Mettez-vous les infrastructures critiques en danger ?

30 mars 2023
Henrik Smit
Directeur CyberOps
Mettez-vous les infrastructures critiques en danger ?

Le danger de négliger la cybersécurité de votre organisation

En mars 2021, le cargo Ever Given a bloqué le canal de Suez pendant près d'une semaine, ce qui a eu un impact considérable sur l'infrastructure des conteneurs. Les livraisons de marchandises ont été interrompues dans le monde entier, car 10 % de l'économie mondiale passe par ce canal. Dans l'ensemble de la chaîne d'infrastructure de livraison, l'impossibilité de passer par le canal de Suez peut sembler une petite interruption, mais en fait, ce seul goulot d'étranglement retenait jusqu'à 10 milliards de dollars de marchandises par jour.

Vous vous demandez peut-être quel est le lien avec la cybersécurité et les infrastructures critiques. Tout comme dans une chaîne de livraison, la cybersécurité des infrastructures critiques est aussi forte que son maillon le plus faible. Nous entendons souvent ce cliché, mais avez-vous déjà pensé que vous pourriez être le maillon le plus faible d'une chaîne d'infrastructures critiques ?

Il n'est peut-être pas naturel de penser que votre organisation fait partie des infrastructures critiques. Cependant, il y a de fortes chances que vous soyez un fournisseur et que vous fassiez partie d'une grande chaîne reliée à des infrastructures critiques. Il est peut-être encore plus difficile de se considérer comme le maillon le plus faible de la chaîne d'approvisionnement, mais vous pouvez être sûr que les attaquants font cette analyse. Les cibles jouissant d'une grande visibilité sont généralement plus difficiles à attaquer, car leur niveau de maturité cybernétique est généralement très élevé. Par conséquent, les attaquants chercheront d'autres voies pour atteindre les cibles à haute visibilité, et votre organisation peut se trouver entre les deux.

Quelles mesures pouvez-vous prendre pour vous assurer que votre organisation n'est pas le maillon le plus faible de la chaîne des infrastructures critiques ?  

Dans la pratique, nous avons observé que de nombreuses organisations dépendent fortement de leurs systèmes informatiques et OT, mais ne sont pas sûres de surveiller les bons indicateurs d'une attaque. Par conséquent, elles ne savent pas si elles peuvent détecter une attaque réelle et - pire encore - elles peuvent ne pas se rendre compte qu'elles ont déjà été compromises. Par conséquent, la première réaction des équipes de sécurité est de rechercher "PLUS" : plus d'outils, plus de surveillance, plus d'informations et plus de personnel. Cependant, cette approche conduit souvent à une plus grande confusion, à plus de bruit et à l'épuisement du personnel. Il est clair qu'il est nécessaire de prendre des décisions plus rentables en matière d'outils, en combinaison avec les capacités existantes.  

Chez KPMG, nous comprenons les défis auxquels les organisations sont confrontées avec les capacités existantes et les objectifs cybernétiques futurs. C'est pourquoi nous avons développé notre approche d'observation efficace de la sécurité (ESO) pour vous aider à identifier les vulnérabilités, à renforcer les défenses et à améliorer votre posture de sécurité - en résolvant le puzzle de vos opérations de sécurité grâce à l'optimisation de votre paysage de sécurité. Pour en savoir plus sur la façon dont l'ESO peut bénéficier à votre organisation et obtenir une vision plus approfondie de votre cybersécurité, téléchargez notre livre blanc et discutez avec l'un de nos spécialistes.

Certains de ces spécialistes ont également présenté Vectra AI et KPMG ont co-organisé un webinaire le 8 mars pour sensibiliser aux cyber-attaques qui menacent les infrastructures critiques. La discussion a porté sur les risques que les cyber-menaces font peser sur les organisations et les infrastructures critiques, et a présenté comment notre approche ESO, alimentée par Vectra AI, peut bénéficier à ces organisations. Le webinaire a également été l'occasion d'apprendre comment le public perçoit le paysage des menaces et leur posture de sécurité, et d'identifier leurs points de douleur communs. Dans cet article de blog, nous partageons les résultats du webinaire et discutons des implications des conclusions.

