Que ce soit l’affaire SolarWinds, Sony Pictures ou Shadow Hammer, les exemples de grandes entreprises ayant subi des pertes financières colossales suite à une cyberattaque sont nombreux. Face à une telle diversification des menaces cyber, les organisations, quel que soit leur secteur, ont intérêt à se doter de technologies capables de les aider à assurer la visibilité sur les endpoints qui constituent leur réseau informatique. Le contrôle de ces derniers doit se faire de manière automatisée et reproductible. Cela permettrait de garantir la résilience du réseau et la préservation de tous les aspects de la sécurité.
Depuis la démocratisation du travail hybride, les entreprises sont devenues quasi-dépendantes de leur système informatique ou des applications qu’elles utilisent quotidiennement. D’autant plus avec l’essor du « shadow IT », leur exposition aux risques et aux menaces ne cesse de croître. Alors qu’elles sont tout aussi exposées que les grands groupes, les ETI et PME n’ont pas forcément les mêmes moyens que les grandes sociétés pour se protéger des cyberattaques. Elles se retrouvent plus vulnérables et sont très souvent incapables de répondre aux incidents, soit par manque de ressources, soit par manque d’anticipation.
Plusieurs contextes de risques existent :
Les attaques visant les supply chains
Une attaque de la supply chain vise à endommager les entreprises ciblées en s'attaquant aux éléments les moins sécurisés de leur chaîne d'approvisionnement, par exemple, en y infiltrant un cheval de Troie par le biais d'un logiciel tiers ou d'un composant matériel produit par un fournisseur.
Les attaques par ransomware
En cybersécurité, les ransomwares comptent parmi les menaces les plus fréquentes et les plus impactantes. Ces logiciels d'extorsion sont capables de verrouiller les endpoints et d’exiger une rançon en échange.
Ce type d’attaque, souvent mené à grande échelle, paralyse les systèmes d’informations et engendre des coûts très importants pour les entreprises qui en sont les victimes. Aussi, on assiste aujourd’hui à une réelle professionnalisation des cybercriminels, notamment avec le ransomware as a service. Les cybercriminels proposent désormais de louer leurs ransomwares et in fine, de profiter d’un pourcentage sur les rançons payées par les organisations. Toutes les infrastructures ont désormais intérêt à se considérer comme des cibles potentielles : elles doivent ainsi mettre en place des protections efficaces pour minimiser ces risques.
En effet, les attaques par ransomware sont de loin les plus coûteuses pour les infrastructures. Selon le dernier rapport du Ponemon Institute, leur coût moyen global dépasse celui d’une attaque standard de 250 000 dollars. On estime qu’une attaque par ransomware a lieu toutes les 11 secondes dans le monde, ce qui représente un préjudice financier annuel s’élevant à 20 milliards de dollars.
La multiplication des outils, une stratégie à l’efficacité contestable
La majeure partie des centres opérationnels de sécurité (SOC) multiplient les outils de détection d’attaque ou de menace. Toutefois, c’est à double tranchant. Ils sont parfois si nombreux que les équipes peinent à suivre et ces outils finissent par perdre en fiabilité. La gestion d’une grande variété de solutions disparates entraîne un coût significatif pour les infrastructures qui les empilent.
En conséquence, toutes ces solutions finissent par rendre les investigations difficiles, ainsi que la réponse aux incidents fastidieuse. On ne peut remédier à une attaque cyber si on ne connaît pas parfaitement la kill chain de l’attaquant c'est-à-dire, le cheminement complet que ce dernier a mené pour réussir son attaque.
Les dirigeants d’ETI ont conscience de ces risques mais peuvent être rapidement dépassés. Mettre en place un plan de réponse aux incidents permet de s’assurer qu’en cas de faille de sécurité, les infrastructures disposent des procédures opérationnelles appropriées pour remédier efficacement aux menaces.
Au vu du contexte actuel des menaces cyber qui pèsent sur les entreprises, la mise en place d’un tel plan doit être au cœur de leur réflexion stratégique en ce qui concerne leur posture de sécurité. Car peut-être plus encore en matière de cybersécurité que dans d’autres domaines, mieux vaut prévenir que guérir.