L'aube de l'ère de la prévention

Le prochain article a été rédigé par Petko Stoyanov, Global Chief Technology Officer de Forcepoint :

Les ransomwares, ou rançongiciels, sont devenus l'agent dormant de la cybersécurité. Un agent dormant est un espion qui s'infiltre dans un pays ou une organisation et se comporte normalement jusqu'à ce qu'il soit appelé à remplir sa mission, des mois ou des années plus tard. Dans le cas des ransomwares, tout le monde pense que les effets désastreux et néfastes se produisent immédiatement. Si je suis votre collègue et que je vous envoie un document par courriel, il y a de fortes chances pour que vous l'ouvriez. Une fois activé, le logiciel malveillant peut submerger et compromettre votre système en quelques secondes, si tel est le but recherché. Mais pas toujours.

Le plus souvent, le code malveillant du ransomware peut incuber et rester caché pendant des mois, avant d'être activé à un moment précis, comme un jour spécifique, voire même selon la phase de la lune. Et au fil des mois, le logiciel malveillant peut se propager lentement, en cryptant des éléments – pas tous en même temps, mais petit à petit – en prenant des éléments qui étaient auparavant bons et en les exploitant pour les rendre nocifs dans toute l'entreprise ou l'écosystème. Comme je l'ai dit plus haut, il se comporte comme un agent dormant.

Comment sommes-nous donc censés mettre en place des systèmes résilients, tout en continuant de faire fonctionner nos entreprises ou nos gouvernements, face à la menace croissante des ransomwares ?

Plus de détection n'est pas la solution

Les entreprises mondiales et les gouvernements, tant fédéraux que locaux, ont investi des milliards pour tenter de détecter et de contrer les ransomwares. La détection est un élément important dans une infrastructure résiliente, mais six à neuf mois peuvent s'écouler avant que les violations de données ne soient mises à jour. Visiblement, plus de détection n'est pas la solution. En tant qu'industrie, nous avons échoué dans la détection. Nous avons essayé pendant plusieurs décennies. À chaque innovation qui s'est présentée, les criminels ont trouvé le moyen de la contourner. Ces dernières années, nous nous sommes penchés sur l'apprentissage machine et les outils de détection des logiciels malveillants basés sur l'IA. Les innovations comme l'IA sont utiles, mais vous devinez la suite, les criminels utilisent eux aussi l'IA et les deep fakes. La course à l'innovation n'a pas éliminé ou atténué les menaces comme les ransomwares. Au contraire, les attaques par ransomware continuent de prendre de l'ampleur et d'avoir un impact financier.

En riposte, notre industrie a adopté des architectures Zero Trust et des approches de confiance explicite, mais la plupart des déploiements Zero Trust se sont largement concentrés sur l'identité et l'accès. L'évolution récente de la main-d'œuvre hybride et de la transformation numérique, ainsi que l'utilisation concomitante de contenus et d'informations électroniques en tout lieu, sont des indicateurs avancés de la direction que doit prendre Zero Trust, à savoir suivre les données.

Basculer vers 100 % de prévention

Il n'est pas exagéré de dire que les données sont le système nerveux central d'une organisation. Les données sont omniprésentes et pratiquement standardisées, qu'il s'agisse de PDF, de courriels, de pages web ou de bases de données. Les entreprises doivent repenser leur périmètre, car le périmètre est désormais partout où les données sont utilisées. En d'autres termes, si vous vous concentrez sur l'authentification et la détection, vous réussirez peut-être à savoir qui est une personne sur le réseau et à quelles données elle est autorisée à accéder. Mais vous ne savez peut-être pas à quoi ces personnes accèdent, ni pourquoi.

Les outils d'analyse sont incroyablement utiles pour aider à repérer les moments de risque potentiel, mais c'est un peu comme chercher une aiguille dans une botte de foin. Si nous suivons le principe de Zero Trust, alors nous ne ferons confiance à aucun des actifs qui entrent dans le réseau en premier lieu. Dans un modèle 100 % prévention, vous décidez que tout contenu est mauvais et vous désinfectez tout, quelle que soit la source.
Le tout ou rien, ou simplement le rien, est une philosophie radicale, mais les menaces existentielles comme les ransomwares exigent une approche nouvelle. Les chefs d'entreprise et les responsables de la cybersécurité doivent adopter les technologies de transformation du contenu de type « Zero Trust », comme la désactivation et la reconstruction du contenu (CDR), qui ont atteint leur maturité pour l'entreprise. Le CDR suppose que tous les fichiers entrant dans votre réseau contiennent des logiciels malveillants. Le CDR intercepte un document à la frontière du réseau, recrée le contenu à partir de zéro et le livre, propre et sûr, au destinataire prévu. Ce n'est finalement pas grave qu'un cybercriminel ait détourné le compte de messagerie d'un partenaire fournisseur pour me manipuler (il y a peu de chances que cela se produise) afin de me faire cliquer sur une pièce jointe infectée. Le fichier sera nettoyé avant même que le courriel n'atterrisse dans ma boîte de réception. Menace évitée.

De nos jours, nous avons besoin d'approches non conventionnelles pour défendre nos économies, nos infrastructures critiques et notre mode de vie. Lorsque la cybersécurité pourra assurer les affaires courantes, les opportunités se multiplieront pour le secteur. L'hypercalibration des ressources informatiques nécessaire pour répondre aux exigences de la main-d'œuvre hybride d'aujourd'hui exige un calibrage identique des capacités de cybersécurité. Alors qu'ils étaient auparavant disposés à installer des étagères entières de produits à fonction unique, de plus en plus de clients demandent des modèles de déploiement intégrés dans le cloud. Ils veulent rendre la cybersécurité aussi simple qu'un service, en appuyant sur un bouton pour déployer l'élimination des menaces, la sécurité des données, le firewall, la sécurité du web et d'autres capacités là où ils en ont besoin, et tout cela, quand ils le veulent.

Alors que les dirigeants d'entreprises et d'organismes publics continuent de mûrir leurs efforts de transformation numérique, ils reconnaissent que la cybersécurité est ce qui permet d'assurer l'activité. La transition Zero Trust va se poursuivre, car les entreprises cherchent à prévenir de manière proactive les failles de sécurité et cessent d'essayer de détecter les menaces ou d'y réagir. Cela me rend optimiste pour l'année prochaine et les années suivantes.

Les points à retenir des Future Insights :

• La prévention à 100 % devient la norme, les entreprises adoptant pleinement les principes de Zero Trust. Les cyber-équipes vont supposer que tout est nocif, tout désinfecter et garantir un accès moins privilégié.
• La convergence et l'hypercalibration des capacités seront la norme, car la simplicité sera atteinte par la maturation des SASE et de la sécurité dans le cloud en tant que service.
• L'élimination des menaces peut s'étendre aux entreprises et aux gouvernements : il ne s'agit plus d'une utilisation de niche. La combinaison des technologies CDR, SWG et RBI donnera à une entreprise plus qu'une chance de lutter contre les attaques de ransomware.