Après Wannacry et (Not)Petya, définir un périmètre de sécurité des SI adapté au Cloud et à l’IoT devrait être une priorité. Une tribune de Yogi Chandiramani (Zscaler).
Pour la deuxième fois en quelques semaines, de nombreuses entreprises ont constaté que leur infrastructure de sécurité n’était pas en mesure de faire face aux attaques de type ransomware. WannaCry et (Not)Petya exploitent les failles des systèmes qui n’ont pas été mis à jour, révélant une vulnérabilité interne : les outils de protection ne sont efficaces que s’ils sont parfaitement à jour. En cas d’attaque, il est impératif de pouvoir analyser et gérer rapidement la situation. Alors que la seconde vague d’attaques reflue, les entreprises ont intérêt à examiner comment renforcer la protection de leur système d’information (SI).
Les organisations doivent se demander si une protection robuste de l’environnement du datacenter est encore adaptée. Et les responsables de la sécurité définir le périmètre de l’entreprise [à protéger]. Dans un monde centré sur le Cloud, dans lequel les employés sont plus mobiles et où l’Internet des objets (IoT) gagne du terrain, chaque appareil connecté à Internet devrait avoir son propre périmètre de sécurité. L’infrastructure réseau traditionnelle est donc largement affaiblie. Aujourd’hui, chaque filiale et chaque employé, indépendamment de son lieu de travail à l’intérieur ou à l’extérieur de l’entreprise, devrait s’assurer que les règles de sécurité les plus récentes sont appliquées. Et ce, uniformément et en temps réel lors de l’accès à des applications sur le réseau ou dans le Cloud.
Pour moderniser leur infrastructure de sécurité, les entreprises ont donc intérêt à mettre en place une solution de sécurité qui s’adapte à l’évolution rapide des menaces, car les vecteurs et le déroulement des attaques évoluent constamment. Même si une protection fiable à 100% relève de l’impossible, les entreprises se doivent de déployer la solution de sécurité la plus performante possible.
Dans cette optique, il est nécessaire pour les organisations de s’appuyer sur des dispositifs automatiques leur permettant d’affronter ces menaces. Ainsi :
– le personnel, les infrastructures et les données peuvent être mieux protégés par des technologies de sécurité modernes pour réduire le nombre d’attaques réussies ;
– les attaques, et les infections qui en découlent, doivent être identifiées le plus rapidement possible par une analyse en temps réel ;
– leur propagation doit être empêchée par l’application de règles en temps réel.
Élever le niveau de protection et rétablir la capacité de réaction
WannaCry et (Not)Petya montrent qu’il existe plusieurs approches pour renforcer la sécurité. Les entreprises savent que tous les systèmes, les serveurs, les navigateurs, les plugins de navigateur, les systèmes d’exploitation…, devraient être le plus à jour possible. Mais que la gestion des correctifs reste à la traîne. Bien souvent, cette dernière, sur de nombreux objets connectés, n’est tout simplement pas possible. Une approche traditionnelle de la sécurité reposant sur des technologies avancées de différents fournisseurs est compliquée à gérer. Les serveurs proxy, les pare-feux, les sandboxes, les antivirus, les systèmes de prévention des pertes de données et les systèmes SIEM [Security information and event management] des fournisseurs les plus divers sont à tenir à jour. Et ce pour protéger complètement et efficacement les systèmes et les utilisateurs, sur tous les sites. J’insiste : les attaques de ces derniers mois ont exploité des failles démontrant que l’infrastructure de sécurité n’était pas parfaitement à jour sur tous les sites.
Pour détecter les attaques et les infections qui se propagent dans les plus brefs délais, il est donc judicieux d’utiliser une plateforme de sécurité hautement intégrée. Ce type de plateforme englobe des modules pour la sécurité web, un parefeu de nouvelle génération, une sandbox et un système de prévention des pertes de données, entre autres. Une telle plateforme permet l’exploitation rapide et en direct des logs d’activité. La sandbox, en particulier, fournit des informations cruciales sur l’état de la sécurité grâce à l’analyse comportementale en temps réel. Lorsque le trafic de données est analysé en direct, il est possible de bloquer le logiciel malveillant et d’empêcher le code de s’exécuter.
Ce gain de temps n’est pas négligeable. Si les attaques ne peuvent pas être évitées, il est essentiel de les identifier rapidement pour empêcher leur propagation. Et ce dès que les informations relatives à une attaque sont disponibles. C’est l’analyse des informations en temps réel qui permet de réagir rapidement en cas d’infection par un logiciel malveillant.
Bien préparé face aux ransomwares et pour le GDPR
Les fonctionnalités de reporting offertes par une plateforme de sécurité dans le Cloud sont également essentielles pour les futurs changements juridiques qui découlent du Règlement général sur la protection des données européen (RGDP, ou GDPR en anglais). En effet, pour pouvoir remplir leur obligation de signalement de violations de données dans un délai de 72 heures, les entreprises doivent mieux connaître leurs flux de données. Mais aussi disposer d’une vue d’ensemble des menaces actuelles. À cela s’ajoute la nécessité de plans d’urgence dans le cas d’une violation qui doit d’abord être déclarée….
Les menaces évoluent rapidement. Et les entreprises doivent adapter leur stratégie de sécurité pour opposer de nouvelles approches aux formes nouvelles d’attaques. À l’ère du Cloud, en particulier, les alertes et l’application de règles en temps réel sont vitales.
Par Yogi Chandiramani, directeur technique EMEA de Zscaler, éditeur de solutions de sécurité.
Lire également :
Face à Petya/GoldenEye, la recette anti-ransomware de Stormshield