Sécurité des TI : un enjeu écosystémique
Cybersécurité et sécurité informatiques sont la responsabilité partagée d’un vaste écosystème de parties prenantes, de pratiques et d’interactions imbriquées. Sous l’impulsion d’une transformation numérique accélérée dans tous les secteurs d’activité, cette imbrication s’est amplifiée comme se sont accrus les risques qui lui sont associés.
Conséquence de la révolution numérique, l’émergence quasi quotidienne d’innovations, les changements d’habitudes et l’augmentation des risques systémiques ne cessent de faire la une. Un bris de sécurité au sein d’une institution financière, d’une compagnie aérienne ou pétrolière, d’un fabricant qui vend en ligne ou d’un service gouvernemental a des répercussions qui touchent tous les maillons de la chaîne de valeur.
Aucune organisation n’est une île et des risques systémiques appellent une réponse concertée.
Anticiper pour mieux prévenir
En dépit de l’augmentation du nombre et de la durée des attaques informatiques, la prise de conscience et les actions systémiques concertées tardent à venir. L’approche traditionnelle consistant à évaluer à la pièce, chacun de son côté et après coup, l’ampleur des dégâts pour mettre en œuvre des solutions dépassées dès leur mise en service continue de prévaloir. Conséquence : les pirates conservent encore et toujours une longueur d’avance sur les procédures et systèmes de sécurité.
Le nombre de cyberattaques augmente (croissance de 67 % au cours des cinq dernières années), les attaques sont plus longues et complexes à résoudre et les coûts de gestion de la cybercriminalité ne cessent de croître. À cet égard, les chiffres sont effarants.
En 2019, environ un cinquième des entreprises canadiennes ont été touchées par des incidents de cybersécurité et elles ont dépensé quelque 7 milliards de dollars pour se défendre. Ces chiffres sont d’autant plus troublants quand on sait qu’il ne s’agit là que de la partie émergée et comptabilisable des incidences. Outre les coûts associés aux enquêtes techniques, ceux liés à la sécurisation, la mise en conformité, la notification aux parties prenantes, l’augmentation des primes d’assurance, la dépréciation de la valeur de la marque et la perte de confiance des clients sont incalculables.
À l’image d’un écosystème naturel, un écosystème numérique est un vaste organisme composé d’individus, d’organisations, d’infrastructures, d’applications, de processus dynamiques, d’interactions et d’interdépendances.
Cet organisme complexe est sujet aux perturbations internes et externes qui le font évoluer au fil du temps. La prise en compte de ces perturbations fait partie d’une solution de sécurité des actifs informationnels à la mesure des transformations que vit notre société numérisée.
Si les parties prenantes et saines de l’écosystème numérique sont des victimes potentielles d’attaques, elles sont aussi des vecteurs potentiels de contagion.
L’élaboration d’une solution durable débute avec cette prise de conscience collective.
Cerner les enjeux, comprendre les incidences et éradiquer les menaces : une stratégie gagnante
Si une prise de conscience collective gagne du terrain lentement mais sûrement, voici quelques pratiques de sécurité des actifs informationnels qui permettent de soutenir une évolution dans la bonne direction.
-
- Contrôle des applications infonuagiques
Un courtier de sécurité d’accès au nuage (cloud access security broker [CASB]) permet de gérer en temps réel les demandes d’accès aux ressources imparties. Centralisateur, il agit comme un intermédiaire entre vous et votre fournisseur en : identifiant les applications infonuagiques utilisées; appliquant les politiques de gouvernance de sécurité des actifs informationnelles; assurant la protection des données; défendant l’organisation contre les menaces.
- Contrôle des applications infonuagiques
-
- Sécurité du télétravail
Le télétravail est là pour durer. Les organisations doivent mettre en œuvre une politique intégrée de sécurité de leurs actifs informationnels exploités à distance permettant de gérer de façon adéquate les identités et les niveaux d’accès aux applications et aux données.
- Sécurité du télétravail
-
- Gestion de la vulnérabilité fondée sur les risques
Les vulnérabilités affectent toute la chaîne de valeur d’une organisation. Les organisations doivent identifier les risques potentiellement exploitables à l’échelle de leurs chaînes d’approvisionnement. Elles doivent cerner les éventuelles incidences afin d’être en mesure de prévenir au lieu de guérir une fois que le mal est fait.
