Les attaques de ransomware continuant à faire la une des médias, il est clair qu'une approche de la sécurité centrée sur la prévention ne suffit plus. L'adoption d'une approche de sécurité fondée sur le principe du compromis prépare votre entreprise à faire face à l'intensité et à la fréquence des attaques de ransomware d'aujourd'hui. À cette fin, les capacités de détection et de réponse avancées jouent un rôle crucial. Dans ce blog, vous apprendrez également pourquoi une grande compagnie d'assurance multinationale britannique a choisi Vectra, le Venture Partner de Wipro, pour répondre à ses besoins en matière de sécurité.
Pourquoi les contrôles préventifs peuvent-ils représenter un défi pour votre entreprise ?
La prolifération de cyberattaques très médiatisées en 2021 démontre les vulnérabilités inhérentes à un état d'esprit préventif en matière de sécurité. Dans l'attaque de The Colonial Pipeline, il a suffi de voler les informations d'identification d'un compte VPN pour compromettre le réseau. Quel que soit le nombre de contrôles préventifs mis en place, il suffit d'un seul point de défaillance pour les rendre inefficaces.
Une bonne hygiène de sécurité reste vitale et les contrôles préventifs ne sont pas obsolètes. Le fait est qu'il est élémentaire de rater quelque chose dans le contexte d'un environnement informatique complexe. Lorsqu'une organisation n'a pas d'alternative à une sécurité axée sur la prévention, les infiltrations dans le réseau aboutissent généralement à des violations de données ou à l'installation de ransomwares. Il est prudent de rechercher un bon équilibre entre la prévention et les capacités de détection et de réaction.
Non seulement les contrôles de sécurité préventifs échouent régulièrement, mais le fait de s'y fier fortement affecte les activités de l'entreprise. À mesure que les entreprises déploient davantage de solutions ponctuelles pour prévenir les différentes menaces de sécurité, il devient de plus en plus difficile de trouver un équilibre entre la sécurité et la facilitation des activités. Plus il y a d'outils de sécurité disparates et mal intégrés dans votre environnement, plus il est difficile de faciliter les opérations commerciales régulières et la productivité des utilisateurs.
Décodage de l'approche "Assumez le compromis" - le passage de la réactivité à la proactivité
L'hypothèse de la compromission est un changement d'état d'esprit en matière de sécurité qui reconnaît les limites des mesures de sécurité existantes à la lumière des cyber-menaces modernes. Cette approche part du principe qu'un adversaire parviendra à s'introduire dans votre environnement réseau.
Traditionnellement, les organisations ont opté pour une approche préventive afin d'empêcher les intrus d'accéder à leurs réseaux. Malheureusement, avec suffisamment de motivation, de temps et de ressources, les personnes malveillantes ( cybercriminels ) peuvent contourner ces contrôles préventifs, et elles le font souvent silencieusement.
Le changement d'état d'esprit qui consiste à supposer un compromis modifie la façon dont les organisations envisagent leurs défis en matière de sécurité. Au lieu de se concentrer sur des contrôles préventifs pour empêcher cybercriminels d'entrer, l'accent est mis sur l'établissement d'une visibilité suffisante dans l'environnement et sur l'intégration de capacités de détection et de réponse avancées pour atténuer les menaces qui ont déjà contourné les contrôles existants.
Une approche plus moderne consiste à se préparer à l'éventualité d'un problème et à s'assurer que l'organisation peut y remédier.
Améliorez votre sécurité avec Zero Trust
Zero Trust joue un rôle essentiel dans l'approche "assumez le compromis". Il existe d'innombrables exemples d'attaques par ransomware dans lesquelles le contournement des contrôles initiaux du périmètre d'une entreprise a permis aux adversaires d'obtenir un accès illimité aux ressources de l'entreprise. Par conséquent, le fait d'être à l'intérieur du réseau de l'entreprise n'est plus une raison pour faire confiance à un utilisateur ou à un appareil.
En ne faisant confiance à aucun utilisateur ou appareil par défaut, le modèle de confiance zéro vérifie en permanence les identités des utilisateurs et des appareils sur le réseau, quel que soit leur emplacement physique. Le fait d'exiger une authentification chaque fois qu'un utilisateur ou un appareil demande l'accès à différentes ressources atténue le problème de la confiance implicite accordée aux utilisateurs ou aux appareils. Ainsi, lorsqu'un attaquant trouve inévitablement une faiblesse dans un contrôle préventif, l'absence de confiance par défaut limite la portée de ce que cette personne peut faire sur votre réseau.
