Qu’est-ce que la posture de sécurité ?

Selon le rapport IBM sur le coût d’une violation de données, le coût moyen d’une violation de données dans le monde est de 4,88 millions de dollars. Un dispositif de sécurité global efficace permet de se défendre contre ces attaques en améliorant la capacité d’une organisation à détecter les menaces, à y répondre et à s’en remettre.

Pour atteindre un niveau de sécurité élevé, les entreprises déploient des contrôles de sécurité interdépendants et ciblés afin de protéger plusieurs aspects de leur écosystème informatique, notamment la sécurité des données, du cloud et des identités.

Plus les contrôles d’une organisation sont efficaces pour détecter les menaces, combler les vulnérabilités, bloquer les attaques et atténuer les dommages, plus sa posture de sécurité est forte.

La posture de sécurité d’une entreprise représente sa capacité globale en matière de cybersécurité. Au sein de cette catégorie générale, les organisations emploient divers outils et techniques pour protéger les différentes parties de leur écosystème informatique. Voici quelques-uns des principaux types ou sous-domaines de la posture de sécurité :

• Posture de sécurité des données
• Posture de sécurité du cloud
• Posture de sécurité des identités

La posture de sécurité des données se consacre à la protection des données sensibles en empêchant les accès non autorisés ou en détectant et en bloquant les comportements suspects. Ces comportements suspects peuvent provenir d’utilisateurs autorisés ou non, d’interfaces de programmation des applications (API), d’appareils de l’Internet des objets (IdO), de logiciels malveillants, d’attaques par hameçonnage, de ransomwares ou d’autres sources.

Alors que les organisations adoptent de nouvelles technologies telles que le développement cloud natif, l’intelligence artificielle (IA) et le machine learning (ML), les risques et les vulnérabilités en matière de sécurité des données (y compris les risques liés à des tiers) peuvent se multiplier. L’ajout continu de nouvelles technologies aux systèmes numériques peut compliquer la gestion de la sécurité des données et pourrait exposer les organisations à des risques de violation de données et de conformité réglementaire.

Les outils de data security posture management (gestion de la posture de sécurité des données, DSPM) identifient les données sensibles dans plusieurs environnements et services cloud, en évaluant leur vulnérabilité aux menaces de sécurité et en contribuant à la conformité réglementaire. La DSPM fournit des informations et une automatisation qui aident les équipes de sécurité à résoudre rapidement les problèmes de sécurité et de conformité des données et à éviter qu’ils ne se reproduisent.

Plutôt que de sécuriser les appareils, les systèmes et les applications qui hébergent, déplacent ou traitent les données, la DSPM se focalise souvent sur la protection directe des données. Elle complémente les autres solutions de la pile technologique de sécurité d’une organisation, y compris les solutions de sécurité de l’information (InfoSec).

À mesure que les organisations adoptent des configurations multicloud (services provenant de plusieurs fournisseurs de service cloud) et cloud hybride (associant cloud public et cloud privé), leurs surfaces d’attaque augmentent. La posture de sécurité du cloud vise à réduire la surface d’attaque en protégeant les environnements cloud.

En l’absence de mesures adéquates, l’infrastructure cloud peut être très vulnérable aux incidents de sécurité. Selon le rapport sur le coût d’une violation de données, 40 % de toutes les violations impliquent des données dispersées dans plusieurs environnements, tels que les clouds privés, les clouds publics et sur site.

Les applications cloud peuvent potentiellement inclure des centaines ou des milliers de microservices, de fonctions sans serveur, de conteneurs et de clusters Kubernetes. Avec chaque nouvelle connexion, la programmation, la distribution et la perpétuation de mauvaises configurations qui laissent les données et les applications vulnérables aux cybermenaces deviennent trop faciles.

Les outils de gestion de la posture de sécurité du cloud (CSPM) peuvent automatiser et rationaliser l’identification et la résolution des mauvaises configurations et des risques de cybersécurité dans les environnements et services de cloud hybride et multicloud, y compris l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et le logiciel en tant que service (SaaS).

