Uncategorized

    Stratégie de lutte contre les nouvelles menaces et risques

    Stratégie de lutte contre les nouvelles menaces et risques

    Avec le paysage des cybermenaces en croissance constante et les cyberattaques de plus en plus sophistiquées, il est impératif pour toute organisation d’être bien préparée avec une stratégie de cyberdéfense claire et réalisable. Comme l’a noté Chuck Robbins, président et PDG de Cisco, lors de son discours d’ouverture à la conférence RSA 2021, la cybercriminalité a causé des dommages estimés à 6 000 milliards de dollars dans le monde en 2021 (1). En outre, les dommages causés par la cybercriminalité dans le monde devraient augmenter d’environ 15 % par an, pour atteindre 10,5 USD d’ici 2025 (2). Le travail à distance devenant une norme pendant la pandémie post-covid-19 dans de nombreuses organisations, le périmètre du réseau d’entreprise s’est déplacé et des points plus vulnérables ont été créés. La stratégie de cybersécurité doit s’adapter aux attaques émergentes.

    Cet article propose une stratégie de sécurité qui s’appuie sur le concept bien établi de défense en profondeur, complété par un paradigme plus récent connu sous le nom de confiance zéro. Après avoir donné un bref aperçu des deux concepts, nous fournirons plus de détails sur des actions spécifiques qui, si elles sont correctement mises en œuvre, augmenteront les capacités de votre organisation à lutter contre les cyberattaques et les risques émergents.

    Le concept de défense en profondeur

    Le concept de défense en profondeur est né de l’armée en tant que stratégie visant à fournir des barrières pour empêcher la progression des intrus tout en surveillant leur progression et en mettant en œuvre une réponse à l’incident. Ce concept a été traduit et utilisé principalement dans la cybersécurité comme un ensemble de mesures de sécurité de détection et de protection conçues pour arrêter les cyberattaques et réduire les conséquences d’une violation.

    Parce que l’architecture du système d’information peut être très complexe dans les grandes organisations, les vulnérabilités potentielles qui peuvent avoir des conséquences durables peuvent passer inaperçues pendant longtemps si elles sont exploitées. Par conséquent, la stratégie de défense en profondeur utilise une approche multicouche à plusieurs niveaux pour améliorer la probabilité de détecter une cyber-intrusion et la capacité de se défendre contre les acteurs malveillants. Le tableau suivant présente les solutions et les stratégies recommandées lors de la mise en œuvre de la sécurité de défense en profondeur.

    Solutions stratégiques de défense en profondeur

    Programme de gestion des risques
    1. Identifier les menaces
    2. Caractériser le risque
    3. Maintenir l’inventaire des actifs

    Architecture de cybersécurité

    • Normes/ Recommandations
    • Politique
    • Procédures

    Sécurité physique

    1. Contrôles d’accès au centre de contrôle
    2. Vidéo du site distant, contrôles d’accès, barrières

    Architecture de réseau
    • Zones architecturales communes
    • Zones démilitarisées (DMZ)
    • LAN virtuels (VLAN)

    Sécurité du périmètre du réseau

    1. Pare-feu
    2. Accès à distance et authentification
    3. Authentification multifacteur
    4. Serveurs Jump/Hôtes

    Sécurité de l’hôte

    • Gestion des correctifs et des vulnérabilités
    • Appareils de terrain
    • Machines virtuelles

    Surveillance de la sécurité
    1. Systèmes de détection d’intrusion (IDS)
    2. Journalisation des audits de sécurité
    3. Surveillance des incidents et événements de sécurité (SIEM)

    Gestion des fournisseurs

    • Gestion de la chaîne logistique
    • Services gérés/ externalisation
    • Tirer parti des services cloud

    Gestion des utilisateurs

    1. Stratégies
    2. Procédures
    3. Formation et Sensibilisation
    4. Gestion des identités et des accès (IAM)
    5. Contrôle d’accès basé sur les rôles (RBAC)

    Tirer parti du principe de confiance zéro pour activer une posture de sécurité plus solide et créer un environnement plus flexible

    La confiance zéro est un concept émergent qui devient rapidement une norme. Selon une étude de Gartner, plus de 60 % des organisations adopteront la confiance zéro comme point de départ de la sécurité d’ici 2025.

    La confiance zéro est un paradigme de sécurité qui ne fait implicitement confiance à aucun utilisateur. Avec le principe de confiance zéro, chaque utilisateur doit être explicitement identifié et l’accès n’est donné qu’aux ressources nécessaires à l’utilisateur pour exécuter sa fonction commerciale avec un minimum de friction tout en réduisant le risque.

    Qu'est-ce que le Zéro Confiance ?

    Comme le montre la figure ci-dessus, la confiance zéro permet l’indépendance du lieu de travail. Ceci est important dans un contexte post-covid où le besoin de travailler à domicile ou depuis n’importe quel endroit éloigné a considérablement augmenté.

    Cela représente un passage d’un modèle centré sur la localisation à une approche plus centrée sur les données et permet des contrôles de sécurité précis entre les utilisateurs, les systèmes, les données et les actifs.

    Mise en œuvre de la stratégie

    Nous comprenons que notre stratégie de sécurité sera basée sur la défense en profondeur et le concept de confiance zéro afin que nous puissions mettre en œuvre des actions spécifiques dans le cadre de notre programme de sécurité de l’information.

    Identifier les acteurs de la menace et les actifs

    Un programme de sécurité de l’information réussi commence par une évaluation des risques de sécurité alignée sur les objectifs et les buts de l’entreprise. Dans le cadre de l’évaluation des risques, les acteurs de la menace et toute exposition à ces menaces doivent être identifiés.

