Jeudi 25 septembre, ITnation, en partenariat avec Check Point et Westcon, réunissait des responsables de la sécurité informatique luxembourgeois à l’Hôtel Le Place d’Armes, au cœur de la capitale, pour évoquer les enjeux grandissants liés à la gestion des menaces externes. Les discussions ont notamment mis en évidence l’importance d’adopter une approche basée sur les risques afin de prioriser les mesures à mettre en œuvre.

C’est sur un enjeu crucial pour tous les responsables de sécurité que portait la discussion du dernier Executive Lunch d’ITnation, proposé en partenariat avec Check Point et Westcon : la gestion des menaces externes. Crucial, certes, mais aussi vaste et complexe à aborder. Les entreprises évoluent en effet dans un environnement de plus en plus complexe et doivent faire face à des menaces qui évoluent en permanence.

La surface d’attaque des organisations ne cesse de s’étendre. Les nouvelles technologies induisent de nouveaux risques, mais apportent aussi des opportunités pour répondre plus efficacement à des attaques de plus en plus fréquentes, sévères et sophistiquées. Le Luxembourg n’est aujourd’hui plus épargné, comme l’ont rappelé les CISO présents à l’occasion de ce dîner. Ses entreprises, comme ses organismes publics, sont régulièrement la cible d’attaques cherchant à exploiter la moindre vulnérabilité, qu’elle soit technique ou humaine.

Face à la multiplication des menaces, comment les organisations doivent-elles se préparer, s’organiser ?

Partir des risques qui touchent directement le métier

Les responsables de la sécurité de l’information, le plus souvent, viennent de l’informatique. Leur expérience fait que leur attention est principalement portée sur les risques technologiques, sur la protection des actifs numériques. Cependant, ceux-ci sont de plus en plus complexes à protéger. Où placer les efforts ? Comment effectuer un suivi optimal d’un environnement technologique de plus en plus complexe, hétérogène et dépendant de fournisseurs de solutions tiers ?

Pour Franck Bedell, CISO of The Year 2023, bien appréhender les risques implique de distinguer les risques pour l’activité de ceux qui sont spécifiques à la technologie. « Si on veut bien gérer les risques d’une société, il faut les aborder au niveau le plus élevé, c’est-à-dire au niveau du métier, commente-t-il. C’est à partir d’une bonne cartographie de l’ensemble des éléments susceptibles de menacer la continuité des activités que l’on va pouvoir mieux gérer l’ensemble des risques externes, notamment ceux relatifs à l’usage de la technologie ou à la protection des données et des systèmes. »

Comprendre les attaquants

Identifier les menaces exige aussi de se mettre à la place des attaquants, afin de comprendre les modes opératoires qu’ils mettent en œuvre.

À cet égard, il faut pouvoir considérer la surface d’attaque dans son ensemble : non seulement les actifs technologiques de l’entreprise, mais aussi les services exposés sur Internet, les environnements cloud et les prestataires de services tiers.

Des yeux et des oreilles partout

Pour gérer les menaces externes, les responsables de la sécurité doivent avoir des yeux et des oreilles partout, afin de comprendre ce qu’il se passe et de suivre l’évolution de la menace. À cette fin, des outils de threat intelligence associés à un cadre robuste de suivi des menaces permettent de renforcer leur visibilité.

Des solutions permettent aujourd’hui de détecter des menaces à partir d’une analyse de ce qui s’échange sur le dark web – comme des éléments d’authentification volés – ou de révéler des tentatives d’usurpation d’identité (faux profils sur les réseaux sociaux, sites de phishing reprenant l’image de l’entreprise). Il est aussi essentiel de bien identifier les liens d’interdépendance avec les fournisseurs de services tiers.

Une surveillance continue des menaces

« Tous ces éléments doivent être surveillés, de manière régulière et coordonnée, afin de pouvoir intervenir rapidement, explique le CISO d’un acteur bancaire au Luxembourg. Lorsqu’on découvre qu’un faux site se fait passer pour nous, on peut mener des actions afin de le suspendre. Lorsque l’on détecte des mots de passe compromis, on les fait changer. Au-delà, nous établissons deux fois par an un threat landscape, qui tient compte de l’exposition des dirigeants sur le net et, plus généralement, de celle de la banque dans son ensemble. Ce rapport permet d’envisager des mesures et d’établir des recommandations pour réduire le risque, notamment vis-à-vis d’attaques ayant recours au social engineering. Enfin, nous cherchons aussi à évaluer notre risque vis-à-vis de groupes d’attaquants. En tenant compte de tout cela, on peut avoir une idée du niveau de risque et de son évolution, pour mieux s’y préparer. »

Faciliter le partage de l’information

L’échange d’informations entre acteurs, à l’échelle d’un pays ou d’un secteur, doit contribuer à mieux comprendre les risques et à les prévenir. Cependant, comme l’ont constaté les participants à la discussion, des efforts restent à fournir dans cette perspective. Il manquerait, au Luxembourg, une plateforme permettant d’échanger de manière sécurisée sur les attaques en cours et les menaces.

En mettant en œuvre une gestion continue de l’exposition aux menaces, les organisations peuvent mieux les comprendre et les prévenir. Surtout, les responsables de la sécurité et les dirigeants d’entreprise, qui voient de plus en plus leur responsabilité engagée, pourront plus facilement prioriser les actions à mettre en œuvre et optimiser leur budget.