La cyber-résilience est un objectif pour toutes les entreprises mais nombre d'entre elles n'ont pas la maturité ou les ressources nécessaires pour parachever celle-ci. Comment passer de la théorie à la pratique ?
Éric Antibi : La gestion de la cyber-résilience dépend avant tout de la taille de l'entreprise.
En effet, les défis en matière de cyber-résilience ne sont vraiment pas les mêmes selon que l’on soit une grande entreprise ou une TPE ou PME. Les grandes entreprises peuvent avoir une stratégie proactive et des ressources conséquentes, mais celles-ci font face à des défis liés à un parc informatique legacy conséquent et à des départements IT cloisonnés. Or, mettre en place une stratégie “zero trust” à l’échelle de l’entreprise en impliquant des équipes qui ne sont pas dans le même département est compliqué ; très fréquemment, une multitude de solutions sont déployées en parallèle. Ces solutions fonctionnent différemment, elles n’ont pas toutes été installées au même moment, toutes les équipes n’ont pas la même expertise.
Pour les entreprises de taille plus modeste, même si les menaces ou les techniques d’attaque sont similaires, le défi qui se posera sera tout autre, puisqu’elles devront atteindre leurs objectifs en matière de cyber-résilience avec des ressources réduites. Pour passer de la théorie à la pratique, justement, elles devront se poser la question de savoir quelles ressources – techniques et humaines – déployer, sur quelles tâches : ai-je accès à cette compétence en interne ou dois-je l’externaliser ?
Quels sont les autres obstacles auxquels les entreprises devront faire face ?
Éric Antibi : En complément des aspects mentionnés précédemment, un obstacle majeur à la cyber-résilience est organisationnel. En effet, être cyber-résilient, ce n’est pas uniquement se tenir prêt en cas d’attaque, et avoir de bonnes solutions en place. C’est aussi savoir comment je dois réagir très concrètement le jour où je fais face à une intrusion dans mon SI. Toute entreprise doit définir clairement ses besoins métiers : peut-elle se permettre d’être perturbée ou arrêtée pendant deux heures, pendant deux minutes ? Quel serait l’impact pendant l’attaque, mais aussi sur la durée, y compris après la remédiation, sur la réputation, le cours en bourse, la confiance des clients ou des partenaires…
Une approche basée sur une plateforme comme la propose Palo Alto Networks garantit une protection consolidée simplifiée et d’analyser en un seul point de collecte l’ensemble des données et évènements provenant du système d’information de l'entreprise. Il est alors primordial de mettre en place une gouvernance qui fera la jonction entre les différentes équipes, une stratégie commune et homogène, quelle que soit l’organisation en silos. Cette stratégie opérationnelle trouve des applications concrètes d’un point de vue technique ; l’idée est ici qu’une entreprise déploie une seule solution globale plutôt que plusieurs dizaines de solutions en silo.
Autre difficulté pour les entreprises en matière de cyber-résilience : les cybermenaces, qui ne cessent de se complexifier. Quelles menaces majeures pèsent sur les entreprises aujourd'hui ?
Éric Antibi : Le paradoxe actuel en matière de cyberattaques est que celles-ci n’ont pas beaucoup évolué dans leur déroulement, et sont pourtant de plus en plus fréquentes et de plus en plus redoutables. Prenons l’exemple de la chaîne d’attaque : les hackers effectueront d’abord une phase de reconnaissance pour analyser la surface d’attaque et récupérer des informations sur les failles ou les potentiels points d’entrée. Ensuite, ces hackers tenteront d’effectuer une intrusion dans ce SI, souvent via un simple phishing. Si cette intrusion aboutit, ils essaieront alors d’effectuer des escalades de privilèges et « mouvements latéraux » afin d’accéder aux serveurs critiques de l’entreprise, comme l’active directory ou les serveurs de sauvegardes. Si elle veut se protéger efficacement, une entreprise doit d’abord comprendre ces grandes étapes afin d’être à même de bloquer une attaque à plusieurs endroits.
Comme je le disais, les techniques des cyberattaques n’ont pas radicalement évolué au cours des années passées. Néanmoins, deux éléments structurants ont significativement changé.
