Entre une série d’incidents de cybersécurité récents et très médiatisés et les tensions géopolitiques accrues, il y a rarement eu un environnement de cybersécurité plus dangereux. C’est un danger qui affecte toutes les organisations – les campagnes d’attaques automatisées ne font pas de distinction entre les cibles.

La situation est due en grande partie à une augmentation incessante des vulnérabilités, avec des dizaines de milliers de nouvelles vulnérabilités découvertes chaque année. Pour les équipes techniques qui manquent probablement déjà de ressources, se prémunir contre cette marée montante de menaces est une tâche impossible.

Pourtant, dans la lutte contre la cybercriminalité, certaines des mesures d’atténuation les plus efficaces et les plus sensées sont parfois négligées. Dans cet article, nous expliquerons pourquoi les risques de cybersécurité ont augmenté de manière si spectaculaire et quels gains faciles votre organisation peut apporter pour une différence significative dans votre posture de cybersécurité, en ce moment.

Les récentes cyberattaques majeures montrent le danger

La cybersécurité n’a sans doute jamais été aussi importante. Avec l’augmentation du nombre de vulnérabilités qui se poursuit sans relâche depuis des années, parallèlement aux tensions géopolitiques, aucune entreprise ne peut prétendre disposer d’une cybersécurité imperméable à la pénétration. Ces dernières semaines, nous avons vu des rapports incessants de failles de sécurité chez Microsoft, Nvidia, Vodafone et bien d’autres.

En mars dernier, un groupe d’adolescents appartenant au groupe Lapsus$ a réussi à pirater Microsoft et à voler le code source de produits clés, notamment son assistant vocal Cortana et un serveur de développement Azure interne.

Lapsus$, qui est composé d’un groupe d’adolescents, ne s’est pas arrêté là. Nvidia a également été ciblée, car la société a admis que des données d’entreprise sensibles avaient été divulguées, y compris des informations exclusives. ainsi que les informations d’identification des employés. Quelque chose de similaire est arrivé au groupe de consommateurs Samsung et au cabinet de conseil Globant. Tous les dégâts causés par un seul groupe de mécréants.

La toile de fond de ces événements

Bien sûr, Lapsus$ n’est qu’un groupe actif. Il y a d’innombrables autres personnes qui s’attaquent aux grandes et aux petites organisations. La liste est interminable – en février, les services mobiles, fixes et de télévision ont été mis hors ligne pour une grande partie de la population portugaise alors que Vodafone Portugal a subi une cyber-violation majeure. Et personne n’est épargné – en janvier 2022, la Croix-Rouge a été piratéeexposant les données personnelles de centaines de milliers de personnes.

Piratage, intrusions, extorsions… gauche, droite et centre. Où s’arrête-t-il ?

Eh bien, il est peu probable que cela se termine de si tôt. Il y a un flux constant de nouvelles vulnérabilités et, par extension, de nouvelles menaces qui apparaissent. D’ici 2021, près de 22 000 nouvelles vulnérabilités ont été publiés dans la base de données nationale sur les vulnérabilités, soit une augmentation de 27 % par rapport au décompte de 2018, il y a à peine 3 ans.

Chaque année, la liste totale des vulnérabilités s’allonge, créant une montagne toujours plus grande de risques possibles. La liste des acteurs intéressés par l’exploitation réussie des vulnérabilités ne diminue pas non plus, car la dernière l’instabilité géopolitique s’ajoute à la menace.

L’atténuation est difficile et à plusieurs volets

Beaucoup d’efforts sont consacrés à la résolution du problème – en essayant de monter une défense. Mais comme notre longue liste d’exemples l’a prouvé, et comme le souligne cette liste de hacks majeurs, ces défenses ne fonctionnent pas toujours. Il est trop facile de manquer de ressources et les ressources peuvent facilement être mal allouées.

Le problème est que la lutte contre la cybercriminalité est une tâche à plusieurs volets – vous ne pouvez pas vaincre les cybercriminels en vous concentrant uniquement sur un ou deux aspects défensifs. Il doit s’agir de l’intégralité de la mission, allant de la sécurité et du chiffrement des terminaux aux pare-feu et à la surveillance avancée des menaces, en passant par les exercices de renforcement tels que les correctifs et les autorisations restreintes.

Tous ces composants doivent être en place et exécutés de manière cohérente, mais c’est une grande question lorsque les équipes informatiques ont du mal à trouver des ressources humaines. En toute honnêteté, il est impossible de mettre en place un périmètre de cybersécurité étanche – si des entreprises de plusieurs milliards de dollars ne peuvent pas le faire, il est peu probable que l’entreprise typique le fasse. Mais certaines parties essentielles de la gestion des vulnérabilités sont parfois négligées.

