La posture de sécurité, ou « posture de cybersécurité », est un indicateur de l’état de sécurité d’une organisation. La qualité de la posture de sécurité est liée aux contrôles et aux politiques de sécurité qu’une entité met en œuvre pour protéger ses données, ses actifs numériques et ses clients contre les menaces à la sécurité.
Selon le rapport IBM sur le coût d’une violation de données, le coût moyen d’une violation de données dans le monde est de 4,88 millions de dollars. Un dispositif de sécurité global efficace permet de se défendre contre ces attaques en améliorant la capacité d’une organisation à détecter les menaces, à y répondre et à s’en remettre.
Pour atteindre un niveau de sécurité élevé, les entreprises déploient des contrôles de sécurité interdépendants et ciblés afin de protéger plusieurs aspects de leur écosystème informatique, notamment la sécurité des données, du cloud et des identités.
Plus les contrôles d’une organisation sont efficaces pour détecter les menaces, combler les vulnérabilités, bloquer les attaques et atténuer les dommages, plus sa posture de sécurité est forte.
La posture de sécurité d’une entreprise représente sa capacité globale en matière de cybersécurité. Au sein de cette catégorie générale, les organisations emploient divers outils et techniques pour protéger les différentes parties de leur écosystème informatique. Voici quelques-uns des principaux types ou sous-domaines de la posture de sécurité :
La posture de sécurité des données se consacre à la protection des données sensibles en empêchant les accès non autorisés ou en détectant et en bloquant les comportements suspects. Ces comportements suspects peuvent provenir d’utilisateurs autorisés ou non, d’interfaces de programmation des applications (API), d’appareils de l’Internet des objets (IdO), de logiciels malveillants, d’attaques par hameçonnage, de ransomwares ou d’autres sources.
Alors que les organisations adoptent de nouvelles technologies telles que le développement cloud natif, l’intelligence artificielle (IA) et le machine learning (ML), les risques et les vulnérabilités en matière de sécurité des données (y compris les risques liés à des tiers) peuvent se multiplier. L’ajout continu de nouvelles technologies aux systèmes numériques peut compliquer la gestion de la sécurité des données et pourrait exposer les organisations à des risques de violation de données et de conformité réglementaire.
Les outils de data security posture management (gestion de la posture de sécurité des données, DSPM) identifient les données sensibles dans plusieurs environnements et services cloud, en évaluant leur vulnérabilité aux menaces de sécurité et en contribuant à la conformité réglementaire. La DSPM fournit des informations et une automatisation qui aident les équipes de sécurité à résoudre rapidement les problèmes de sécurité et de conformité des données et à éviter qu’ils ne se reproduisent.
Plutôt que de sécuriser les appareils, les systèmes et les applications qui hébergent, déplacent ou traitent les données, la DSPM se focalise souvent sur la protection directe des données. Elle complémente les autres solutions de la pile technologique de sécurité d’une organisation, y compris les solutions de sécurité de l’information (InfoSec).
À mesure que les organisations adoptent des configurations multicloud (services provenant de plusieurs fournisseurs de service cloud) et cloud hybride (associant cloud public et cloud privé), leurs surfaces d’attaque augmentent. La posture de sécurité du cloud vise à réduire la surface d’attaque en protégeant les environnements cloud.
En l’absence de mesures adéquates, l’infrastructure cloud peut être très vulnérable aux incidents de sécurité. Selon le rapport sur le coût d’une violation de données, 40 % de toutes les violations impliquent des données dispersées dans plusieurs environnements, tels que les clouds privés, les clouds publics et sur site.
Les applications cloud peuvent potentiellement inclure des centaines ou des milliers de microservices, de fonctions sans serveur, de conteneurs et de clusters Kubernetes. Avec chaque nouvelle connexion, la programmation, la distribution et la perpétuation de mauvaises configurations qui laissent les données et les applications vulnérables aux cybermenaces deviennent trop faciles.
Les outils de gestion de la posture de sécurité du cloud (CSPM) peuvent automatiser et rationaliser l’identification et la résolution des mauvaises configurations et des risques de cybersécurité dans les environnements et services de cloud hybride et multicloud, y compris l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et le logiciel en tant que service (SaaS).
La posture de sécurité des identités est axée sur la détection et la correction des mauvaises configurations des identités et des lacunes en matière de visibilité. Cette fonction est essentielle à la posture de sécurité globale d’une organisation, d’autant plus que l’identité est devenue le nouveau périmètre et un pilier essentiel de la cybersécurité.