La posture de sécurité des identités est axée sur la détection et la correction des mauvaises configurations des identités et des lacunes en matière de visibilité. Cette fonction est essentielle à la posture de sécurité globale d’une organisation, d’autant plus que l’identité est devenue le nouveau périmètre et un pilier essentiel de la cybersécurité.

De nombreuses mesures de sécurité traditionnelles se concentrent sur l’application de contrôles d’accès au périmètre du réseau. Cependant, le périmètre du réseau est devenu moins pertinent pour la sécurité du réseau avec l’adoption du cloud computing, des logiciels en tant que service (SaaS) et des lieux de travail hybrides. Dans ce nouvel environnement, une visibilité et un contrôle complets des activités des identités humaines et des machines sont essentiels pour atténuer les cybermenaces.

Selon le rapport IBM Threat Intelligence Index, les attaques d’identité, dans lesquelles les acteurs malveillants détournent des identités valides pour pénétrer dans un réseau, sont devenues les principaux vecteurs d’attaque. Le rapport fait état d’une augmentation de 71 % des identités valides utilisées dans les cyberattaques d’une année sur l’autre. Et ce, malgré des investissements importants dans la sécurité des infrastructures et les solutions de gestion des accès aux identités et des vulnérabilités.

Aujourd’hui, les cybercriminels ne se contentent pas de pirater les réseaux : nombre d’entre eux se connectent en exploitant les mauvaises configurations et les lacunes en matière de visibilité. Une mauvaise configuration de l’identité se produit lorsque l’infrastructure d’identité, les systèmes et les contrôles d’accès ne sont pas configurés correctement. Les lacunes en matière de visibilité sont des risques qui peuvent être négligés par les contrôles d’identité existants d’une organisation, laissant des vulnérabilités non détectées que les auteurs d’attaques peuvent exploiter.

Les outils de gestion des identités et des accès et les solutions complètes d’orchestration des identités peuvent aider les organisations à protéger les comptes et à déjouer les abus de privilèges valides. 

Des postures de sécurité rigoureuses découlent de programmes de sécurité efficaces. Un programme de sécurité complet comprend généralement les éléments suivants :

• Inventaire des actifs
• Gouvernance
• Contrôles de sécurité
• Plans de réponse aux incidents
• Formation
• Amélioration continue

Pour protéger les systèmes et les données informatiques, une organisation doit disposer d’un inventaire complet de ses actifs : leur nature, leur emplacement, leur vulnérabilité et la manière dont les risques peuvent être atténués. Cet inventaire permet de définir la surface d’attaque à défendre et les contrôles nécessaires à cette surface.

La gouvernance fait référence aux cadres et aux processus qui aident les organisations à garantir l’utilisation adéquate des systèmes informatiques et à se conformer aux lois et aux réglementations en vigueur.

Les processus de gouvernance se centrent souvent sur le contrôle de l’accès et de l’utilisation des actifs de l’entreprise, tels que les données personnelles (PII), les données financières, les systèmes propriétaires ou les secrets commerciaux. Les niveaux d’accès sont souvent fondés sur la sensibilité relative des données et sur le besoin de savoir d’une personne. Les utilisateurs n’ont généralement accès qu’aux ressources dont ils ont besoin, avec les niveaux d’autorisation nécessaires, pour effectuer leur travail.

Les organisations situées dans certains lieux ou secteurs d’activité peuvent également être tenues de respecter des cadres réglementaires spécifiques, tels que le règlement général sur la protection des données (RGPD), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) ou la California Consumer Privacy Act (CCPA). Toute violation de ces exigences réglementaires peut faire l’objet d’amendes gouvernementales coûteuses et entraîner des réactions négatives de la part du public.

