Il est grand temps de protéger votre entreprise contre les comportements malveillants.
Quoi de neuf dans le monde de la cybersécurité ? Apparemment tout.
Des experts en cybersécurité de tous les secteurs se sont récemment réunis lors de la conférence annuelle Knowledge de ServiceNow, à New York. Dans le cadre de tables rondes, de panels, de discussions et de démonstrations en direct, ils ont débattu des lignes de front de la cybersécurité et de ce qui nous attend. En voici les grandes lignes.
L’industrie manufacturière est en état d’alerte
Robert Rash évolue dans le secteur manufacturier depuis plus de 20 ans. Du pétrole et du gaz à l’élevage de poulets, le responsable de l’architecture des systèmes de fabrication de ServiceNow a tout vu, tout entendu. Aujourd’hui, il se consacre à alerter les dirigeants sur leur gestion négligente de la cybersécurité dans les usines.
« De plus en plus de monde se rend compte à quel point il est facile de pirater une usine moyenne. Et avant de s’améliorer, la situation va empirer », a déclaré Robert Rash à Paul von Zielbauer lors de leur entretien.
La plupart des technologies qui alimente les usines sont des technologies d’exploitation (OT) : des dispositifs tels que des capteurs de température et des systèmes de chauffage, ventilation et climatisation. Si les appareils informatiques (ordinateurs portables, tablettes, téléphones) sont généralement bien sécurisés, ce n’est en revanche pas le cas des appareils OT. Les appareils les plus anciens sont même sortis avant l’arrivée de la cybersécurité moderne.
« Ce sont des bombes à retardement », estime Robert Rash. « Ils sont conçus pour durer, mais pas pour être sécurisés ».
En effet, certaines des cyberattaques les plus médiatisées récemment ont exploité des appareils OT et la vulnérabilité de chaînes d’approvisionnement. L’attaque de Colonial Pipeline et le piratage de SolarWinds ont notamment toutes deux compromis des infrastructures critiques.
Pour Robert Rash, ce n’est pas tout : « Il n’y a pas besoin d’avoir une grande expertise pour pirater ces appareils. Un débutant peut apprendre en regardant des vidéos sur YouTube ». La solution à ce problème semble évidente : sécuriser tous ces appareils OT. Pourtant, selon lui, ce n’est pas si simple. Avant de s’accorder avec des fournisseurs de cybersécurité et d’essayer des solutions, les industriels doivent d’abord résoudre un problème culturel : « L’informatique et l’OT ne communiquent pas. J’ai participé à des échanges avec les équipes informatiques et l’OT, et c’était la première fois qu’elles entraient en contact. »
« L’OT a pris un retard de 8 à 10 ans sur l’informatique. C’est un énorme problème. »
D’une part, les équipes informatiques manquent de visibilité sur les appareils que les équipes OT utilisent dans leurs usines. D’autre part, les équipes OT ne partagent pas un vocabulaire commun avec les équipes informatiques, et ne peuvent donc pas communiquer clairement sur ce qu’il faut sécuriser. Pour éviter un désastre, Robert Rash affirme qu’il est essentiel que les deux équipes apprennent à communiquer. « L’OT a 8 à 10 ans de retard sur ce que fait l’informatique. C’est un énorme problème », poursuit Robert Rash.
Les dirigeants en sécurité ne font confiance à personne
Quelle est la règle numéro un en matière de cybersécurité ? Pour Will Coffey, directeur principal des plateformes numériques chez Accenture, la réponse est « ne faire confiance à personne ».
Will Coffey fait partie d’une communauté d’experts en cybersécurité qui prônent une confiance zéro. S’adressant à un large public de cadres lors de la conférence, il a expliqué que les entreprises matures surveillent, vérifient et authentifient en permanence les utilisateurs qui tentent d’accéder aux applications et aux données. C’est pour lui le cœur de la confiance zéro.
La confiance zéro est particulièrement importante dans le monde du travail actuel. Les employés travaillent de façon hybride et mobile : à la maison, dans un café, à une conférence, sur un ordinateur portable, une tablette, un smartphone, avec ou sans VPN. Le télétravail et le travail hybride créent un environnement fluide, et avec autant de personnes et d’appareils qui vont et viennent en permanence, il est difficile de savoir qui doit et ne doit pas accéder à quels actifs.
Selon Will Coffey, la création d’une organisation de confiance zéro nécessite quatre étapes. La première étape consiste à comprendre l’environnement, ce qui implique de cataloguer tous les actifs du réseau d’une entreprise. « Vous ne pouvez pas protéger ce que vous ne pouvez pas voir », explique-t-il.
La deuxième étape consiste à mettre en place des systèmes qui authentifient en permanence les utilisateurs qui accèdent au système. Il précise : « Instaurez un accès le moins permissif possible. N’accordez pas l’accès à l’ensemble du serveur s’il est possible de n’accorder l’accès qu’à un seul dossier ».
Une authentification continue est nécessaire pour les deux dernières étapes : empêcher le « mouvement latéral ». Cela signifie empêcher qu’un utilisateur se déplace sur le réseau pour accéder à des fichiers auxquels il n’est pas censé avoir accès, et réduire la surface d’attaque, ou les possibilités qu’un utilisateur se déplace sur le réseau et recherche des vulnérabilités.
Will Coffey n’est pas le seul à encourager les équipes de sécurité à mettre en place une architecture de sécurité à confiance zéro.
Si les menaces ne dorment pas, la cybersécurité ne doit pas dormir non plus.
Lors d’une table ronde sur la sécurité et les risques, des dirigeants se sont accordés sur l’importance d’une sécurité permanente. Au cours d’une conversation ouverte, certains dirigeants des secteurs de la fabrication, de l’informatique et des télécommunications ont partagé leurs connaissances et ont fait part de leurs frustrations. Le consensus était clair : si les menaces ne dorment pas, la cybersécurité ne doit pas dormir non plus.
Les participants ont convenu que de trop nombreux dirigeants investissent dans un outil ou engagent un fournisseur et pensent en avoir fini avec la sécurité. Bien au contraire, les entreprises devraient constamment chercher à repousser les limites de la sécurité, et les dirigeants devraient investir dans des outils qui surveillent en permanence les actifs pour détecter les menaces.
Commencer par des petits pas
Face à la multitude de technologies émergentes et des cybermenaces, par où les entreprises doivent-elles commencer ? Will Coffey et Robert Rash donnent le même conseil à ce sujet : « Commencez par faire des petits pas ».
Les deux experts conviennent que la base de toute cybersécurité efficace est une configuration management database (CMDB) qui aide l’entreprise à stocker des informations sur le hardware et le software qu’elle utilise. En d’autres termes, commencez par faire le point sur ce que vous avez, avant que les pirates ne fassent de même.