Relever les grands défis de sécurité : se préparer à répondre aux menaces externes

Nous présentons une nouvelle série d’articles qui visent à mettre en lumière les principaux défis de sécurité rencontrés par les organisations et à donner des pistes pour les relever. Chacun de ces cinq articles ciblera un défi spécifique et vous aidera à trouver la ou les méthodes qui fonctionnent le mieux pour vous et répondent aux besoins uniques de votre entreprise.

Nous le savons, les besoins, les exigences, les contraintes budgétaires et la région d’implantation varient d’une organisation à l’autre. Les conseils que nous donnerons ici ne seront pas autant une marche à suivre formelle qu’une liste des options disponibles, avec leurs forces et faiblesses. Les organisations et les équipes d’administration pourront s’en inspirer pour développer la stratégie de sécurité optimale, afin de faire face aux menaces et aux attaques modernes qui ont le plus d’impact sur les opérations commerciales, les processus, les utilisateurs et, bien sûr, les données.

Dans l’article précédent, nous avons abordé les défis présentés par les risques commerciaux imprévus, comme les groupes de piratage informatique, les cibles de premier plan et les menaces internes, entre autres. Dans ce quatrième épisode, nous allons nous concentrer sur la préparation et la réponse aux menaces de cybersécurité provenant de l’extérieur de l’organisation :

• Attaques ciblées de régimes illibéraux
• Risque lié à l’utilisation d’appareils personnels
• Utilisation non autorisée de logiciels et de services au travail
• Menaces non découvertes au sein de l’infrastructure

Allons droit au but.

États illibéraux

Surveillance gouvernementale des citoyens. Contrôle totalitaire. « Big Brother. » Dans toutes les régions du monde, ces euphémismes décrivent des régimes illibéraux qui n’hésitent pas à financer des menaces. Cela n’implique en aucun cas que les dispositifs de surveillance qui veillent sur la population dans les lieux publics – autoroutes, centres commerciaux, transports en commun – représentent un abus de pouvoir. Non, nous disons simplement que tous les gouvernements ne reposent pas tous sur le même ensemble de principes, et que cela se traduit dans la perception qu’ils ont de leur population.

En matière de protection de la souveraineté, des programmes politiques différents produisent généralement des résultats différents. Les tactiques traditionnelles utilisées dans le monde entier sont étendues au domaine numérique : le cyberespace est le théâtre d’opérations d’espionnage, de sabotage et même de guerre à grande échelle (nous y reviendrons plus tard).

Qui est visé par les attaques des États illibéraux ?

En termes simples : n’importe qui peut être la cible d’une attaque soutenue par un État illibéral. Ils disposent d’importantes ressources : ils ont accès aux communications, aux équipements et aux meilleurs pirates. Les attaques des États illibéraux constituent également une menace importante pour les organisations, qu’elles aient des liens avec un gouvernement ou que leurs activités commerciales soient purement privées.

Quel est leur objectif ?

Ces types d’attaques ciblent généralement une série de vecteurs différents, mais elles poursuivent quelques objectifs principaux :

• Perturber ou saboter les opérations et les infrastructures
• Diffuser des informations erronées ou modifier des informations
• Obtenir des informations critiques (données confidentielles et sensibles)
• Empêcher les « lanceurs d’alerte » de dénoncer leurs actions

Quelles sont les cibles communes des attaques des États illibéraux ?

Même si n’importe quelle personne ou organisation peut se trouver dans la ligne de mire d’une attaque financée par un État illibéral, la motivation de ces attaques correspond généralement aux projets politiques d’un pays. Voici les cibles les plus courantes de ces attaques :

• Toute personne considérée comme une menace nationale : dissidents, journalistes et groupes qui s’expriment activement contre le régime ou mettent en lumière des injustices.
• Les infrastructures critiques : sociétés de services publics, institutions financières, organismes de communication et de santé
• Les cibles militaires : systèmes d’armement, bases de données d’informations et renseignements (plans, mouvements et emplacements).
• Les campagnes politiques : falsification des votes, ingérence électorale, sabotage de sites web gouvernementaux et privés

Comment les entreprises peuvent-elles protéger leurs actifs et leurs utilisateurs contre les attaques des États illibéraux ?