- Gestion de la vulnérabilité fondée sur les risques
-
- Détection et réponse étendues (Extended Detection and Response [XDR])
Au lieu d’adopter une posture réactive et à la pièce au regard de sa sécurité et de sa cybersécurité, cette pratique permet à l’organisation d’être proactive contre les menaces en ayant une visibilité unifiée de son environnement et des multiples sources et vecteurs d’attaque réels et potentiels.
- Détection et réponse étendues (Extended Detection and Response [XDR])
-
- Sécurité infonuagique
Si l’infonuagique est une pièce maîtresse de la transformation numérique, sa mise en œuvre doit respecter les règles de l’art. Configuration sans faille, contrôle unifié de l’infrastructure et de la plateforme en tant que service, évaluation en continu des applications en nuage, déploiement automatisé de mesures correctives et sécurité des actifs informationnels délocalisés ne doivent faire qu’un dès la planification de la mise en service.
- Sécurité infonuagique
-
- Authentification des courriels selon le domaine
Bien connu, ce protocole d’authentification des messages électroniques garantit l’authenticité de l’identité de l’expéditeur. Non seulement protège-t-il le courrier électronique contre l’usurpation d’identité, l’hameçonnage et le pourriel, il réduit le risque d’usurpation de domaine (domain spoofing).
- Authentification des courriels selon le domaine
-
- Authentification sans mot de passe
Le phénomène est on ne peut plus documenté. Les utilisateurs exploitent souvent le même mot de passe pour gérer plusieurs de leurs comptes. Cette pratique entraîne toute une série de problèmes de sécurité. L’authentification biométrique améliore non seulement la sécurité, elles favorisent une meilleure expérience utilisateur.
- Authentification sans mot de passe
-
- Sensibilisation et formation en continu des utilisateurs
Quant à la gestion des cyberrisques, une approche globale, proactive et préventive visant tous les acteurs de l’organisation et de son écosystème de parties prenantes est vitale. Or, que constate-t-on année après année? Que le facteur humain est invariablement pointé du doigt comme étant le maillon faible de la sécurité informatique, et que le budget alloué à la sensibilisation et à la formation est le moins bien doté. Il faut y remédier.
- Sensibilisation et formation en continu des utilisateurs
Collaborer pour préserver la confiance
La sécurité et la cybersécurité des actifs informationnels doivent être sans faille d’un bout à l’autre de la chaîne de valeur. Une politique de sécurité des actifs informationnels doit se traduire en retombées d’affaires.
Le véritable enjeu de la sécurité de vos actifs est la sauvegarde de la confiance.
Dans un environnement aussi intensément numérisé et changeant qu’il est hyperconnecté, ce qui a une incidence négative sur une organisation a une incidence sur toutes les organisations et ce qui touche un client touche tous les clients. L’histoire nous apprend que la méthode la plus efficace pour contrer les menaces avant qu’elles ne surviennent est la prévention et la sensibilisation à tous les échelons.
Il est grand temps d’agir
En 2021, sécurité, cybersécurité et gestion des risques sont les enjeux clés d’une saine gestion des actifs informationnels. Dans un contexte où l’augmentation de la pratique du télétravail multiplie les risques et accentue une tendance à la hausse des attaques informatiques, le principal facteur de risque se trouve encore et toujours devant l’écran.
Au cours du premier semestre de 2020, les attaques par déni de service distribué (distributed denial-of-service [DDoS]) ont augmenté de 150 % par rapport à la même période en 2019. Ces chiffres témoignent d’une croissance des attaques de type réseau à mesure que les organisations évoluent vers des opérations à distance et que la dépendance des travailleurs à l’égard d’Internet s’accentue.
De nombreuses attaques ciblant les ressources infonuagiques sont les mêmes que celles ciblant les réseaux d’entreprises. Si la virtualisation des entreprises sur fond d’infonuagique accroît d’autant la surface d’attaque, et que la majorité d’entre elles exploitent une plateforme infonuagique sous une forme ou une autre pour gérer les opérations courantes, le suivi des actifs informationnels, ainsi que la gestion des identités et des accès, sont d’autant plus cruciaux.
Cette gestion doit s’accompagner d’une prise de conscience qui tarde à se traduire en action : si le fournisseur de services infonuagiques est responsable de la sécurité de ses infrastructures et applications, c’est au client qu’appartient la responsabilité de gérer les identités et les privilèges d’accès aux ressources et données.
Cette méconnaissance est révélatrice d’une culture favorisant le laxisme en matière de sécurité, de gouvernance et de gestion des actifs informationnels, qu’ils soient sur site, hybrides ou purement infonuagiques.
