Cybersécurité : comment se défendre contre les cybermenaces en 2020

La cybersécurité devrait être une priorité absolue dans chaque entreprise, et devrait donc avoir un responsable nommé par la direction générale. La fragilité de l’ère de l’information que nous vivons exige un contrôle fort, des outils adéquats et un personnel formé.

La sécurité de l’information consiste à assurer l’intégrité, la confidentialité et la disponibilité des informations, un concept traduit en anglais par l’acronyme ICA (Intégrité, confidentialité et disponibilité). Elle représente la capacité à se défendre ou à neutraliser les effets d’incidents tels que le bris de disques durs ou les cyber-attaques par des attaquants de divers types.

Dans cet article, nous verrons comment le monde de la cybersécurité a évolué au fil des ans pour comprendre quels sont les principaux risques qui menacent les personnes et les entreprises, et les principaux outils de défense pour mettre en place une stratégie de cybersécurité efficace.

Brève histoire de la cybersécurité

Le rôle de la cybersécurité a radicalement changé ces dernières années. Alors que les premiers virus ont été créés et se sont répandus presque à la blague, dans les années 1980, les pirates informatiques ont attaqué les systèmes pour défier les institutions et démontrer leurs capacités, dans les années 1990, il est devenu évident que les intrusions et les altérations des systèmes créer un réel préjudice économique.

Vous créez lois pour lutter contre la cybercriminalité en introduisant le concept de cybercriminalité et l’industrie de la cybersécurité s’épanouit. Dans les années 2000, l’internet offre de nouveaux moyens d’attaque et d’organisation. Des organisations telles que Anonymous et autres hacktivistes ont une motivation politique.

Depuis 2010, des attaques de plus en plus sophistiquées ont été lancées par les organisations criminelles qui ont mis en place des outils et des compétences de pointe ainsi que des ressources humaines importantes. Les États-nations créent également leurs propres structures d’attaque qui ciblent les entreprises, les organisations politiques et les infrastructures critiques des pays rivaux. Avec le Menaces avancées et persistantes (APT) l’ère de la cyberguerre…la guerre des réseaux.

 

En attendant, la révolution numérique touche toutes les activités privées, professionnelles et politiques: le cloud, le mobile, les applications et la société transforment la vie quotidienne, les modèles économiques et la communication politique, tout en ouvrant la porte au risque de vol de données sensibles, de chantage et de manipulation des opinions.

Des outils comme les données de grande taille, l’intelligence artificielle et sociales permettent à des entreprises et organisations peu scrupuleuses telles que Cambridge Analytics pour modifier les résultats des élections ou polariser les sociétés, tandis que des organisations obscures infiltrent l’infrastructure d’information de pays, d’organisations politiques et d’entreprises stratégiques. Les législateurs abordent ensuite la question de la vie privée et de la protection des services essentiels, en introduisant des règles telles que la RGPD et la directive NIS.

La sécurité de l’information dans le nouveau monde numérique

L’entrée dans le domaine de nouveaux attaquants très puissants, d’une part, et la complexité toujours croissante des outils et des applications à défendre, d’autre part, ont rendu obsolètes les contre-mesures de sécurité informatique adoptées jusqu’à il y a quelques années, qui étaient essentiellement concentrées sur deux points :

• Protéger le périmètre, avec pare-feu et équipement pour sécurité des réseaux qui a bloqué toute tentative d’accès au réseau de la société à l’extérieur ;
• Protection des points terminaux: antivirus et logiciel installés sur les PC et les serveurs pour les protéger de la logiciels malveillants.

Ces défenses continuent à être un premier bastion, mais elles ne sont plus suffisantes. Avec la tendance à « Apportez votre propre appareil » De nos jours, les gens gèrent les informations professionnelles sur une grande variété d’appareils (smartphones, tablettes, ordinateurs, appareils portables…) via différentes connexions réseau (réseau d’entreprise, ligne à domicile, téléphone portable, Wi-Fi public…) et utilisent – parfois de manière inappropriée – les services en nuage pour la sauvegarde, la collaboration et le partage de fichiers. Chaque entreprise doit donc construire une une stratégie de cybersécurité qui prend en compte de multiples facteurs en utilisant souvent des outils spécifiques qui doivent être contrôlés et coordonnés pour assurer une protection efficace. Voici quelques aspects de la sécurité informatique qui doivent être pris en compte.

Sécurité des infrastructures critiques

Les infrastructures critiques comprennent les systèmes physiques dont la société dépend, notamment le réseau électrique, les aqueducs, les réseaux de transport et les hôpitaux. Le fait de connecter une centrale électrique à l’internet, par exemple, l’expose à d’éventuelles cyberattaques. Pour l’État et les organisations, il est donc stratégique d’adopter des stratégies et des procédures de protection, ce qui se fait par le biais de la Directive NIS. Mais chaque entreprise devrait réfléchir à la manière dont une attaque contre cette infrastructure aurait pu les effets sur ses activités avec un plan d’urgence.

