Sécurité informatique : l'intelligence stratégique plutôt que l'aveuglement

Magazine E3 : Bonjour, Ralf Kempf, en tant que CEO de Pathlock Allemagne, avez-vous un état des lieux de la sécurité informatique pour nous ? Qu'est-ce qui fera bouger le marché en 2024 ?

Ralf Kempf, CEO, Pathlock Allemagne : Je trouve qu'une enquête récente menée auprès de plus de 150 entreprises utilisatrices allemandes est éloquente : il n'est pas surprenant que la majorité s'attende à une augmentation de la fréquence et de la dangerosité des cyberattaques en 2024. Le fait que plus de la moitié d'entre elles estiment devoir s'améliorer pour pouvoir réagir rapidement et rester opérationnelles montre également une certaine prise de conscience. Mais ce qui est frappant, c'est que, d'après notre expérience, cette prise de conscience ne conduit guère à une hiérarchisation de la sécurité informatique dans l'entreprise, et encore moins à des mesures urgentes. Notre impression est que les entreprises sont tout simplement dépassées et ne savent pas comment et où commencer à relever les défis des systèmes informatiques complexes et des environnements hybrides SAP/Non SAP.

Magazine E3 : Raphael Kelbert, selon vous, quelles en sont les causes ?

Raphael Kelbert, Chef de produit Détection des menaces, Pathlock AllemagneEn fin de compte, il s'agit souvent d'un manque de savoir-faire interne pour faire face à des exigences aussi massives et en constante évolution. Lorsque nous entendons que plus de deux tiers d'entre eux avouent ne pas avoir mis en œuvre de solution de sécurité globale, c'est tout simplement inquiétant et cela montre où les devoirs n'ont pas encore été faits. Et nous n'avons même pas encore pris en compte les graves exigences de la nouvelle directive NIS 2 pour les entreprises Kritis et leur chaîne d'approvisionnement.

Magazine E3 : Nous reviendrons sur le NIS-2 plus tard. Mais de quels "devoirs" parlez-vous ?

Kempf : Eh bien, en haut de la liste se trouve certainement l'obtention de la transparence. Bien que les environnements de systèmes ERP constituent un élément clé pour de nombreuses entreprises, elles ne savent souvent pas combien de systèmes SAP, Oracle ou autres ERP sont réellement utilisés. En règle générale, les systèmes productifs sont certes pris en compte, mais les systèmes supposés non critiques tels que les systèmes de développement, d'assurance qualité ou de formation le sont à peine. Et il n'est pas rare non plus que les anciens systèmes forment un véritable Shadow IT avec les versions les plus diverses et une configuration inconnue, qui contient parfois des données extrêmement sensibles, mais qui, en tant que système inactif, n'a pas été corrigé depuis des années.

KelbertEt même les systèmes de production ne sont souvent pas corrigés, car ils sont impliqués dans des processus essentiels à l'entreprise qui ne permettent pas de fenêtres de maintenance pour des mises à jour importantes. Paradoxalement, ce sont donc les systèmes les plus importants qui présentent le risque d'attaque le plus élevé. De plus, les ressources humaines manquent souvent pour mettre en place une protection adéquate. Un jeu dangereux, car si une attaque est lancée contre ce cœur de l'entreprise, ce ne sont pas seulement la protection des données, la continuité des activités et la réputation qui sont en danger, mais l'existence même de l'entreprise peut être menacée. Ces défis ne pourront être relevés à l'avenir que si une importance appropriée est accordée à la sécurité informatique dans toute l'entreprise.

Magazine E3 : Et que pouvez-vous recommander aux entreprises qui souhaitent mettre cela en œuvre ?

Kempf : Les audits de sécurité continus sont importants : ils renforcent la résilience et réduisent considérablement la surface d'attaque de l'ensemble du système informatique. Compte tenu des correctifs de sécurité mensuels, il est évident qu'un audit annuel d'un système de production n'est qu'un instantané qui ne donne que peu ou pas d'indications sur la sécurité réelle pour le reste de l'année. Une recommandation claire : des processus de sécurité automatisés et des outils logiciels spécialisés assurent une transparence continue, sont toujours à jour sur le plan technique et facilitent le travail des équipes informatiques et de sécurité pour prendre des décisions fondées.

