La cybersécurité n’est pas qu’une affaire de technologies

Par Chris Hallenbeck, responsable de la sécurité des systèmes d’information, Tanium

Outre le vol de données ou d’argent, le plus grand impact des attaques de très grande ampleur comme celles de SolarWinds, Colonial Pipeline et Log4j est que l’on commence à prendre conscience que les cyberattaques et les cyber dommages sont inévitables. Cependant, bien que les fraudeurs aient toujours été aussi omniprésents que la mort et les impôts, il est possible de réduire la fréquence et la réussite de ces incidents, et d’en contrôler l’impact.

En dépit de ce que vous diront la plupart des éditeurs et experts, la réponse n’est pas simplement « d’acheter plus d’outils ». Bien que les technologies et les outils jouent un rôle précieux dans la protection des organisations, on n’évoque pas assez souvent les solutions « non techniques » à la disposition des organisations cherchant à renforcer leur sécurité. Fort dans mon expérience en tant que RSSI et dans la réponse aux incidents, je souhaite offrir mes conseils quant aux mesures que les équipes informatiques opérationnelles et de sécurité devraient prendre en compte pour reprendre le contrôle et adopter une approche plus proactive.

Les meilleures pratiques à envisager

  • Bâtir une équipe diversifiée

Le secteur de la sécurité est marqué par une forte homogénéité. Les femmes ne constituent ainsi que 20% du personnel dans la sécurité informatique. Les femmes et les groupes minoritaires sont largement sous-représentés dans ce domaine, et il faut que cela change, non seulement pour remédier à la pénurie de compétences, mais aussi pour créer des équipes plus performantes. Mieux vaut éviter de se retrouver avec un groupe de personnes partageant le même mode de pensée. En intégrant un groupe de personnes plus diversifié, vous aurez plus de perspectives – des personnes qui remettront en question vos hypothèses et introduiront de nouvelles façons de penser. Dans un domaine en évolution constante comme la cybersécurité, c’est exactement ce dont vous avez besoin.

Cet effort doit commencer avec le processus de recrutement : cherchez d’abord à créer un pipeline de talents diversifié (genre, âge, expérience, formation, région géographique etc.). Et si vous vous accrochez encore à la peur de « passer à côté » de candidats plus qualifiés en faisant de la diversité une de vos priorités, il est temps de lâcher prise. Il existe une pléthore de candidats incroyablement qualifiés dans les catégories sous-représentées — il vous suffit de faire un petit effort pour les trouver.

Enfin, réfléchissez à la nécessité d’embaucher des spécialistes de la sécurité (des individus disposant d’une expérience ou des diplômes adéquats) ; ou à la possibilité de faire appel à des profils capables de s’adapter et de faire preuve de sens critique, et de leur dispenser la formation adéquate. Élargissez les critères de ce que vous considérez comme un candidat « qualifié », en particulier pour les postes de débutant, afin de profiter d’une main-d’œuvre bien plus diversifiée.

  • Ne pas hésiter à externaliser

La pénurie de compétences dans le domaine de la cybersécurité est évoquée depuis de nombreuses années. Et malheureusement, elle n’a de cesse de s’accentuer. Selon Cybersecurity Ventures, le nombre de postes non pourvus dans le domaine de la cybersécurité unifiée était censé atteindre les 3,5 millions fin 2021. Je sais que les spécialistes de la sécurité sont réputés pour leur paranoïa et leur méfiance — ces caractéristiques sont souvent bénéfiques dans notre métier — et veulent gérer un maximum de tâches en interne. Mais mon conseil, notamment pour les petites entreprises, est d’envisager sérieusement la possibilité de faire appel à un fournisseur de services externe pour renforcer leur équipe. Face au manque de personnel informatique et de sécurité, ces MSP représentent donc une bonne opportunité. L’essentiel est de veiller à contrôler soigneusement leurs antécédents et à obtenir des recommandations à leur égard, afin de s’assurer que le prestataire choisi propose une offre de sécurité éprouvée — tout en conservant suffisamment de professionnels talentueux en interne pour superviser vos services externalisés.