    Le niveau d’exposition peut être déterminé, après identification et classification de tous les actifs informationnels, avec un profil de risque associé à chaque actif.

    Il convient de noter que les menaces pour toute entreprise varient en taille, capacités, intentions et moyens de fonctionnement. De plus, les acteurs de la menace peuvent également être internes à l’organisation (menace interne) et peuvent causer des failles de sécurité intentionnellement ou par simple erreur humaine.

    Après des recherches approfondies, l’identification et la classification des informations sur les acteurs de la menace et les ressources d’information, la phase suivante consiste à commencer à établir des priorités.

    Prioriser les domaines de travail

    Dans un environnement de grande entreprise, la liste des éléments à examiner après un rapport d’évaluation des risques peut sembler écrasante ; cependant, parce que l’échec n’est pas une option, il est impératif de définir une liste prioritaire d’éléments, en fonction du profil de risque, de l’espérance perdue, du temps de récupération, du coût de remplacement…etc.

    L’étape suivante consiste à commencer à mettre en place des contrôles de sécurité, qui peuvent être techniques, administratifs ou physiques, en fonction de la nature de l’activité et de l’actif cible.

    Mettre en place des contrôles pour dissuader, détecter, prévenir et corriger

    Premièrement, l’état actuel des contrôles existants doit être identifié et leur efficacité pour l’atténuation des risques doit être évaluée.

    Les attaquants améliorant constamment leurs capacités à l’aide de techniques plus sophistiquées, les mécanismes de défense doivent s’adapter et garder une longueur d’avance en ce qui concerne les capacités, la technologie et les capacités du personnel de sécurité. Les technologies qui utilisent des techniques d’intelligence artificielle (IA) et d’apprentissage automatique (ML) peuvent être exploitées pour une détection, une prévention et des alertes plus précises afin de réduire la charge sur les ressources humaines, avec moins de fausses alertes positives.

    Les contrôles de sécurité sont généralement préventifs, dissuasifs, détectives ou correctifs.

    Comme décrit dans le Cadre ISO/IEC 27001:2022 pour les systèmes de gestion de la sécurité de l’information (ISMS), des types de contrôles préventifs, dissuasifs ou de détection sont utilisés pour réduire la probabilité que le risque se produise en premier lieu ou au moins pour rendre plus difficile la réalisation du risque (3). Par conséquent, les résultats de l’analyse des risques et des contrôles doivent être examinés pour évaluer tout écart entre l’état actuel et l’état souhaité des actifs informationnels.

    Prévention des attaques (contrôles préventifs)

    L’objectif des contrôles préventifs est d’empêcher les incidents de se produire, ce qui signifie empêcher efficacement les acteurs de la menace d’atteindre leurs objectifs.

    Le résultat le plus attendu est que les contrôles préventifs fonctionnent tout le temps. Malheureusement, ce n’est pas toujours le cas. Des contrôles préventifs sont mis en œuvre en fonction du résultat de l’évaluation des risques, de la classification des actifs et de la hiérarchisation.

    Des exemples de contrôles préventifs sont

    • Formation de sensibilisation à la sécurité pour tout le personnel. La formation doit être dispensée régulièrement et couvrir un grand nombre de sujets, en donnant au personnel des exemples de scénarios où ils pourraient être victimes d’attaques et en expliquant comment réduire les risques pour eux-mêmes et pour l’organisation. Des exemples typiques devraient être la formation du personnel pour identifier les e-mails de pêche, comment créer un mot de passe fort et les meilleures pratiques sur l’utilisation du mot de passe, comprendre les techniques d’ingénierie sociale, etc. Une formation ciblée doit être attribuée en fonction des fonctions exercées par le personnel, et des précautions doivent être prises prises pour s’assurer que les instructions sont définies au niveau approprié pour une consommation facile.
    • D’autres mesures de contrôle préventives doivent être sélectionnées de manière appropriée, notamment les pare-feu, les systèmes de détection d’intrusion (IDS), les correctifs des systèmes, l’installation de programmes antivirus, le renforcement des paramètres de sécurité et l’application du contrôle d’accès basé sur les rôles (RBAC).
    • Les politiques et procédures de sécurité de l’information doivent être mises à jour et régulièrement revues à mesure que l’environnement évolue.

    Détection de l’activité de l’acteur de la menace (contrôles de détection)

    Les contrôles de détection sont utilisés pour fournir une visibilité et des rapports ; cela peut aider à détecter les menaces avant qu’elles n’aient un impact ou immédiatement après.

    Il convient de noter que les attaques se produisent rarement à l’improviste. Au lieu de cela, les attaquants mènent généralement des activités telles que la collecte d’informations et la cartographie de l’architecture du système via plusieurs activités de reconnaissance avant de mener des attaques coordonnées à partir de plusieurs sources aléatoires à l’aide d’adresses IP usurpées. Ces techniques d’attaque de plus en plus sophistiquées rendent difficile la différenciation du trafic malveillant du trafic légitime.

    Voici quelques mesures de détection recommandées, étant donné qu’il ne s’agit pas d’une liste exhaustive. Comme dans le cas d’une approche de « défense en profondeur », des contre-mesures supplémentaires sont encouragées si elles n’entrent pas en conflit ou n’affaiblissent pas les contrôles existants.

    Journal d’activité

    La journalisation de toutes les activités sur un système est un bon point de départ, et les journaux critiques ou d’urgence sélectionnés peuvent être dirigés vers des systèmes désignés tels que Security Information and Event Management (SIEM) pour analyse. La journalisation doit inclure toutes les tentatives infructueuses de connexion au système, toutes les tentatives réussies et toutes les…

    Share.
    Add A Comment

    Leave A Reply