KelbertEn complément de ces audits automatiques et étroitement synchronisés de tous les systèmes, une surveillance permanente des journaux permet de détecter les activités suspectes. En effet, une alerte immédiate doit être donnée afin de pouvoir prendre rapidement des contre-mesures appropriées et d'en limiter les effets.

Magazine E3 : Y a-t-il des scénarios d'attaque qui se multiplient actuellement ?

KelbertDe nombreuses attaques se basent sur le vol de données de compte privilégiées, car pour les cybercriminels, cet accès est le moyen le plus simple et le plus rapide d'accéder à un système informatique. Les super-utilisateurs ont généralement des droits d'administrateur et de racine étendus, nécessaires pour des tâches telles que les mises à jour du système et la maintenance. C'est pourquoi une bonne gestion des accès privilégiés est essentielle pour la sécurité des systèmes informatiques : qu'il y ait des règles et des contrôles clairs sur les personnes qui reçoivent des droits d'utilisateur d'urgence et sur la manière dont ils sont utilisés. Les solutions de sécurité traditionnelles n'offrent pas de protection fiable dans ce domaine.

KempfLes experts-comptables veillent d'autant plus à ce que les contrôles des super-utilisateurs soient intégrés dans les concepts SoD internes de l'entreprise. La complexité des systèmes informatiques n'est souvent plus monolithique mais hybride, elle croît rapidement et les concepts SoD deviennent par conséquent plus vastes et plus opaques. Il est indispensable de les tenir à jour, de les présenter de manière transparente et de les harmoniser. Les concepts d'urgence ne peuvent plus être considérés séparément. Il est important de tenir compte de la perspective des auditeurs. Ceux-ci sont en principe critiques à l'égard des concepts de superutilisateurs, car ils pourraient influencer aussi bien l'intégrité des systèmes que les données financières.

Magazine E3 : Et quelles sont, selon vous, les failles de sécurité souvent sous-estimées ?

KelbertDans tous les cas, le code personnalisé est un vecteur d'attaque souvent négligé. La gestion du code personnalisé est le point d'entrée central pour toutes les fonctions qui permettent de surveiller et de gérer le cycle de vie des développements personnels. Kempf : "Il est ici décisif de reconnaître aussi rapidement les modifications critiques pour la sécurité du code personnalisé que les modifications indésirables des configurations du système. Cela permet non seulement de classer les risques à temps et, dans le meilleur des cas, de les éviter, mais aussi d'empêcher les violations de la conformité. Supposons que les attaquants aient malgré tout réussi.

KempfDans ce cas, il faut agir de manière réfléchie et je recommande de faire appel à des experts externes en informatique légale. Un arrêt complet peut mettre en péril l'existence de l'entreprise, d'autant plus que la restauration d'environnements applicatifs complexes peut prendre des mois. Les dommages d'un arrêt précipité peuvent finalement être plus importants que ceux causés par le vol de données, l'espionnage industriel ou le chantage. Sans compter les pertes de réputation, les primes d'assurance plus élevées, les heures de travail supplémentaires et le rattrapage de la production. Cela peut coûter très cher.

Magazine E3 : À propos de coûts : la nouvelle directive européenne NIS-2 - qu'est-ce qui nous attend ?

KelbertEn 2016 déjà, l'UE a défini les premières normes de cybersécurité pour les exploitants d'infrastructures critiques avec la directive "Network and Information Security" (NIS). La situation en matière de sécurité s'étant dramatiquement aggravée depuis lors, l'amendement arrive à point nommé. La NIS-2 doit être transposée dans le droit national dès le mois d'octobre. Ici aussi, il est clair que les exigences de la NIS-2 seront nettement renforcées et étendues à beaucoup plus d'entreprises : En plus des opérateurs Kritis actuels comme les fournisseurs d'énergie et d'eau ou les hôpitaux, elles s'appliqueront également à leurs chaînes d'approvisionnement et à de nombreux autres secteurs comme les prestataires de services postaux, les fournisseurs de logiciels et la gestion des déchets. Les entreprises de taille moyenne seront également soumises aux exigences sévères de Kritis, pour autant qu'il s'agisse, comme on le dit, d'installations essentielles et importantes, telles que les entreprises de logistique, les fournisseurs de services gérés ou certaines entreprises de construction mécanique.