Une victoire rapide qui est négligée

Selon le rapport Ponemon, il faut environ cinq semaines pour corriger une vulnérabilité. Là réside une grande partie du problème. La correction des vulnérabilités par le biais de correctifs est sans doute l’un des moyens les plus efficaces de lutter contre les cybermenaces : si la vulnérabilité n’existe plus, la possibilité de l’exploiter disparaît également.

La nécessité de corriger a été mandatée au plus haut niveau – y compris par la Cybersecurity and Infrastructure Security Agency (CISA), qui a récemment publié une liste de vulnérabilités qui doivent être corrigés par des organisations couvertes. De même, le récent CISA Notification Bouclier levé souligne également fortement que les correctifs sont une étape critique qui prend en charge de manière significative la cybersécurité.

Étant donné la relative facilité de patcher – appliquez-le et ça marche – le patchage devrait être une évidence. L’application de correctifs est une victoire facile qui peut facilement transformer la posture de cybersécurité d’une organisation. Une étude récente du Ponemon Institute ont constaté que parmi les personnes interrogées ayant subi une violation, 57 % ont déclaré que cela était dû à une vulnérabilité qui aurait pu être fermée par un correctif.

Pourquoi l’application de correctifs est-elle retardée ?

Nous avons établi que l’application de correctifs est efficace et réalisable. La question est donc : qu’est-ce qui retient l’application de correctifs ? Il y a plusieurs raisons à cela, y compris, par exemple, le risque occasionnel qu’un correctif non testé puisse entraîner une défaillance du système.

Mais le problème le plus évident est la perturbation pendant la mise à jour. Patcher un système conduit traditionnellement à ce qu’il soit indisponible pendant un certain temps. Peu importe si vous corrigez un composant critique comme le noyau Linux ou un service spécifique, l’approche courante a toujours été de redémarrer ou de redémarrer après le déploiement des correctifs.

Les implications commerciales sont importantes. Bien que vous puissiez atténuer les risques grâce à la redondance et à une planification minutieuse, il existe toujours un risque de perte d’activité, d’atteinte à la réputation, de dégradation des performances et de clients et parties prenantes mécontents.

Le résultat est que les équipes informatiques ont eu du mal avec des fenêtres de maintenance terriblement inadéquates, souvent trop espacées pour réagir correctement à un paysage de menaces qui peut voir des attaques se produire quelques minutes après la divulgation d’une vulnérabilité.

Agir activement contre les risques cyber

Alors oui, les organisations doivent appliquer des correctifs de manière cohérente comme première étape parmi d’autres. Heureusement, il existe une voie à suivre pour les correctifs, et cela s’appelle la technologie de correctifs en direct. Solutions de correctifs en direct comme Entreprise KernelCare de TuxCare fournir une solution non perturbatrice au défi des correctifs.

En installant des correctifs sur les logiciels en cours d’exécution à la volée, il élimine le besoin de redémarrages perturbateurs et de redémarrages – et de fenêtres de maintenance. Il n’est donc pas nécessaire d’attendre pour installer un patch. De plus, la nature automatisée des correctifs en direct signifie que les fenêtres de correctifs sont pratiquement éliminées.

Il s’agit essentiellement d’un déploiement instantané de correctifs : dès que le fournisseur publie un correctif, ce correctif est appliqué, ce qui réduit l’exposition et la fenêtre de risque au minimum, sans aucun impact sur les activités commerciales.

Cette approche alternative et efficace des correctifs illustre comment il existe des mesures efficaces à prendre dans la bataille de la cybersécurité – des mesures qui sont également respectueuses des ressources. L’AMF est un autre moyen simple mais efficace de renforcer les systèmes contre les menaces de cybersécurité. Les organisations qui n’utilisent pas encore l’authentification multifacteur (MFA) doivent l’activer partout où les fournisseurs la proposent.

Les gains rapides sont partout

Il en va de même pour les autres gains rapides. Prenons le principe du moindre privilège, par exemple. En instaurant simplement une culture consciente des autorisations dans les équipes techniques, les organisations peuvent s’assurer que les acteurs potentiels ont un minimum d’opportunités d’entrer dans les systèmes – et de progresser s’ils parviennent à y entrer. Cela vaut pour la segmentation du réseau, un autre outil économe en ressources mais efficace contre la menace de la cybercriminalité.

Le fait est que même si la menace de cybersécurité est à peu près hors de contrôle, il existe néanmoins de nombreuses voies raisonnablement faciles qui permettent aux organisations de monter une défense plus solide. En d’autres termes, ignorer des outils tels que les correctifs en direct, MFA et la gestion des autorisations rend tout simplement un combat difficile beaucoup plus difficile. En revanche, sauter sur ces gains rapides peut rapidement renforcer votre position en matière de cybersécurité.