Rechercher

Futur de la cybersécurité : les crises sont inévitables

Dans un environnement complexe et inconstant, il faut apprendre à contrôler ce que l’on peut et être prêt à composer avec l’incertain.

Une guerre d’usure

La cybersécurité est un problème de ressources. Tant l’attaquant que le défenseur disposent de ressources limitées en termes de temps, d’argent et de compétences, qu’ils doivent appliquer stratégiquement pour atteindre leurs objectifs.

En tant que défenseurs, nous avons un défi beaucoup plus important à relever : nous n’avons absolument aucune marge d’erreur. Les CTO et les CISO doivent donc décider comment ils vont utiliser leur temps, leurs talents, leurs technologies et leur argent pour répondre au mieux à la menace réelle et actuelle.

Dans un paysage complexe et évolutif, il est très difficile de faire la différence entre les menaces “perçues” et “réelles”. Ce manque de certitude conduit à un achat encore trop basé sur la peur.

Dans cet article, nous analyserons le vaste volume de données dont nous disposons pour vous aider à tirer les leçons du passé et à planifier, autant que possible, l’avenir.

Un système complexe

L’état actuel des menaces apparaît au travers de la relation entre trois facteurs principaux : les forces structurelles, les facteurs inflationnistes et l’évolution de la technologie.

Les forces structurelles

Les forces structurelles comprennent les forces systémiques qui créent les catalyseurs et les contraintes qui façonnent la menace et notre capacité à y répondre. Ces facteurs sont liés à nos contextes et à nos environnements et ont un impact fondamental sur la forme que prend la menace et sur notre capacité à y répondre.

Du point de vue de la défense, ces puissantes forces géopolitiques agissent comme un paysage physique, donnant forme et taille à la menace, et présentant des routes et des obstacles à franchir. Ce paysage crée et/ou restreint également les options dont nous disposons et présente des avantages et des inconvénients. Étant donné que ces facteurs structurels sont extérieurs à nos propres opérations, nous ne pouvons pas les contrôler, mais nous sommes souvent en mesure de les influencer.

Influencer le paysage est le moyen le plus efficace et le plus étendu de faire face aux menaces et devrait toujours être fortement pris en compte lorsque des stratégies de cybersécurité sont discutées.

Les facteurs inflationnistes

Comme nous l’avons noté, le paysage de menaces auquel nous sommes confrontés aujourd’hui émerge avant tout d’un contexte qui est façonné par de puissantes forces structurelles. Ces forces peuvent être militaires, politiques, économiques, sociales ou juridiques et elles trouvent leur origine au niveau national ou international.

Le paysage de la menace étant initialement défini par ces forces structurelles, les défis auxquels nous sommes confrontés sont exacerbés d’une manière ou d’une autre par des “facteurs inflationnistes” tout aussi puissants et encore moins contrôlables. Nous pouvons imaginer que ces facteurs inflationnistes ont pour effet de souffler de l’air dans un ballon. Si la forme et la taille initiale de la menace est le ballon – créé par les forces structurelles que nous avons décrites – alors les facteurs inflationnistes injectent plus d’air dans ces ballons, contrariant nos efforts pour les dégonfler ou même les gonfler davantage, nous laissant avec des problèmes de plus en plus insolubles à gérer.

Du point de vue de la défense, ces puissantes forces géopolitiques sont comme le temps. Elles ont un impact énorme sur notre réalité quotidienne. Bien que nous puissions observer ces forces et même tenter de les prévoir, nous n’avons aucun moyen réel de les contrôler. Notre seul choix ici est de les observer et d’orienter nos propres stratégies en conséquence.

Les évolutions technologiques

Il va sans dire que l’évolution de la technologie, ainsi que les nouveaux modèles et processus commerciaux qu’elle permet, ont un effet significatif sur le paysage des menaces. En effet, l’attaquant et le défenseur sont tous deux touchés par les plus petits changements apportés aux systèmes et aux outils utilisés par les deux parties.

Compte tenu de la réalité décrite ci-dessus, nous évitons de nous concentrer sur l’impact de technologies spécifiques, mais nous cherchons plutôt à identifier des principes cohérents qui décrivent comment l’évolution technologique affecte l’état de la menace.

Il faut aussi savoir que l’impact d’une nouvelle technologie est toujours surestimé à court-terme, et sous-estimé à long terme. Si nous ne savons pas ce qui va changer, nous pouvons plus facilement deviner ce qui restera similaire.

Du point de vue de la défense, la technologie est une chose sur laquelle nous pouvons exercer un contrôle. Nous pouvons choisir d’adopter ou non une nouvelle technologie, de quand et comment nous en déployons d’autres pour faire face aux menaces émergentes pour la sécurité.

Ainsi, nous pouvons effectivement réduire la taille de notre surface d’attaque en limitant les technologies que nous déployons et réduire les risques en trouvant et en atténuant les vulnérabilités. Comme ces efforts sont entièrement sous notre contrôle, il est tout à fait logique que nous utilisions pour ce faire les meilleures pratiques reconnues.

Introduction d’une carte des menaces

Carte des menaces, Orange Cyberdefense

Le schéma ci-dessus illustre la manière dont notre vision du paysage actuel des menaces “véritables” se dégage des trois éléments majeurs que nous avons explorés plus tôt dans cet article. A défaut de se concentrer sur une description exhaustive de l’état actuel de la menace ou d’une prédiction de l’état futur de la menace, la carte est utilisée uniquement pour illustrer le fonctionnement du modèle que nous appliquons en théorie.

Les données que nous recueillons et analysons en fonction de notre rôle d’opérateur nous permettent ainsi de suivre, de valider et d’ajuster nos hypothèses en permanence.