Sécurité des réseaux

Avec un périmètre désormais perméable et compte tenu du risque d’inconduite du personnel interne, la sécurité du réseau ne peut plus se limiter à bloquer les accès indésirables provenant de l’extérieur du réseau, mais doit également se préoccuper surveiller les comportements suspects et segmenter les ressources internes du réseau de manière granulaire par exemple, en ne permettant l’accès qu’aux personnes qui ont des raisons légitimes de les utiliser et en empêchant que la compromission d’une ressource ne constitue un risque pour le reste du réseau.

La segmentation nécessite parfois des compromis entre sécurité et commodité (l’ajout de logins supplémentaires peut ralentir les opérations mais est souvent nécessaire).

De nombreuses attaques, en particulier celles menées par des structures organisées, sont portées à la ressource la plus vulnérable d’un réseau, même si elles ne sont pas très importantes. Après avoir pris le contrôle, l’attaquant effectue des « mouvements latéraux » sur le réseau pour infecter les autres ordinateurs du réseau jusqu’à ce qu’il atteigne les systèmes les plus critiques. Il peut prendre mois ou même années avant qu’une entreprise ne se rende compte que ses systèmes ont été piratés. Mois pendant lesquels l’agresseur a pu acquérir des informations et des services de contrôle.

Les systèmes modernes de détection des menaces collectent généralement beaucoup de données. Les plus avancés sont capables de corréler les informations provenant de nombreux dispositifs de sécurité, du pare-feu aux journaux du serveur, du courrier électronique à l’antivirus de l’ordinateur, en les utilisant comme « capteurs » pour détecter les anomalies. De cette façon, beaucoup de données sont collectées et beaucoup de rapports erronés (faux positifs) peuvent être générés. C’est pourquoi des algorithmes d’intelligence artificielle capables de cataloguer et de hiérarchiser les alarmes sont utilisés, et les services suivants sont proposés Gestion de la détection et de la réponse externalisée, avec du personnel spécialisé dans l’évaluation des menaces.

Sécurité du cloud

Le transfert de la charge de travail des entreprises vers le cloud pose de nouveaux défis en matière de sécurité, par exemple :

• Le transfert d’informations sur des plateformes hétérogènes sur lesquelles vous n’avez pas le contrôle ou la connaissance totale ;
• La facilité avec laquelle des instances peuvent être créées par différents sujets peut entraîner des erreurs de configuration des machines virtuelles ;
• Dans certains cas, il est possible de créer des instances puis de les « oublier » ;
• La facturation variable combinée au provisionnement automatique peut avoir des conséquences imprévues sur les coûts informatiques ;
• Les attaques portées contre les fournisseurs, en particulier le PaaS et le SaaS, peuvent affecter la sécurité des clients.

Les fournisseurs de cloud computing créent de nouveaux outils de sécurité qui aident les utilisateurs professionnels à sécuriser leurs données, mais en fin de compte, une migration vers le cloud ne peut être une excuse pour déléguer la protection des données au fournisseur et éviter les contrôles de cybersécurité.

La cyber-sécurité spécifique au cloud est en train d’émerger. Certains outils installés dans l’entreprise ou également dans le cloud permettent de définir des politiques et des contrôles de sécurité appliqués à tous les services en nuage utilisés.

Sécurité des applications

La sécurité des applications (AppSec), et en particulier celle des applications web, a gagné en importance car elle est l’un des points les plus vulnérables ces derniers temps, mais peu d’organisations parviennent encore à atténuer de manière adéquate les principales vulnérabilités des applications, qui sont cartographiées par le cryptage des données stockées ou en transit sur le réseau.

La sécurité des applications commence par l’utilisation de pratiques de programmation sécurisées, dont les tendances les plus récentes sont les suivantes DevSecOps l’interprétation de la DevOps où la sécurité est prise en compte dès le début du projet de part et d’autre (développement et exploitation). L’un des problèmes des projets DevOps est que la rapidité d’exécution et les besoins des entreprises conduisent souvent à négliger l’aspect sécurité ou considérer qu’il s’agit de quelque chose qui ne doit être fait qu’au stade final. La sécurité des applications doit ensuite être vérifiée par des tests de pénétration.

Une attention particulière doit être accordée à la sécurité et à la gestion des applications mobiles, pour lesquelles des services spécifiques de gestion des applications mobiles.

