Lutter contre la surcharge
Les responsables cybersécurité se concentrent de plus en plus sur la détection et la lutte contre les attaques. Malheureusement, l’emploi de mauvais outils augmente la pression sur les spécialistes cyber, ce qui affecte leur productivité, leur satisfaction professionnelle et leur santé mentale.
Les techniques d’attaque modernes font que l’approche traditionnelle de la sécurité, fondée sur le principe du «château fort et de ses douves», n’est plus vraiment tenable. Il ne sert à rien d’axer tous les outils de cybersécurité sur la seule défense du réseau de l’entreprise, quand les cybercriminels peuvent facilement y pénétrer à l’aide d’identifiants volés, falsifiés ou piratés.
Le périmètre tel que nous le connaissions a disparu depuis longtemps, de sorte que le modèle de périmètre de sécurité périmétrique a lui aussi dépassé sa date de péremption. Le périmètre moderne est fluide, perméable et s’étend bien au-delà des limites du réseau d’entreprise traditionnel. La négligence des employés présente ainsi un risque accru, puisqu’ils travaillent de plus en plus souvent depuis différents endroits, sur des appareils potentiellement non sécurisés partagés avec d’autres membres de leur foyer.
Noyés dans les alarmes
Tout cela a conduit à mettre davantage l’accent sur les opérations cyber de détection et de réponse (SecOps). Mais il y a un problème: dans de nombreuses entreprises, les outils de cybersécurité se sont accumulés ces dernières années, et ces solutions individuelles produisent chaque jour de grandes quantités d’alertes qui doivent être analysées.
Il en résulte une surcharge pour les équipes, comme le montre une étude de Trend Micro. Nous avons sondé plus de 2’300 décideurs dans le domaine de la sécurité IT dans le monde entier, dans des entreprises de toutes tailles, dont une centaine en Suisse. Il en résulte que 42% des répondants suisses estiment que leurs équipes sont submergées par le nombre d’alertes.
57% des sondés concèdent qu’ils ne sont pas en mesure de réagir de manière adéquate à toutes les alertes. En d’autres termes, certaines alertes passent accidentellement au travers du filet sans faire l’objet d’une investigation adéquate. A l’inverse, beaucoup d’autres alertes, font l’objet d’un suivi, alors qu’il s’agit en fait de fausses alertes. En moyenne, les équipes SecOps suisses passent un quart de leur temps à traiter ces fausses alarmes.
Le phénomène a malheureusement de graves conséquences sur le bien-être des analystes. Trois quarts des spécialistes suisses confient que leur travail les affecte émotionnellement. Beaucoup ne parviennent pas à se détendre, ne peuvent pas profiter de leur temps libre parce qu’ils n’arrivent pas à se déconnecter, et tendent à se braquer contre leurs amis et leur famille. Il s’en suit qu’ils ignorent souvent les avertissements, mettant ainsi leur entreprise en danger.
Développer une meilleure approche
Comment résoudre ce problème du surmenage? Les équipes SecOps disposent de toute une série d’outils de sécurité, mais ce qui fait défaut à beaucoup de spécialistes, c’est une plateforme leur permettant de hiérarchiser et de corréler les alertes à différents niveaux de l’infrastructure IT. Une plateforme qui leur permette d’écarter ce qui est du bruit et de se concentrer sur les signaux qui comptent vraiment.
Le potentiel est énormes: les menaces sont détectées plus rapidement, avant qu’elles ne puissent avoir un impact sur l’entreprise. Sans surcharge, les analystes SecOps sont plus productifs et travaillent avec moins de stress. Sans compter qu’une sécurité proactive fait office de catalyseur. Avec l’assurance que même les incidents graves peuvent être rapidement détectés et corrigés, les décideurs sont plus enclins à investir dans de nouvelles initiatives numériques pour favoriser l’innovation et la croissance.
----------
La cybersécurité, c’est l’affaire du patron
Ceux qui souscrivent une cyberassurance se rendent plus attrayants pour les cybercriminels, estime Michael Unterschweiger. En entretien, le directeur régional de Trend Micro pour la Suisse et l’Autriche, revient sur les plus grands dangers cyber actuels et le facteur humain dans
la sécurité IT. Inteview: Trend Micro
Quelle est actuellement la plus grande menace cyber pour les entreprises?
Michael Unterschweiger: Une attaque par ransomware constitue et reste sans doute le plus grand danger. On constate que les attaques sont de plus en plus professionnelles et sophistiquées. La cybercriminalité est devenue une activité très rentable et attrayante, qui ne nécessite même plus de solides connaissances informatiques. Les rançongiciels peuvent être simplement réservés et achetés «as-a-Service» dans la clandestinité.
Le sujet fait souvent la une des journaux. Pourquoi tant d’entreprises sont-elles encore touchées?
En raison de la pénurie de spécialistes en sécurité informatique, de nombreuses entreprises n’ont pas réussi à mettre en œuvre une solution de sécurité uniforme. Il en résulte une grande variété d’outils de sécurité déployés et utilisés. Il faut ensuite beaucoup de personnel et de temps pour consolider les alertes de manière à conduire une analyse claire et globale. Par conséquent, de nombreuses attaques ne sont détectées que lorsqu’il est trop tard. Nous recommandons donc vivement une solution de détection et réponse ainsi qu’une plateforme de sécurité unifiée rassemblant toutes les informations dans une console centrale.
De nombreuses entreprises décident de payer des rançons pour mettre fin à une attaque. Dans certains cas, les montants sont également pris en charge par une cyberassurance. Qu’en pensez-vous?
Je vois ça d’un œil critique. L’entreprise qui paie une rançon reste une cible attrayante à l’avenir et court le risque d’être à nouveau victime d’une attaque. Par ailleurs, les organisations qui ont souscrit une cyberassurance sont une cible particulièrement intéressante pour les cybercriminels, qui s’attendent à ce qu’elles paient. Cela va si loin que les données de ces entreprises font spécifiquement l’objet d’un commerce souterrain. Les assureurs ont cependant réagi et augmenté les conditions pour qu’une entreprise puisse souscrire une cyberassurance. Ils exigent désormais une sécurité de pointe, comprenant détection et réponse.
On dit que la sécurité est de plus en plus importante et, en même temps, les spécialistes sont difficiles à trouver et les responsables se plaignent d’une charge de travail trop importante. N’y a-t-il pas un problème?
Fondamentalement, la question de la sécurité nous concerne tous. La plus grande faille en matière de sécurité reste l’humain - et à cet égard, une remise en question doit certainement avoir lieu. Si le personnel ne participe pas, la meilleure des protections est inutile. La formation peut y contribuer. Mais en fin de compte, la cybersécurité est avant tout l’affaire du patron, car les cyberrisques font partie des plus grandes menaces pour toute entreprise. Cela signifie que la direction doit traiter le problème et trouver des solutions viables. Il ne suffit pas de déléguer toutes les responsabilités à un CIO ou à un CISO.
Quels argument avez-vous face aux nombreuses petites entreprises qui estiment qu’il est trop coûteux de développer la sécurité IT ou qui manquent des ressources et du savoir-faire nécessaires?
Une cyberattaque peut menacer l’existence de l’entreprise, il est donc discutable de ne pas vouloir investir dans la sécurité informatique. Bien sûr, il est difficile, surtout pour les petites entreprises, de tout faire elles-mêmes. C’est pourquoi les prestataires de services proposent des solutions, telles que les services managés. Dans le domaine de la cybersécurité, les entreprises peuvent énormément profiter du savoir-faire de ces partenaires.