Heureusement pour les professionnels de la sécurité, la sécurité sera toujours une priorité en 2023 (rien de tel qu’un paysage de menaces en constante expansion pour rester indispensable ! On compte sur vous !). Mais ce n’est pas comme ça qu’on fait un article de blog intéressant... Au lieu de cela, restons à la page et découvrons les 5 tendances du rapport Prévisions 2023 pour la sécurité des données :
Si vous travaillez dans la sécurité, je sais que vous avez beaucoup à faire, donc allons-y sans préambule.
C’était la principale prévision du rapport sur la sécurité* : les initiatives de résilience, la sagesse acquise au fil des ans et la législation sont les catalyseurs qui font que la sécurité et l’informatique fonctionnent plus étroitement que jamais auparavant.
Si le mot « résilience » vous fait lever les yeux au ciel, je ne peux pas vous en vouloir. Comme la « transformation numérique », cela peut être du vent et une perte de temps… ou avoir un impact significatif sur les méthodes fondamentales de fonctionnement de votre organisation. Donnons-lui une chance et imaginons que c’est la deuxième réponse : pourquoi la résilience est-elle souvent la responsabilité du RSSI ? Je pense que c’est dû à l’élargissement de son rôle et de ses attributions. La sécurité est passée d’un leadership fonctionnel à une différenciation métier, et les RSSI, qui avaient traditionnellement le rôle d’« experts professionnels », sont devenus des « facilitateurs » puis des « leaders technologiques ». Les RSSI ne sont plus seulement là pour « arrêter le risque à tout prix » : ils aident l’entreprise à comprendre, accepter, gérer et réduire les risques de façon réfléchie, et dirigent les initiatives technologiques. En raison de cet élargissement et de ses liens étroits avec l’informatique, la sécurité occupe une position idéale pour accueillir les initiatives de résilience.
Avantage collatéral : en prenant le leadership de la résilience, l’équipe de sécurité se fait une nouvelle réputation. Ce n’est plus « 50 nuances de non », mais bien « des facilitateurs qui travaillent avec vous, pas contre vous ».
Les RSSI progressent dans la matrice RACI en ce qui concerne les investissements technologiques et les changements de processus. Ils ne sont plus simplement informés, ils sont, au minimum, consultés, parfois responsables. Et quand il s’agit de décisions sur la résilience, ils deviennent les principaux responsables.
Alors, que faire concrètement ? Quel que soit l’intitulé de votre poste, examinez votre réseau (de personnes, pas de machines !) et demandez-vous à combien de professionnels de l’IT et non de la sécurité vous parlez régulièrement. Prévoyez quelques pauses café et discutez ensemble de ce qu’est pour vous la résilience, afin de parvenir à une compréhension commune. Si vous êtes RSSI, identifiez votre profil – expert, facilitateur, leader – pour comprendre ce que votre organisation attend de vous. Pour la résilience, demandez-vous comment discuter de ces trois questions : 1) avez-vous atteint la résilience, 2) comment savez-vous si c’est le cas, et 3) où concentrer vos efforts.
J’aime les gens. La sécurité cherche avant tout la stabilité dans ses acquis, et pour cela il n’y a rien de tel que 1) de construire une bonne culture et 2) d’investir dans des personnes compétentes. Bien sûr, c’est difficile et cela prend du temps mais, avouez-le, vous en avez assez d’entendre parler de la crise des talents. Alors en 2023, on fait quelques changements.
Commençons par la culture : elle va gagner en importance, tout simplement parce que les attaques par usurpation d’identité sont en hausse. C’est à cause de la culture d’entreprise que votre équipe financière transfère des fonds en urgence après un e-mail du PDG (ou achète des cartes-cadeaux par un simple SMS, comme dans notre rapport). Si vous êtes un PDG exigeant, qui entretient une culture de la peur et n’accepte pas la contradiction, ne vous attendez pas à ce que votre personnel remette en question des demandes financières étranges.
Cette culture de la contradiction et de scepticisme sain va devenir absolument indispensable, car les attaques par usurpation d’identité sont chaque jour plus convaincantes, les réunions virtuelles étant aujourd’hui la norme, et les deepfakes étant même opérationnalisés. Vous ne me croyez pas ? Regardez cette conférence RSA sur l’utilisation de deepfakes dans de cadre de fausses déclarations de sinistre.
