Une nouvelle étude Sophos menée auprès de 3 000 responsables cybersécurité/IT dans 14 pays révèle qu’aujourd’hui nous avons un système de cybersécurité à deux vitesses avec des adversaires et des défenseurs se déplaçant à des rythmes différents. Il fournit également des informations précieuses sur la manière avec laquelle les entreprises peuvent prendre une longueur d’avance sur les attaquants en 2023. Téléchargez le rapport complet.
Les adversaires accélèrent
Comme indiqué dans le rapport Sophos 2023 sur les menaces, l’un des changements les plus importants dans le paysage des menaces au cours de l’année passée a été la transformation de l’économie cybercriminelle en une véritable industrie à part entière, avec un réseau de services support et des approches opérationnelles bien établies et professionnelles.
A l’image des entreprises technologiques qui sont passées à des offres de type “as-a-service”, l’écosystème de la cybercriminalité a fait de même, en facilitant la vie des cybercriminels en herbe qui souhaitaient se lancer. Parallèlement à une augmentation de l’utilisation des technologies d’automatisation et à une adaptation constante, le modèle “as-a-service” a permis aux acteurs malveillants d’accélérer le volume, la vitesse et l’impact de leurs attaques.
Le résultat est que les adversaires peuvent désormais lancer un large éventail d’attaques sophistiquées, et ce à grande échelle. 94 % des entreprises ont subi une cyberattaque, d’une manière ou d’une autre, au cours de l’année passée, et bien que les ransomwares aient été l’attaque la plus largement signalée, les entreprises ont été ciblées par de nombreuses autres menaces.
L’un des plus grands cyber-risques pour les entreprises aujourd’hui est représenté par les adversaires actifs, à savoir des acteurs malveillants qui adaptent leurs techniques, tactiques et procédures (TTP) de manière instantanée, en utilisant des actions manuelles, en temps réel, en réponse aux actions des technologies de sécurité et des défenseurs, mais aussi comme tactique pour échapper à la détection. Ces attaques, qui se traduisent souvent par des incidents impliquant des ransomwares dévastateurs et des violations de données, sont parmi les plus difficiles à stopper.
23 % des personnes interrogées ont déclaré que leur entreprise avait été victime d’un incident impliquant une attaque d’adversaire actif l’année passée. Le taux d’attaque était constant quelle que soit la taille de l’entreprise, ne variant que de deux points en termes de pourcentage en prenant en compte toutes les tailles d’organisation.
Il est intéressant de noter que pour les entreprises dont le chiffre d’affaires annuel est inférieur à 10 millions de dollars, le taux d’attaque d’adversaire actif signalée est tombé à seulement 11 %, ce qui peut indiquer que les attaquants se concentrent délibérément sur des cibles plus lucratives. La détection d’adversaires actifs nécessite un haut niveau de compétence et il est probable que le taux réel d’incident soit encore plus élevé.
30 % des personnes interrogées ont déclaré que les adversaires actifs constituaient l’une de leurs principales préoccupations en matière de cybermenaces pour 2023, ce qui semble refléter la capacité de ces attaques à causer de très sérieux dommages.
Les défenseurs sont incapables de suivre le rythme
Ralentis par un manque d’expertise, un volume écrasant d’alertes et trop de temps consacré à la réponse aux incidents, les défenseurs sont épuisés et prennent du retard.
93 % des entreprises trouvent l’exécution des tâches essentielles en matière d’opérations de sécurité “difficile”, comme par exemple identifier les signaux et les séparer du bruit de fond, obtenir des données sur le contexte qui les entoure et traiter les alertes dans les meilleurs délais.
Ainsi, ces difficultés génèrent un temps médian pour détecter, investiguer et répondre à une alerte de sécurité de neuf heures pour les entreprises de 100 à 3 000 employés, passant à 15 heures pour celles de 3 001 à 5 000 employés, reflétant ainsi probablement la complexité accrue de leurs environnements opérationnels. Bien que la majorité des alertes ne nécessitent pas de lancer le processus complet en trois étapes, il est clair que les ressources humaines impliquées dans la réponse aux menaces sont considérables.
Sur le plan opérationnel, les défenseurs manquent de confiance dans leurs processus, la mauvaise configuration des outils de sécurité étant identifiée comme le principal risque de sécurité en 2023, suivi des menaces zero-day et du manque de compétences/d’expertise au niveau de la cybersécurité en interne.
En raison de ces nombreux vents contraires, plus de la moitié (52 %) des professionnels de la cybersécurité/IT affirment que les cybermenaces sont désormais trop avancées pour que leur entreprise puisse y faire face seule, ce chiffre atteignant 64 % pour les petites entreprises (100 à 250 employés).
