Lorsqu’elles discutent d’une stratégie de sécurité informatique appropriée, les entreprises souhaitent souvent répondre à une question : quelle stratégie de sécurité informatique d’entreprise est suffisante ? Pendant longtemps, beaucoup ont pensé qu’une stratégie passive (protection de l’environnement réseau et des postes de travail) suffirait.
Stratégie et sécurité informatique d’entreprise
Les stratégies passives fonctionnent bien avec les menaces massives : e-mails contenant des chevaux de Troie, phishing, vulnérabilités connues, etc. En d’autres termes, ces stratégies sont efficaces lorsque les attaquants ratissent large dans l’espoir que quelqu’un sautera dessus et en profitera. Votre entreprise est illégale, mais elle suit toujours la pratique commerciale consistant à établir un solde positif ; dans ce cas, l’équilibre entre la complexité de l’attaque (et son coût) et le profit que vous en attendez.
Il est fort probable que votre entreprise devienne une cible intéressante, surtout s’il s’agit d’une grande entreprise. Les criminels ciblant les entreprises peuvent s’intéresser à de nombreuses choses, telles que les transactions financières, les secrets commerciaux ou les données des clients. Ou ils peuvent simplement vouloir saboter votre entreprise pour aider la concurrence.
C’est là que les criminels commencent à investir dans des attaques complexes et ciblées. Ils examinent les logiciels que votre entreprise utilise et recherchent des vulnérabilités encore inconnues sur le marché pour développer des exploits spécifiques. Ils se frayent un chemin à travers des partenaires et des distributeurs et soudoient d’anciens employés. Ils peuvent même trouver des employés mécontents et tenter de lancer une attaque « d’initié ». Dans le « pire » des cas, les criminels peuvent même contourner entièrement les logiciels malveillants, en s’appuyant exclusivement sur des outils légitimes qu’une solution de sécurité traditionnelle ne classerait pas comme une menace.
Le risque d’une réaction tardive à la stratégie de sécurité informatique de l’entreprise
Les systèmes passifs peuvent détecter une attaque ciblée ou une activité qui lui est associée. Mais même si cela se produit, les systèmes ne détectent généralement que le fait qu’un incident s’est produit. Cependant, cela ne vous aide pas à déterminer rapidement ce qui s’est passé exactement, quelles informations sont affectées par l’incident, comment arrêter l’attaque et comment empêcher une autre attaque.
Si votre organisation utilise des outils traditionnels de sécurité des points finaux, le personnel de sécurité peut ne pas toujours être en mesure de répondre à une attaque en temps opportun. Vos mains sont liées en attendant qu’un cyberincident se produise et ce n’est qu’alors que vous pourrez commencer à enquêter. De plus, ils peuvent manquer un incident majeur parmi les centaines d’incidents mineurs qui font partie de l’entreprise.
Les analystes reçoivent souvent ces données beaucoup plus tard. Ce n’est qu’après une enquête approfondie, nécessitant généralement un travail manuel minutieux, que l’incident est transmis aux experts en intervention et en récupération. Même dans les grandes organisations dotées de centres de réponse accrédités, les trois rôles (spécialiste de la sécurité, analyste et expert en réponse) sont souvent assumés par la même personne.
Selon nos statistiques, il faut en moyenne 214 jours entre la pénétration initiale du système et la découverte par une grande entreprise d’une menace complexe. Dans le meilleur des cas, les experts en sécurité informatique peuvent identifier les traces d’une attaque même à la dernière seconde. Cependant, les pertes et la récupération du système sont généralement à l’ordre du jour.
Comment minimiser les risques et optimiser la stratégie de sécurité informatique de l’entreprise?
Une nouvelle approche adaptative est nécessaire pour protéger la propriété intellectuelle, la réputation et les autres actifs importants des organisations. Les stratégies de protection des terminaux et du périmètre du réseau doivent être adaptées et renforcées avec des outils de recherche active et une enquête et une réponse unifiées aux menaces de sécurité informatique.
Une bonne stratégie de sécurité informatique d’entreprise en matière de cybersécurité implique l’utilisation d’un concept de recherche active, également connu sous le nom de chasse aux menaces. Bien que cette tâche soit difficile, des outils spéciaux peuvent la rendre plus facile. EDR, Endpoint Detection and Response, est l’un de ces outils. Il donne au personnel de sécurité informatique la possibilité d’identifier rapidement les menaces, de recueillir des renseignements et de neutraliser une attaque via une interface unifiée. Les systèmes EDR utilisent des informations sur les menaces que les entreprises obtiennent de diverses sources pour contrôler les processus de leurs réseaux d’entreprise.
Théoriquement, la chasse aux menaces peut également être effectuée sans EDR ; cependant, la chasse aux menaces purement manuelle est beaucoup plus coûteuse et moins efficace. Mais ce n’est pas tout : cela peut avoir un impact négatif sur les processus métiers, car les analystes doivent intervenir directement dans le fonctionnement d’un grand nombre de postes de travail.
