2023 est à nos portes et les CTO doivent d’ores et déjà s’interroger sur les défis qui les attendent. Alors que le périmètre des menaces s’étend, que les environnements connectés s’enrichissent de nouveaux dispositifs et que les talents viennent à manquer, les entreprises doivent prendre les bonnes décisions et s’armer aussi bien d’outils que de patience. Retour sur les enjeux qui attendront les équipes IT en 2023.
Par Arnaud Le Hung, Senior Channel Account Manager, France & Iberia, BlackBerry
CTO, DSI, Responsables ingénierie : qui est responsable ?
Chaque organisation abordera différemment l’équilibre entre les rôles – DSI, CTO, etc., et certaines iront même jusqu’à les combiner. Il est crucial de garder à l’esprit qu’à mesure que la culture de la sécurité est construite, le CTO doit faire en sorte de prendre en considération les talents des différents départements. Pour développer une culture de la sécurité, les ingénieurs doivent être mis en relation avec la structure et la formation cyber surtout dans les environnements où les dispositifs anciens, vulnérables et sensibles, et les systèmes d’exploitation d’anciennes générations sont les plus courants.
De manière générale, il s’agit d’environnements difficiles à sécuriser. Par conséquent, qu’une entreprise s’appuie sur un CTO ou sur une combinaison de dirigeants, la posture de sécurité qu’elle adopte doit évoluer au-delà des technologies défensives traditionnelles – qui ne peuvent pas être adaptées pour prévenir les cyberattaques modernes. Les approches actuelles ne sont pas durables car intrinsèquement réactives et irréalistes. Même les professionnels des SecOps et des NetOps chargés de protéger des infrastructures complexes et évolutives ne peuvent pas anticiper et étouffer manuellement toutes les attaques – sans parler des employés travaillant dans les environnements OT.
Nous pensons qu’une approche plus réaliste consistant à passer à une stratégie de sécurité axée sur la prévention tout en tirant parti de solutions intelligentes qui se concentrent sur la neutralisation et l’entrave des cyberattaques serait plus pertinente. En effet, ceci permettrait aux employés de se concentrer sur les tâches pour lesquelles ils ont été engagés.
Les CTO et CIO peuvent travailler ensemble afin que l’entreprise puisse utiliser des techniques traditionnelles sur les différents dispositifs, bloquer les menaces, corriger les systèmes vulnérables ou encore les mettre à jour. Plus important encore, ils doivent remplacer les défenses réactives basées une détection sur les endpoints (par signature) et alimentée par l’IA, qui empêche l’exécution de logiciels malveillants connus et de type zero-day.
Des contrôles de sécurité centrés sur l’utilisateur doivent également être déployés à chaque point d’entrée du réseau de l’entreprise et des applications cloud, afin d’empêcher les employés travaillant à distance d’abuser intentionnellement ou accidentellement de leurs identifiants ou de violer les politiques de sécurité. Du haut vers le bas, l’accès de chaque utilisateur aux ressources doit être contrôlé dynamiquement sur la base d’évaluations des risques en temps réel de son comportement, de manière transparente et sans friction, afin d’éviter tout impact sur la productivité.
IoT : vulnérabilités et sensibilisation
Il y a actuellement plus de 30 milliards de dispositifs IoT utilisés dans le monde entier, et nous devons dissiper le mythe selon lequel les menaces proviennent toujours de l’extérieur. Et pour cause, la réalité est que presque toutes les failles découlent d’une erreur humaine. De plus, côté IoT, la façon dont les données sont créées, collectées et communiquées est en train de changer : chaque objet connecté a désormais sa propre adresse IP.
Étant donné que le réseau massif d’objets connectés nécessite une interopérabilité entre les systèmes, les entreprises doivent sensibiliser les employés au fait que l’IoT introduit des risques sans précédent autant pour la sécurité que pour le respect de la vie privée. Les employés des administrations et des entreprises doivent se rendre compte que des acteurs malveillants peuvent désormais accéder à des données à partir de n’importe quel appareil, n’importe où et en temps réel.
Le fait que les fabricants d’appareils IoT omettent souvent de réaliser des tests rigoureux et de fournir une assistance pour pouvoir commercialiser leurs produits plus rapidement est d’autant plus inquiétant. En effet, ils abandonnent fréquemment le développement de logiciels et de mises à jour de sécurité dès la sortie des produits, laissant les clients – entreprises et consommateurs – avec un nombre toujours croissant d’appareils non sécurisés dans leurs environnements.
Les entreprises ne doivent pas être à la merci de fabricants d’appareils négligents ou d’utilisateurs involontaires. La technologie, les données, l’IA et le Machine Learning combinés à des politiques peuvent améliorer les services tout en garantissant la sécurité et la protection de la vie privée alors que nous restons en pleine transformation numérique.
En outre, un moyen efficace de promouvoir la sensibilisation aux vulnérabilités de l’IoT est d’informer les employés de leurs responsabilités dès le premier jour. D’ailleurs, l’adaptation des processus et des politiques de cybersécurité dans le cadre de l’intégration dans l’entreprise est une bonne méthode pour éduquer les utilisateurs. En plus des programmes de formation réguliers et obligatoires que tous les employés devraient suivre, l’organisation d’exercices de cybersécurité tels que des simulations de gestion de crise peut sensibiliser, préparer et finalement réduire les impacts des événements critiques.
Enfin, les entreprises doivent veiller à ce que la formation à la sécurité IoT soit ciblée et facile. Partager des détails non pertinents et déroutants sur les menaces des vulnérabilités IoT peut être contre-productif. Les communications doivent rester simples, concises et faciles à comprendre, car tous les employés ne sont pas des experts IT.
Encore une fois en 2023, les hackers redoubleront d’audace afin de trouver constamment de nouvelles failles. Pour les contrer, il est indispensable pour les entreprises de se préparer, d’effectuer des tests et de se former en continue pour conserver leur avance. Nous sommes tous concernés par la cybersécurité, et il est maintenant devenu crucial d’aller plus loin que la simple prise de conscience.