Sécurité des données

Comme indiqué au début de l’article, la sécurité informatique peut être divisée en trois aspects de la protection des données :

Confidentialité : les données doivent être accessibles uniquement à ceux qui ont le droit de les connaître, et non à d’autres. En plus de la vérification de l’identité des personnes, cela peut se faire par le biais de la cryptographie de données stockées ou en transit sur le réseau.

Disponibilité : lorsque des personnes autorisées (ou le public dans le cas de sites et de services ouverts) en font la demande, les données doivent effectivement être communiquées en temps utile. Les menaces dans ce cas sont des attaques visant à saturer les ressources d’un serveur pour l’empêcher de fonctionner (Déni de service), contre lesquels il existe des défenses de réseau efficaces. Afin de protéger contre la perte de données stockées, même après des attaques de Ransomware, les structures et les politiques doivent sauvegarde.

Intégrité : les données ne doivent pas être effacées ou modifiées par quiconque n’y est pas autorisé, que ce soit lors de leur stockage ou de leur communication. Dans ce cas également, la cryptographie – et en particulier la branche de la signature numérique – peut s’assurer que le message n’a pas été altéré.

Gestion de l’identité des utilisateurs

Si, comme nous l’avons vu, l’authentification ne dépend plus de l’appartenance à un domaine de réseau, mais est spécifique à chaque ressource et application, l’identité de l’utilisateur doit être aussi certaine que possible – grâce à l’utilisation de l’authentification à plusieurs facteurs – mais aussi rapide et utilisable. Les systèmes d’authentification unique et les plateformes d’authentification fédérées peuvent garantir le bon fonctionnement et la sécurité.

Sécurité du courrier électronique

Des chevaux de Troie aux logiciels de rançon, en passant par des attaques moins techniques mais non moins dévastatrices comme le phishing (surtout dans sa variante « ciblée », la harponnage) ou des escroqueries avec lesquelles des personnes prétendant être des dirigeants de l’entreprise pousser les employés à prendre des mesures indésirables il existe de nombreuses cybermenaces qui utilisent le courrier électronique comme vecteur d’attaque.

Les systèmes antispam e anti-phishing offrent un premier niveau de protection, mais l’insécurité inhérente aux protocoles utilisés dans le courrier électronique, combinée à la faible diffusion des systèmes susceptibles d’améliorer sa fiabilité, tels que DMARC continuent à faire du courrier électronique l’un des points les plus vulnérables de l’entreprise.

Les solutions de protection du courrier électronique utilisent depuis peu le sandboxing pour analyser les effets d’une pièce jointe sur le système avant de la remettre au destinataire et combinent les informations contenues dans les métadonnées pour tenter de détecter les courriels suspects, en utilisant également des algorithmes d’intelligence artificielle.

La sécurité de la Internet des objets (IOT)

L’internet des objets inquiète les experts en sécurité pour l’hétérogénéité des systèmes à protéger et pour le manque de vigilance à l’égard de la cybersécurité qui a jusqu’à présent été mise en place par les fabricants de différents types de dispositifs, leur courte persistance sur le marché et la rareté des correctifs de sécurité.

Les préoccupations portent en particulier sur deux aspects peut-être contradictoires. D’une part, les systèmes de contrôle industriels pourraient être utilisés pour provoquer des défaillances ou créer des accidents catastrophiques sur les usines et les infrastructures. D’autre part, des équipements plus anonymes et apparemment inoffensifs pourraient être utilisés comme tête de pont pour percer un réseau et conduire ensuite à des attaques contre les systèmes centraux (un casino américain a subi une grave perte économique à la suite d’une attaque qui avait son point d’origine dans la thermostat d’aquarium présents dans la salle de jeu).

Deux risques supplémentaires sont l’accès non autorisé aux caméras et aux microphones qui peuvent être utilisés pour intercepter et surveiller le personnel de l’entreprise, ou le risque que les dispositifs IOT sont utilisés pour créer des botnets capables d’attaquer d’autres infrastructures informatiques, telles que le botnet Mirai.

Sécurité mobile

Les téléphones portables et les tablettes utilisés dans l’entreprise comportent des risques spécifiques. Ils sont souvent utilisés à la fois à des fins professionnelles et personnelles (s’ils ne sont pas directement détenus par l’employé), ils peuvent contenir des données exposées au risque de vol ou de perte, ils sont liés à un abonnement qui peut générer des coûts même importants et ne sont généralement pas perçus comme un outil informatique à protéger et à sauvegarder autant que le PC, ni par l’utilisateur, ni souvent par la fonction informatique.

Les systèmes de Gestion des appareils mobiles (MDM) permettre à la sécurité informatique de gérer les mises à jour et les installations de logiciels et de définir des politiques d’utilisation pour les parcs d’appareils portables sur différents systèmes d’exploitation.