Peser nos options

En réfléchissant à nouveau sur les trois facteurs clés qui composent le paysage des menaces émergentes (comme le rappelle le schéma ci-dessous), nous devons à nouveau considérer comment nous, en tant que cyberdéfenseurs, pouvons contrôler ou influencer ces forces à notre propre avantage :

Menaces émergentes et influences, Orange Cyberdefense

Étant donné qu’il n’y a qu’un seul élément du paysage des menaces émergentes sur lequel nous avons réellement un contrôle – l’élément technologique – il est clair que nous devons nous concentrer sur ce facteur à court terme. Cela nécessite le déploiement intelligent de technologies, d’experts et de meilleures pratiques pour contrer les menaces et réduire les risques.

Malheureusement, alors que nos efforts au niveau technologique du paysage de la menace sont clairement nécessaires, ce point de vue ignore un autre aspect clé du paysage de la menace, à savoir : les trois éléments n’ont pas tous le même impact sur l’état émergent de la menace. Notre paysage de menaces émergentes est davantage influencé par les facteurs que nous ne contrôlons pas que par ceux que nous contrôlons. Cela suggère que, s’il est impératif de continuer à améliorer nos technologies, nos personnes et nos processus, nous devons également accepter et anticiper que cela ne suffira pas à atteindre le niveau de résilience que nous souhaitons compte tenu des menaces actuelles et “réelles”.

Équilibrer les échelles : détecter, réagir, récupérer

Les divers contrôles préventifs que nous mettons en œuvre peuvent imposer un coût à l’agresseur, mais une détection et une réponse efficaces par une équipe de défense ont pour effet de le faire véritablement reculer.

C’est de cette leçon qu’émergent nos convictions : l’adversaire ne peut plus être retenu aux portes. Nous devons prévoir que l’attaquant sera actif derrière notre périmètre et sur nos systèmes. Nous devons les trouver les contrer à cet endroit-là, souvent pas à pas, jusqu’à ce qu’ils soient chassés.

Comme toutes les doctrines de sécurité antérieures, “Detect, Respond & Recover” n’est pas une solution miracle. Elle ne peut pas être déployée de manière isolée et elle ne permettra pas de surmonter les forces structurelles et inflationnistes systémiques auxquelles nous sommes confrontés. Il s’agit toutefois d’une réponse tactique nécessaire dans une réalité contemporaine qui favorise encore largement l’agresseur.

Une crise de compromis

Lorsque la sécurité échoue, la confiance est compromise. Et comme nous le savons tous, une fois que la confiance est perdue, elle est très difficile à regagner. En effet, la confiance est si importante pour les systèmes dont dépendent nos entreprises, nos sociétés et nos vies mêmes, que sacrifier la confiance dans une technologie clé ne serait rien d’autre qu’une crise.

Et pourtant, comme nous espérons l’avoir illustré dans ce document, les facteurs systémiques écrasants qui s’associent pour construire le paysage de la menace garantissent presque qu’une forme quelconque d’attaque, de compromis et de violation se produira finalement. Un compromis de confiance est inévitable et les conséquences potentielles de cette réalité peuvent être désastreuses.

Nous pouvons cependant tirer une leçon des systèmes financiers. Tout comme ces derniers, les systèmes informatiques sont également complexes et interconnectés avec des propriétés émergentes et, comme les systèmes financiers, ces risques sont mal compris et peuvent créer un effet de contagion. Il suffit parfois d’un incident majeur pour que la confiance soit irrémédiablement mise à mal.

Les marchés nous ont montré que dans les systèmes complexes, une crise se produit inévitablement. Cependant, lorsque le pire des scénarios se profile à l’horizon, lorsque la confiance est inévitablement compromise, les régulateurs financiers ont appris que c’est la détection précoce et la réponse efficace qui rétablissent la confiance.

Dans un système complexe aux multiples facteurs que nous ne contrôlons pas, nous ne pouvons pas toujours empêcher l’émergence de crises. Nous pouvons cependant les étouffer dans l’œuf et, pour ce faire, nous devons disposer d’une bonne visibilité, d’une détection précoce et de capacités de réaction claires et confiantes.

En conclusion

Ce qui ressort clairement de l’examen de l’état émergent de la menace, c’est que les entreprises, quelle

que soit leur taille, vont se retrouver dans un état de conflit constant avec des adversaires qui sont aidés par des facteurs et des forces importants et systémiques sur lesquels nous n’avons que très peu de contrôle. Ces facteurs et forces dépassent collectivement toutes les ressources que nous pouvons espérer mettre à profit en tant que défenseurs.

Sans négliger les meilleures pratiques de sécurité de base nécessaires pour contrebalancer ces menaces (sans lesquelles elles nous submergeraient tout simplement), nous reconnaissons que les attaques, les compromis et les violations sont inévitables et nous nous préparons à contrer notre adversaire de manière active et continue derrière les périmètres traditionnels de nos environnements.

Non seulement des capacités de détection et de réaction matures et efficaces sont une exigence existentielle à la lumière des menaces contemporaines, mais les programmes de détection et de réaction nous aident également à contre-attaquer certains des avantages mêmes qui donnent à nos adversaires un avantage systémique, à savoir en minimisant leur élément de surprise, en leur infligeant des coûts réels et des conséquences pour leurs erreurs, et en prolongeant le temps dont ils ont besoin pour apprendre et s’améliorer, tout en réduisant simultanément le temps dont nous disposons pour faire de même.

La menace est en constante évolution. Les attaques sont inévitables. Nous devons tous être prêts à y faire face.