Les attaques financées par les États illibéraux ne doivent pas être sous-estimées. Avant tout, comme la plupart des cybermenaces, elles cherchent à exploiter les vecteurs d’attaque. Une fois le vecteur identifié, la violation de données peut survenir dans un laps de temps relativement court. Mais contrairement aux cyberattaques opportunistes, les attaques des États illibéraux sont souvent très bien financées et préparées : les groupes criminels ont accès à des outils puissants pour mener des opérations sophistiquées. En outre, même si le mobile est un thème central, il n’est pas indispensable. Les États illibéraux sont connus pour mener des cyberattaques sans objectif clair : faisant preuve d’une grande patience, ils collectent des renseignements avant de planifier des attaques – même si cela prend des années.

Les équipes informatiques et de sécurité doivent donc être conscientes qu’il n’existe pas de solution universelle capable d’atténuer toutes les menaces, surtout lorsqu’elles sont planifiées avec soin.

Votre meilleure option consiste à minimiser le risque d’être victime d’une attaque de ces États. Mettez en place une stratégie de défense solide et à plusieurs niveaux pour renforcer votre posture de sécurité et celle des appareils qui se connectent aux ressources de l’organisation. Par exemple :

• Avant toute chose, réalisez une évaluation des risques pour comprendre les menaces émanant des États illibéraux et les types d’attaques menées. Identifiez lesquelles de vos ressources sont à risque.
• Déployez et appliquez des configurations sécurisées sur vos appareils via votre solution de gestion des appareils mobiles (MDM) pour corriger les erreurs de configuration sur les appareils professionnels et personnels
• Mettez en œuvre un plan de gestion des correctifs qui garantit que les systèmes d’exploitation et les applications des appareils sont tous à jour.
• Intégrez un fournisseur d’identité (IdP) cloud à vos solutions de gestion et de sécurité pour sécuriser les workflows d’accès et étendre votre système d’autorisation et de protection à l’ensemble de votre infrastructure
• Imposez la MFA et le contrôle d’accès conditionnel sensible au contexte à tous les appareils, locaux et distants. Vous bénéficierez ainsi d’une protection sécurisée et véritablement évolutive sur n’importe quel réseau : c’est ce qu’on appelle l’accès réseau zero-trust (ZTNA)
• Surveillez la conformité des terminaux et transmettez les données de journalisation à votre solution SIEM pour obtenir un aperçu de l’état des appareils en temps réel
• Dans toute votre flotte, déployez une solution de protection des terminaux sur le réseau et sur l’appareil, alignée sur les cadres de sécurité pour prévenir les logiciels malveillants et minimiser les risques
• Recherchez et corrigez les menaces inconnues grâce à des analyses comportementales avancées pour identifier les comportements suspects et les malveillances avant qu’elles ne provoquent une violation
• Évaluez les partenaires de votre chaîne d’approvisionnement : ils doivent, eux aussi, prendre des mesures appropriées pour atténuer les risques de compromission tierce, et assurer la protection des terminaux à chaque étape du pipeline
• Diffusez les connaissances sur les cybermenaces grâce à des sessions régulières de formation des utilisateurs finaux, apprenez à vos équipes à identifier et arrêter les menaces d’ingénierie sociale

Usage professionnel des appareils personnels (BYOD)

Les programmes BYOD existent depuis un certain temps déjà. L’introduction de l’iPhone en 2007 a été le véritable déclencheur de l’essor prodigieux du smartphone moderne, et a favorisé son adoption généralisée pour les usages professionnels comme personnels.

De plus en plus d’utilisateurs ont adopté les appareils mobiles en raison de leur flexibilité, de leur simplicité d’utilisation et de leurs performances ; à côté d’eux, les ordinateurs portables sont bien plus encombrants. Ils ont également une autonomie plus faible, et doivent être rechargés après quelques heures d’utilisation seulement. Et nous ne parlons même pas de la diversité des systèmes d’exploitation et des types d’appareils, qui alourdit historiquement la tâche des équipes informatiques et de sécurité chargées de sécuriser les équipements et le réseau de l’entreprise.

