Des cyber-attaques de plus en plus sophistiquées et préjudiciables ont atteint des entreprises telles que JP Morgan, Target, Sony… contraignant dans les deux derniers cas les dirigeants à démissionner.
Le succès de ces agressions prouve que nos efforts en cybersécurité ont échoué et qu’il est temps d’appliquer une nouvelle approche : adopter le point de vue de l’attaquant !
En regardant notre entreprise avec les yeux et l’état d’esprit de l’agresseur, nous verrons la situation telle que lui la perçoit : quels sont nos « trésors », nos failles… ce qui nous permettra de mieux anticiper et de mieux nous préparer au prochain assaut.
Cette approche est trop rarement employée et nos entreprises deviennent toujours plus vulnérables malgré l’accumulation continue des produits de sécurité autour de nos précieux actifs et malgré l’embauche de nouveaux spécialistes en sécurité. La lutte n’est pas égale : la défense doit réussir en permanence là où l’attaquant – qui bénéficie de moyens quasi étatiques – ne doit réussir qu’une seule fois. Target a égaré 40 millions de cartes de crédit alors qu’un dispositif avait repéré le programme malveillant, Sony a été piraté alors que l’entreprise était l’objet d’attaques depuis 2 ans, Neiman Marcus avait été prévenu par Visa…
Chaque entreprise est devenue une entreprise IT : mobilité, Internet des objets, cloud, réseaux internationaux… Trop de sondes génèrent trop de signaux qui ne peuvent être tous analysés systématiquement en profondeur. Des milliers d’incidents peuvent apparaître certains jours, comment détecter et faire face à des menaces nouvelles voire inconnues ?
En « tournant la carte » et en adoptant le point de vue de l’agresseur les équipes de direction peuvent apprendre beaucoup de choses sur leur propre entreprise et ainsi mieux se préparer aux inévitables attaques.
Chaque point ci-dessous est une faiblesse que les attaquants peuvent exploiter.
Connaître vos risques majeurs et comprendre comment vos adversaires visent à les attaquer.
Une sécurité efficace doit intégrer :
- des indicateurs de compromission (avons-nous été attaqués ?),
- des tactiques, techniques et procédures (comment sommes-nous ciblés ?),
- des renseignements sur l’identité (qui nous cible, et pourquoi ?),
- des informations sur les vulnérabilités (lesquelles sont exploitées actuellement ?),
- des données sur l’attribution de l’attaque (attaque opportuniste ou ciblée ?).
Faire l’inventaire de vos actifs et les surveiller en permanence.
A minima, les entreprises doivent identifier et suivre l’ensemble de leurs actifs interconnectés. Quelles sont les applications et les serveurs qui renferment les informations les plus précieuses ? Les entreprises se doivent de maintenir une dynamique, de réaliser « en temps réel » l’inventaire de leurs actifs, de les surveiller en permanence, et de restituer ces informations sous la forme d’un tableau de bord simple et intuitif, facilement utilisable par les équipes de sécurité et d’exploitation.
Faire de la sécurité une de vos missions.
L’approche actuelle de la sécurité est axée sur la conformité et la contrainte des coûts. Les Top Managers délèguent la sécurité qui se retrouve implantée et gérée à l’extérieur du cœur de métier.
La sécurité n’est pas délégable, et la mission des équipes de sécurité doit faire partie des missions fondamentales de l’entreprise.
Soyez actif et non passif, dans la chasse et l’éviction de vos adversaires.
Comme vous ne pouvez pas attaquer l’agresseur sur son propre terrain, vous devez être plus actif contre des adversaires détectés sur vos propres réseaux. Cependant le terme «défense active» n’est pas un synonyme de «piratage en représailles » !
Il est mal venu pour une entreprise de passer à l’offensive : c’est illégal et vous risquez d’aggraver la situation car l’agresseur saura qu’il a perdu sa discrétion.
Aujourd’hui le temps moyen de détection d’une APT (Advanced Persistent Threat/brèche de sécurité persistante) est supérieur à 200 jours, il faut s’échiner à le réduire.
Il est facile de clamer que l’avenir même d’Internet est menacé dans les domaines du commerce et de la communication tant que la confiance ne sera pas établie. Mais trop d’entre nous ont trop à perdre…
C’est en se mettant à la place de nos agresseurs et en combinant les forces des Top Managers, des développeurs de logiciel, des équipes de sécurité, et des investisseurs que nous pourrons faire face à cette nouvelle génération d’adversaires.
Source : “See Your Company Through the Eyes of a Hacker” par Nathaniel C. FICK, article du Harvard Business Review du 24 mars 2015
https://hbr.org/2015/03/see-your-company-through-the-eyes-of-a-hacker?utm_source=Socialflow&utm_medium=Tweet&utm_campaign=Socialflow
Traduit de l’anglais par Gilles AFCHAIN
