Il y a un loup dans la cybersécurité. Ou plutôt trois ! Trois problèmes qui n’ont rien de nouveau, qui ne sont pas toujours sous le feu des projecteurs, mais que les entreprises doivent impérativement résoudre si elles souhaitent avoir une chance de se développer dans la nouvelle économie numérique : le manque de compétences, la gestion trop complexe des vulnérabilités et les pratiques parfois hasardeuses de conception.
Combler enfin la pénurie de compétences
C’est une bataille asymétrique que se livrent les entreprises et les pirates. Ces derniers ont un champ d’action potentiellement infini pour mener des attaques jusqu’à ce que l’une d’entre elles finisse par réussir. À l’inverse, les défenseurs n’ont pas le droit à l’erreur. Une seule porte laissée ouverte peut suffire à entraîner des dégâts considérables. Dans ce contexte, la cyberdéfense doit être portée par une équipe avec un très haut niveau d’expertise pour espérer conserver une longueur d’avance. Ce n’est malheureusement pas assez souvent le cas. La pénurie d’experts est probablement le défi le plus important à relever dans la cybersécurité. D’après les chiffres du cabinet PwC, 5 000 postes seraient actuellement à pourvoir en France.
Des pistes existent néanmoins pour combler ce déficit de main d’œuvre. La première est de capitaliser sur les compétences déjà présentes en interne. Il est essentiel aujourd’hui d’investir dans de solides programmes de formation, pas seulement pour attirer de nouveaux talents, mais aussi pour conserver les experts en place, les accompagner dans leur montée en compétences et leur donner les moyens de protéger efficacement le système d’information contre des menaces en constante évolution. Ces programmes peuvent également permettre à certains employés sensibles à la question cyber d’effectuer une reconversion en interne ! Autre solution : s’appuyer sur un partenaire. Notre service de détection et réponse managées permet de déléguer la supervision de son SI et la réponse à incident à un SOC externalisé.
Il peut également être intéressant de diminuer la dépendance à l’humain. En automatisant certaines tâches répétitives grâce à des technologies innovantes, les entreprises peuvent limiter les recrutements, tout en libérant du temps pour leurs experts cyber, qui pourront quant à eux se concentrer sur des missions plus avancées de cyberdéfense.
Accélérer la gestion des vulnérabilités
La gestion des vulnérabilités est également une tâche difficile pour nombre d’organisations, notamment car elle implique un travail d’inventaire sur les technologies déployées et nécessaires au bon fonctionnement de l’activité, puis un monitoring continu de ces systèmes pour identifier et combler les failles ou mauvaises configurations. Des missions qui doivent aujourd’hui s’étendre à tout ce qui est connecté au réseau de l’entreprise (postes distants, IoT, applications cloud, écosystème de partenaires, etc.).
Il faut souvent plusieurs semaines pour corriger des vulnérabilités que les pirates exploitent depuis déjà plusieurs heures, voire plusieurs jours.
Les entreprises doivent donc établir des priorités dans la politique de déploiement des correctifs. Il faut bien souvent plusieurs semaines pour corriger des vulnérabilités que les pirates eux, exploitent depuis déjà plusieurs heures, voire plusieurs jours. C’est ce niveau de réactivité que les équipes informatiques doivent mettre en œuvre pour, lorsqu’une vulnérabilité est découverte, être capable en quelques heures d’identifier les systèmes concernés au sein de la société et les patcher.
Concevoir des outils sécurisés par défaut
La plupart des vulnérabilités trouvent leur origine dans des technologies qui recourent à des pratiques de conception et de développement anciennes ou inadaptées aux menaces actuelles. Et cette problématique ne fait que s’accentuer. Pour mener leur transformation numérique ou pour répondre aux nouvelles attentes des consommateurs, de plus en plus d’entreprises développent leurs propres solutions connectées. Le code informatique de ces produits, souvent présentés comme « intelligents » par les fabricants, ne respecte pas toujours les bonnes pratiques en matière de développement sécurisé.
Pour un monde connecté plus sûr, les fournisseurs de technologies connectées doivent intégrer la sécurité par défaut dans leurs développements et penser dès le départ à la façon dont ces technologies vont se connecter à des réseaux scrutés par un nombre incalculable de pirates. La sécurité intrinsèque permet de concevoir des solutions plus résistantes aux attaques mais également de limiter les conséquences néfastes d’une attaque qui parviendrait à percer les défenses implémentées dès l’origine. Elle évite également de devoir déployer d’autres outils de sécurité a posteriori pour combler les trous dans la raquette (et dans le même temps de devoir recruter de nouveaux experts pour exploiter ces mêmes outils).
Formation, gestion et conception sont trois sujets liés les uns aux autres. Améliorer l’un permettra de renforcer les autres, mais en négliger un seul nuira également aux deux autres. Il est crucial de mettre en place des solutions automatisées ou managées de gestion de la cybersécurité qui permettront aux experts de se concentrer sur la construction d’un avenir numérique sécurisé.