Comment relever le défi de la prise en charge des appareils mobiles tout en maintenant votre posture de sécurité ? Avec la gestion des appareils mobiles (MDM).

La MDM, associée aux cadres de sécurité d’Apple, a entièrement transformé la gestion des appareils mobiles en proposant un cadre qui prend en charge la sécurité et la confidentialité des utilisateurs de bout en bout Des solutions comme Jamf Pro prennent entièrement en charge ces cadres fondamentaux d’Apple et les prolongent. La gestion de tous les modèles de propriété et la compatibilité avec les nouveaux OS le jour de leur publication fournissent une base solide permettant de gérer tous les appareils macOS, iOS, iPadOS et tvOS qui accèdent au réseau de l’entreprise, en toute sécurité.

En étendant les workflows de gestion et de sécurité à tous les appareils, qu’ils appartiennent aux employés ou à l’entreprise, les organisations limitent de nombreux risques :

• Configuration inadaptée ou absente
• Mises à jour de sécurité manquantes
• Applications et mises à jour critiques manquantes
• Fuites de données en cas de perte ou de vol
• Défauts de conformité liés à l’utilisation d’applications et de services non autorisés (Shadow IT)
• Traitement et stockage des données dans des volumes non sécurisés
• Communication sur des réseaux non fiables sans chiffrement
• Absence de code d’accès et donc de chiffrement de données
• Absence de surveillance et de collecte des données stratégiques sur l’état des appareils en temps réel
• Aucune possibilité de gestion par les équipes informatiques et de sécurité, empêchant d’atténuer efficacement les incidents

Et la liste ci-dessus est loin d’être exhaustive. Cela dit, la MDM peut faciliter l’intégration des appareils personnels des utilisateurs tout en préservant la sécurité des ressources de l’entreprise :

• Inscription initiée par l’utilisateur : les ressources professionnelles sont stockées dans un volume séparé et sécurisé, bénéficiant de protections d’entreprise. Les données personnelles de l’utilisateur sont dans un autre volume afin de préserver sa vie privée.
• Paramètres de verrouillage des appareils et installation de profils de configuration qui sécurisent la connectivité aux réseaux sans fil et aux ressources de l’entreprise
• Les appareils reçoivent toutes les mises à jour du système et de sécurité pour corriger les vulnérabilités
• Déployez des applications prises en charge et préconfigurées pour sécuriser les données et favoriser la productivité des utilisateurs
• Assurez la conformité aux normes de gouvernance d’entreprise et réglementaires grâce à la gestion basée sur les règles
• Mettez en œuvre des identifiants Apple gérés pour l’usage professionnel, parallèlement aux identifiants Apple classiques à usage personnel, afin de sauvegarder les données et les paramètres dans le cloud.
• Activez des fonctionnalités pour renforcer la sécurité : exigez des codes d’accès et le chiffrement des volumes
• Utilisez le catalogue Self Service d’applications professionnelles pré-approuvées pour autonomiser les utilisateurs tout en déployant les services indispensables, comme le ZTNA qui sécurise l’accès à distance aux ressources de l’entreprise.
• Intégrez les solutions MDM et de sécurité des terminaux pour surveiller l’état des appareils en temps réel et mettre en place des workflows de correction automatisés.
• Prévenez activement les menaces, tant sur l’appareil que sur le réseau, pour protéger les équipements en permanence

Shadow IT

Dans la section précédente, nous avons parlé des défis du BYOD. Le BYOD est parfois assimilé au Shadow IT, mais en réalité, un programme BYOD bien encadré atténue la menace du Shadow IT. Cela dit, le Shadow IT ne se limite pas à l’utilisation professionnelle d’appareils non pris en charge. Il concerne également l’utilisation d’applications et de services qui n’ont pas été approuvés par les équipes informatiques et de sécurité pour la consultation, le traitement, le stockage ou la transmission des données de l’entreprise.

Le Shadow IT n’est pas intrinsèquement malveillant ; il émerge généralement lorsque les utilisateurs finaux, frustrés par le manque de convivialité des applications et services officiels de l’entreprise, choisissent d’utiliser un meilleur matériel et des logiciels plus efficaces. Ils cherchent simplement à rester productifs et à ajouter de la valeur à leur travail au lieu d’en perdre.

