Je me souviens avoir discuté avec des spécialistes de la sécurité, il y a une vingtaine d’années, de ce qu’il faudrait faire pour créer un ordinateur entièrement sécurisé. Ils faisaient la démonstration d’un ordinateur, totalement débranché et plongé dans du béton liquide. Il fallait le laisser sécher et là seulement vous pouviez le considérer comme sécurisé. Il faut aussi préciser qu’en plus d’être sécurisé, il est également inutilisable.
Revenons donc à la question initiale, pensez-vous que le fait de conserver une architecture de sécurité plus ancienne vous protège des menaces modernes ? Si c’est le cas, vous n’êtes pas au bout de vos peines.
Le vieux mythe du type « vous disposez d’une solution de pare-feu imposante, alors votre environnement est sécurisé » a tendance à persister, mais la notion de périmètre sécurisé a disparu lorsque les ransomwares et les attaques de type « zero-day » sont apparus. Ce modèle constitue même désormais une menace plus grande que la protection, car il procure un faux sentiment de sécurité.
Autre question, pensez-vous que si toutes vos données sont placées dans cet environnement sécurisé, elles sont en sécurité ? Je suis désolé de vous l’apprendre, mais elles sont à un clic d’être volées !
De plus, plus vos systèmes internes sont anciens, plus il est facile de trouver les failles de sécurité publiées sur le web. Ces systèmes, s’ils ne sont pas maintenus à jour, sont de plus en plus à risque avec le temps.
Si vous connaissez le fonctionnement de vos TI internes, vous savez aussi qu’il existe plusieurs autres concepts du genre. Nous sommes en présence d’une liste exhaustive d’anciens paradigmes et technologies qui ne sont plus pertinents, du proxy au VPN en passant par les anciens antivirus. La liste ne cesse de s’allonger.
Vous ne pouvez pas détruire mon réseau en un seul clic !
Vous vous souvenez que j’ai dit plus haut que vos données étaient à un clic d’être volées ? Voici les différentes étapes :
Un de vos employés reçoit un courriel qui semble légitime, mais qui est en fait une attaque d’hameçonnage.
- Cette situation peut être évitée, mais elle nécessite une combinaison de nouvelles technologies, y compris des politiques infusées de « Machine Learning » qui alimenteront vos filtres de courriel (empêchant le courriel de passer, la sécurité fournit qui laissera également vos filtres savoir ce qui se passe avec d’autres clients, et un client EDR sur votre station de travail, qui arrêterait l’exécution dans sa voie, si tout le reste échouait. Et s’il devait passer, la détection et le filtrage appropriés de vos outils de réseau de cybersécurité l’empêcheraient d’appeler chez lui, le réduisant à une menace locale. Vous voyez que dans ce cas précis, il faut un village pour arrêter un ransomware.
Il clique sur le lien ou télécharge un PDF qui contient le script.
- Le seul moyen d’éviter qu’il clique est l’éducation. L’initiation à la cybersécurité de l’ensemble de votre personnel devient également une formation nécessaire, au même titre que l’éthique et les conditions d’utilisations.
Le code exécute quelques commandes de base, et passe en mode furtif pendant quelques jours.
- Puis, à chaque redémarrage, il déploie de plus en plus de logiciels malveillants sur la machine, invite tout un réseau de cybercriminels, qui vont prendre leur temps pour inspecter votre environnement, pour voler des informations telles que vos informations d’identifications dans Chrome ou IE, dans des sessions mémorisées à droite et à gauche, jusqu’à ce qu’ils trouvent les informations importantes.
Ils cherchent également à comprendre ce qui fait fonctionner votre entreprise. Ils veulent découvrir quelles sont les données les plus importantes de votre réseau.
- Ils vont ensuite déposer une copie de ces données de grande valeur sur le dark web, pour les prendre en otage si vous choisissez de ne pas payer la rançon.
Une fois la valeur validée, ils lancent leur « payload » et commencent à chiffrer l’ensemble de votre réseau, et malheureusement ce n’est pas une machine à la fois.
Puis ils vous envoient leur demande sous la forme d’une lettre de rançon, et soudain, toute votre entreprise est arrêtée.
- C’est alors que vous réalisez que sans accès à tous ces systèmes et ces données critiques, votre entreprise n’est rien, et malheureusement il n’est pas possible de revenir au papier et au crayon.
Si vous avez de la chance
- Vous aurez accès à des experts qui pourront vous remettre sur pied, mais cela vous coûtera probablement plus que la transformation des TI de votre entreprise.
Si les pirates s’acharnent
- S’ils décident de publier vos données les plus critiques et qu’elles deviennent disponibles sur le dark web, pour l’offre la plus élevée, pourrez vous rétablir votre réputation un jour ? Comment se sentirait votre client si ses propres informations se retrouvaient entre les mains de criminels ?
Je vous parle ici du pire des scénarios, mais nous voulons vous rappeler que toute cette chaine d’événements a commencé par un simple clic, à l’intérieur de ce périmètre que vous pensez sécurisé.
Nous avons dernièrement aidé une entreprise à se remettre d’un problème de ce genre. Elle possédait une bonne technologie, mais avait minimisé ses investissements en matière de configuration et d’architecture. Le résultat de ces décisions a consisté en un mois complet d’interruption et près d’un demi-million de dollars de pertes.
J’aimerais vous poser une autre question : que se passerait-il si ce scénario se passait dans le service public, ou chez un fournisseur d’électricité, ou pire dans une centrale nucléaire ? Les conséquences pourraient être dramatiques.
