En mars 2022, l’ANSSI, publiait son rapport CERT sur les menaces et incidents cyber en contexte de conflit international. Alors que le conflit en Ukraine se poursuit depuis fin février 2022, les agences de sécurité et gouvernements ont fait état des effets collatéraux de cyberattaques déclenchées dans l’est de l’Europe sur les entreprises du monde entier. Face à la menace, des actions claires doivent être formulées et mises en place ; en d’autres termes les entreprises ont besoin d’être guidées spécifiquement.
La sécurité repose plus que jamais sur la nécessité d’adopter une stratégie aussi précise et sur-mesure que le développement d’un business plan pour permettre aux organisations de faire face aux cybermenaces actuelles.
La plupart des outils et techniques de cybersécurité recommandés par les agences de sécurité sont plus efficaces lorsqu’ils sont déployés contre des cybermenaces connues et identifiées, telles que des signatures de logiciels malveillants connues, des vulnérabilités déjà exploitées et d’autres indicateurs de compromission identifiés. La nécessité est mère de l’invention, et la situation extrêmement incertaine qui prévaut en Ukraine ne fait que confirmer la nécessité absolue de sécuriser l’infrastructure numérique. En effet, la probabilité que des cyberattaques innovantes dépassent les limites du conflit et pénètrent dans les réseaux du monde entier reste importante. L’ANSSI préconise notamment de ne pas recourir à la ?déconnexion d’outils de cybersécurité dans un contexte de tensions dans le cyberespace et de cybercriminalité exacerbée [au risque de] fragiliser significativement la cybersécurité de [l’] organisation [et particulièrement] sans solution de substitution. ? Elle ajoute également que ?l’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie peut affecter la capacité [des] entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. ?
Identifier en temps réel les activités inhabituelles sur un réseau est par conséquent plus que jamais fondamental. Une visibilité complète, associée à une solution de détection et de réponse réseau (EDR), sont ainsi la clé de voûte de toute stratégie de cybersécurité, pour offrir aux entreprises un contexte et un aperçu détaillés des activités dans toutes les zones du réseau, en détectant les menaces et les anomalies en tout point, y compris les mouvements latéraux. Les données générées par ces outils sont ensuite partagées avec d’autres solutions telles que celles de gestion des informations et des événements de sécurité (SIEM), des pare-feux ou encore des systèmes de gestion des EDR, afin de faciliter les mesures à prendre. Ces dernières peuvent être coordonnées via une plateforme de réponse automatisée, permettant alors aux équipes réseau d’assurer une orchestration précise et sur mesure des politiques de sécurité dans l’ensemble de l’entreprise.
On ne cessera de le répéter, il est impossible de sécuriser ce que l’on ne voit, ni ne connait. C’est pourquoi, à mesure que de nouvelles menaces et de nouveaux exploits émergent des conflits et des innovations apportées par les cybercriminels, le recours à des stratégies de prévention isolées ne suffira plus à protéger les entreprises contre les cybermenaces. Face à des réseaux dont l’échelle et la complexité ne cessent de croître, même les équipes de sécurité les plus expérimentées ne peuvent identifier toutes les vulnérabilités avant qu’elles ne soient exploitées. La mise en place d’un dispositif solide capable de détecter les comportements anormaux au sein du réseau avant qu’ils ne se concrétisent en attaque, puis d’y répondre, est ainsi la meilleure façon pour les organisations du monde entier de se préparer. L’anticipation des attaques n’est plus une option, mais bien un devoir stratégique.