La sécurité ouverte, l'avenir de la prévention des cybermenaces
Depuis bien trop longtemps, le secteur de la cybersécurité a adhéré à une méthode imparfaite fondée sur l'idée que les entreprises peuvent éviter les menaces de sécurité en entretenant l'opacité et le secret. Ainsi, il est supposé qu'en cachant les processus et les contrôles de sécurité, les produits et les données sont intrinsèquement mieux protégés contre les cybermenaces au sein des réseaux que nous défendons.
Or, même les défenses de cybersécurité les plus sophistiquées ne font pas le poids face aux utilisateurs malveillants hautement motivés et très bien financés. En effet, à cause de l'empreinte numérique en expansion des entreprises modernes, nombre de contrôles de cybersécurité centralisés traditionnels sont devenus obsolètes.
Face à la croissance effrayante du nombre de violations de données, de plus en plus de prestataires et de spécialistes de la sécurité doivent reconnaître et comprendre que nous pouvons tirer parti de nos points forts inexploités en collaborant au sein d'une communauté afin d'apporter ouverture et transparence à la sécurité.
La sécurité ouverte (une méthode qui change la dynamique des relations d'une société de sécurité avec sa clientèle) peut transformer le secteur de la cybersécurité en rassemblant les spécialistes de la sécurité pour réagir de manière plus résiliente aux menaces ciblant les entreprises. La sécurité ouverte est la meilleure défense pour les entreprises et devrait être la voie à suivre par le secteur de la sécurité tout entier.
Plaidoyer pour la sécurité ouverte
Le récent incident Log4j (Log4Shell), que beaucoup ont vu comme une défaillance de sécurité, démontre pourquoi les systèmes ouverts peuvent être davantage sécurisés que les systèmes fermés. Étant donné que la bibliothèque Log4j est open source, la découverte d'une vulnérabilité d'exécution de code à distance a généré une réaction en chaîne générale de notifications et de correctifs qui a probablement permis d'économiser des millions de dollars en évitant les dommages que cette défaillance aurait pu engendrer si elle avait été détectée par un utilisateur malveillant. L'investissement d'Alibaba dans la sécurité ouverte a porté ses fruits pour toutes les personnes qui ont été touchées par cet incident (ou auraient pu l'être).
Comparons cet incident à une attaque d'envergure nationale contre le code propriétaire de l'entreprise SolarWinds. Dans les années précédant sa découverte, cette violation a fourni un accès libre aux systèmes à pas moins de 100 entreprises et à une dizaine d'agences gouvernementales américaines.
Log4Shell aurait pu émerger dans un produit propriétaire fermé. Dans ce cas, il est plus probable qu'un utilisateur malveillant expérimenté l'aurait repéré en premier. Grâce à l'ouverture, il est plus difficile de cacher les défauts ou d'éviter de les éliminer dans les produits concernés, ce qui renforce la sécurité globale.
[Article associé : Pourquoi le meilleur type de cybersécurité est la sécurité ouverte (Open Security)]
Réponse dynamique requise face aux menaces dynamiques
Les entreprises ne peuvent pas se reposer sur des détections statiques pour identifier les menaces et réussir à bloquer les cyberattaques. Ces outils sont parfaits pour détecter un identifiant spécifique d'un fichier, par exemple. Cependant, un utilisateur malveillant serait toujours en mesure d'apporter facilement une modification mineure qui déstabilise complètement les techniques permettant cette détection.
Pour limiter ce problème, plusieurs couches de défense doivent être appliquées à de nombreux emplacements de la surface d'attaque. La création d'un réseau de mécanismes de défense augmente l'efficacité d'une solution de sécurité et permet aux entreprises de rompre le cycle de vie de l'attaque à plusieurs endroits.