  • S’entraîner comme pour le jour J

Si les outils sont importants, rien ne remplace la formation de votre personnel. Fort de mon expérience en tant qu’ingénieur et enquêteur en cybersécurité au début de ma carrière, et maintenant en tant que responsable, je sais qu’il faut s’entraîner comme si l’on était le jour J, et répéter le jour J ce à quoi on s’est entraîné. Les compétences les plus essentielles à développer sont la capacité de réponse aux incidents et de gestion des crises. Pour vous aider, différentes méthodes d’entraînement — équipes rouges/bleues, CTF (capture de drapeau) et exercices de simulation — sont à votre disposition. Outre le fait de tester les capacités de sécurité de votre organisation, ces exercices peuvent vous en apprendre beaucoup sur votre équipe. Qui tire son épingle du jeu sous la pression ? Qui montre les caractéristiques d’un leader ? Comment votre équipe s’adapte-t-elle et communique-t-elle lorsqu’elle est confrontée à des obstacles ? Mais surtout, quelles sont les lacunes de vos plans actuels ? Partant de ces enseignements, vous pourrez organiser votre équipe de façon à être idéalement préparé dans le cas où une attaque se produirait.

Les postulats à (ré)évaluer

Les trois points ci-dessus sont des pratiques susceptibles de permettre aux organisations de renforcer leur cybersécurité. Cependant, cette année, je pense qu’il est nécessaire de faire évoluer certaines idées dépassées en matière de cybersécurité, et de mettre de côté les stéréotypes usés jusqu’à la moelle ci-dessous :

  • « Il faut sensibiliser aux questions de cybersécurité » — La notion de cybersécurité s’est imposée au grand public l’année dernière. Compte tenu du nombre d’attaques de ransomware lancées sur de grandes entreprises, des campagnes menées par des États-nations et de l’accent placé par l’administration américaine sur la cybersecurité, les gens sont clairement conscients du danger. Là n’est plus le problème : le souci réside dans le fait que les individus sont lassés par la succession de compromissions faisant l’actualité, et donnant la sensation d’une situation désespérée.
  • « La sécurité est l’affaire de tous » — Cela reste vrai à de nombreux égards. Chaque employé doit être vigilant et prendre une part active dans la sécurité de son entreprise… cependant, nous n’en faisons pas assez pour les aider à remettre leur rôle en contexte. La plupart des gens ne se considèrent pas comme des cibles, car ils ne pensent pas être « dignes d’intérêt », alors qu’en réalité, ils peuvent être les intermédiaires idéaux vers une victime désignée. Nous avons également besoin d’individus dont l’unique mission est la cybersécurité. La pénurie de compétences actuelle représente une menace existentielle. En 2022, les CEO et conseils d’administration devraient donc en priorité chercher à recruter et fidéliser autant de professionnels de la cybersécurité que possible.
  • « L’humain est le maillon faible » — Les individus représentent des points d’entrée pour les attaquants et commettent effectivement des erreurs (comme le fait de cliquer sur les liens d’e-mails de phishing, ce qui reste malheureusement bien trop fréquent). Pourtant, cet argument omet ou sous-estime les nombreuses faiblesses et vulnérabilités des équipements et logiciels. Combien de mises à jour de sécurité Zoom ou Microsoft ont-ils dû publier le mois dernier, par exemple ? La réponse : énormément. Dans de nombreux cas, les employés restent les meilleurs atouts pour protéger leurs entreprises, donc mieux vaut ne pas les présenter comme étant plus faibles qu’ils ne le sont réellement, ou les pointer du doigt. Soyons charitables et proposons-leur des formations en cybersécurité, plutôt que d’ignorer les autres maillons faibles de la chaîne.

Le secteur hyper concurrentiel de la cybersécurité se laisse souvent aller à des promesses quant à l’existence de solutions magiques, capables à elles seules « sauver une organisation ». Les nouvelles technologies sont en effet essentielles à la cybersécurité, et les éditeurs font preuve d’un sens de l’innovation incroyable qui aide les entreprises à protéger leurs infrastructures, actifs, employés et clients. Mais n’oublions pas qu’elles ne se suffisent pas à elles-mêmes. L’efficacité et la proactivité de la stratégie adoptée dépendront toujours des individus et des pratiques mises en œuvre.