Je le répète, une bonne dose de paranoïa et de scepticisme n’est pas une mauvaise chose lorsque votre patron vous réclame désespérément des cartes-cadeaux.
Ensuite, il y a la crise des talents. Cette année, préparez-vous à faire preuve d’audace et à embaucher selon d’autres critères que « l’expérience » : recherchez de la curiosité, des aptitudes ou simplement un « état d’esprit de flux ». La durée de vie des compétences se raccourcit de toute façon (on le sait, l’enseignement de première année dans les universités est dépassé au moment où les étudiants obtiennent leur diplôme), alors recrutez dans une optique de flexibilité. Peter Drucker le dit : « le plus grand danger en période de trouble n’est pas le trouble lui-même, c’est d’agir avec la logique d’hier ».
Tout le monde ou presque est confronté à ce problème, et si l’automatisation peut sérieusement vous aider, elle n’est pas non plus une panacée. Les organisations qui réussissent associent une approche d’automatisation au fait de « trouver des talents, enseigner des compétences ». Ce mot d’ordre vient d’en haut, alors faites évoluer vos politiques de recrutement et arrêtez de demander une expérience qui n’est plus pertinente.
Alors, que faire concrètement ? 1) Culture : construisez ce que vous voulez et adaptez ce que vous avez construit (plutôt que vos utilisateurs) si les comportements observés ne sont pas optimaux. Les victimes de phishing le signalent rarement, car elles en ressentent de la honte, de la peur et de l’embarras – et rien ne les encourage à lever la main pour dire qu’elles ont fait une erreur. C’est le mécanisme qui retient les gens de remettre en questions les demandes qui semblent émaner du PDG : vous devez donc créer une culture qui récompense les employés qui contestent et signalent.
2) Crise des talents : combinez automatisation et changement de philosophie (et de politique) de recrutement. Identifiez ce que vous pouvez automatiser, quand et comment, arrêtez de demander une expérience inutile dans vos offres d’emploi et recrutez dans une optique d’adaptabilité afin de débloquer le pipeline.
Pour le dire gentiment, SolarWinds et Log4J ont souligné la fragilité de la sécurité de la chaîne d’approvisionnement et ont fait de ce problème une priorité pour de nombreuses organisations. Des MSP aux bibliothèques open source, tout le monde s’est mis à s’inquiéter davantage de l’exposition au risque dont ils héritaient des fournisseurs.
Dans ce contexte, les nomenclatures logicielles (SBOM) deviennent un élément central de la solution, et c’est au gouvernement américain qu’on le doit. En effet, d’ici 2025, vous aurez besoin d’une SBOM pour vendre des logiciels au gouvernement fédéral. Mais le problème n’est pas entièrement résolu pour autant. Bien sûr, les SBOM sont une aide précieuse, et leur adoption à grande échelle va révolutionner la façon dont nous gérons les logiciels, mais elles ne sont pas une solution miracle (rien ne l’est jamais). En fin de compte, la SBOM ne sert à rien si vous ne l’utilisez pas comme base pour agir.
Avant de faire quoi que ce soit, réfléchissez aux raisons pour lesquelles vous voulez une SBOM et à ce que vous espérez réaliser pour la sécurité de votre chaîne d’approvisionnement.
Quel est précisément votre objectif ? Visibilité, gestion active, hiérarchisation ? C’est bien souvent tout cela à la fois : vous voulez comprendre votre exposition aux risques, exiger davantage de vos fournisseurs ou comparer la position de sécurité de différents prestataires. Une fois cet objectif identifié, procédez à l’envers : réfléchissez au processus qui donnera de la valeur aux SBOM, demandez-vous comment vous allez créer des SBOM pour votre logiciel et les consommer dans votre organisation. Plongez-vous dans les normes et commencez à dire à vos fournisseurs que vous aurez besoin de leurs SBOM, quand et sous quelle forme.