Outre les protections multicouches, les cyberdéfendeurs comprennent désormais mieux la méthode d'action des utilisateurs malveillants. Le cadre MITRE ATT&CK®, une base de connaissances conçue avec soin et un modèle de comportements d'utilisateurs malveillants, décrit les étapes du cycle de vie d'une attaque, mais aussi les tactiques et les techniques utilisées pour saper une défense de sécurité. MITRE ATT&CK a fourni aux cyberdéfendeurs une stratégie transparente et accessible afin de protéger leur entreprise grâce à une taxonomie commune des actions des utilisateurs malveillants.
Les prestataires de solutions de sécurité doivent identifier des occasions dans la même veine que l'ouverture et la transparence.
Capacité de la sécurité ouverte à combler les lacunes des spécialistes
Malgré les données probantes disponibles, l'ouverture des logiciels est toujours faussement considérée comme intrinsèquement moins sécurisée. Nombre de prestataires de solutions de sécurité espèrent qu'en ne fournissant pas les outils utilisés pour détecter une menace, il sera plus difficile pour un utilisateur malveillant d'identifier les faiblesses de leurs logiciels. Or, les cybercriminels d'aujourd'hui disposent déjà des moyens pour déterminer si la sécurité d'un système est en mesure de les identifier avant qu'ils ne s'y introduisent.
Dans cette situation, la sécurité ouverte permet de court-circuiter le problème en accélérant la détection d'une nouvelle menace qui est passée sous les radars. Lorsqu'un agent de sécurité regarde les images d'une caméra de surveillance, il sait précisément quels emplacements sont couverts et lesquels ne le sont pas. Ainsi, il peut identifier les endroits vulnérables qui sortent du champ de la caméra et déterminer si une investigation plus poussée doit être menée.
En sachant comment combler leurs lacunes, les spécialistes de la sécurité peuvent identifier les domaines où renforcer leurs outils existants de sécurité ou ceux dont ils doivent monitorer les menaces de manière plus proactive et attentive. Ainsi, les équipes de sécurité peuvent développer la meilleure défense possible pour leur environnement spécifique et pas seulement pour ceux qui ne semblent pas avoir de défense adéquate.
Une approche communautaire de la sécurité scalable
La sécurité ouverte a-t-elle un autre avantage ? La communauté créée à partir des prestataires dévoilant en toute transparence leurs contrôles de sécurité, leurs règles de détection et la logique des menaces peut avoir un effet multiplicateur sur les bonnes pratiques dans le secteur tout entier. Les prestataires de solutions de sécurité qui associent leurs propres spécialistes à ceux de la vaste communauté de la sécurité en apprennent bien plus sur les nouvelles menaces qu'ils ont observées ou sur les méthodes innovantes de détection des attaques subtiles. Ainsi, les défenses des systèmes gagnent en scalabilité pas uniquement à l'échelle de l'entreprise, mais aussi au niveau de la clientèle et des données.
Il est important de ne pas oublier que la sécurité ne consiste pas uniquement à détecter les menaces. Il s'agit également de pouvoir réagir en conséquence. Comment stopper une attaque ? Quels enseignements peuvent être tirés des analyses afin de renforcer les défenses contre des menaces similaires à l'avenir ? Lorsque les prestataires rendent la sécurité ouverte et transparente, ils sont en mesure d'améliorer en permanence leurs outils bien au-delà de leurs capacités s'ils avaient utilisé leurs ressources internes limitées.
En fin de compte, la sécurité ouverte est une question de confiance. Vous devez avoir confiance dans la capacité de votre logiciel de sécurité à protéger votre entreprise contre les dernières cybermenaces, mais aussi dans le fait qu'il peut s'exécuter au sein d'un environnement unique sans interférer avec les opérations quotidiennes.
En associant nos ressources collectives pour accélérer notre réponse aux cybermenaces, nous sommes en mesure de diminuer radicalement le nombre et les conséquences des cyberattaques survenant chaque année.
Pour découvrir concrètement comment une solution de sécurité ouverte peut réduire les risques de manière significative, regardez notre webinar intitulé "Présentation d'Elastic Security : comment réduire le temps moyen de résolution".