Magazine E3 : Beaucoup se demandent au plus tard maintenant s'ils en font partie. Qu'attend-on d'eux ?

KempfTout d'abord, ils doivent vérifier s'ils font partie des industries et secteurs ajoutés à la directive NIS 2. Ensuite, ils doivent vérifier s'ils ont des clients dans le champ d'application de la directive NIS et s'ils font partie de leur chaîne d'approvisionnement. Ce serait une erreur fondamentale d'attendre passivement que leur client se manifeste. La NIS-2 impose à tous des obligations techniques et organisationnelles importantes, notamment en matière d'analyse des risques et de protection des systèmes d'information. Il s'agit par exemple de la continuité des activités, de la gestion des crises et des urgences, avec par exemple des simulations de brèches et d'attaques. La norme NIS-2 exige également beaucoup plus en matière de protection des systèmes d'information. Outre le cryptage, une authentification à facteurs multiples et des obligations de notification renforcées d'une nouvelle qualité : en effet, tout incident de sécurité important doit être signalé dans les 24 heures.

Magazine E3 : Et si une entreprise ne respecte pas ces obligations ?

KelbertDans ce cas, il ne s'agit pas de simples menaces, mais d'amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial de l'année précédente. Et ces amendes sont sérieuses. Une chose est claire : les entreprises ne peuvent définitivement plus se permettre de se reposer sur leurs lauriers et d'attendre. Les mesures à mettre en œuvre pour la NIS-2 sont considérables : la mise en place d'une gestion des risques à l'échelle de l'entreprise et l'introduction d'une authentification multi-facteurs ne peuvent pas être réalisées en quelques semaines, sans parler de l'intégration des chaînes d'approvisionnement.

Magazine E3 : Tout cela semble être d'énormes défis.

KelbertDéfinitivement, surtout pour ceux qui n'ont pas encore fait leurs devoirs. Et pour certains, ce n'est pas le seul changement législatif important : le Digital Operational Resilience Act (DORA) est par exemple une loi spéciale en plus de NIS-2 avec d'autres prescriptions de sécurité pour les secteurs de la finance et de l'assurance ainsi que leurs prestataires de services. Il s'agit de prescriptions complètes en matière de gestion des risques, de documentation et d'audits, explicitement applicables également aux prestataires de services tiers tels que les fournisseurs de cloud et de logiciels.

Magazine E3 : Alors, comment évaluez-vous le NIS-2 et ses conséquences ?

KempfLa directive n'arrive pas trop tôt et ses conséquences sont inévitables, car il ne sera pas possible d'atteindre autrement une résilience à l'échelle européenne. Elle impose enfin que la cybersécurité devienne une partie essentielle de la culture d'entreprise, et ce en tant qu'affaire de chef. Une direction qui se permettrait encore à l'avenir de se contenter de déléguer et de ne rien savoir ne pourrait plus se soustraire à ses responsabilités. Négliger la cybersécurité, c'est exposer son entreprise non seulement à un risque accru d'attaques, mais aussi à d'énormes amendes en cas d'infraction. La recommandation est donc claire : donner la priorité au sujet, garder un œil sur les délais de mise en œuvre et, surtout, faire appel en temps utile aux bons partenaires pour la mise en œuvre.

Magazine E3 : Merci beaucoup ! Et toujours à propos des mots à la mode que sont le cloud et l'IA : quelle est la pertinence du cloud pour la cybersécurité ?

