Les 5 piliers d’une cybersécurité efficace

juillet 2019 par David Clarys, NewTech Manager Europe du Sud chez Exclusive Networks
Au Moyen-Âge, l’attaque d’un château-fort avantageait la défense. Du haut des
remparts, on pouvait observer les assaillants de loin. Ils ignoraient la structure des
fortifications. Quant à elle, l’architecture bien connue du château-fort par les défenseurs
brisait de nombreuses stratégies d’attaque. Mais depuis que les citadelles sont devenues
numériques, les batailles cyber sécuritaires, à l’inverse avantagent nettement les
attaquants et désarment les défenses.

Bien souvent, les défenseurs ignorent leurs failles. Les fortifications d’Internet sont
devenues floues depuis l’arrivée des nouveaux systèmes d’information. Les menaces sont
moins visibles. Surtout, il est possible pour un attaquant de frapper par un point A, puis
par un point B le lendemain, en n’éveillant jamais les soupçons. Dans un contexte où l’on
manque énormément de visibilité, comment contrer ces menaces ? 5 piliers
indispensables à mettre en place :

1 - La sécurité périmétrique
Dans un monde informatique sans périmètre où les frontières sont devenues plus floues,
la sécurité périmétrique reste toujours le premier rempart à mettre en place. C’est un
prérequis essentiel dont on ne peut faire l’économie. Elle consiste à protéger la frontière
externe de l’entreprise des menaces extérieures pour éviter ou limiter les infections
(malwares, cheval de Troie, etc.). Les réflexes de base à adopter sont de bien
paramétrer ses firewalls et d’être très sélectif et granulaire dans les autorisations de flux.
2 - La sécurité Endpoint
Elle permet de combattre directement l’infection une fois détectée grâce à des antivirus
ciblés. Auparavant, la capacité de détecter des virus était une activité relativement facile,
il suffisait de comparer ces virus à des bases de signatures prédéfinies. Aujourd’hui, de
nouveaux malwares ont pris le relai et sont capable de « muter » afin d’éviter d’être
détecté. On voit aussi des États Nations développer des virus « intraçables » car utilisant
des failles encore inconnues. Face à ces menaces invisibles, les entreprises doivent se
doter de solution de type Endpoint Detection and Response - EDR. Comparer des
signatures n’est plus suffisant. Depuis, beaucoup de mécanismes ont été inventé, dont
l’analyse comportementale, du machine learning en pre-execution, du sandboxing, qui se
révèlent plus efficaces dans la détection des nouvelles menaces.
3 - La détection de menaces sur le réseau
Si la sécurité Endpoint et périmétriques sont indispensables et gèrent autant les
frontières externes et internes du système d’information ; on sait bien, qu’elles sont
insuffisantes sans une approche d’analyse côté réseau. La sécurité sur le réseau, consiste
à détecter des comportements non conventionnels et retrouver les traces d’un attaquant
sur le réseau de l’entreprise (logs, données, IA, etc.).
Elle se fait surtout à l’aide d’outils à base d’intelligence artificielle et de machine learning
qui sont capables d’écrémer et de ressortir des informations suspectes dans un lot
gigantesque de données grâce à l’automatisation. La prise de décision finale reste à
l’appréciation d’un humain, mais qui aura gagné énormément de temps sur sa prise de
décision et la collecte d’informations.

4 - L’Active Directory
L’Active Directory ou l’annuaire d’entreprise comme partie intégrante d’une attaque, est
largement sous-estimé. Et par conséquent, il est sous protégé alors que les
cyberattaques suivent généralement le même schéma. Après avoir franchi les défenses
périmétriques, les hackers ciblent le coeur de l’entreprise. L’Active Directory leur permet
d’avoir accès aux comptes de l’ensemble de l’entreprise, administrateurs et grands
patrons compris. Le but ? S’emparer des comptes à hauts-privilèges pour pouvoir, par
exemple, diffuser un ransomware à l’ensemble de l’entreprise.

5 – La sensibilisation des utilisateurs

On dit souvent que les failles sécuritaires modernes se situent toujours entre l’écran et le
clavier. C’est vrai. Les scénarios se suivent et se ressemblent. Monsieur tout le monde
prend possession de son ordinateur, ouvre ses mails, clique sur une pièce jointe et
contamine son entreprise. En effet, l’être humain demeure le premier facteur d’infection.
En conséquence, chaque entreprise doit réduire les risques liés aux mauvais
comportements des utilisateurs. La solution est simple : former les mauvais élèves
« clique à tout » grâce à des mises en situations, questionnaires ou vidéos interactives.
La réalité est simple : il est difficile d’être proactif en défense et de devancer les
attaques. La cybersécurité a souvent un temps de retard par rapport aux nouvelles
menaces. C’est presque toujours face à de nouvelles attaques que la défense réagit et
adapte ses systèmes de défense. D’où la nécessité dans ce contexte, d’assurer a minima
ces arrières avec ces piliers, de sensibiliser et de réaliser un important travail de veille
technologique pour limiter les pots cassés.