La montée des cybermenaces visant les infrastructures critiques : quelles sont les principales préoccupations ?

Notre premier objectif était de déterminer quel type d'attaque préoccupe le plus le public. Les menaces les moins préoccupantes sont les attaques phishing et les menaces individu , ce qui est intéressant car ces attaques sont souvent interconnectées et ne sont pas facilement détectées par les outils de sécurité de manière isolée. Par exemple, phishing peut être utilisé comme méthode d'accès initiale, menant potentiellement à une menace persistante avancée (APT) qui installe un ransomware. Il est important de noter que les menaces APT et individu représentent des catégories de cybercriminels, tandis que phishing et les ransomwares sont des techniques plus liées aux attaques. Néanmoins, les ransomwares et les APT sont les attaques les plus préoccupantes : la moitié des participants les ont mentionnées.

Un autre point fascinant est que ces attaques sont liées les unes aux autres mais perçues différemment. Par exemple, les APT peuvent utiliser des attaques phishing ou même des menaces individu pour obtenir un accès initial et peuvent continuer avec l'installation d'un ransomware comme objectif final. Cependant, les APT et les ransomwares peuvent être perçus comme plus menaçants pour les organisations en raison de leur impact plus important. De plus, ils évoluent constamment et peuvent facilement passer inaperçus sans la visibilité et les outils adéquats. C'est pourquoi l'ESO exploite l'Attack Signal IntelligenceTM de Vectra AI, qui se concentre sur le comportement des attaques : détecter les attaques inconnues qui se propagent dans l'environnement, et donc être en mesure de détecter ces menaces et d'apaiser les inquiétudes. Dans le même temps, le triage et la hiérarchisation pilotés par l'IA permettent de réduire la surcharge d'informations et de consolider les options pour une utilisation plus efficace des outils.  

Toujours sur le thème des cyberattaques, nous avons cherché à savoir si notre public avait observé une augmentation de la fréquence des attaques au cours de l'année écoulée. La conclusion était évidente : de nombreuses personnes travaillant dans des infrastructures critiques ont remarqué une augmentation des cybermenaces ciblant leur environnement. S'il est essentiel d'être conscient de l'évolution du paysage des menaces, cela ne suffit pas. Les organisations doivent également se préparer à faire face à ces défis, un sujet que nous aborderons plus en détail dans la suite de ce blog.

Numérisation, personnel et posture de sécurité - où en sont les organisations ?

Si l'on considère à la fois l'objectif et le motif des cyberattaques, l'un des objectifs les plus courants, souvent alimenté par des incitations économiques, est de perturber la continuité d'une organisation. Les organisations les plus vulnérables à ces attaques ont tendance à s'appuyer fortement sur des processus numérisés. C'est pourquoi nous avons voulu évaluer la dépendance de notre public à l'égard de la numérisation.

Nous avons découvert que la majeure partie de notre public s'appuie sur des processus de production numérisés. La numérisation est cruciale pour les infrastructures critiques et non critiques, en particulier à la lumière de l'essor actuel de la transformation numérique. Reconnaître les motivations des cyberattaques peut aider les organisations à mieux comprendre les menaces potentielles et à s'y préparer.

Chez KPMG et Vectra AI, nous avons observé l'importance de la numérisation au sein de la base d'installation de nos clients. Cela nous a amenés à examiner dans quelle mesure l'ensemble de l'organisation, et pas seulement le conseil d'administration, est impliqué dans la définition de la stratégie de sécurité. Dans le paysage actuel, les technologies de l'information et la cybersécurité doivent être pertinentes pour tous les membres d'une organisation, du conseil d'administration aux employés individuels, et garantir que les voix des RSSI et des autres professionnels de la sécurité sont entendues et prises en compte dans l'ensemble de l'organisation.