Comme souvent dans le domaine de la sécurité, un outil n’est qu’un outil. Ce qui définit s’il est malveillant ou non, c’est l’intention de l’utilisateur qui l’utilise. Mais dans le domaine de la cybersécurité, l’intention n’est pas le seul déterminant du risque. Un utilisateur peut, sciemment ou non, introduire un risque qui, lui, sera souvent associé à une intention.

L’objet de cet article n’est pas de déterminer si une intention est malveillante ou non, mais plutôt d’identifier les facteurs de risque posés par le Shadow IT. Surtout, nous voulons vous aider à les atténuer efficacement afin de renforcer la posture de sécurité de votre organisation.

C’est une menace qui peut se chiffrer entre 3,08 et 5,02 millions de dollars, selon le Rapport sur le coût des violations 2022 d’IBM, qui conclut que « les adversaires ont profité d’erreurs de configuration et de vulnérabilités qui, pour beaucoup, n’avaient pas été détectées parce que les employés utilisaient des services non autorisés. »

Comment les entreprises peuvent-elles protéger ce qu’elles ne connaissent pas ?

En acceptant le Shadow IT, tout simplement.

Soyons clairs, il ne s’agit pas d’autoriser les utilisateurs finaux à utiliser n’importe quel outil sans supervision. On ne parle pas non plus de renouer avec les contrôles extrêmement étroits en vigueur à la fin des années 90 et dans les années 2000. L’idée est plutôt de tirer parti d’outils de sécurité modernes, de pratiques et de procédures plus souples, tout en protégeant les ressources de l’entreprise contre les accès non autorisés.

Comment protéger les actifs contre les menaces du Shadow IT ?

La première étape consiste à comprendre pourquoi les utilisateurs se tournent vers le Shadow IT, quelles ressources sont utilisées et pourquoi elles semblent meilleures que celles de l’organisation. Forte de ces informations, l’entreprise comprendra mieux quels risques le Shadow IT introduit, et pourra répondre à la question de départ : comment mieux protéger les actifs.

Bien ! Maintenant que je sais quoi protéger et pourquoi, comment dois-je m’y prendre ?

Si l’on vous suggère d’adopter le Shadow IT, c’est parce qu’il faut comprendre qu’il ne suffit pas de dire aux utilisateurs finaux qu’ils ne peuvent pas utiliser tel appareil, telle application ou tel service. Lorsqu’il s’agit de sécurité des données, ne vous contentez pas de croire quelqu’un sur parole : donnez-vous les moyens de vérifier et d’appliquer que des protections pour atténuer activement les menaces.

Pour cela, misez sur une stratégie à plusieurs niveaux pour protéger efficacement les ressources tout en offrant la flexibilité que les utilisateurs attendent (et requièrent) pour être productifs.

• Mettez en œuvre des programmes de choix ou de BYOD encadré pour permettre aux employés de travailler avec leurs technologies préférées, tout en sécurisant les configurations grâce à la solution MDM de l’entreprise pour gagner en visibilité et en sécurité.
• Alignez le Shadow IT sur les normes et les protocoles de l’organisation : déployez des technologies de sécurité des terminaux qui s’intègrent à la gestion et à l’identité pour une protection globale des appareils, des utilisateurs et des données.
• Faites évoluer les protections de sécurité. Par exemple, adoptez une solution d’accès réseau zero-trust (ZTNA) pour protéger les ressources de l’entreprise contre les accès non autorisés et les appareils compromis. Le ZTNA vérifie les informations d’identification des utilisateurs et l’état des terminaux à chaque demande d’accès pour minimiser l’exposition et les fuites de données.
• Établissez des critères matériels et logiciels pour autoriser l’accès aux ressources protégées de l’entreprise : exigez, par exemple, le chiffrement sur l’appareil et sur le réseau.
• Rationalisez les opérations, traitez en priorité les actifs informatiques qui offrent le plus grand bénéfice en termes de sécurité des terminaux, des utilisateurs et des données. Adaptez-vous aux besoins des équipes en télétravail et réduisez vos coûts en éliminant les ressources obsolètes et inefficaces.