Mais il y a quand même de bonnes nouvelles
- Il existe des entreprises qui investissent, innovent et cherchent des solutions pour éviter ces situations, comme Microsoft, qui a décidé d’investir massivement dans la cybersécurité (MS a annoncé un investissement de 20 milliards de dollars US dans la cybersécurité la semaine dernière), et qui dispose désormais d’un centre de sécurité complet, comprenant tous les profils allants des analystes en cybersécurité aux avocats, afin de s’assurer qu’ils peuvent répondre aux organisations cybercriminelles aussi bien techniquement que légalement.
- Palo Alto vient aussi d’investir massivement pour changer les principes de la cybersécurité afin d’analyser, en temps réel, tout ce qui se passe sur les appareils qui font partie de votre entreprise. Cela permet d’attraper les menaces avant qu’elles ne soient libérées et ne commencent à endommager votre écosystème. Ils utilisent des technologies telles que le VPN permanent et les analyses préventives pour protéger les utilisateurs et les pertes de données ce qui comble le fossé, et je trouve cela très encourageant.
Ce ne sont que deux exemples, mais cela montre qu’il ne s’agit pas seulement de technologie.
La modernisation implique de faire d’une pierre plusieurs coups.
Lorsque vous envisagez de mettre en place un plan de modernisation de vos TI, vous devez prendre en compte plusieurs facettes telles que :
- La classification de vos données et vos systèmes, ce qui permet la création d’enclaves de sécurité, et rend l’accès à vos informations importantes plus difficile.
- Un nouveau modèle de sécurité intégré, une nouvelle surveillance, qui intègre l’Intelligence artificielle et l’apprentissage machine.
- L’intégration de nouveaux réseaux et de nouvelles consoles de sécurité, permettant une vue unifiée et une interface harmonisée ce qui permet de mieux réagir lorsqu’une attaque de ce genre se présente.
- La transformation de tous vos anciens serveurs, afin qu’ils puissent profiter des nouvelles plates-formes, des derniers développements. Vous pourriez même peut-être transformer certains d’entre eux en logiciels en tant que service, diminuant ainsi la charge de travail de vos équipes.
- Vos équipes auront été formées dans des domaines plus ciblés, ce qui leur donnera une expertise plus approfondie.
Je suis conscient que l’argent ne pousse dans sur les arbres, mais que se passe-t-il si vos revenus s’arrêtent brusquement ?
De mon point de vue de PDG, vous n’avez pas d’autre choix que de procéder à cette transformation. Vous ne pouvez pas seulement espérer que tout soit cybersécurisé ; vous devez vous en occuper.
Si vous êtes victime d’une cyberattaque, tout l’argent que vous pourriez investir maintenant pour vous moderniser sera de toute façon dépensé sinon vous n’aurez plus d’entreprise. Et si vous avez la chance que tout rentre dans l’ordre, vous ne serez pas davantage modernisé donc vous serez toujours en danger.
Vos fondations doivent débuter avec des technologies de l’informatique modernes, vous ne pouvez pas commencer à construire votre sécurité sans savoir ce qui doit être protégé, et ce qui est critique.
Vous ne pouvez pas dire que tout est critique et doit être protégé. Il serait ridicule d’avoir une protection parfaite qui fonctionne de 7 jours sur 7 et 24 heures sur 24 pour l’ensemble de vos actifs numériques. Vous vous rendez bien compte qu’en cas d’attaque, la restauration de la « playlist » d’un stagiaire n’a pas la même priorité que la restauration de vos systèmes de messagerie ou de paie ?
La transformation de vos TI est comme la rénovation d’une maison, vous devez bien la planifier
J’ai découvert l’architecture à l’âge de 6 ans grâce à mon grand-père. Il rénovait la maison familiale, et c’est à cette occasion que j’aie compris que la créativité et la science pouvaient produire quelque chose de tangible dans le monde réel.
À partir de ce moment, j’ai rêvé d’être architecte, mais j’ai dû faire évoluer ce rêve lorsque mon fils est né alors que je n’avais que 15 ans.
Ce nouvel événement a fait que je me suis tourné vers les technologies de l’information, et en à peine 3 ans, je me suis retrouvé à faire des dessins, à utiliser ma créativité pour imaginer des solutions. Je résolvais des problèmes d’entreprises grâce à la technologie.
C’est pourquoi je suis convaincu que les projets, surtout ceux de cette ampleur, doivent être conçus, réfléchis et qu’il ne faut surtout pas oublier d’impliquer les principaux acteurs.
L’autre chose que j’ai découverte au cours de ma carrière est qu’il n’existe pas deux entreprises qui fonctionnent de la même façon. Peu importe ce que dit le site web de l’entreprise, une société d’ingénierie, de R&D aérospatiale, peut s’avérer être une importante société d’approvisionnement et de logistique lorsque vous prenez le temps de l’examiner de l’intérieur.
C’est pourquoi vous ne devez jamais sous-estimer le pouvoir d’un point de vue externe.
Conclusion
Pour conclure l’article de cette semaine, je vous encourage à prendre le temps d’examiner de près tous les systèmes dont votre entreprise dépend pour fonctionner. Regardez où se trouvent vos données et voyez si elles sont sécurisées.
Je vous invite également, dirigeants et décideurs informatiques, à calculer quel serait le coût de 30 jours sans technologies pour votre entreprise. Pourriez-vous vous en remettre ? Votre entreprise survivrait-elle ?
Les études actuelles montrent que 75 % des entreprises attaquées par un ransomware ne survivraient pas. C’est la raison pour laquelle ce modèle d’attaque est si florissant. Lorsque votre seul choix réside entre fermer ou payer, la plupart des entreprises choisissent de payer. Même si elles savent qu’en payant elles renforcent le cyberterrorisme.
Demandez-vous si cet argent ne serait pas mieux investi dans vos systèmes et leur sécurité, plutôt que dans les poches de cybercriminels.
Passez une excellente semaine !