Le9 février 2023, un partenariat d'étape a été célébré entre Vectra et KPMG, et ils avaient beaucoup à partager. La discussion a porté sur la valeur de l'Observabilité efficace de la sécurité (ESO ) - alimentée par l'Attack Signal Intelligence™ de Vectra - voir dans ce blog, tandis que KPMG et Vectra ont organisé un webinaire conjoint.
L'ESO a des objectifs clairs pour les organisations : améliorer la visibilité de leur posture de sécurité, réduire le risque que les incidents se transforment en crises et assurer la protection de leurs données critiques.
Cette attaque provenait très probablement d'un groupe de pirates informatiques pro-russes, Killnet, qui avait ciblé de nombreuses entreprises et sociétés en Europe, y compris des hôpitaux aux Pays-Bas. Pour éclairer le sujet, Jordi van den Breekel, Red Team & TIBER lead chez KPMG Netherlands, a rejoint le panel modéré par Henrik Smit, directeur de la cybersécurité chez KPMG.
La conversation a porté sur les risques que les cybermenaces font peser sur les infrastructures et les organisations critiques. Avec l'augmentation récente des cyber-attaques au cours des dernières semaines, le sujet ne pouvait pas être plus pertinent. L'une des menaces abordées était le ransomware, qui est sorti vainqueur d'un des sondages sur les plus grandes craintes de l'auditoire. La discussion a révélé que les infrastructures critiques ne se limitent pas aux hôpitaux, mais englobent également les services gouvernementaux, bancaires et énergétiques, et même l'alimentation et d'autres secteurs qui font partie de la chaîne d'approvisionnement.
C'est ce que nous avons découvert lors de notre sondage auprès du public :
Quelle cybermenace vous préoccupe le plus ?
La conclusion précédente - à savoir que l'impact d'une attaque DDOS est très visible, mais ne cause pas de dommages permanents et irréversibles - a été clairement confirmée par le public, qui n'a obtenu qu'un score d'environ 6 %. Au cours de la discussion qui a suivi, les panélistes ont précisé que la grande gagnante était l'APT (Advanced Persistent Threat). Les APT culminent souvent avec une attaque de ransomware, qui s'accompagne fréquemment d'une fuite de données. Souvent, nous voyons phishing et DDoS comme point de départ des campagnes de ransomware pour distraire ou accéder au système d'une victime.
Le sondage suivant portait sur les participants travaillant avec et dans les infrastructures critiques - nous nous sommes interrogés sur la réalité de la cybermenace pour ce groupe.
Les attaques contre les infrastructures critiques se multiplient. En êtes-vous conscient dans le contexte de votre propre organisation ?
Lorsque nous examinons les réponses des organisations travaillant dans le domaine des infrastructures critiques, il apparaît clairement que 100 % d'entre elles reconnaissent notre déclaration. J'ai même réfléchi à la possibilité que certaines des autres organisations fassent également partie de la discussion élargie sur les infrastructures critiques. Par exemple, un impact sur la chaîne d'approvisionnement de notre industrie alimentaire pourrait également avoir de graves conséquences.
À partir de là, nous avons voulu savoir quelle était l'importance de la numérisation dans les organisations de notre public. La pertinence de cette question tient à l'impact possible d'une cyberattaque sur la continuité d'une telle organisation.
Dans quelle mesure la numérisation est-elle devenue la pierre angulaire de vos processus de production ?
Les résultats ne sont pas surprenants. La numérisation est importante et, bien que nous ne puissions pas tirer de conclusions définitives, nous sommes fermement convaincus qu'elle est importante pour les infrastructures critiques et non critiques.
KPMG et Vectra peuvent confirmer l'importance de la numérisation, telle qu'elle est observée dans la base d'installation de leurs clients. Ainsi, la réponse au sondage précédent a immédiatement justifié le sondage suivant, qui visait à déterminer dans quelle mesure "l'entreprise" est impliquée dans la définition de la stratégie de sécurité. Le contexte de cette question est également qu'aujourd'hui, l'informatique et la cybersécurité sont (et devraient être) des sujets pertinents pour le conseil d'administration également. Les RSSI doivent être entendus.
