Le point de vue des dirigeants

Validation de l'efficacité des outils de sécurité : un passage obligé

Espionnage de puissances étrangères, vol de données, ransomwares... les pouvoirs publics sont régulièrement la cible de cyberattaques. À tel point que dans notre dernier rapport M-Trends, l'ensemble des acteurs des services publics figurent parmi les trois secteurs les plus visés.

Prévenir ces menaces et y répondre représente un défi de taille. Certaines structures exploitent jusqu'à 70 outils de cybersécurité, créant un système opaque difficile à gérer pour des équipes de sécurité déjà surchargées. Dans ces conditions, comment savoir si les outils en place sont réellement efficaces ?

Attention à l'excès de confiance !

À l'occasion d'un récent webinaire sur l'efficacité de la cybersécurité, nous avons discuté des risques d'une confiance excessive, en particulier lorsqu'une organisation part du principe selon lequel les produits installés fonctionnent comme prévu, qu'ils ont été correctement paramétrés et que les équipes savent s'en servir.

Tenir de telles suppositions pour acquises, c'est risquer de passer à côté d'incidents critiques. Un simple paramètre d'usine non modifié ou une erreur lors de l'installation d'un logiciel peut entraîner des failles de sécurité. Quant aux systèmes de gestion des événements et des informations de sécurité (SIEM), ils génèreront un nombre anormalement élevé de faux positifs si les données qu'on leur fournit sont erronées.

Au final, ces dysfonctionnements peuvent être lourds de conséquences. Notre Rapport Mandianooit 2020 sur l’efficacité de la cybersécurité souligne les éléments suivants :

  • Dans 68 % des cas, les dispositifs de cyberdéfense n'ont pas empêché, ni même détecté la détonation de fichiers malveillants
  • 53 % des attaques parviennent à pénétrer les infrastructures d'une organisation sans se faire repérer

Il existe donc un risque élevé de passer à côté de menaces réellement nocives. Souvent, le manque de visibilité sur l'efficacité des outils de cyberdéfense est mis en cause dans la mesure où il complique l'évaluation des risques.

Valider l'efficacité de la sécurité : un impératif absolu

Une bonne protection passe par la capacité à dresser un bilan chiffré de l'efficacité des outils de sécurité. En s'équipant d'un système de sécurité qui teste et mesure les performances des contrôles en place, les pouvoirs publics peuvent rapidement identifier certains éléments cruciaux. Par exemple :

  • Erreurs de configuration
  • Failles ou vulnérabilités
  • Chevauchements de fonctionnalités entre différents outils
  • Valeur ajoutée réelle de chaque outil

Automatiser les systèmes de sécurité et quantifier leurs performances, c'est bénéficier d'éclairages directement exploitables.

L'ingestion automatique d'informations CTI permet ainsi de mieux anticiper les menaces propres à chaque branche de service public, notamment les ransomwares contre des hôpitaux ou les tentatives d'espionnage contre les ministères et autres grandes administrations. Grâce à ces dispositifs, les pouvoirs publics peuvent mieux évaluer et contextualiser les risques.

C'est aussi pour eux un moyen de mieux doser leurs investissements. Dès lors qu'ils connaissent les performances réelles et les redondances éventuelles entre différents outils, les RSSI peuvent réduire le nombre d'outils utilisés, améliorer leur intégration et rationaliser leurs dépenses. Quant aux ressources internes, elles peuvent se recentrer sur des problématiques de sécurité plus stratégiques.

Et pour en revenir à notre préambule de départ, les pouvoirs publics peuvent enfin connaître l'efficacité de leurs outils SIEM, plutôt que de supposer qu'ils fonctionnent exactement comme prévu. Cet exercice de validation leur permet de détecter les angles morts et de réduire les fausses alertes déclenchées par le SIEM. Résultat : les équipes de sécurité gagnent du temps et sont mieux armées pour détecter les menaces réellement nocives.

Par où commencer ?

L'expérience nous a montré que toute bonne validation de l'efficacité des outils de sécurité commençait par l'établissement d'un profil type de cybermenace. Considérez les menaces propres à chaque branche des services publics : espionnage, hacktivisme, ransomwares, etc. Nous vous conseillons aussi d'établir un bilan précis des mesures de sécurité déjà implémentées.

Les administrations et autres acteurs des services publics ont un devoir de protection des données personnelles de leurs usagers, et doivent se conformer à un cadre réglementaire de plus en plus strict. Les enjeux sont trop élevés pour s'en remettre à de simples suppositions sur la solidité de leurs cyberdéfenses. 

Aujourd'hui, les organisations ont accès à des outils qui leur permettent de quantifier continuellement l'efficacité de leur système de sécurité. Téléchargez le rapport Mandiant complet pour découvrir les raisons pour lesquelles les contrôles de sécurité se montrent rarement à la hauteur des attentes des organisations.