Le système à deux vitesses a des conséquences majeures au niveau de l’entreprise
Les répercussions financières directes d’un cyber-incident sont énormes et déjà bien connues, le coût moyen au niveau d’une petite ou moyenne entreprise pour traiter une attaque de ransomware s’élevant à 1,4 million de dollars. Ces coûts de nettoyage des incidents ne constituent toutefois qu’un aspect de l’attaque.
Le temps et les efforts nécessaires pour gérer la cybersécurité entraînent une réduction de la capacité de mise en œuvre des programmes IT, 55 % des personnes interrogées signalant que la gestion des cybermenaces a eu un impact négatif sur le travail de l’équipe IT concernant d’autres projets. De plus, la nature urgente et imprévisible de la cybersécurité entrave également les efforts axés sur les activités essentielles de l’entreprise : 64 % souhaitent que l’équipe IT puisse consacrer plus de temps aux problèmes stratégiques et moins de temps à éteindre les incendies.
L’important volume d’heures consacré à la détection, à l’investigation et au traitement des alertes de sécurité a également un impact financier. Avec le salaire moyen d’un spécialiste en sécurité IT aux États-Unis, actuellement à peine inférieur à 100 000 dollars par an [www.indeed.com], le coût des ressources pour chaque investigation d’alerte de sécurité est considérable.
La situation génère également un stress important au niveau des employés. 57 % des professionnels IT déclarent que l’inquiétude liée à une potentielle cyberattaque touchant leur entreprise les empêche parfois de dormir la nuit. Le pourcentage des employés ayant le sommeil perturbé par de potentiels incidents de cybersécurité augmente régulièrement à mesure que le chiffre d’affaires de l’entreprise progresse, commençant à 43 % pour les entreprises avec moins de 10 millions de dollars de chiffre d’affaires annuel et atteignant 67 % pour celles dont le chiffre d’affaires dépasse 5 milliards de dollars ou plus.
Le burn-out est aussi un problème majeur dans le domaine de la cybersécurité. Trop d’alertes et trop d’actions à lancer génèrent un stress considérable au niveau des employés. Les équipes surchargées sont plus susceptibles de manquer des signaux importants, ajoutant ainsi une pression supplémentaire. Au final, les gens finiront par craquer.
Augmenter la réactivé des défenseurs
Permettre aux défenseurs de dépasser les attaquants dans cette course à la cybersécurité en 2023 nécessite une approche globale mais simple.
Tout d’abord, les entreprises doivent mettre en place un processus de réponse aux incidents évolutif, en minimisant la surface d’attaque et le volume d’alertes nécessitant une attention, en optimisant le temps de réponse et enfin en s’appuyant sur des services spécialisés.
Ensuite, elles doivent mettre en place des défenses adaptatives qui évolueront automatiquement en fonction de la situation. Cette capacité leur permettra de ralentir les adversaires et de donner aux défenseurs le temps de réagir.
Enfin, elles doivent également mettre en place un cercle vertueux qui combine la technologie et l’expertise humaine pour dynamiser les défenses, permettant ainsi d’augmenter la réactivité, l’efficacité et l’impact. Ensemble, elles augmenteront la réactivé des défenseurs, leur permettant ainsi de prendre une longueur d’avance.
De solides boucliers sont essentiels
La qualité de vos technologies de cybersécurité est primordiale et les contrôles de sécurité doivent :
- Optimiser la prévention en détectant et stoppant automatiquement autant de menaces que possible au début de la chaîne d’attaque. De cette manière, vous réduirez le risque pour l’entreprise tout en soulageant les défenseurs pour qu’ils puissent se concentrer sur moins d’incidents.
- Réduire l’exposition en facilitant le déploiement correct et optimal des investissements en matière de sécurité et en évitant les problèmes liés à la mauvaise configuration.
- Perturber les adversaires grâce aux technologies qui détectent et perturbent automatiquement l’activité des adversaires et qui agacent profondément les attaquants tout en permettant aux défenseurs de gagner du temps pour neutraliser l’incident.
Traiter la cause racine en impliquant les ressources humaines et technologiques
En plus de l’utilisation de boucliers solides, le traitement des causes racines réalisé au bon moment, de manière éclairée et exécuté de façon optimale est également essentiel. Les défenseurs devraient utiliser le temps précieux que leur procurent leurs défenses pour investiguer et répondre aux attaques.
Comme l’ont montré les recherches, les adversaires ne suivent pas une voie unique. En tirant parti de la télémétrie de l’ensemble de l’environnement de sécurité, en utilisant les contrôles de sécurité dont disposent déjà les entreprises, les défenseurs peuvent voir et répondre aux menaces plus rapidement tout en augmentant le retour sur investissement de leurs solutions existantes.