Tout d’abord, la surface d’attaque. Auparavant, pour schématiser, il fallait trouver une porte d’entrée au sein d’une grande barrière ; les salariés travaillaient tous depuis le bureau, et peu ou pas depuis chez eux. Or, avec le changement de paradigme grandement accéléré par le Covid, cette surface d’attaque a explosé : le travail hybride est devenu la norme pour de nombreuses entreprises, et un collaborateur peut être attaqué aussi bien au bureau que chez lui via un simple boitier ADSL, ou encore lorsqu’il est en mobilité. À cela s’ajoute également l’accélération des stratégies de « move to cloud » dans la majorité des entreprises, qui étend là encore la surface d’attaque.
La deuxième évolution récente concerne bien sûr l’utilisation de l’intelligence artificielle. Aujourd’hui, les entreprises déploient de nombreux outils d’IA pour automatiser et simplifier un certain nombre de tâches. Forcément, les hackers ont recours aux mêmes outils pour mener leurs attaques ! Les méthodes restent les mêmes mais la fréquence des attaques et leur rapidité s’en voit multipliées, et celles-ci changent d’échelle.
Il y a quelques mois, Unit 42 a publié un rapport très intéressant sur l’évolution des menaces. On peut y lire qu’il y a environ 2 ans, le délai moyen entre l’intrusion d’un hacker dans un SI et le moment de son attaque visible (vol de données ou rançongiciel) était de 44 jours. En 2022, ce délai s’est réduit à 30 jours, à 5 jours en 2023, et il pourrait bientôt être de quelques heures ! Les attaques sont de plus en plus véloces et les entreprises doivent suivre cette évolution pour se défendre efficacement. D’autant plus que d’un point de vue légal, cette accélération des attaques se confronte aux délais de signalement à respecter. Dans le cadre du RGPD, par exemple, le délai pour signaler à la CNIL la violation de données personnelles est de 3 jours ; si demain une attaque peut être conduite en quelques heures, il y aura nécessairement un décalage et donc des risques financiers en plus de ceux déjà induits par l’attaque elle-même.
Quels outils déployer pour lutter face à ces cybermenaces ?
Éric Antibi : Mettre en place les bons moyens de réagir, c’est effectivement le cœur de notre stratégie et la raison pour laquelle Palo Alto Networks investit des budgets conséquents en innovation et en recherche et développement – presque un quart de notre chiffre d'affaires lors de notre dernier exercice fiscal. Nous avons des convictions très fortes sur la question des moyens de lutte, il y a plusieurs années, nous avons disrupté le marché du pare-feu en y apportant des nouvelles fonctionnalités permettant d’avoir une vue globale des applications utilisées par les utilisateurs et permettre ainsi aux équipes sécurité de maîtriser quelles applications sont vraiment nécessaires à chaque utilisateur pour exercer sa mission dans l'Entreprise. Aujourd’hui, avec l’évolution des menaces vers du temps réel, proposer une plateforme simplifiée s’appuyant sur une source de données riche et unifiée analysée via l’IA est fondamental.
Pour ce faire, la solution Palo Alto Networks repose sur trois piliers. Tout d’abord, la plateforme Network Security, qui correspond à notre pare-feu nouvelle génération et peut aussi aujourd’hui être déployé sous forme logicielle ou, dans le cloud. Si un utilisateur est mobile, sa sécurité est assurée partout, via un point de connexion embarquant les moteurs de sécurité, au plus proche cela permet d’avoir une posture de sécurité consistante et sans couture quel que soit le cas d’usage, la localisation de l’utilisateur et le type d’applications – internes ou dans le cloud. Ensuite, la plateforme Cloud Native. Nombre de nos clients déploient des applications en continu et en mode agile dans des clouds privés ou publics, et il faut les protéger sur l'ensemble de la chaîne, de la phase de développement jusqu’au déploiement dans le cloud. Enfin, notre plateforme Cortex XSIAM concerne tout ce qui a trait aux SOC, et la façon dont on peut faire évoluer ces SOC pour les rendre de plus en plus autonomes.
La promesse commune à ces trois plateformes : réduire le MTTD, « mean time to detect ». Dans un monde parfait, celui-ci serait de zéro mais on sait que c’est impossible ; l'objectif est donc de le réduire à quelques secondes seulement. Ces plateformes ne cessent de s’enrichir grâce au deep learning et au machine learning, par exemple, dans la détection de comportements anormaux (utilisateurs, postes de travail ou applicatifs). L’IA générative joue également un rôle de plus en plus important dans nos solutions, que ce soit pour améliorer l’expérience utilisateur ou renforcer la sécurité en pilotant la plateforme en langage naturel et obtenir des diagnostics et des playbooks de remédiation instantanément.