AVIS D’EXPERT – Pour Cédric Milloux, Solutions Consultant chez GTT Communications, 2023 verra apparaître de nouveaux outils et de nouvelles stratégies pour aider les équipes informatiques à contrer l’expansion des menaces.
La sécurité va se déplacer vers le terminal
Une attaque par ransomware peut s’infiltrer par n’importe quelle petite faille de votre défense et se répandre dans toutes l’entreprise en quelques minutes. De nombreuses organisations passent à côté parce qu’elles ont mis en place un VPN (Virtual Private Network) et une solution EDR (Endpoint Detection & Response), et pensent à tort que cela les protège totalement.
En réaction, beaucoup d’organisations vont déplacer les efforts de sécurité de la couche applicative vers le terminal – où nous prévoyons une augmentation de 10 000 % des attaques. Les entreprises peuvent installer des adaptateurs 5G directement sur les ordinateurs portables, pour un contrôle plus granulaire du réseau sur le dernier kilomètre afin d’appliquer des politiques de sécurité basées sur la source, peu importe où se trouve l’utilisateur.
L’accent sera mis sur la formation des employés et le contrôle des personnes ayant un accès externe aux réseaux de l’entreprise
L’attention a beaucoup été portée sur les outils de cybersécurité et la sensibilisation des collaborateurs pour qu’ils soient mieux armés face aux cyberattaques comme le phishing. Cependant, un grand nombre d’organisation a négligé les intervenants externes comme les sous-traitants et les partenaires qui ne sont généralement pas soumis aux politiques et procédures de l’entreprise. Ces partenaires ont souvent accès à certains des systèmes d’information les plus critiques de l’entreprise, notamment lorsqu’ils travaillent avec les équipes financières et les services juridiques. Cela augmente le risque de fuite des données, encore plus que les incidents lorsque des employés cliquent par inadvertance sur un lien dangereux.
Ces deux dernières années, les organisations les plus matures ont effectué des évaluations de sécurité sur les fournisseurs ou les sous-traitants qui stockent leurs données. C’est un excellent point de départ, mais les efforts doivent être permanents pour fournir aux responsables de la sécurité des scores de risque en continu.
Cela a forcé les organisations qui ne pensaient pas être équipées pour mener ces évaluations à repenser leur approche, à commencer par une compréhension basique des opérations auxquelles leurs partenaires ont besoin d’accéder, quels partenaires et quelles opérations surveiller, et lesquelles sont moins préoccupantes. Elles devraient vérifier les données pour chaque fournisseur au début de leur engagement.
L’IA et le machine learning vont prendre de l’ampleur dans le SIEM
L’année prochaine, de nombreux éditeurs vont mettre de l’intelligence artificielle et du machine learning dans leurs plateformes SIEM (Security Information and Event Management). Le SIEM a fait ses preuves pour collecter les informations, les filtrer et permettre aux entreprises de se concentrer sur les alertes les plus pertinentes. Mais il reste des imperfections, par exemple, les entreprises continuent de faire confiance aux analystes pour construire les filtres. Si une entreprise reçoit chaque jour des milliers d’alertes identiques sans conséquence, elle va commencer à les ignorer. Ajouter davantage d’IA et d’apprentissage automatique dans les systèmes de logs aidera les responsables de la sécurité à filtrer les perturbations et à mettre la priorité sur les alertes pertinentes à traiter. Par exemple, le système peut savoir qu’il faut ignorer les alertes dues aux sauvegardes hebdomadaires des serveurs pour éviter de déranger un spécialiste de la sécurité très coûteux pour les analyser.
Nous n’arriverons pas à automatiser entièrement l’utilisation de l’IA/ML pour déterminer toutes les menaces pertinentes. Mais des outils commenceront à apparaître cette année pour aider à limiter l’implication des analystes dans le filtrage du bruit du SIEM, nous amenant vers un nouveau degré de détection et réponse managées.
2023 sera l’année de l’Internet amélioré
Des services internet améliorés ont gagné en popularité ces dernières années en offrant plus de fiabilité et de performance du trafic. Définis pour la première fois par Gartner, ils comprennent des fonctions telles que le routage basé sur la télémétrie et l’optimisation des performances.
Les opérateurs de services Internet de premier plan (Tier 1), qui voient les tendances du trafic IP avant tout le monde, vont créer des algorithmes pour commencer à étudier les flux de trafic, et fournir aux clients des rapports en continu sur le trafic potentiellement malveillant en provenance et à destination de certains ports IP qui demandent une attention particulière sans fonctionnalités de sécurité supplémentaires.
Les opérateurs proposeront également à leurs clients des analyses complètes de vulnérabilités de leur espace IP en temps voulu afin de fournir une visibilité sur les risques. Au fil des années, les organisations finissent souvent par avoir des systèmes fantômes présentant des vulnérabilités auxquelles on ne pense pas puisqu’on les a oubliés. Les analyses peuvent facilement révéler des dizaines de vulnérabilités sur les sites Web publics d’une organisation en quelques secondes, simplement en vérifiant quelques adresses IP.
Comme d’habitude, l’année à venir sera faite d’opportunités et de défis pour les responsables IT et sécurité. Mais en redoublant d’efforts sur le zero-trust et en tirant parti des meilleures solutions disponibles sur le marché, ils peuvent éviter d’être victimes des cybermenaces, en perpétuelle augmentation.