Nos résultats révèlent que le conseil d'administration est toujours impliqué dans la définition de la stratégie de sécurité des organisations de nos participants, mais avec un degré d'implication variable. Cependant, dans un cas sur trois, l'implication du conseil dans ces décisions est limitée. L'implication du conseil d'administration dans les décisions relatives à la cybersécurité devient encore plus critique si l'on tient compte des réglementations et directives à venir telles que NIS2, DORA. La cybersécurité doit être une priorité absolue pour le conseil d'administration et les équipes de sécurité afin de garantir une approche solide et complète de la posture de sécurité de l'organisation.

Les règlements et directives à venir soulignent la nécessité de mettre en place des stratégies et des politiques globales en matière de cybersécurité. Cet objectif ne peut être atteint qu'avec la participation active de l'ensemble de l'organisation, y compris le conseil d'administration. En veillant à ce que le conseil d'administration soit pleinement impliqué dans les décisions relatives à la cybersécurité, il sera possible de mettre en place un dispositif de sécurité plus solide et de démontrer la conformité aux exigences réglementaires en constante évolution.

Ainsi, lorsque l'on considère les conséquences potentielles d'une cyberattaque réussie, telle qu'un ransomware, il est essentiel que les dirigeants de l'organisation répondent à des questions clés, notamment : Quelles sont les prochaines étapes après une attaque ? L'organisation est-elle prête à payer la rançon ? Dans l'affirmative, quel en est le montant et qui est autorisé à négocier ? Quel niveau de risque l'organisation est-elle prête à accepter et où se situe la limite ?

Pour rester dans le domaine des personnes, nous nous sommes également demandé comment la charge de travail des professionnels de la sécurité et de l'informatique avait évolué au cours de l'année écoulée et si cela avait eu une incidence sur la position des organisations en matière de sécurité. La majorité des répondants ont indiqué que la charge de travail des professionnels de la sécurité et de l'informatique avait augmenté. Cette situation est préoccupante, car l'augmentation de la charge de travail entraîne généralement des lacunes en matière de sécurité et/ou une certaine lassitude du personnel. Seules quelques organisations ont constaté que le niveau de la charge de travail était resté à peu près le même, sans impact sur la posture de sécurité, et aucune d'entre elles n'a fait état d'une diminution.  

Les organisations devraient s'efforcer de rendre le travail de l'équipe de sécurité plus efficace et donc de réduire la charge de travail, ce qui n'est le cas dans aucune de ces situations. Notre objectif avec Vectra AI et ESO est de rendre les processus de détection plus efficaces et de se concentrer sur les économies de temps et d'argent. Il est important que les organisations sachent sur quoi se concentrer et quels changements elles doivent apporter à leurs processus pour faciliter une meilleure posture de sécurité - et c'est exactement ce que nous facilitons avec notre approche ESO.  

Face à la cybermenace, les organisations sont-elles prêtes ?

Pour proposer notre approche aux organisations, nous devons d'abord comprendre leurs capacités actuelles. Pour évaluer le niveau de sécurité global du public, nous avons posé la question de l'efficacité de l'organisation à répondre aux cybermenaces : Savez-vous dans quelle mesure votre organisation est efficace pour répondre aux cybermenaces ?  

En gardant cette question à l'esprit, nous avons remarqué que les organisations participant au webinaire reconnaissaient qu'il pouvait y avoir des lacunes dans leur capacité à répondre à certaines attaques. C'est normal, car il est difficile de se préparer à des attaques inconnues en raison du manque de visibilité et des lacunes dans l'environnement d'une organisation. En outre, aucune des personnes interrogées n'a répondu qu'elle n'était pas préparée, ce qui montre qu'elles sont toutes conscientes des cybermenaces et de la nécessité de mettre en place des mesures.  

