Alors que les menaces se font de plus en plus pressantes, il est important de se poser la question suivante : qu'est-ce qui apporte réellement de la clarté ? C'est une question avec laquelle nous pouvons nous débattre, mais il se peut que nous ne l'abordions pas de la bonne manière.
À l'heure actuelle, les grandes entreprises font la une des journaux pour de mauvaises raisons. Latitude Financial, fournisseur de services financiers opérant en Australie et en Nouvelle-Zélande, a publié les détails d'une cyberattaque et d'une violation de données qui ont touché 225 000 de ses clients.
Dans un tel contexte, la visibilité est fondamentale, et l'intelligence artificielle (IA) nous permet de mieux comprendre notre surface d'attaque et de détecter rapidement les menaces.
Mettre en lumière les inconnues pour améliorer la posture de sécurité
Considérons d'abord les inconnues. Ces deux dernières années ont entraîné des changements importants dans notre façon de travailler, ce qui s'est traduit par une plus grande surface d'attaque, plus de vulnérabilités et d'exploits, plus d'outils et d'alertes, et des équipes plus petites et plus surchargées de travail. Pendant ce temps, les attaquants sont plus évasifs et plus sophistiqués dans leurs méthodes d'infiltration.
Il est vrai que notre surface d'attaque est souvent bien plus grande que nous ne le pensons. Il n'est pas rare de constater que seuls 50 % des actifs sont enregistrés en tant que points finaux, les autres adresses IP étant des routeurs, des commutateurs, des imprimantes, des caméras, des téléphones et d'autres services. Ces adresses IP supplémentaires peuvent être des appareils personnels sur un réseau d'invités, des services informatiques cloud et des charges de travail de conteneurs, ou même des services d'application de serveur traditionnels qui exécutent des hôtes d'activités qui ne sont pas surveillés.
Pour avoir une visibilité sur la surface d'attaque, il faut comprendre les vecteurs de menace qui se situent au-delà de ce que vous possédez en tant qu'entreprise. Prenons l'exemple de l'accès non autorisé. Ce terme, de plus en plus courant, désigne le fait d'accéder à un système informatique, à un réseau ou à une application sans permission ou autorisation expresse - comme son nom l'indique.
Comme nous l'avons récemment rapporté, l'unité indonésienne de la Commonwealth Bank of Australia a été fortement touchée par un incident impliquant un accès non autorisé à une application logicielle basée sur le web et utilisée pour la gestion de projets. De même, AT&T a récemment annoncé publiquement qu'en janvier dernier, une personne non autorisée s'était introduite dans le système d'un fournisseur et avait accédé aux informations du réseau propriétaire du client (CPNI) de l'entreprise.
Le fait de gagner en visibilité et en clarté grâce à des outils experts réduit la charge des équipes de sécurité et améliore considérablement la capacité d'une organisation à comprendre les menaces et à y remédier rapidement et efficacement.
Le rôle de l'intelligence artificielle dans la visibilité et la sécurité
L'IA est un outil puissant qui permet de clarifier les signaux et de maximiser l'utilisation de notre surface d'attaque, désormais plus visible. L'IA améliore la clarté du signal en nous permettant de nous concentrer sur l'aspect comportemental des attaques et d'envisager tous les points d'infiltration possibles.
Les attaquants peuvent également utiliser l'IA ou l'automatisation pour accélérer leurs attaques, mais cela ne modifie pas intrinsèquement leur comportement. Ils doivent toujours effectuer certaines actions pour compromettre un réseau, et ce sont ces marqueurs comportementaux que nous pouvons détecter.
De nombreuses organisations nous disent qu'elles reçoivent beaucoup trop de faux positifs de leurs outils de sécurité et que les équipes de sécurité sont inondées d'informations dont elles ne savent que faire. Tirer parti de l'IA ne consiste pas à remplacer un être humain, mais à rendre notre travail beaucoup plus efficace et plus clair.
Répondre aux menaces pour protéger nos systèmes et notre personnel
En matière de réaction, nous devons savoir quoi faire des alertes d'attaque qui nous parviennent, sinon toute notre clarté n'aura servi à rien.
Tout d'abord, nous déterminons la nature de l'attaque et ensuite ce qu'il faut faire. Il ne peut y avoir de règle générale, nous devons être flexibles, mais nous pouvons créer des procédures reproductibles qui intègrent la flexibilité. Des mesures telles que le délai de remédiation peuvent mettre en évidence la valeur et les avantages de l'IA en termes de résultats et de retours réels.
À l'avenir, nous nous attendons à ce que les RSSI et les responsables de la sécurité investissent davantage dans des outils qui améliorent l'efficacité et aident les équipes de sécurité à passer au crible les alertes et à découvrir les menaces dans un paysage d'attaques vaste et tentaculaire. Les solutions existent et s'améliorent sans cesse, il s'agit simplement de comprendre ce qu'elles sont et comment elles peuvent être intégrées pour en tirer le maximum d'avantages.
Êtes-vous prêt à réagir et à éliminer la menace inconnue?