De nombreuses mesures de sécurité traditionnelles se concentrent sur l’application de contrôles d’accès au périmètre du réseau. Cependant, le périmètre du réseau est devenu moins pertinent pour la sécurité du réseau avec l’adoption du cloud computing, des logiciels en tant que service (SaaS) et des lieux de travail hybrides. Dans ce nouvel environnement, une visibilité et un contrôle complets des activités des identités humaines et des machines sont essentiels pour atténuer les cybermenaces.
Selon le rapport IBM Threat Intelligence Index, les attaques d’identité, dans lesquelles les acteurs malveillants détournent des identités valides pour pénétrer dans un réseau, sont devenues les principaux vecteurs d’attaque. Le rapport fait état d’une augmentation de 71 % des identités valides utilisées dans les cyberattaques d’une année sur l’autre. Et ce, malgré des investissements importants dans la sécurité des infrastructures et les solutions de gestion des accès aux identités et des vulnérabilités.
Aujourd’hui, les cybercriminels ne se contentent pas de pirater les réseaux : nombre d’entre eux se connectent en exploitant les mauvaises configurations et les lacunes en matière de visibilité. Une mauvaise configuration de l’identité se produit lorsque l’infrastructure d’identité, les systèmes et les contrôles d’accès ne sont pas configurés correctement. Les lacunes en matière de visibilité sont des risques qui peuvent être négligés par les contrôles d’identité existants d’une organisation, laissant des vulnérabilités non détectées que les auteurs d’attaques peuvent exploiter.
Les outils de gestion des identités et des accès et les solutions complètes d’orchestration des identités peuvent aider les organisations à protéger les comptes et à déjouer les abus de privilèges valides.
Des postures de sécurité rigoureuses découlent de programmes de sécurité efficaces. Un programme de sécurité complet comprend généralement les éléments suivants :
Pour protéger les systèmes et les données informatiques, une organisation doit disposer d’un inventaire complet de ses actifs : leur nature, leur emplacement, leur vulnérabilité et la manière dont les risques peuvent être atténués. Cet inventaire permet de définir la surface d’attaque à défendre et les contrôles nécessaires à cette surface.
La gouvernance fait référence aux cadres et aux processus qui aident les organisations à garantir l’utilisation adéquate des systèmes informatiques et à se conformer aux lois et aux réglementations en vigueur.
Les processus de gouvernance se centrent souvent sur le contrôle de l’accès et de l’utilisation des actifs de l’entreprise, tels que les données personnelles (PII), les données financières, les systèmes propriétaires ou les secrets commerciaux. Les niveaux d’accès sont souvent fondés sur la sensibilité relative des données et sur le besoin de savoir d’une personne. Les utilisateurs n’ont généralement accès qu’aux ressources dont ils ont besoin, avec les niveaux d’autorisation nécessaires, pour effectuer leur travail.
Les organisations situées dans certains lieux ou secteurs d’activité peuvent également être tenues de respecter des cadres réglementaires spécifiques, tels que le règlement général sur la protection des données (RGPD), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) ou la California Consumer Privacy Act (CCPA). Toute violation de ces exigences réglementaires peut faire l’objet d’amendes gouvernementales coûteuses et entraîner des réactions négatives de la part du public.
L’automatisation de la gouvernance, de la gestion des risques et de la conformité (GRC) peut contribuer à consolider et à accélérer les tâches de gouvernance en cours. Les organisations peuvent également adopter des cadres spécifiques de gouvernance et de gestion des risques, tels que le cadre de cybersécurité du National Institute of Standards and Technology (NIST CSF).
Une architecture de sécurité complète intègre divers outils de sécurité complémentaires pour se protéger contre toutes sortes d’attaques, notamment l’hameçonnage et l’ingénierie sociale, les ransomwares, les attaques par déni de service distribué (DDos) ou les menaces internes. Voici quelques-uns des contrôles les plus fréquents :
De nombreuses solutions de sécurité dédiées aux entreprises assurent un degré élevé d’automatisation et analysent en permanence les données et les actifs sensibles, où qu’ils se trouvent. La surveillance automatisée et continue aide les organisations à suivre les ressources, à détecter les menaces et à y répondre en temps réel.
Un plan de réponse aux incidents (IRP) définit les mesures prises par une organisation pour faire face aux attaques en cours. Ces plans décrivent les rôles et les responsabilités des membres de l’équipe de sécurité, les outils à employer et les tâches à accomplir pour éradiquer les menaces.