KelbertAvant le boom du cloud, la protection de l'infrastructure de l'entreprise était beaucoup plus simple. Les réseaux étaient clairement délimités, le pare-feu se trouvait entre le réseau interne et un extérieur clairement défini et potentiellement dangereux. Et comme les collaborateurs, mais aussi les prestataires de services externes, accèdent désormais facilement à distance aux systèmes et aux données au sein du réseau, les criminels peuvent également y accéder beaucoup plus facilement. Ce qui est décisif, c'est que chaque entreprise est toujours responsable de sa propre sécurité et ne peut pas laisser de bonne foi son fournisseur de cloud ou son hyperscaler s'en charger.

Magazine E3 : Et comment l'utilisation de l'intelligence artificielle change-t-elle la situation ?

KempfIl y a des ombres et des lumières. L'IA a fondamentalement changé les règles du jeu et les nouvelles menaces ont de quoi inquiéter. Toutes les études actuelles montrent que les techniques d'attaque s'améliorent rapidement. Alors que de nombreuses entreprises ont enfin reçu des consignes de sécurité claires avec NIS-2, mais qu'elles doivent d'abord les mettre en œuvre, elles sont déjà confrontées au prochain obstacle avec les nouveaux vecteurs d'attaque par IA générative. Il est donc grand temps de faire passer les mesures de défense à un niveau supérieur.

Magazine E3: Dans les scénarios de sécurité, l'IA représente donc elle aussi avant tout un grand danger ?

KempfPas du tout, c'est ce que je voulais dire par "ombre et lumière" : l'IA peut faire avancer la sécurité informatique d'un pas de géant, mais elle doit être utilisée avec précaution. Pour cela, il faut une expertise approfondie en matière de sécurité. Comme l'a récemment souligné notre CEO Piyush Pandey, les experts en cybersécurité sont désormais encore plus précieux, car ils fournissent les connaissances pratiques approfondies qui permettent de piloter judicieusement l'utilisation de l'IA et de l'entraîner correctement. Car sinon, les systèmes d'IA apprennent par exemple à considérer simplement comme normale une situation critique qui se produit fréquemment et à ne plus déclencher d'alarme par la suite.

KelbertIl existe déjà des solutions qui exploitent les avantages de l'IA, et nous sommes très fiers de présenter un nouveau développement interne : Threat Intelligence. Threat Intelligence est la réponse à de nombreuses questions que nous avons abordées aujourd'hui et devient un must absolu en matière de sécurité en tant que protection en temps réel basée sur l'IA. Il s'agit d'une combinaison de solutions établies de détection des menaces complétées par des réactions individuelles automatisées adaptées à chaque situation de risque.

Magazine E3 : Pouvez-vous expliquer quels sont les points forts de cette combinaison ?

Kempf: Bien sûr. Jusqu'à présent, la réaction à un risque identifié consistait d'abord à évaluer la situation, puis à prendre des mesures au sein de l'équipe de sécurité d'une entreprise, par exemple le Security Operation Center. Mais que se passe-t-il si cette dernière n'est pas disponible 24 heures sur 24 ou si l'évaluation d'un risque prend du temps ? Un temps précieux s'est alors écoulé avant que des contre-mesures ne puissent être prises, alors que le temps de réaction est le facteur absolument décisif dans la limitation des dommages.

KelbertNous pouvons désormais résoudre ce dilemme grâce à l'intégration de processus automatisés intelligents qui constituent une couche de sécurité supplémentaire. Par exemple, les accès aux transactions critiques sont limités ou même complètement bloqués en cas de besoin sur la base des menaces connues, les champs de données sont masqués de manière précise et basée sur les attributs, les téléchargements sont empêchés ou les utilisateurs ayant un comportement critique sont déconnectés du système. Et ce, de manière entièrement automatique, en temps réel et 24 heures sur 24. Grâce à ces réactions immédiates en cas de situation jugée à risque, les informations hautement sensibles sont protégées immédiatement et de manière ciblée. Notre système de règles est entièrement configurable et peut être adapté individuellement à chaque champ de données, à chaque fonction ou à chaque interface utilisateur. Nous avons ainsi franchi une étape stratégique décisive dans notre réflexion sur la détection des menaces à l'aide de l'intelligence artificielle.