Les pros de la sécurité des TI se concentrent sur la prévention des attaques mais des alertes importantes leur échappe

Selon un responsable de Cisco Systems, la plus grande erreur que commettent les dirigeants de la sécurité des TI est de consacrer trop de ressources à la conformité réglementaire et à la prévention des cyberattaques.

« La plupart des entreprises ne priorisent pas » leur travail, a déclaré mardi Carey Spearman, consultant senior en sécurité chez Cisco, lors de la Conférence sur la cybersécurité de Toronto .

Pire, dit-il, « ils ne pensent pas comme un hacker. Beaucoup d’attaquants, qu’il s’agisse du crime organisé ou d’États-nations, sont très organisés, très méthodiques. Si vous faites des recherches, vous constatez qu’ils travaillent dans des groupes spécialisés, ils ont tous les outils dont vous disposez ».

« Si vous corrigez toutes vos vulnérabilités, ils trouveront la prochaine vulnérabilité. »

Il a également suggéré que les équipes de sécurité informatique sont parfois leur propre pire ennemi.

« Il y a certainement des choses communes à toutes les attaques », a-t-il déclaré. « Par exemple, dans les rançongiciels, nous constatons qu’il y a toujours une série d’alertes faibles ou moyennes qui sont ignorées. Habituellement, au moment où il y a une alerte critique, vous avez 15, peut-être 30 minutes pour prendre des mesures avant que vos systèmes ne commencent à se bloquer. Ce n’est tout simplement pas assez de temps pour réagir. »

Ce qui est triste, a-t-il ajouté, c’est qu’il existe aujourd’hui d’excellents outils de détection d’intrusion, mais que leurs signaux sont souvent ignorés.

En omettant de penser comme un pirate informatique, les professionnels de la sécurité des TI passent à côté du fait que les attaquants adaptent leur travail afin qu’il déclenche des alertes de bas niveau, a déclaré Spearman. « Nous devons trouver des moyens de nous concentrer sur cela. »

Il est plus important que jamais d’avoir cet état d’esprit d’attaquant, a-t-il ajouté, car le temps de séjour moyen d’un attaquant peut être aussi court que quatre jours.

Spearman faisait partie d’un panel de conférence sur les stratégies de protection contre les cyberattaques.

Lorsque la discussion s’est tournée vers la question de savoir si les organisations devaient refuser de payer les gangs de rançongiciels, Lorne Oickle, ingénieur commercial senior chez Cohesity, un fournisseur de sauvegarde et de récupération, a fait valoir que ceux qui paient ne sont pas sûrs de pouvoir restaurer leurs données à partir d’une source non cryptée.

Il a été secondé par Kevin Cole, directeur de la formation technique chez Zerto, un fournisseur de gestion de données infonuagiques de Hewlett-Packard Enterprise. De nombreuses entreprises pensent qu’elles peuvent récupérer des données à partir d’une solution de sauvegarde, mais lorsqu’elles doivent le faire, « il arrive un pépin ». Les procédures de récupération de données doivent être régulièrement testées, a-t-il déclaré, et les professionnels de l’informatique doivent également s’assurer que le temps de récupération des données est aussi court que possible.

Les organisations doivent également s’assurer que les données sauvegardées ne peuvent pas être atteintes par des attaquants, a-t-il ajouté.

Ce que le service informatique doit faire, c’est minimiser la perte de données et les temps d’arrêt, a-t-il déclaré. « Si vous pouvez réunir ces deux éléments, vous avez une très bonne chance de reprendre les opérations avec moins d’impact que vous ne le feriez autrement. »

Jade Perron, stratège en cybersécurité chez Mimecast, a souligné l’importance d’une formation de sensibilisation à la sécurité pour les employés. Il est important de rafraîchir régulièrement le contenu de la présentation, a-t-il ajouté.

Il a également déclaré que les organisations devraient faire un meilleur usage de l’apprentissage automatique pour aider à donner des avertissements contextuels aux employés sur les attaques potentielles et les logiciels malveillants.

Spearman a ajouté une note sombre en disant que trop de cadres croient encore que la cybersécurité relève strictement de la responsabilité d’un service informatique.

« J’ai participé jadis à une réunion [de cybersécurité] avec le PDG d’une entreprise d’environ 200 000 employés. Après environ une demi-heure, il se lève et me dit : « Je ne sais pas pourquoi je suis ici. C’est pour cela je vous ai tous embauchés », et il est parti.

Il est important, a-t-il dit, que les professionnels de la sécurité des TI montrent aux hauts dirigeants que la cybersécurité est primordiale. Il y a beaucoup d’entreprises, a-t-il ajouté, qui aideront à prouver qu’il y a un bon retour sur investissement dans la cybersécurité.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur/ de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d'une cyberattaque plus tôt cette année.

Le gang de rançongiciels LockBit ajoute des attaques DDoS à ses menaces

Le gang de rançongiciels LockBit ajoute une troisième arme à son arsenal de menaces : les attaques par déni de service.

BRP aurait été victime d’un rançongiciel

Le gang de rançongiciel Ransomexx serait derrière la cyberattaque dont BRP a été victime. La page Facebook du Hackfest rapportait hier que le gang aurait mis en ligne près de 30 Go de données qui comprennent, entre autres, des passeports, des contrats, des projets et des données de partenaires.

Le rapport de Cisco sur le piratage de l’AMF appuie une présentation de la conférence Black Hat

L'authentification multifacteur (AMF) est une défense importante que les professionnels de la sécurité informatique devraient utiliser dans le cadre d'une stratégie de cybersécurité, déclare l'expert en AMF Roger Grimes – à une condition importante.

L’Orchestre symphonique de Toronto affecté par l’attaque de rançongiciel de WordFly

L'un des plus grands orchestres du Canada fait partie des organisations nord-américaines victimes collatérales d'une attaque de rançongiciel plus tôt ce mois-ci sur WordFly, une plateforme de communication et de marketing numérique utilisée par les entreprises du domaine des arts, du divertissement, de la culture et du sport.