L’automatisation de la gouvernance, de la gestion des risques et de la conformité (GRC) peut contribuer à consolider et à accélérer les tâches de gouvernance en cours. Les organisations peuvent également adopter des cadres spécifiques de gouvernance et de gestion des risques, tels que le cadre de cybersécurité du National Institute of Standards and Technology (NIST CSF).

Une architecture de sécurité complète intègre divers outils de sécurité complémentaires pour se protéger contre toutes sortes d’attaques, notamment l’hameçonnage et l’ingénierie sociale, les ransomwares, les attaques par déni de service distribué (DDos) ou les menaces internes. Voici quelques-uns des contrôles les plus fréquents :

• Solutions de sécurité des points de terminaison
• Pare-feux
• Systèmes de détection et de prévention des intrusions (IDPS)
• Gestion des informations et des événements liés à la sécurité (SIEM)
• Orchestration, automatisation et réponse aux incidents de sécurité (SOAR)
• Prévention des pertes de données (DLP) 
• Contrôles de gestion des identités et des accès (IAM)
• Plateformes de renseignements sur les menaces

De nombreuses solutions de sécurité dédiées aux entreprises assurent un degré élevé d’automatisation et analysent en permanence les données et les actifs sensibles, où qu’ils se trouvent. La surveillance automatisée et continue aide les organisations à suivre les ressources, à détecter les menaces et à y répondre en temps réel.

Un plan de réponse aux incidents (IRP) définit les mesures prises par une organisation pour faire face aux attaques en cours. Ces plans décrivent les rôles et les responsabilités des membres de l’équipe de sécurité, les outils à employer et les tâches à accomplir pour éradiquer les menaces.

Lors de l’exécution d’un IRP, les équipes de sécurité s’appuient souvent sur des solutions de sécurité qui effectuent des évaluations des risques, fournissent des rapports en temps réel et disposent de tableaux de bord qui les aident à hiérarchiser les risques potentiels en fonction de leur gravité. Ces solutions peuvent également fournir des instructions de résolution par étapes ou des protocoles de réponse aux incidents préétablis qui rationalisent la résolution des menaces.

Certaines solutions peuvent modifier automatiquement les paramètres du système ou appliquer de nouveaux contrôles et correctifs pour renforcer la cybersécurité et mieux protéger contre les attaques en cours.

Les employés, les parties prenantes et les autres utilisateurs sont souvent le maillon faible de la sécurité. Une formation régulière de sensibilisation à la sécurité peut contribuer à renforcer la capacité d’une organisation à lutter contre les menaces en familiarisant l’ensemble des utilisateurs avec les exigences de gouvernance et les bonnes pratiques en matière de sécurité.

Le paysage des menaces est en constante évolution. Pour maîtriser les risques les plus récents et préserver leur cyber résilience, les organisations examinent régulièrement les indicateurs de sécurité, évaluent les performances en matière de sécurité, effectuent des tests d’intrusion et procèdent à des évaluations complètes de leur posture de sécurité.

Ces mesures aident les organisations à identifier les risques et à développer des moyens de déjouer les nouvelles attaques. Cela permet un processus d’amélioration continue, dans le cadre duquel les organisations actualisent leurs programmes de sécurité afin de mieux répondre à l’évolution des menaces.

La diversité croissante des attaques et la surface d’attaque toujours plus grande des entreprises peuvent entraver l’élaboration de stratégies de sécurité adéquates et nuire à la posture de sécurité de l’organisation.

Les organisations pourraient notamment être amenées à réfléchir à la manière dont les problèmes suivants peuvent affecter leur posture de sécurité :

• Intelligence artificielle (IA)
• Défis liés à la gestion des identités et des accès
• Shadow IT

L’IA peut être employée pour lancer des cyberattaques et les données exploitées pour entraîner l’IA peuvent constituer une cible tentante pour les violations de la sécurité.