Lors de l’exécution d’un IRP, les équipes de sécurité s’appuient souvent sur des solutions de sécurité qui effectuent des évaluations des risques, fournissent des rapports en temps réel et disposent de tableaux de bord qui les aident à hiérarchiser les risques potentiels en fonction de leur gravité. Ces solutions peuvent également fournir des instructions de résolution par étapes ou des protocoles de réponse aux incidents préétablis qui rationalisent la résolution des menaces.
Certaines solutions peuvent modifier automatiquement les paramètres du système ou appliquer de nouveaux contrôles et correctifs pour renforcer la cybersécurité et mieux protéger contre les attaques en cours.
Les employés, les parties prenantes et les autres utilisateurs sont souvent le maillon faible de la sécurité. Une formation régulière de sensibilisation à la sécurité peut contribuer à renforcer la capacité d’une organisation à lutter contre les menaces en familiarisant l’ensemble des utilisateurs avec les exigences de gouvernance et les bonnes pratiques en matière de sécurité.
Le paysage des menaces est en constante évolution. Pour maîtriser les risques les plus récents et préserver leur cyber résilience, les organisations examinent régulièrement les indicateurs de sécurité, évaluent les performances en matière de sécurité, effectuent des tests d’intrusion et procèdent à des évaluations complètes de leur posture de sécurité.
Ces mesures aident les organisations à identifier les risques et à développer des moyens de déjouer les nouvelles attaques. Cela permet un processus d’amélioration continue, dans le cadre duquel les organisations actualisent leurs programmes de sécurité afin de mieux répondre à l’évolution des menaces.
La diversité croissante des attaques et la surface d’attaque toujours plus grande des entreprises peuvent entraver l’élaboration de stratégies de sécurité adéquates et nuire à la posture de sécurité de l’organisation.
Les organisations pourraient notamment être amenées à réfléchir à la manière dont les problèmes suivants peuvent affecter leur posture de sécurité :
L’IA peut être employée pour lancer des cyberattaques et les données exploitées pour entraîner l’IA peuvent constituer une cible tentante pour les violations de la sécurité.
Ainsi, les grands modèles de langage (LLM) peuvent aider les attaquants à créer des attaques d’hameçonnage plus personnalisées et plus sophistiquées. Technologie relativement nouvelle, les modèles d’IA offrent également aux acteurs malveillants de nouvelles possibilités de cyberattaques, telles que les attaques de la chaîne d’approvisionnement et les attaques adverses.
La réponse pourrait bien passer par plus d’IA, plutôt que par moins. Selon le rapport sur le coût d’une violation de données, les organisations qui déploient l’IA et l’automatisation de la sécurité dans leurs centres d’opérations de sécurité peuvent renforcer la sécurité du système et économiser des coûts.
Lorsque ces mesures ont été déployées à grande échelle dans les workflows de prévention (gestion de la surface d’attaque (ASM), red teaming et gestion de la posture), les organisations ont économisé en moyenne 2,2 millions de dollars en coûts de violation par rapport à celles qui n’utilisaient pas l’IA dans leurs workflows de prévention. Il s’agit là de la plus grande économie de coûts révélée dans le rapport.
L’identité est aujourd’hui un pilier essentiel de la cybersécurité. Cependant, la complexité de la gestion des identités et des autorisations d’accès de nombreux utilisateurs au sein d’un personnel réparti dans des environnements hybrides et multicloud peut être une source de risques de sécurité importants.
Le shadow IT désigne les actifs informatiques (tels que les applications, les appareils et les données) utilisés sur un réseau d’entreprise sans l’approbation, la connaissance ou la supervision du service informatique. Comme ces actifs informatiques ne sont pas gérés, ils sont plus susceptibles de contenir des vulnérabilités non atténuées que les pirates informatiques peuvent exploiter.
Le shadow IT revêt de nombreuses formes, notamment :
Apprenez à relever les défis et à exploiter la résilience de l’IA générative en matière de cybersécurité.
Comprenez les dernières menaces et renforcez vos défenses cloud avec le rapport IBM X-Force sur le paysage des menaces dans le cloud.
Découvrez comment la sécurité des données permet de protéger les informations numériques contre l’accès non autorisé, la corruption et le vol tout au long de leur cycle de vie.
Une cyberattaque est un effort intentionnel visant à voler, exposer, modifier, désactiver ou détruire des données, des applications ou d’autres actifs par le biais d’un accès non autorisé.
Avec l’IBM X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Restez au fait des dernières tendances et actualités en matière de sécurité.