Repérer une activité malveillante parmi les alertes inoffensives revient souvent à chercher une aiguille dans une botte de foin (voire même une aiguille dans un tas d’aiguilles). Le traitement des signaux via une plateforme XDR (Extended Detection and Response) qui ajoute des informations contextuelles et corrèle les alertes associées permet aux défenseurs en interne de se concentrer rapidement sur ce qui est vraiment important.
L’investigation et la réponse peuvent être effectuées via une plateforme XDR par l’équipe interne. Alternativement, les entreprises peuvent externaliser le travail de détection, d’investigation et de réponse auprès d’un service MDR (Managed Detection and Response).
Augmentation de la réactivité des défenseurs
Une fois qu’un volant d’inertie commence à tourner à grande vitesse, il veut continuer à tourner. Plus il y a de force derrière un volant, plus il va vite. Les entreprises peuvent améliorer leur réactivité en matière de cybersécurité en combinant technologies de sécurité et expertise humaine. Des contrôles de sécurité solides réduisent le volume d’alertes auquel les défenseurs doivent faire face, leur permettant ainsi de se concentrer sur la neutralisation des attaques et l’amélioration de leur posture de sécurité. En retour, cette approche augmente l’efficacité de leurs contrôles de sécurité, créant ainsi un cercle vertueux.
Les entreprises prévoient d’adopter des capacités de détection et de réponse
L’enquête a révélé que la plupart des entreprises prévoyaient d’ajouter des solutions de détection et de réponse aux menaces à leur pile de sécurité au cours des 12 prochains mois.
Plus des trois quarts (78 %) prévoient d’ajouter des outils EDR (Endpoint Detection and Response) et/ou XDR (Extended Detection and Response) au cours de la prochaine année, tandis que 44 % prévoient de faire appel à des services MDR (Managed Detection and Response). Avec une pénurie de compétences/d’expertise en cybersécurité en interne, laquelle est d’ailleurs considérée comme l’un des trois principaux cyber-risques en 2023, les entreprises ont tout intérêt à se tourner vers des experts tiers pour obtenir de l’aide.
Pour approfondir les résultats de l’enquête, téléchargez le rapport complet ici.
Sophos peut vous aider
Sophos fournit les services et les technologies qui permettent aux entreprises d’augmenter la réactivité des défenseurs et d’avoir une longueur d’avance sur les adversaires.
Nos solutions Endpoint/EDR, pare-feu, messagerie, réseau et Cloud offrent les boucliers les plus puissants, ralentissent les attaquants et donnent aux défenseurs le temps et les informations dont ils ont besoin pour réagir :
- Optimiser la prévention : Sophos bloque automatiquement 99,98 % des menaces, minimisant ainsi les risques et permettant aux défenseurs de se concentrer sur moins d’incidents nécessitant une intervention humaine.
- Réduire l’exposition : les paramètres de protection optimaux sont déployés automatiquement dès le premier jour, éliminant ainsi les failles de sécurité. Les vérifications de l’état de sécurité des comptes intégrées mettent en évidence les logiciels manquants et les problèmes de configuration qui peuvent entraîner des infections évitables.
- Perturber les adversaires : la protection adaptative contre les attaquants active immédiatement des défenses renforcées lorsqu’une intrusion pilotée manuellement au niveau d’un système endpoint est détectée, perturbant alors les attaquants et donnant aux défenseurs le temps de réagir.
Plus les défenseurs pourront voir, plus vite ils pourront agir. Nous utilisons des détections au niveau de l’ensemble de l’environnement de sécurité, en intégrant la télémétrie de Sophos et des contrôles de sécurité tiers pour accélérer la détection et la réponse, et augmenter le retour sur investissement des solutions de sécurité existantes.
Le service Sophos MDR rassemble plus de 500 experts pour chasser, investiguer et répondre aux adversaires actifs et autres attaques en votre nom, 24h/24, 7j/7 et 365j/an. Avec un temps de réponse aux menaces moyen de seulement 38 minutes, Sophos MDR est considérablement plus rapide que la moyenne, signalée dans l’étude, et produite par une équipe interne.
Alternativement, les entreprises peuvent utiliser la plateforme Sophos XDR qui inclut la fonctionnalité EDR complète pour investiguer et répondre directement aux attaques ou bien travailler en collaboration avec l’équipe Sophos MDR.
Pour obtenir plus d’informations, rendez-vous sur www.sophos.com ou bien contactez l’un de nos experts en sécurité.
Billet inspiré de Defenders vs. Adversaries: The Two-Speed Cybersecurity 2023 Race, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.