Ainsi, les grands modèles de langage (LLM) peuvent aider les attaquants à créer des attaques d’hameçonnage plus personnalisées et plus sophistiquées. Technologie relativement nouvelle, les modèles d’IA offrent également aux acteurs malveillants de nouvelles possibilités de cyberattaques, telles que les attaques de la chaîne d’approvisionnement et les attaques adverses.

La réponse pourrait bien passer par plus d’IA, plutôt que par moins. Selon le rapport sur le coût d’une violation de données, les organisations qui déploient l’IA et l’automatisation de la sécurité dans leurs centres d’opérations de sécurité peuvent renforcer la sécurité du système et économiser des coûts.

Lorsque ces mesures ont été déployées à grande échelle dans les workflows de prévention (gestion de la surface d’attaque (ASM), red teaming et gestion de la posture), les organisations ont économisé en moyenne 2,2 millions de dollars en coûts de violation par rapport à celles qui n’utilisaient pas l’IA dans leurs workflows de prévention. Il s’agit là de la plus grande économie de coûts révélée dans le rapport.

L’identité est aujourd’hui un pilier essentiel de la cybersécurité. Cependant, la complexité de la gestion des identités et des autorisations d’accès de nombreux utilisateurs au sein d’un personnel réparti dans des environnements hybrides et multicloud peut être une source de risques de sécurité importants.

• Mauvaises configurations : s’ils ne sont pas configurés correctement, les contrôles IAM peuvent être contournés par des administrateurs habiles ou des acteurs malveillants, ce qui réduit considérablement la protection qu’ils fournissent.
  
  
• Comptes de service oubliés : un compte de service aide à effectuer des actions telles que l’exécution d’applications, l’automatisation de services et la réalisation d’appels d’API autorisés. Ces comptes disposent donc généralement de privilèges système élevés. Si les comptes de service inactifs ne sont pas correctement supprimés, les attaquants peuvent s’en servir pour obtenir un accès non autorisé.
  
  
• Droits inadaptés : les droits (ou privilèges) excessifs accordent aux utilisateurs des privilèges d’accès aux données ou des autorisations supérieurs à ceux dont ils ont besoin pour faire leur travail. Ces droits élevés peuvent facilement faire l’objet d’abus. A contrario, dans un effort pour protéger les données sensibles, les organisations peuvent accorder aux utilisateurs des autorisations trop restrictives, ce qui peut les empêcher d’effectuer leur travail de manière efficace.
  
  
• Hygiène des mots de passe : les organisations qui autorisent des mots de passe faibles ou courants permettent aux pirates informatiques de pénétrer facilement dans les comptes en devinant les mots de passe ou par le biais d’attaques par force brute.

Le shadow IT désigne les actifs informatiques (tels que les applications, les appareils et les données) utilisés sur un réseau d’entreprise sans l’approbation, la connaissance ou la supervision du service informatique. Comme ces actifs informatiques ne sont pas gérés, ils sont plus susceptibles de contenir des vulnérabilités non atténuées que les pirates informatiques peuvent exploiter.

Le shadow IT revêt de nombreuses formes, notamment :

• Accès fantôme : on parle d’accès fantôme lorsqu’un utilisateur conserve un accès non géré à une application ou à un service à l’aide d’un compte local, par commodité ou pour accélérer le dépannage.

• Actifs fantômes : il s’agit d’applications, d’appareils ou de services inconnus des équipes et des systèmes informatiques. Cela complique l’application des mesures de sécurité telles que les contrôles d’accès, l’authentification des utilisateurs et les vérifications de conformité.
  
  
• Données fantômes : elles comprennent les jeux et magasins de données qui ne sont pas gérés par les équipes informatiques et les équipes de sécurité. À mesure que les organisations élargissent l’accès aux données à un plus grand nombre d’utilisateurs moins au fait des règles de sécurité et de gouvernance des données, le risque de données fantômes augmente. L’essor des systèmes cloud permet également aux utilisateurs de transférer plus facilement des données sensibles vers des magasins de données personnels non autorisés.