75 % des budgets sécurité seront dédiés à la détection/réponse à l’horizon 2020
Devant l’impossibilité d’enrayer le nombre de menaces de sécurité auquel elles doivent faire face, les entreprises multiplient les moyens de protection. C’est une tendance forte soulignée aux Assises de la Sécurité : l’approche fondée sur la prévention laisse désormais la place à celle de la détection/réponse.
En 2015, une fois encore, le nombre de menaces informatiques a explosé. « La dernière édition 2016 du rapport Symantec Internet Security Threat Report fait état de 1,2 million de nouvelles menaces détectées chaque jour en 2015, alors qu’en 2003 il n’en apparaissait encore que 5 par jour », a rapporté Hervé Doreau, directeur technique de Symantec France lors des Assises de la Sécurité 2016. Les vagues d’attaques par ransomwares, notamment celles basées sur Locky, se sont succédées sur la période 2015/2016 et les attaques avec Dridex ne faiblissent pas. Une véritable industrie s’est mise en place avec un écosystème de pirates qui disposent d’outil sans cesse renouvelés et déclinés à l’infini pour exploiter les failles découvertes dans les plugins, OS et applications les plus diverses.
Quand prévenir les menaces ne suffit plus
Face à cette professionnalisation du « milieu cyber », les entreprises réagissent bien souvent en multipliant les solutions de sécurité. SIEM, SOC et aujourd’hui Threat Intelligence Platform, les entreprises se dotent d’organisations de plus en plus complexes. L’ère de la protection périmétrique est aujourd’hui révolue, celle-ci doit se faire en profondeur, à tous les niveaux du système d’information. « Depuis plusieurs années, les investissements des entreprises se sont focalisées sur le volet prévention » ajoute l’expert. « On voulait avant tout bloquer les menaces avant qu’elles ne parviennent à entrer dans le système d’information. On les bloquait sur les postes de travail, sur les passerelles de messagerie, sur les accès Web, à chaque point de contrôle du système d’information. Il faut bien évidemment continuer à faire de la prévention, mais aujourd’hui la prévention n’est pas suffisante car il faut être capable de réagir en cas de faille. Celle-ci peut provenir de nous Symantec parce que nos n’avons pas encore mis à jour la base de signature, cela peut venir de l’utilisateur qui a désactivé un produit de sécurité sur son poste. Ce peut-être aussi la faute de l’entreprise qui n’a pas configuré l’ensemble des fonctions de protection que nous lui mettons à disposition. Quelle que soit la raison, il y a un petit nombre de menaces qui parviennent à passer les barrières de protection et qui rentrent dans le système d’information. Il faut véritablement passer dans une posture de détection et de réponse. Il faut être en capacité de détecter le plus rapidement possible que la menace a passé les protections. Il peut être extrêmement précieux d’être averti dans les 5 minutes qu’un ransomware s’est introduit sur un poste et pouvoir réagir avant que celui-ci aie chiffré plusieurs To de données. Quant on parle de vraies menaces avancées avec exfiltration de données, les attaquants peuvent rester dans un système d’information pendant un ou deux ans avant de transférer ces données ; s’il est possible d’être averti en quelques heures, cela permet de réagir avant que le mal soit fait. La détection/réponse, c’est l’élément clé, car savoir, c’est bien, mais il faut aussi pouvoir réagir. » Selon les chiffres avancés par le responsable de Symantec France, 75 % des budgets sécurité seront dédiés à ce concept de détection/réponse à l’horizon 2020.
Entre 75 % et 85 % des responsables sécurité vont réévaluer leur stratégie sécurité
Ce mouvement de fond de l’industrie de la cybersécurité est confirmé par Amit Yoran, président de RSA. Lors de son intervention sur la grande scène des Assises 2016, il a expliqué : « Le monde change et notre industrie est en train de changer. 70 % des organisations en Europe EMEA ont vu leurs données compromises au cours des 12 premiers mois, des entreprises qui n’ont pas été capables de détecter leurs fuites de données à temps. Le nombre d’incidents de sécurité augmente de 66 % chaque année et seulement 24 % des responsables s’estiment satisfaits de la manière dont ils détectent et répondent à ces incidents. Il faut changer de perspective et de moyens d’action. Nous faisons face à des adversaires très sophistiqués, totalement centrés sur la façon de compromettre l’environnement de l’entreprise. Ils sont incroyablement créatifs, patients et persévérants. Ils sont imprévisibles et utilisent un large spectre d’outils et techniques dans leurs activités. »
Le président de RSA estime qu’avec la montée en puissance des outils de protection mis en place par les entreprises ces dernières années, les attaquants changent continuellement leur manière de penser et leur façons d’attaquer. Selon lui, même les firewalls de la prochaine génération et même une généralisation des systèmes de sandboxing contre les malwares ne permettront pas aux systèmes d’information d’être sûrs à 100 %. Reprenant l’image du sauteur Dick Fosbury qui a réinventé son sport en créant une nouvelle manière de sauter bien plus performante, Amit Yoran pense qu’il faut réinventer l’approche de la sécurité informatique. « Il faut penser différemment la sécurité. Plusieurs études montrent qu’entre 75 % et 85 % des chief security officers vont réévaluer leur stratégie sécurité dans les 12 à 18 mois à venir. La cybersécurité évolue sur le plan de la technologie, mais aussi en tant qu’industrie. Elle n’est plus seulement du ressort des techniciens, mais les discussions sur la sécurité remontent jusqu’au PDG et au Comex des entreprises. Ceux-ci posent des questions différentes. Ils veulent savoir où va l’argent de l’entreprise mais ils veulent aussi connaître l’impact de la sécurité sur le business de l’entreprise. Le monde de la sécurité est aujourd’hui à un point d’inflexion. Si nous ne développons pas de meilleures stratégies pour détecter et répondre à nos adversaires, nous ferons face à de terribles pertes. Nous devons changer le jeu, changer de perspective. Nous devons agir différemment tout comme le fit Dick Fosbury. »
Auteur : Alain Clapaud