Qu'est-ce qui est le plus étonnant - que même avec l'adoption généralisée de l'authentification multifactorielle (AMF), 71 % des entreprises ont encore été confrontées l'année dernière à des prises de contrôle de comptes SaaS ou que, malgré cela, près de 90 % d'entre elles ont accéléré leur transformation numérique et cloud ? Peut-être que ni l'un ni l'autre n'est particulièrement étonnant si vous avez remarqué les effets transformateurs de la dernière année (pandémique) et si vous avez été attentif aux risques et aux opportunités qui se présentent. Pour avoir un aperçu du passé, du présent et de l'avenir de ce parcours, nous avons interrogé plus de 1 000 décideurs en matière de sécurité dans des moyennes et grandes entreprises utilisant Microsoft Office 365.
Au début, tout semble aller pour le mieux
Dès le départ, il était évident qu'il y avait un sentiment d'optimisme sur un certain nombre de sujets, et dans une certaine mesure, c'est normal. L'adoption et la transformation de Cloud donnent aux organisations l'occasion de réinitialiser de nombreuses hypothèses erronées et défaillantes codifiées dans l'architecture de sécurité héritée, et de se moderniser dans la poursuite d'une architecture de confiance zéro. Passer de la prévention en tant que stratégie de sécurité primaire (et défaillante !) à une stratégie centrée sur la résilience a été l'objectif des praticiens de la sécurité avancée pendant la majeure partie de la dernière décennie - voir ce sentiment s'accroître est donc un net positif !
L'optimisme fait place à la réalité
Pourtant, malgré cet optimisme, plus de 80 % des personnes interrogées reconnaissent que les risques de cybersécurité de leur propre organisation ont augmenté au cours de l'année écoulée, et près de 60 % d'entre elles estiment que l'écart entre leurs capacités défensives et les capacités offensives de leurs adversaires s'est creusé, ce qui menace de les faire tomber encore plus bas dans ce qui ressemble déjà à une course à l'armement perdue d'avance.
Comment expliquer l'écart entre ce sentiment optimiste et l'évaluation des défis réels qui attendent les organisations lorsqu'elles examinent leurs risques et leurs capacités ? Je dirais qu'au minimum, même si les défenseurs reconnaissent les opportunités et l'évolution, ils reconnaissent que cloud et la transformation numérique impliquent des lacunes transitoires, du bruit organisationnel et des opportunités pour les adversaires de bénéficier de la vitesse et de l'échelle de cloud pendant la transition.
La transformation implique une transition
Premièrement, les transitions technologiques à l'échelle de l'entreprise exigent souvent de maintenir une architecture tournée vers l'avenir et la disponibilité des systèmes existants. Malheureusement, cela augmente la surface d'attaque disponible pour un adversaire. Par exemple, l'utilisation d'Azure AD en mode hybride n'implique pas seulement une protection contre les attaques de l'ancien Active Directory et d'Azure AD, mais aussi contre une troisième classe d'attaques héritées de la nécessité de prendre en charge les deux systèmes en même temps et de maintenir les deux annuaires synchronisés. Du point de vue de l'adversaire, c'est mieux que le meilleur des deux mondes !
Lorsqu'il s'agit de périodes de transition comme celle-ci, les défenseurs de l'entreprise doivent être prêts à arracher le pansement et à aider les services informatiques à accélérer la migration vers l'état futur souhaité, tout en comprenant les implications en termes de posture et la manière de hiérarchiser les risques et les mesures correctives. Le fait de retarder la transition ne met pas seulement à l'épreuve les ressources techniques de l'organisation, mais crée également de nouvelles lacunes que les adversaires peuvent exploiter.
La transformation peut être bruyante
Deuxièmement, la transformation du site cloud implique de se baser sur la "nouvelle normalité" - mais la recherche de cette base comportementale est désordonnée, bruyante et sujette à l'incertitude et à la méconnaissance pour les défenseurs. Or, le bruit et l'incertitude sont des conditions que les adversaires excellent à exploiter, et ils sont disponibles en abondance dans ce voyage de transformation. Notre rapport Spotlight sur Office 365 a révélé que 96 % des clients présentaient des comportements suspects de mouvement latéral dans les comptes Office 365. Ce volume d'alertes serait impossible à analyser sans l'application de l'intelligence artificielle ou de l'apprentissage automatique pour trier le signal du bruit.
Heureusement, 60 % des personnes interrogées prévoient de recourir à la fois à des experts et à la technologie pour résoudre ce problème au cours de l'année à venir. C'est un bon signe, et les défenseurs prudents identifieront les tâches dans lesquelles ils excellent (par exemple, la contextualisation des comportements) et celles qui conviennent le mieux aux machines (par exemple, le passage au crible de vastes ensembles de données bruyantes).
Le site public cloud représente une grande opportunité [pour les attaquants]
Troisièmement, le site cloud ne permet pas seulement aux entreprises de fonctionner à des vitesses et à des échelles auparavant inaccessibles, il offre également ces avantages aux adversaires. Si l'on n'investit pas dans les capacités de réaction, l'écart entre les capacités de sécurité va se creuser. Cette idée devient évidente si l'on considère que sur le site cloud , les attaquants effectuent leur découverte via des API bien définies qui répertorient commodément des éléments tels que l'accès et les autorisations dans les régions et les charges de travail, et qui sont capables d'être enchaînées pour exécuter rapidement à la vitesse et à l'échelle voulues. Cela signifie que les défenseurs doivent agir rapidement pour avoir une chance.
C'est probablement la raison pour laquelle plus de 50 % des personnes interrogées prévoient d'investir dans l'automatisation et l'orchestration au cours de l'année à venir ; cependant, la réponse n'est que la moitié de l'histoire. Sans un signal de haute fidélité pour déclencher la réponse, les utilisateurs autorisés peuvent eux-mêmes être victimes d'adversaires et d'une automatisation défensive trop zélée. C'est un autre exemple où les organisations seraient bien avisées d'investir dans des détections actionnables (améliorées par l'IA/ML) des comportements des attaquants comme conduit vers l'orchestration en aval.
L'avenir est prometteur
Cependant, malgré ces défis, l'avenir est prometteur pour les organisations qui sont prêtes à s'engager dans cette voie. En tant que force de transformation, le site cloud est puissant. Elle remodèle fondamentalement les entreprises tout en permettant une modernisation de la sécurité comme jamais auparavant. Peut-être que si cette transformation ne s'était pas produite avec en toile de fond les avantages très tangibles que les capacités basées sur l'IA/ML apportent au portefeuille de sécurité d'une organisation, je ne partagerais pas le sentiment de certains de nos participants à l'enquête les plus optimistes. Mais de notre point de vue, il est difficile de ne pas regarder le chemin à parcourir et de ne pas penser que le défi a été relevé.