AVIS d’EXPERT – Le paysage des menaces en constante évolution et les attaques de plus en plus sophistiquées, nécessitent de passer des outils à la culture de la résilience. Par Hervé Liotaud, Directeur régional des ventes Europe du Sud chez Illumio
Face à recrudescence des schémas d’ingénierie sociale et des menaces fondées sur l’IA, il devient évident qu’une cyberdéfense innovante et efficace passe par une approche holistique qui tient compte à la fois des outils technologiques et du comportement humain. La cyber-résilience ne peut plus être atteinte par la seule mise en œuvre de nouveaux outils ou mesures de sécurité. Elle commence par l’instauration d’une culture de la résilience qui repose sur la promotion de la vigilance et du scepticisme. Il faut une approche proactive de la sécurité qui élimine le besoin de “sur-confiance” au nom de la production et de la productivité. Au cœur de cette transformation culturelle se trouve le concept de “confiance zéro”, une pratique de cybersécurité fondée sur les principes du moindre privilège et de la violation présumée. En bref, le Zero Trust est un cadre fondé sur un principe simple : “ne jamais faire confiance, toujours vérifier”. Et si la confiance est une émotion humaine, elle n’a absolument pas sa place dans le monde numérique.
Un changement d’état d’esprit indispensable
Une stratégie de sécurité résiliente n’est pas seulement une question d’outils, c’est aussi une question d’état d’esprit collectif. La cyber-résilience ne peut pas être atteinte uniquement par le CISO ou l’équipe SecOps. Elle nécessite l’adhésion de l’ensemble de l’organisation, du service chargé de l’informatique à celui des ressources humaines en passant par la comptabilité et la direction. L’état d’esprit lui-même influence les outils adoptés par une organisation et la manière dont les décisions sont prises. La confiance est facilement exploitée et la surface d’attaque ne cesse de s’étendre, les individus doivent donc adopter un état d’esprit plus sceptique et plus vigilant. Toute personne qui ne le fait pas crée un obstacle à la sécurité que les cybercriminels peuvent exploiter. C’est ainsi que des violations de données proviennent de collaborateurs internes. Ces vulnérabilités causent des dommages intentionnels – ou non- par le biais d’une mauvaise utilisation et d’une erreur humaine. Ajouté à cela que les cybercriminels réussissent à exploiter les relations de confiance pour tirer parti de l’hyperconnectivité de la supply chain. Les organisations et les individus se doivent d’aborder les demandes et les connexions avec un œil critique. Les entreprises font bien souvent de leur mieux, mais la réalité est qu’à un moment ou à un autre, il y aura forcément un mauvais acteur qui s’introduira et franchira les défenses périmétriques ou contournera les relations de confiance. Si la prévention des menaces est un élément essentiel auquel il faut donner la priorité, l’atténuation des répercussions d’une violation doit être prioritaire.
Favoriser la remise en question
Le Zero Trust impose un changement de paradigme, il faut s’éloigner des modèles de sécurité traditionnels fondés sur le périmètre pour adopter une approche plus granulaire, centrée sur l’identité. L’adoption du Zero Trust implique non seulement de déployer des outils technologiques et des mesures de protection avancés, mais aussi de cultiver un état d’esprit de scepticisme et de validation continus, c’est-à-dire de pratiquer régulièrement l’exercice “d’assumer la violation”. Il s’agit de favoriser une norme sur le lieu de travail où la remise en question de l’intégrité des systèmes, des solutions et des données devient une seconde nature, et où chaque employé assume la responsabilité de se prémunir contre les menaces potentielles. Les entreprises se doivent de favoriser un environnement d’apprentissage continu, en particulier parce que les menaces évoluent constamment, et d’offrir aux collaborateurs la possibilité de participer à des tests, à des ateliers et à des plans de réponse à incidents. Les collaborateurs doivent faire preuve de diligence certes, mais il revient aux organisations et aux chefs d’entreprise de s’assurer qu’ils mettent à la disposition des équipes, les ressources et les possibilités d’apprentissage nécessaires pour mettre efficacement en pratique ce qu’ils ont appris.
Prochaines étapes pour les chefs d’entreprise et les Comex
Mais comment les chefs d’entreprise peuvent-ils s’assurer que leurs collaborateurs sont des utilisateurs plus avisés de la technologie qu’ils utilisent ? La réponse aussi clichée soit-elle passe par une meilleure communication. Pour instaurer une culture conforme aux principes du Zero Trust, tous les membres d’une organisation doivent comprendre pourquoi ils doivent se méfier des communications à confiance automatique, la gravité d’une confiance mal placée et ce qui doit être communiqué de haut en bas de l’échelle. Cela implique de proposer des programmes de formation complets, de renforcer l’importance des protocoles de cybersécurité et de favoriser une culture de communication ouverte où les problèmes de sécurité sont traités de manière transparente et rapide. Les chefs d’entreprise ne peuvent pas se contenter d’attendre de leurs DSI et RSSI qu’ils assument cette responsabilité. Ils doivent eux-mêmes donner l’exemple du Zero Trust, en s’engageant à respecter les meilleures pratiques en matière de cybersécurité et en participant activement aux initiatives visant à améliorer la cyber-connaissance et la résilience de l’organisation.
De nouveaux outils de sécurité feront leur apparition
En faisant de la cybersécurité un impératif stratégique et en l’intégrant dans la culture organisationnelle, les entreprises peuvent renforcer leurs défenses contre des menaces et réduire le risque de violations coûteuses. Il est certes impossible d’instaurer une culture de confiance zéro du jour au lendemain mais il s’agit dès à présent de commencer quelque part. Le paysage des menaces justifie une approche holistique de la résilience et ce, au-delà les solutions technologiques. Certes, de nouveaux outils de sécurité feront leur apparition dans le secteur de la cybersécurité, mais avec l’émergence de nouvelles technologies et la multiplication des connexions, il deviendra encore plus important d’être un utilisateur avisé de poser des questions et de réfléchir avant de remettre « les clés du château » des technologies de l’information. Malgré les brèches inévitables, en cultivant une culture ancrée dans les principes du Zero Trust, les organisations seront à même de renforcer leurs défenses et de s’adapter en toute confiance à l’évolution constante du paysage des menaces, en ayant la certitude que leurs employés ne sont pas un handicap dans leur parcours de cyber-résilience, mais au contraire un facilitateur stratégique. Cela prend du temps, mais c’est un investissement essentiel.
Hervé Liotaud, Directeur régional des ventes Europe du Sud chez Illumio