Selon un responsable de Cisco Systems, la plus grande erreur que commettent les dirigeants de la sécurité des TI est de consacrer trop de ressources à la conformité réglementaire et à la prévention des cyberattaques.
« La plupart des entreprises ne priorisent pas » leur travail, a déclaré mardi Carey Spearman, consultant senior en sécurité chez Cisco, lors de la Conférence sur la cybersécurité de Toronto .
Pire, dit-il, « ils ne pensent pas comme un hacker. Beaucoup d’attaquants, qu’il s’agisse du crime organisé ou d’États-nations, sont très organisés, très méthodiques. Si vous faites des recherches, vous constatez qu’ils travaillent dans des groupes spécialisés, ils ont tous les outils dont vous disposez ».
« Si vous corrigez toutes vos vulnérabilités, ils trouveront la prochaine vulnérabilité. »
Il a également suggéré que les équipes de sécurité informatique sont parfois leur propre pire ennemi.
« Il y a certainement des choses communes à toutes les attaques », a-t-il déclaré. « Par exemple, dans les rançongiciels, nous constatons qu’il y a toujours une série d’alertes faibles ou moyennes qui sont ignorées. Habituellement, au moment où il y a une alerte critique, vous avez 15, peut-être 30 minutes pour prendre des mesures avant que vos systèmes ne commencent à se bloquer. Ce n’est tout simplement pas assez de temps pour réagir. »
Ce qui est triste, a-t-il ajouté, c’est qu’il existe aujourd’hui d’excellents outils de détection d’intrusion, mais que leurs signaux sont souvent ignorés.
En omettant de penser comme un pirate informatique, les professionnels de la sécurité des TI passent à côté du fait que les attaquants adaptent leur travail afin qu’il déclenche des alertes de bas niveau, a déclaré Spearman. « Nous devons trouver des moyens de nous concentrer sur cela. »
Il est plus important que jamais d’avoir cet état d’esprit d’attaquant, a-t-il ajouté, car le temps de séjour moyen d’un attaquant peut être aussi court que quatre jours.
Spearman faisait partie d’un panel de conférence sur les stratégies de protection contre les cyberattaques.
Lorsque la discussion s’est tournée vers la question de savoir si les organisations devaient refuser de payer les gangs de rançongiciels, Lorne Oickle, ingénieur commercial senior chez Cohesity, un fournisseur de sauvegarde et de récupération, a fait valoir que ceux qui paient ne sont pas sûrs de pouvoir restaurer leurs données à partir d’une source non cryptée.
Il a été secondé par Kevin Cole, directeur de la formation technique chez Zerto, un fournisseur de gestion de données infonuagiques de Hewlett-Packard Enterprise. De nombreuses entreprises pensent qu’elles peuvent récupérer des données à partir d’une solution de sauvegarde, mais lorsqu’elles doivent le faire, « il arrive un pépin ». Les procédures de récupération de données doivent être régulièrement testées, a-t-il déclaré, et les professionnels de l’informatique doivent également s’assurer que le temps de récupération des données est aussi court que possible.
Les organisations doivent également s’assurer que les données sauvegardées ne peuvent pas être atteintes par des attaquants, a-t-il ajouté.
Ce que le service informatique doit faire, c’est minimiser la perte de données et les temps d’arrêt, a-t-il déclaré. « Si vous pouvez réunir ces deux éléments, vous avez une très bonne chance de reprendre les opérations avec moins d’impact que vous ne le feriez autrement. »
Jade Perron, stratège en cybersécurité chez Mimecast, a souligné l’importance d’une formation de sensibilisation à la sécurité pour les employés. Il est important de rafraîchir régulièrement le contenu de la présentation, a-t-il ajouté.
Il a également déclaré que les organisations devraient faire un meilleur usage de l’apprentissage automatique pour aider à donner des avertissements contextuels aux employés sur les attaques potentielles et les logiciels malveillants.
Spearman a ajouté une note sombre en disant que trop de cadres croient encore que la cybersécurité relève strictement de la responsabilité d’un service informatique.
« J’ai participé jadis à une réunion [de cybersécurité] avec le PDG d’une entreprise d’environ 200 000 employés. Après environ une demi-heure, il se lève et me dit : « Je ne sais pas pourquoi je suis ici. C’est pour cela je vous ai tous embauchés », et il est parti.
Il est important, a-t-il dit, que les professionnels de la sécurité des TI montrent aux hauts dirigeants que la cybersécurité est primordiale. Il y a beaucoup d’entreprises, a-t-il ajouté, qui aideront à prouver qu’il y a un bon retour sur investissement dans la cybersécurité.
Adaptation et traduction française par Renaud Larue-Langlois.