La mentalité "assumer le compromis" pose quelques problèmes pour former les praticiens de la sécurité aux réalités d'un compromis. Si les équipes de sécurité commencent à supposer qu'elles seront piratées, alors une solide formation sur les principes fondamentaux de la sécurité offensive peut contribuer à l'intériorisation de ce nouveau changement d'état d'esprit.
Sécuriser la transformation numérique et l'adoption de cloud
La transformation numérique et l'adoption de cloud se sont encore accélérées en raison de la pandémie de Covid-19. Les petites entreprises ont commencé à vendre davantage de produits et de services à partir de sites web, et les entreprises ont commencé à transférer davantage de charges de travail sur le site cloud afin de faciliter le travail à distance et d'innover. En fin de compte, la transformation numérique et les stratégies cloud apportent aux entreprises productivité, rentabilité, innovation et croissance. Les praticiens de la sécurité doivent permettre ces transformations de manière plus sûre.
Si saisir ces opportunités est sans aucun doute un net avantage pour les entreprises de toutes tailles, les projets de transformation numérique sont propices aux mauvaises configurations et comportent de nouveaux (cloud) défis en matière de surveillance de la sécurité. Une mentalité de "compromis assumé" prépare les équipes de sécurité aux changements et aux risques inévitables découlant de la transformation des processus d'entreprise.
Du point de vue des opérations de sécurité, les stratégies de transformation numérique appellent à répondre à certaines questions essentielles, telles que :
- Avez-vous besoin de transférer vos outils de sécurité existants vers le site cloud?
- Vos outils de sécurité actuels sont-ils suffisants pour protéger cloud, l'IA, l'IoT et d'autres technologies de transformation numérique ?
- Les pratiques de sécurité peuvent-elles évoluer en fonction de l'automatisation et de la numérisation de l'entreprise, afin d'améliorer la souplesse et la visibilité des environnements informatiques, depuis le site sur site jusqu'au site cloud?
Vers un avenir plus sûr grâce à la détection et à la réponse avancées
Aujourd'hui, les opérations de ransomware se concentrent sur l'exfiltration des données avant de chiffrer les fichiers sensibles et les systèmes essentiels. La compromission initiale suivie d'un mouvement latéral et d'une escalade des privilèges à travers le réseau définissent ces opérations cybercriminels'. En ce qui concerne les technologies et les processus, il est clair que des contrôles préventifs sont en place dans la plupart des entreprises, mais ils ne sont pas suffisants.
Une meilleure visibilité grâce à des capacités de détection et de réponse avancées permet de s'aligner sur la mentalité " assumez le compromis " et d'arrêter les attaques de ransomware les plus dangereuses d'aujourd'hui. L'infrastructure Cloud offre des possibilités d'évolution et d'automatisation des processus de sécurité.
C'est ce qu'a fait le groupe d'assurance Royal Sun Alliance (RSA). La compagnie d'assurance générale, dont le siège est à Londres, a examiné un portefeuille de fournisseurs pour développer ses capacités de détection et de réponse et équiper les praticiens de la sécurité pour lutter contre les attaques modernes de ransomware.
RSA a choisi Vectra pour les raisons suivantes :
- Facilité de déploiement - il n'a fallu que quelques semaines pour déployer Vectra dans l'environnement informatique complexe et multilocal de RSA.
- Augmentation immédiate de la visibilité - du jour au lendemain, la visibilité de RSA sur ce qui se passe sur le réseau a augmenté de façon exponentielle.
- Interface intuitive - Vectra présente les informations aux analystes de la sécurité d'une manière intuitive et facile à digérer qui ne submerge pas les équipes de sécurité comme le font de nombreux autres outils de surveillance.
- Efficacité de la sécurité - Vectra est une plateforme intuitive et intelligente pilotée par l'IA. La facilité d'utilisation permet aux analystes moins expérimentés de gérer efficacement de nombreuses tâches de sécurité moins techniques, tandis que les analystes plus expérimentés peuvent consacrer des ressources à l'enquête et à la réponse aux incidents de sécurité plus complexes ou à plus haut risque.
Si vous souhaitez suivre la discussion entre Nuno Andrade, CISO RSA, John Hermans, Head of Europe Cybersecurity & Risk Services Wipro, Tim Wade, Office of CTO, Technical Director Vectra, et Sacha Rehmat, Director of Global Service Providers & Systems Integrators Vectra AI, vous pouvez l'écouter ici.