Bien sûr, aucun article sur les tendances de sécurité ne serait complet sans évoquer les ransomwares. Le terme « ransomware » est devenu un raccourci pour « attaque qui vous fait payer », parfois plusieurs fois (par exemple, en volant des données avant de les chiffrer). Mais aujourd’hui, les acteurs malveillants bouclent la boucle : extorquer sans chiffrer.
Comme de nombreux professionnels de la sécurité, les cybercriminels franchissent également le Rubicon qui sépare PowerShell de PowerPoint, et extorquent les organisations au niveau commercial plutôt qu’au niveau technique.
Au lieu de chiffrer complètement votre système, la nouvelle tendance consiste à sélectionner une preuve de compromission et à envoyer quelques e-mails discrets aux principales parties prenantes de l’entreprise (PDG, conseil d’administration, RSSI), en exigeant un paiement en échange de leur sérénité. Un peu comme le piratage à l’ancienne, avec une touche de professionnalisme.
Alors que faire concrètement ? La plupart des professionnels de sécurité vous diraient de « faire vos devoirs » – autrement dit, appliquer toutes ces bonnes pratiques que vous connaissez depuis longtemps. Mais personne n’aime faire ses devoirs. Oui, bien sûr qu’il faut appliquer les bonnes pratiques, mais soyez honnête : si vous ne l’avez pas fait jusqu’à présent, c’est parce que ce n’est ni amusant ni gratifiant. Il faut donc un « bon point » pour donner envie de faire ces améliorations : récompensez ceux qui signalent le phishing, créez des tableaux de classement pour mettre en avant les champions des correctifs et des mises à jour, visualisez les risques pour inciter le conseil d’administration à investir et présentez des scénarios attrayants.
Je ne pouvais écrire que sur trois domaines avant de ne plus supporter le buzz : l’informatique quantique, la blockchain et le machine learning comme vecteur d’attaque. Je sais.
Bon... Qu’allez-vous faire à propos de l’informatique quantique ? On commence par le sujet facile : en 2023, il y a des menaces considérablement plus urgentes auxquelles consacrer votre temps et votre énergie. Attendez que le NIST termine complètement son processus de normalisation et analysez ces algorithmes si ça vous passionne vraiment. En attendant, détendez-vous et utilisez le mot à la mode comme une excuse pour réaliser ou actualiser votre inventaire d’actifs. C’est une bonne pratique de toute façon, mais cela vous aidera surtout à vous préparer à la migration le moment venu (s’il arrive un jour). Je vous recommande l’excellente norme de l’ETSI sur ce sujet (TR 103 619) : elle contient des listes de questions concrètes et pratiques qui vous aideront à améliorer votre crypto-agilité et à « vous préparer ».
Et donc... la blockchain peut être piratée ? Comme avec toute technologie, la théorie peut être intouchable mais elle ne survit pas à la mise en œuvre. Si vous utilisez la blockchain, j’espère 1) que vous avez une bonne raison de le faire et 2) que vous en comprenez les limites, c’est-à-dire que les portefeuilles peuvent avoir des vulnérabilités, comme tous les logiciels. Si vous n’utilisez pas la blockchain : ne l’utilisez pas tant que vous n’avez pas réuni les conditions 1) et 2) ci-dessus.
D’accord mais... que faire quand le machine learning passe à l’attaque ? Je l’avoue, c’est un peu sensationnaliste. En effet, quand le ML tourne mal, c’est généralement involontaire. « Défendez-vous » par l’opérationnalisation, d’une part en mettant sur pied un cycle de vie approprié qui sécurise la chaîne d’approvisionnement des données (en protégeant les données qui forment vos modèles ML), et d’autre part en rendant les systèmes de machine learning explicables. Ensuite, si votre ML devient malveillant, vous saurez au moins où, quand et pourquoi cela s’est produit.
Merci de m’avoir suivi jusqu’au bout. J’espère que cet article vous a donné quelques points clairs à approfondir en 2023. Maintenant, au travail.
* Curieusement, cette tendance n’est que 4e dans le rapport ITOps. Peut-être que l’IT est trop cool pour s’intéresser à la sécurité de nos jours ? Ou peut-être que la sécurité commence enfin à partager les sentiments que lui témoigne l’IT depuis longtemps ? Qui sait, c’est une relation complexe.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.