Une cybersécurité efficace est simple, mais pas facile

Une cybersécurité efficace est simple, mais pas facile

Prenez du recul et examinez le paysage de la cybersécurité. Il est évident que les attaques de logiciels malveillants sont à la hausse. Symantec a signalé que les scripts malveillants PowerShell avaient augmenté de 1 000% l’année dernière, tandis que les nouvelles vulnérabilités matérielles compromettent des millions de serveurs physiques.

Selon des experts, dont le Forum économique mondial (WEF), le manque de compétences en informatique continue de se creuser, ce qui entrave les efforts déployés par les humains pour défendre les réseaux d’entreprise. Cela se produit alors même que des technologies en développement telles que l’intelligence artificielle (IA) et l’automatisation promettent un avenir plus prometteur en matière de sécurité – tant que les entreprises ont la capacité d’intégrer ces outils sur des réseaux hérités et sur le cloud.

Il n’est donc pas surprenant qu’une attitude «verre à moitié vide» ait émergé autour d’une cybersécurité efficace. Help Net Security a indiqué que la majorité des responsables de la sécurité de l’information (RSSI) recherchaient des investissements plus importants en cybersécurité l’année prochaine pour réduire les risques et améliorer leur position défensive, mais la complexité croissante de l’informatique crée un mythe envahissant et persuasif: submergé par les contraintes budgétaires , les investissements dans les technologies, la formation des employés et les carences en talents en matière de sécurité de l’information, les entreprises concluent logiquement qu’une cybersécurité efficace est tout aussi complexe, perpétuant une sorte d’ennui d’infosec qui sabote même les efforts informatiques les plus ardus.

Voici la dure vérité: la cybersécurité reste simple – ce n’est pas facile. Le secret pour briser le mythe de la complexité informatique consiste à revenir à l’essentiel avec les trois piliers de la cybersécurité simple: visibilité, vulnérabilités et véracité.

Gardez l’informatique simple pour briser le mythe de la complexité

Ce n’est pas si choquant que les entreprises considèrent la cybersécurité comme un défi complexe et en constante évolution. Selon un récent sondage Dynatrace, 76% des directeurs informatiques “craignent que la complexité informatique ne leur permette pas de gérer efficacement les performances”. Combinez cette inquiétude au fil continu d’informations sur les violations de données, les vulnérabilités de code et l’évolution des vecteurs d’attaque et Il est facile de voir comment les RSSI et les professionnels de la sécurité de l’information sont convaincus que des solutions efficaces en matière de cybersécurité doivent être aussi complexes que les problèmes qu’elles résolvent.

En fait, le contraire est vrai. Comme le soulignait Bruce Schneier, spécialiste de la sécurité de renom, il y a 20 ans, dans son billet de 1999 intitulé «Un plaidoyer pour la simplicité», le «pire ennemi de la sécurité, c’est la complexité». Pourquoi? Plus un système ou un processus devient complexe, plus il est difficile de visualiser son fonctionnement, d’évaluer les points de défaillance potentiels et de s’assurer de son efficacité.

Cela semble contre-intuitif, mais donner la priorité à des stratégies de sécurité simples est le meilleur moyen de contrer les menaces de sécurité en évolution.

Commencez par la visibilité

La première ligne de défense contre des cyberattaques de plus en plus complexes? Visibilité. Après tout, vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Des centres de données sur site aux clouds privés, en passant par les offres publiques et les environnements mobiles, une visibilité accrue signifie toujours une sécurité accrue. Les processus qui masquent les lignes de mire, même dans le but de réduire les charges de sécurité ou de combiner plusieurs flux de travail, introduisent des éléments de risque.

Comme le souligne Dark Reading, pour revenir à l’objectif fondamental de la visibilité, il faut deux fonctions technologiques: des solutions passives capables de détecter de nouveaux appareils et des processus inattendus et des outils actifs qui interrogent régulièrement les services réseau pour détecter les problèmes potentiels. Examinez le concept du point de vue de la sécurité physique: les systèmes passifs ressemblent à des alarmes déclenchées par des événements spécifiques, tandis que les solutions actives s’appuient sur un personnel doté de la technologie pour surveiller régulièrement les bureaux et détecter les problèmes émergents.

Comprenez vos vulnérabilités

Le moyen le plus simple pour les attaquants d’accéder au réseau consiste à exploiter les vulnérabilités existantes dans les applications, les services ou le matériel. L’open-source est un vecteur de menace courant, car les vulnérabilités publiées et récemment découvertes peuvent fournir un accès privilégié aux acteurs de la menace avec un minimum d’effort. Comme Security Boulevard l’a souligné, entre 58 et 78% de tout le code des applications d’entreprise est maintenant open source. Les interfaces de programmation d’application (API) tierces et les services cloud mal configurés augmentent également le risque de vulnérabilité.

Où es-tu vulnérable? Pourquoi? Comment corrigez-vous cela? Répondre à ces questions simples améliore la cybersécurité. Trouver des vulnérabilités dans le code source, les API tierces et les solutions en cloud utilisées par les employés n’est pas simple, le concept n’est pas compliqué: déterminez où vous êtes vulnérable pour améliorer votre réponse.

Dans ce cas, les entreprises sont souvent mieux servies en externalisant la détection de vulnérabilité vers un fournisseur tiers de bonne réputation. Étant donné le grand nombre de vulnérabilités présentes dans des applications personnalisées, basées sur le cloud et à code source ouvert, tenter de les identifier, de les classer par catégorie et de les hiérarchiser en interne peut rapidement submerger même des équipes informatiques expérimentées.

Assurer la véracité des données

Est-ce que toutes les données correspondent? Les utilisateurs sont-ils ce qu’ils prétendent être? Les processus sont-ils légitimes dans leurs intentions et leurs appels de ressources? Les informations communiquées sur les critères d’évaluation sont-elles exactes pour le personnel? Ici, la vérité l’emporte: des données vérifiables et fiables réduisent considérablement le risque d’incident de cybersécurité.

Cependant, comme l’a souligné Datanami, 55% des données organisationnelles sont «sombres» – les entreprises ne savent pas qu’elles existent ou n’utilisent pas ces informations. Cela signifie également qu’ils n’ont aucun moyen d’évaluer efficacement son exactitude. Computer Weekly a noté que les nouvelles technologies telles que l’apprentissage automatique et l’intelligence artificielle allait conquérir le monde cette année, mais leur capacité à cataloguer les données disponibles et à découvrir leur équivalent sombre ne garantit en rien leur véracité.

Ici encore, la solution est simple mais pas facile. Une cybersécurité efficace dépend de la pratique très ennuyeuse de la gestion d’actifs – l’évaluation régulière et approfondie des sources de données communes, de leurs contrôles de sécurité et de la manière dont les utilisateurs interagissent avec elles au quotidien. Elles ne sont pas flashy et ne sont pas toujours rapides, mais en utilisant des approches fiables telles que le cryptage fort, l’authentification multifactorielle (MFA) et des mises à jour régulières du système, les organisations peuvent améliorer la véracité des données et réduire les risques globaux.

Des menaces complexes appellent des solutions simples

Les menaces croissantes pour la sécurité, les lacunes dans les compétences et les technologies émergentes contribuent à créer une culture de la complexité informatique, qui reste l’ennemi de la cybersécurité efficace. Les entreprises doivent simplifier leurs systèmes informatiques en exploitant une meilleure visibilité pour détecter davantage de vulnérabilités et en garantissant la véracité des données pour améliorer la sécurité des informations.