La cybersécurité, un sujet délicat pouvant susciter une certaine crainte, est souvent une source d'inconfort. Cependant, il s'agit d'une problématique parfaitement reconnue au sein des hautes sphères de l'entreprise. Quel membre du comité exécutif n'a pas été informé et sensibilisé à propos des cyberattaques ?
En 2022, 831 attaques ont été portées à la connaissance de l'Anssi, l'agence de sécurité informatique de l'Etat, soit seulement 0,2% du total estimé, relève Asterès dans son rapport du 19 juin 2023. Ce rapport a été réalisé à la demande de Sylvie Roche, directrice du CRiP, suite à l’engouement des membres du CRiP réunis dans les groupes cybersécurité et résilience.
Les cyberattaques en quelques chiffres
L'impact financier moyen d'une cyberattaque réussie en France est estimé à 25 600 euros, hors rançon, pour une entreprise en général, et s'élève à 64 000 euros pour une grande entreprise. Cela ne comprend pas le coût moyen de la rançon qui est d'environ 25 700 euros par attaque réussie. Cependant, ces chiffres ne sont que des moyennes et cachent de grandes disparités, comme l'indique le groupe Asterès. Selon le cabinet CoveWare, le montant moyen d'une rançon pour une entreprise privée atteint en réalité 250 000 euros.
Les risques et failles de sécurité concernent toutes les entreprises, y compris les géants de la technologie. Pour rappel, une faille détectée sur le moteur de recherche Bing a permis aux équipes de recherche de Wiz de modifier les résultats de recherche. Cette faille a été signalée aux équipes de développement qui l'ont immédiatement corrigée. Pour plus d'informations, visitez le blog de Wiz.
Avec une augmentation significative des cyberattaques, qui ont crû de 650% rien que l'année dernière, la sécurité est devenue un enjeu crucial pour toutes les entreprises. Les équipes de plateformes et DevOps, les développeurs et les décideurs techniques sont tous appelés à améliorer leurs performances en utilisant des méthodes actionnables, à sécuriser leurs outils et à garantir la qualité de leur logiciel dans un environnement cloud-native. Cependant, l'avènement du cloud a tout bouleversé. Alors, comment les équipes de sécurité peuvent-elles s'adapter à cette nouvelle réalité ?
Pourquoi le cloud a tout changé ?
Le cloud est un formidable catalyseur de compétitivité, d'innovation et de scalabilité. AWS estime que seulement 15% de l'informatique a migré vers le cloud. Ce mouvement est profond et en accélération. Plus des deux tiers des entreprises sont déjà multi-cloud, ce qui signifie qu'elles exécutent des charges de travail chez plusieurs fournisseurs de cloud, tels qu'AWS, Azure, GCP, Oracle Cloud, Alibaba Cloud, par exemple.
Le cloud a changé la manière de procéder des développeurs et des opérations. D'abord, la vitesse d'innovation et la liberté donnée aux développeurs ont permis une accélération de la mise en ligne de nouvelles applications, services et fonctionnalités. Si les règles de sécurité de l'entreprise ne sont pas appliquées, il devient très difficile pour une équipe de sécurité de prévenir sans ralentir, et de détecter le cas échéant.
Toujours plus, toujours plus vite !
Le nombre de technologies utilisées par les entreprises a également explosé. Alors qu'auparavant, les équipes manipulaient principalement quelques fournisseurs de logiciels et de matériel dans le data center traditionnel, elles gèrent aujourd'hui un nombre croissant de technologies, allant du SaaS (comme Office365 ou Google Workspace) au serverless, en passant par Kubernetes.
Comment une équipe de sécurité peut-elle garder le rythme face à une telle accélération du lancement de nouveaux services, par de plus en plus de parties prenantes et de technologies ?
D'autre part, du côté des attaquants, les outils de hacking et de tests de pénétration, qu'ils soient éthiques ou non, se sont multipliés et démocratisés. Sur le site PunkSpider, par exemple, il est possible de rechercher les failles d'un site web par mots-clés URL, par type de vulnérabilité ou par gravité de potentiel bug.(source Clubic ) Tout cela sans parler des hackers malveillants et des outils disponibles sur le Darknet, dont je préfère ne pas faire la promotion.
Et l'IA dans tout ça ?
Des tendances de pointe comme l'intelligence artificielle et l'entraînement des utilisateurs face à différents scénarios de phishing (afin de mieux comprendre leurs biais et résister à la tentation de cliquer sur un lien dans un message malveillant) permettent à la fois l'éducation et la prévention face à des outils et approches de plus en plus sophistiqués des attaquants
Cependant, comment peut-on s'assurer que les fondamentaux sont en place dans un monde cloud, lorsque les outils traditionnels n'ont pas été conçus pour cela ? L'approche traditionnelle du risque est basée sur des contrôles unitaires, de façon silotée, sans vision du contexte. Le déploiement d'agents s'avère être un véritable projet qui peut durer un à deux ans dans des environnements complexes pour de grands groupes parfois même plus, avec le risque qu'une personne n'ait pas suivi les règles de sécurité, laissant ainsi une faille ouverte. Cette vision traditionnelle est dépassée dans le coud, alors comment s'adapter ?
Il existe pourtant des solutions offrant un "Time-to-Value" immédiat, qui fournissent une visibilité complète sur la surface de risque de l'entreprise à travers l'ensemble de ses comptes dans le cloud, sans le déploiement long et coûteux d'un agent. Cela nécessite une plateforme qui réunisse les équipes de sécurité, et les développeurs.
Certains diront que c'est basique. Et bien oui, cela permet de construire des fondations solides, d'obtenir une visibilité complète et priorisée des risques, et de créer une base sur laquelle établir par la suite les bonnes pratiques de sécurité dès la phase de développement ("Shift Left").
Pour qu'une équipe de cybersécurité soit en mesure d'anticiper, de prévenir et de corriger le plus rapidement possible une problématique, il faut un point focal qui traverse les silos et permette une vue corrélée et unifiée des risques, avec la capacité opérationnelle de s'intégrer à un système d'information existant et à des outils de communication et de ticketing. C'est ce qui a permis à un géant de l'automobile, en pleine crise de Log4j, de comprendre immédiatement où se situaient les risques réels et de les corriger. Sans grande surprise, plus de 90% des Proof of Values réalisés par Wiz.io permettent de détecter des failles critiques au niveau de l'entreprise : combinaisons de vulnérabilités, erreurs de configuration qui pourraient permettre aux attaquants de s'infiltrer dans votre système pour accéder aux données les plus sensibles.
Wiz et SFEIR ont d'ailleurs un partenariat qui permet aux entreprises d'être accompagnées dans la sécurisation de leur cloud, en utilisant l'outil Wiz et en bénéficiant du savoir-faire des équipes de SFEIR.
C'est le point de départ si vous voulez vous assurer de réduire la surface de risque de votre entreprise dans le cloud, et peut-être un jour, rejoindre le Zero Critical Club, le club des utilisateurs Wiz qui ont résolu l'ensemble de leurs risques critiques !
Touchez du doigt une sécurité inébranlable en contactant dès aujourd'hui SFEIR et Wiz, pour toujours plus de sécurité !