En matière de cybersécurité, cinq postulats s’appliquent toujours, pour n’importe quelle organisation, en tous lieux et tout le temps :
– Tout système numérique comporte au moins une faille (technique, humaine, organisationnelle, procédurale…).
– Chaque faille est susceptible d’être découverte en interne ou en externe (par un pirate, un client, un collaborateur, un partenaire).
– Si une faille est susceptible d’être découverte, elle le sera un jour ou l’autre. Hélas, on ne sait jamais quand !
– Quiconque a accès à cette faille sera tenté de l’utiliser à son profit. Quelquefois, l’éthique et l’honnêteté ont des limites.
– Si les risques sont nuls ou faibles, cette faille sera exploitée.
On peut être certains que ces postulats s’appliquent de plus en plus. Parce que les entreprises sont confrontées à une explosion des volumes : des volumes de données d’une part, toujours plus nombreuses, numériques et hétérogènes. Des volumes d’interactions liés aux modes de travail qui reposent sur davantage de collaboration, d’autre part.
Cela multiplie les interactions entre les individus et les différentes entités d’une organisation, ses clients et ses partenaires. A cela s’ajoute la complexité croissante des systèmes d’information, du fait du foisonnement des technologies et des projets stratégiques, deviennent davantage imbriqués au sein d’écosystèmes étendus.
Résultat : les surfaces d’attaques sont de plus en plus étendues et diffuses. Lorsque l’on combine les postulats de la cybersécurité avec ces périmètres étendus, on comprend que la gestion du temps est cruciale : plus une cyberattaque est détectée tôt, moins elle sera efficace. D’où la nécessité de disposer des bons indicateurs. D’autant que « les attaques ont souvent lieu les veilles de week-end et plus de moitié des attaques surviennent en dehors des heures de bureau », rappelle John Shier Field CTO chez Sophos.
Hélas, les cybercriminels ont toujours une longueur d’avance. Selon une étude Sophos, l’absence de fichiers de télémétrie dans près de la moitié des cyberattaques au cours du premier semestre 2023. Dans 82 % des cas étudiés, des cybercriminels ont désactivé ou effacé les traces de leurs actions.
Cette absence de visibilité accroît le temps d’exposition aux attaques, c’est-à-dire le délai qui s’écoule entre leur accès initial et leur détection. « Le facteur temps est critique dans la réponse à une menace active : le délai entre la détection de l’accès initial et la neutralisation de la menace doit être le plus court possible. Plus un cyberattaquant peut progresser loin dans sa chaîne d’attaque, plus cela pose de problèmes potentiels aux cyberdéfenseurs. L’absence de données télémétriques ne fait que compliquer la remédiation, ce que la plupart des entreprises ne peuvent se permettre. C’est pourquoi une journalisation complète et précise est essentielle mais nous constatons bien trop fréquemment que les entreprises ne disposent pas des traces indispensables à une enquête approfondie », explique John Shier. Et lorsque les données existent, « beaucoup d’entreprises qui les collectent éprouvent des difficultés pour les exploiter. »
Dans son étude, Sophos classifie les attaques dont le temps d’exécution est inférieur ou égal à cinq jours comme « rapides ». Cela représente 38 % des cas étudiés. Les attaques dites « lentes » présentent un temps d’exécution supérieur à cinq jours, ce qui représente 62 % des cas étudiés.
Pour John Shier, « les cybercriminels utilisent des techniques éprouvées, et n’innovent que lorsqu’ils y sont contraints. Les attaquants n’ont pas de raison de modifier leurs techniques, tactiques et procédures si elles fonctionnent efficacement. Il s’avère indispensable d’avoir une télémétrie la plus complète possible et une surveillance généralisée du système d’information. », ajoute John Shier, pour qui « la clé consiste à freiner l’attaque autant que possible : compliquer la tâche des attaquants permet de gagner un temps précieux etd’y répondre le plus rapidement possible. »