Recherche des menaces

La protection des terminaux tombe sous le sens. Quand on pense à la sécurité des appareils, ce sont les logiciels malveillants qui viennent le plus souvent à l’esprit. Et ils restent en effet l’une des principales menaces pour la cybersécurité. Les solutions de protection des terminaux offrent une excellente couche de sécurité contre les menaces connues, mais leurs analyses comportementales s’appuient généralement sur des valeurs de signature.

Et, vous le savez bien, cela ne suffit pas. Une autre menace se cache au cœur de vos appareils, enfouie sous les lignes de code des applications installées dans l’OS. Ces menaces inconnues attendent leur heure et rassemblent autant d’informations que possible sur les opérations de votre entreprise avant de frapper.

La citation très sage de Jonathan Raymond résume parfaitement ce sentiment : « Vous ne pouvez pas protéger ce que vous ignorez. Vous ne pouvez pas connaître ce que vous n’avez pas encore découvert. » Mais c’est la deuxième phrase qui invite les équipes informatiques et de sécurité à assouvir leur curiosité en posant une question essentielle : comment faire pour découvrir – et donc connaître – ce qu’on ignore ?

La réponse à cette question : la recherche des menaces.

Comme on l’a vu précédemment, tous les acteurs malveillants ne se comportent pas de la même manière. Leurs actions sont aussi différentes que leurs cibles. Si certains utilisent leurs outils pour profiter des opportunités qui se présentent, d’autres élaborent soigneusement des plans à long terme, surveillent les cibles pendant de longues périodes, stockent des données et les utilisent pour peaufiner leur attaque et frapper au moment le plus opportun. Et si l’occasion ne se présente pas, ils s’efforcent de la créer.

Les deux approches sont aussi dangereuses pour la sécurité d’une entreprise, mais la seconde représente une menace à long terme qui peut persister bien au-delà de l’attaque elle-même. Soyons honnêtes : il y a de quoi inquiéter les équipes informatiques et de sécurité. Mais cela leur donne également une opportunité : celle d’arrêter les attaques avant qu’elles n’aient des conséquences catastrophiques, comme une violation de données.

Avec la recherche des menaces, le prédateur devient la proie. Les menaces présentes sur les appareils de l’entreprise doivent être traquées et éliminées par une équipe de professionnels de l’informatique et de la sécurité. Ils vont consacrer du temps et des ressources à la collecte et à l’analyse des données télémétriques pour identifier le moindre écart par rapport aux bases de référence. Et quand ils auront trouvé ces menaces invisibles, ils vont les atténuer dans le cadre d’un plan de défense en profondeur.

Les équipes dédiées à la recherche des menaces peuvent être de n’importe quelle taille et rassembler des professionnels de toutes les branches de l’informatique. On y retrouve souvent des experts en science des données ou en programmation et du personnel de sécurité chevronné. Mais l’évolution des outils de cybersécurité a permis à des équipes plus réduites, sans expérience ni expertise spécifique, de mener des activités de recherche des menaces pour éliminer les menaces inconnues tapies dans l’infrastructure de votre organisation.

Une fois que vous avez formé votre équipe de recherche des menaces, plusieurs activités lui permettront d’atteindre ses objectifs :

• Surveillance constante et en temps réel de l’état des appareils
• Utilisation du machine learning (ML) avancé et des moteurs de threat intelligence pour aider les équipes à détecter et corriger les menaces en analysant des volumes de données importants et complexes
• Transmission des journaux des terminaux au SIEM pour produire des rapports granulaires et obtenir des informations centralisées sur les menaces, les applications à risque, les comportements suspects et les processus système
• Normalisation des postures de sécurité des appareils et des réseaux par la création de bases de référence. Vous renforcerez la conformité des appareils en appliquant des cadres de sécurité comme MITRE ATT&CK, NIST et CIS.
• Combinaison de méthodologies analytiques, situationnelles et de renseignement pour atteindre un haut niveau de cohérence et d’évolutivité. Votre sécurité sera ainsi capable de s’adapter aux évolutions futures tout en gagnant en efficacité.