Dans quelle mesure l'entreprise est-elle impliquée dans la définition d'une stratégie de sécurité ?
Le résultat de cette question a suscité des opinions différentes. D'une part, il est réjouissant de constater que la réponse "pas du tout" n'a pas été enregistrée. Cependant, 1 personne sur 3 estime qu'il n'y a pas d'implication réelle et 1 personne sur 5 n'est probablement pas sûre. Pourtant, la cybersécurité n'est plus un sujet secondaire, et avec la numérisation croissante, le conseil d'administration devrait lui aussi s'en préoccuper. Il convient de discuter non seulement de la stratégie de défense, mais aussi de la stratégie d'intrusion. Que se passera-t-il si un ransomware - perçu comme un risque important comme nous l'avons appris précédemment - réussit à s'imposer ? L'entreprise est-elle prête à payer ? Si oui, combien et qui sera mandaté pour négocier ?
En cas de cyberattaque, les conséquences peuvent être considérables. La première réflexion porte bien sûr sur la disponibilité, la continuité et la marque, pour n'en citer que quelques-unes. Mais avez-vous pensé à l'impact sur les employés ? Nous nous sommes demandé dans quelle mesure cet aspect était déjà pris en compte.
Votre entreprise tient-elle compte de l'impact mental d'une cyberattaque sur l'employé ?
Le résultat de ce sondage est inquiétant ! Nous devons nous efforcer d'apporter des améliorations dans ce domaine.
Au fur et à mesure que nous approfondissons la question, il devient évident qu'il y a deux domaines critiques qui requièrent notre attention immédiate. Tout d'abord, les employés sont souvent la proie de courriels phishing et de documents malveillants sans le vouloir, et le personnel de sécurité ne devrait pas être tenu pour seul responsable de ces incidents. Deuxièmement, après une attaque, les équipes de sécurité sont souvent mises à rude épreuve, travaillant de longues heures et portant le poids de la responsabilité et d'un sentiment d'échec. Ce problème est tout aussi grave que la fatigue liée à l'alerte et les épuisements qui en découlent, si ce n'est plus.
Après avoir identifié ces défis, il est maintenant temps d'explorer les solutions possibles et de tirer quelques conclusions. Comme nous avons déjà discuté en détail de l'observabilité efficace de la sécurité (ESO), nous pouvons passer directement aux conclusions. Comme l'OSE est déjà clairement décrite dans le blog que j'ai cité plus haut, je peux passer immédiatement aux conclusions :
Comme Vectra AI et KPMG connaissent bien ces défis, les conclusions qui ont été présentées sont conformes aux meilleures pratiques que les deux organisations présentent toujours :
- Utilisez l'authentification multifactorielle (AMF) pour tous les comptes, mais sachez qu'elle n'est pas infaillible et qu'elle peut toujours être contournée. Pour éviter la lassitude, restez vigilant et revoyez et mettez à jour régulièrement vos pratiques de sécurité.
- Veillez à ce que vos outils de sécurité, tels que endpoint detection and response (EDR) et détection et réponse aux incidents (NDR), soient correctement intégrés et couvrent les bons cas d'utilisation. Testez et évaluez régulièrement leur efficacité dans leur ensemble : Les personnes, les processus et la technologie.
- Évitez de créer des silos de bruits inutiles en ne transmettant que les signaux d'attaque de haute fidélité au centre des opérations de sécurité (SOC). Votre équipe pourra ainsi se concentrer sur les menaces les plus critiques.
- Utilisez la technologie pour soutenir votre personnel de sécurité et l'aider à rester en bonne santé mentale. Mettez en place des outils et des processus permettant à votre équipe de travailler de manière plus efficace, et vérifiez régulièrement qu'elle ne souffre pas d'épuisement professionnel ou d'autres effets négatifs.
Pour conclure, je dirais que ce format était agréable à mettre en œuvre et qu'il a semblé maintenir l'attention et l'interactivité du public. Le fait que l'issue de la conversation et l'analyse des résultats aient été entièrement pilotées par le public l'a rendu tout à fait unique.
Expériences = succès ? Vérifier !
Pour en savoir plus, veuillez consulter le site