L’année 2020 a été marquante pour les responsables de la sécurité, avec la remise en cause de nos approches traditionnelles en matière de sécurité par la pandémie de COVID-19 et les attaques SolarWinds. Du jour au lendemain, la pandémie a provoqué un passage rapide au télétravail et une transition encore plus rapide vers la technologie cloud. Ces changements ont réduit la visibilité des équipes sur leur écosystème technologique, diminué le contrôle sur les points d’accès et augmenté la surface d’attaque pour les malfaiteurs.
Et au cœur de cette transition et de ces bouleversements, les plus grandes attaques sur la chaîne logistique de l’histoire ont eu lieu. Les conséquences de ces deux événements se feront sentir pendant de nombreuses années et marqueront un tournant dans nos carrières en tant que professionnels de la sécurité.
Malheureusement, les attaques n’ont pas cessé, notamment avec l’attaque par ransomware DarkSide et l’attaque sur la chaîne logistique CodeCove ce mois-ci, qui ont eu lieu avant que de nombreuses entreprises n’aient le temps de mettre en place les stratégies de sécurité nécessaires pour garder une longueur d’avance sur des malfaiteurs enhardis par les événements récents.
Une nouvelle étude, à l’initiative de Splunk et publiée aujourd’hui dans le rapport État de la cybersécurité en 2021 propose la première analyse du paysage de la cybersécurité post-SolarWinds. Il reste encore beaucoup de travail à accomplir, mais les experts de la cybersécurité ont des raisons de se montrer optimistes.
Les chercheurs de l’Enterprise Strategy Group (ESG), en collaboration avec Splunk, ont interrogé plus de 500 responsables de la sécurité et de l’IT du monde entier deux mois seulement après la divulgation des attaques SolarWinds. Les données indiquent que les entreprises n’ont pas encore bien pris conscience du risque qu’implique cette attaque sur la chaîne logistique, l’une des plus importantes de l’histoire. Concrètement, notre étude a montré que :
Le rapport État de la cybersécurité en 2021 souligne que les attaques sur la chaîne logistique ne sont pas le seul défi auquel font face les RSSI. Nous devons également faire évoluer nos stratégies de sécurité pour gérer la complexité croissante des infrastructures hybrides et multicloud. Le passage précipité au télétravail et la course au développement des technologies numériques et cloud en réponse à la pandémie n’ont fait qu’accentuer ces défis.
L’étude montre néanmoins des signes de changement encourageants. La relation entre les équipes de sécurité et IT est une lueur d’espoir : 83 % des participants déclarent que leur collaboration s’est renforcée pendant la pandémie. Presque 90 % des entreprises ont également indiqué que les dépenses de cybersécurité allaient augmenter, 35 % affirment même qu’elles vont « grandement les augmenter ».
Voici d’autres résultats de l’étude :
Maintenant que nous avons recueilli toutes ces données, par où commencer ? Nous commençons par réfléchir aux annonces faites par le PDG de Splunk, Doug Merritt, à l’occasion de la conférence de sécurité annuelle RSA Conference : les données sont nécessaires à un bon programme de cybersécurité ; les données sont cruciales pour identifier et répondre aux menaces de sécurité ; la sécurité est effectivement une question de données.
Nous vivons dans l’ère des données, où l’ossature de toute stratégie de sécurité efficace, notamment après le COVID-19 et SolarWinds, doit se baser sur les données. Les données ne sont pas seulement la ressource que nous protégeons, c’est ce qui nous permet de tirer le maximum de nos investissements, de visualiser les risques et de trouver des solutions. C’est ce qui nous avertit des tentatives d’intrusion ou de la présence de malfaiteurs dans nos systèmes.
Pour bien utiliser les données, nous devons commencer par adopter une approche zéro-confiance, qui consiste à limiter l’accès aux données et aux ressources à toute connexion tant que l’on ne s’est pas assuré qu’elle est sécurisée. Nous évaluons sans arrêt les menaces émergentes et existantes ainsi que les techniques, les tactiques et les procédures (TTP) que les malfaiteurs utilisent, afin de pouvoir corriger les failles. De plus, nous devons déployer un centre des opérations de sécurité (SOC) moderne basé sur une plateforme de données intelligente et évolutive avec des fonctionnalités d’automatisation complète afin de détecter les menaces, d’identifier les anomalies et de réduire les délais de réponse.
Enfin, nous devons également utiliser les données pour améliorer la communication, le partage des informations sur les menaces et la confiance accordée aux fournisseurs. Prenons l’exemple des attaques sur la chaîne logistique : les fournisseurs de logiciels, tels que Splunk, ont l’obligation d’auditer leurs fournisseurs et de leur demander comment ils réduisent les risques liés aux menaces émergentes. Nous devons ensuite communiquer ces résultats à nos clients, comme nous l’avons fait après les attaques SolarWinds. Une plateforme robuste et flexible doit auditer et partager ces données à grande échelle avec ses clients et la communauté dans son ensemble.
L’année 2020 a été jalonnée de défis pour les professionnels de la sécurité, mais elle a également ouvert des possibilités, débloqué des budgets et provoqué un élan de soutien en faveur du renforcement des pratiques de sécurité à tous les niveaux de l’entreprise. Je suis convaincu que les responsables de la sécurité profitent de la dynamique actuelle pour accélérer la mise en place des mesures d’amélioration et garder une longueur d’avance face à des défis de sécurité toujours plus complexes.
Pour en savoir plus, et notamment bénéficier de recommandations pour améliorer votre position de sécurité, téléchargez le rapport État de la cybersécurité en 2021.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.