Cependant, penser n'est pas la même chose que prouver - ce qui nous amène à nous demander comment les organisations quantifient l'efficacité de leurs professionnels de la sécurité dans la gestion des cybermenaces.

Notre enquête montre qu'une organisation sur quatre ne mesure pas l'efficacité de ses processus de gestion des cybermenaces, ce qui signifie qu'elle ne peut pas évaluer avec précision son niveau de sécurité. Il s'agit là d'un résultat inquiétant, car il confirme notre idée selon laquelle le fait de penser que l'on est efficace ne signifie pas que l'on puisse en apporter la preuve.  

Enfin, nous avons voulu savoir comment le public perçoit l'évolution du paysage des menaces pesant sur les infrastructures critiques au cours de l'année écoulée. Le public partage nos préoccupations concernant les attaques contre les infrastructures critiques et reconnaît qu'elles représentent une cible réelle pour les cyberattaques. Implicitement, ils sont conscients qu'ils doivent être préparés à ces attaques, mais comme nous l'avons montré précédemment, cela ne signifie pas qu'ils le sont.  

Améliorez votre posture de sécurité avec ESO et Vectra AI

En examinant toutes les réponses, nous observons une tendance générale parmi ces organisations qui est conforme à nos attentes : alors que les organisations sont conscientes des menaces auxquelles elles peuvent être confrontées, la plupart d'entre elles reconnaissent qu'il y a des lacunes dans leur capacité à y répondre. En outre, l'augmentation de la charge de travail des professionnels de la sécurité et de l'informatique semble être une approche commune, mais comme nous l'avons mentionné plus haut, cette approche est largement inefficace et, dans la plupart des cas, ne conduit pas à une amélioration de la posture de sécurité. La question est donc la suivante : quel est le meilleur moyen de combler ces lacunes ?  

Notre approche pour résoudre ces problèmes est l'observation efficace de la sécurité (ESO). Grâce à l'ESO, les organisations obtiennent la bonne visibilité de leur environnement informatique et rendent leurs processus plus efficaces en sachant sur quoi se concentrer. La plateforme Vectra AI s'inscrit donc parfaitement dans les objectifs de l'ESO grâce à son Attack Signal IntelligenceTM (ASI), conçu pour détecter les menaces qui échappent aux solutions de sécurité traditionnelles. Grâce à l'ASI de Vectra AI, l'ESO peut :

  1. Couverture de la surface d'attaque : suppression des menaces inconnues sur quatre des cinq surfaces d'attaque ( Cloud, SaaS, Identité et Réseaux) sans avoir recours à des agents.
  2. Clarté avec Attack Signal Intelligence - utilisation de la détection pilotée par l'IA pour penser comme un attaquant, du triage piloté par l'IA pour trouver ce qui est malveillant et de la hiérarchisation pilotée par l'IA pour savoir ce qui est urgent.
  3. Contrôle intelligent avec des opérations pilotées par l'IA - optimisation des investissements de votre organisation dans les outils, les processus et les playbooks pour stimuler l'efficacité et l'efficience du SOC.

La mise en place de l'OSE dans votre organisation passe par cinq étapes clés :

  1. Vision - comprendre les besoins de l'entreprise et définir la stratégie du SOC.
  2. Valider - définir le modèle opérationnel cible de l'OCSE et les exigences technologiques.
  3. Construire - définir les cas d'utilisation, les flux de travail, l'architecture de la solution et les intégrations.
  4. Déployer - mettre en œuvre la configuration technologique et les méthodes de travail dans votre organisation.
  5. Évoluer - réaliser la valeur de l'OSE, établir un état stable et une amélioration continue.

En l'espace de quelques jours seulement, vous aurez une vision claire des menaces de sécurité qui pèsent sur votre environnement, ce qui vous permettra de mieux vous préparer aux attaques qui menacent votre environnement, de réduire la charge de travail de votre personnel et de combler vos lacunes.  

Foire aux questions