Récemment interrogées, 500 entreprises canadiennes reconnaissent qu’en dépit de la recrudescence des attaques associées au télétravail intensif, seulement 25 % planifient investir dans des solutions visant à accroître leur sécurité.
À problématique culturelle, solution culturelle
Au-delà des investissements en équipement et applications, si rien n’est fait aux chapitres de la sensibilisation et de la formation, on tourne en rond. En sécurité et plus largement, en cybersécurité et cyberrésilience, le facteur humain demeure le maillon faible de la chaîne de contrôle, et ce, du sommet à la base de l’organisation. Il est illusoire de penser qu’employés, clients, fournisseurs et partenaires vont agir de manière sécuritaire si le plus haut échelon ne montre pas l’exemple.
Fort heureusement, culture et comportements évoluent. Deux approches dont la combinaison constitue un nouveau paradigme en matière de sécurité informatique s’impose de plus en plus comme une norme et une pratique exemplaire dans l’industrie :
- sécurité zéro confiance (zero trust security);
- service d’accès sécurisé en périphérie (secure access service edge [SASE]).
Dans le premier cas, seuls les utilisateurs et les terminaux authentifiés et autorisés ont accès aux applications et données. Dans le second, une architecture de réseaux combine réseau virtuel privé (virtual private network [VPN]) et réseau étendu défini par logiciel (software-defined wide area network [SD-WAN]) avec des fonctions de sécurité infonuagiques natives.
S’appuyant sur le modèle confiance zéro, le modèle d’architecture intégrée de service d’accès sécurisé en périphérie (SASE) combine fonctions de réseau et fonctions de sécurité en un seul service infonuagique : courtier de sécurité d’accès au nuage, pare-feu en tant que service (firewall as a service [FwaaS]), passerelle Web sécurisée (secure Web gateway [SWG]), et réseau étendu défini par logiciel.
Sécurité informatique pour entreprise dématérialisée
Sécuriser en continu les périmètres d’une entreprise de plus en plus vaste, à la fois physique, infonuagique, mobile et dématérialisée est le défi de sécurité de notre temps. Les attaques sophistiquées des derniers mois, leurs incidences et leur durée remettent en question l’approche traditionnelle « dehors-dedans ».
De nos jours, dehors et dedans ne font plus qu’un et la manière dont les télétravailleurs accèdent aux ressources de l’« entreprise augmentée » en est la preuve. Hébergés dans un centre de données et sur le nuage, ces actifs sont mobilisés depuis le domicile ou dans un café à l’aide de connexions Wi-Fi dont le niveau de sécurité est non seulement impossible à déterminer, mais trop souvent aléatoire.
En 2021, la politique de sécurité de l’utilisateur doit être plus importante que la politique de sécurité des actifs informationnels de l’organisation.
Tout faire transiter par le VPN? À bien des égards, c’est une solution contreproductive, car les capacités du VPN de l’entreprise sont déjà sursollicitées. Une solution plus efficace est de faire en sorte que les connexions aux applications infonuagiques offertes en mode logiciel en tant que service (SaaS), comme MS 365, soient orientées vers le point d’accès le plus rapide, sans sacrifier le contrôle que procure le VPN. C’est précisément l’objectif visé par le paradigme de service d’accès sécurisé en périphérie (SASE).
Dans les organisations modernes, les données, les applications et les charges de travail, entre autres, doivent être traitées comme des entités uniques et l’accès est fourni sur la base du principe du moindre privilège. Cette approche renforce la sécurité sur tous ces fronts et au bout du compte, elle sécurise les données et l’utilisateur, qu’il soit employé, client ou fournisseur.
- Dans une perspective de déploiement gradué, la sécurité zéro confiance est un premier pas dans la sécurisation des actifs informationnels et utilisateurs.
- À moyen et long terme, une solution unifiant fonctions de mise en réseau et de sécurité en un seul service infonuagique (SASE), ainsi que la sensibilisation et la formation des employés, sont les solutions d’avenir.
Si la transformation numérique accélérée accroît la surface d’attaque, elle est aussi l’occasion d’optimiser les pratiques de sécurité, cybersécurité et cyberrésilience. Alors que leurs habitudes changent et qu’ils ont soif d’expériences numériques à valeur ajoutée, les clients n’en attendent pas moins des organisations auxquelles ils font confiance.
CommenterMerci de rester courtois