remettre en question leurs cyber défenses.
Une récente enquête d’IDG a révélé qu’un grand nombre de responsables informatiques estiment que la sécurité de leur réseau actuel est équivalente ou supérieure à celle de leurs concurrents, 48 % d’entre eux déclarant que la sécurité globale de leur réseau a « une longueur d’avance ».
Ces données indiquent que les équipes de sécurité sont souvent trop confiantes dans leur stratégie de sécurité et qu’elles peuvent donc s’exposer involontairement à des menaces, une situation susceptible d’entraîner des insuffisances en termes de visibilité, des configurations erronées, des angles morts, etc.
Si l’on ajoute à cela les risques découlant de l’évolution du paysage actuel, notamment le travail à distance, des effectifs dispersés et un nombre plus élevé que jamais d’endpoints connectés, cet excès de confiance peut être véritablement préjudiciable à toute organisation. Alors qu’est-ce qui provoque cet excès de confiance au départ ?
Trop petit pour intéresser des cybercriminels
De nombreuses organisations, en particulier les PME, ne se considèrent pas comme des cibles. Leurs dirigeants tiennent le discours suivant : « Je ne dirige qu’une petite entreprise. Je n’ai pas beaucoup de propriété intellectuelle. Qui me prendrait pour cible ? » Ils ne sont pas conscients que n’importe quelle entreprise, aussi petite soit-elle, possède des informations monnayables, notamment les données à caractère personnel de ses clients ou ses ressources informatiques, deux points de départ potentiels pour des attaques de plus grande envergure.
A lire aussi : [Coup de boost] Que peuvent faire les PME pour mieux vivre leur cybersécurité ?
Le manque de sensibilisation et de formation, un facteur déterminant
C’est le fameux scénario « on ne connaît pas ce que l’on ignore » à l’œuvre dans de nombreuses entreprises, notamment les PME, qui manquent souvent de ressources et d’expertise pour sécuriser efficacement un système. Lorsque la cybersécurité est laissée à l’équipe informatique (dans le meilleur des cas…), il peut exister un déficit considérable de connaissances et de formation dont les équipes ne sont pas toujours conscientes.
Les firewalls et les antivirus traditionnels suffisent à se protéger : c’est faux !
Tout firewall laisse toujours du trafic web et des emails pénétrer dans le système. Les entreprises ont besoin de services de sécurité réseau supplémentaires qui analysent et protègent le trafic web et de messagerie. De même, les antivirus utilisant les signatures ne bloquent que les logiciels malveillants connus. Or, les logiciels malveillants actuels sont mis en package en temps réel pour éviter les signatures. Des contrôles de sécurité des endpoints plus proactifs, comme la détection basée sur le comportement et les solutions de détection et de réponse aux menaces sur les endpoints (EDR), qui surveillent les logiciels malveillants déjà exécutés sur vos ordinateurs, sont indispensables.
Mais face à ce besoin évident de contrôles de la sécurité des endpoints, un autre problème se pose aux entreprises qui s’en remettent uniquement à la sécurité des endpoints. Cela ne suffit pas non plus. Par exemple, une bonne défense réseau peut aider à se protéger avant même que les menaces n’atteignent les endpoints. Plus important encore, de nombreux cybercriminels et logiciels malveillants tels que Wannacry et Petya s’appuient sur des tactiques de déplacement latéral pour infecter l’ensemble d’une organisation ou atteindre le système véritablement ciblé sur un réseau. Dès lors, si le réseau est conçu à plat sans segmentation interne, les cybercriminels et les logiciels malveillants pourront s’y déplacer librement et faire des ravages sur n’importe quel appareil de l’organisation. Mieux vaut plutôt exploiter les firewalls modernes ou les appareils de gestion unifiée des menaces (UTM) pour segmenter physiquement ou virtuellement (en réseaux VLAN) son réseau interne sur la base de divers modèles de confiance. On peut par exemple créer des réseaux sur lesquels chaque service possède son propre réseau, ou bien faire en sorte que les serveurs les plus sensibles et les plus importants se trouvent sur un réseau différent de celui des ordinateurs des utilisateurs normaux.
Au-delà des contrôles de sécurité, la configuration est également importante
Selon Gartner, jusqu’en 2023, 99 % des violations de firewall seront causées par une mauvaise configuration du firewall et non par des défauts de ce dernier. Tout serveur peut être renforcé et configuré de manière relativement sûre, mais cela signifie aussi qu’il est possible de mal configurer accidentellement les services réseau et de les rendre trop permissifs. De nombreuses violations passées sont le résultat de portails d’administration mal configurés : un administrateur avait laissé un portail ouvert à n’importe qui sur Internet, s’exposant ainsi à des risques inutiles. L’accès à ces portails ne doit être autorisé que via des mécanismes sécurisés de type VPN ou des listes de contrôle d’adresses IP minimales. Là encore, le manque d’expertise en matière de cybersécurité entraîne de mauvaises pratiques et un excès de confiance.
Par ailleurs, de nombreuses équipes informatiques adoptent des solutions ponctuelles disparates, « morcelant » leur infrastructure de sécurité. Ne connaissant pas les avantages des solutions intégrées et multicouches, elles ignorent probablement que l’utilisation de solutions multiples de divers fournisseurs peut créer d’énormes lacunes en matière de visibilité et laisser des portes grandes ouvertes aux attaques.
Pour remédier à ce faux sentiment de sécurité, je suggère toujours d’examiner l’ensemble du dispositif de sécurité d’une entreprise et de déterminer si les solutions fonctionnent bien ensemble. Imaginons une équipe informatique/de sécurité qui passe constamment d’une interface à l’autre, qui est constamment formée à de nouveaux fournisseurs et produits et qui perd du temps à gérer un éventail de solutions de sécurité. Il est temps pour elle d’envisager une approche unifiée. Elle gagnera en visibilité et en clarté, pour combler les lacunes d’une stratégie de sécurité fondée sur des solutions disparates. Une bonne plateforme unifiée ne se contente pas de regrouper les journaux et la gestion de tous ces contrôles de sécurité, elle met également en corrélation les données entre les différentes couches pour aider à identifier et éliminer les menaces potentielles qui auraient pu échapper à un seul contrôle.
Les professionnels de la sécurité se doivent d’afficher un léger scepticisme, d’adopter cet état d’esprit et de penser comme des hackers. Cela signifie se méfier des e-mails et des communications inhabituels, des fichiers envoyés et de tout ce qui semble sortir de la norme. Ce scepticisme les aidera à reconnaître certaines menaces avant qu’elles ne se concrétisent. Et surtout, il est important d’être tout aussi sceptique quant à sa propre défense. A-t-elle était testée empiriquement ? Dans le cas contraire, comment être si confiant ? Une petite dose de défiance permettra de démontrer réellement que ses défenses fonctionnent.
Ces quelques conseils et un accent mis sur la formation des utilisateurs, permettront d’éviter de tomber dans les pièges tendus par une confiance excessive dans sa stratégie de cybersécurité.