Lorsqu'elles parlent d'une stratégie de sécurité informatique appropriée, les entreprises sont généralement intéressées par la réponse à une seule question : Quelle stratégie sécurité informatique entreprise est suffisante ? Pendant longtemps, beaucoup ont pensé qu'une stratégie passive - protéger l'environnement du réseau et les postes de travail - suffirait.
Stratégie et sécurité informatique en entreprise
Les stratégies passives fonctionnent bien avec les menaces de masse : les courriers électroniques contenant des chevaux de Troie, du phishing, des vulnérabilités connues, etc. En d'autres termes, ces stratégies sont efficaces lorsque les attaquants lancent un grand filet dans l'espoir que quelqu'un sautera dessus et en tirera profit. Votre entreprise est illégale, mais correspond toujours à la pratique commerciale consistant à trouver un équilibre positif - dans ce cas, l'équilibre entre la complexité de l'attaque (et son coût) et le profit que vous espérez réaliser.
Il est très probable que votre entreprise devienne une cible intéressante, surtout s'il s'agit d'une grande entreprise. Les criminels qui ciblent les entreprises peuvent être intéressés par de nombreux éléments, tels que : les transactions financières, les secrets commerciaux ou les données des clients. Ou ils peuvent simplement vouloir saboter votre entreprise pour aider la concurrence.
C'est là que les criminels commencent à investir dans des attaques complexes et ciblées. Ils examinent les logiciels que votre entreprise utilise et recherchent des vulnérabilités encore inconnues du marché afin de développer des exploits spécifiques. Ils se fraient un chemin à travers des partenaires et des distributeurs et corrompent d'anciens employés. Il est même possible qu'ils trouvent des employés insatisfaits et tentent de lancer une attaque de "l'intérieur". Dans le "pire" des cas, les criminels peuvent même se passer complètement de logiciels malveillants et s'appuyer exclusivement sur des outils légitimes qu'une solution de sécurité traditionnelle ne classerait pas comme une menace.
Le risque d'une réaction retardée pour la stratégie sécurité informatique entreprise
Il est possible que les systèmes passifs détectent une attaque ciblée ou une activité associée à celle-ci. Mais même si cela se produit, les systèmes ne détectent généralement que le fait qu'un incident a eu lieu. Toutefois, cela ne vous aide pas à déterminer rapidement ce qui s'est passé exactement, quelles informations sont touchées par l'incident, comment arrêter l'attaque et comment prévenir une autre attaque.
Si votre organisation utilise des outils de sécurité traditionnels pour les points d'accès, le personnel de sécurité ne sera pas toujours en mesure de répondre à une attaque en temps voulu. Vous avez les mains liées en attendant qu'un cyber-incident se produise et ce n'est qu'alors que vous pouvez commencer à enquêter. En outre, ils pourraient manquer un incident important parmi les centaines d'incidents mineurs qui font partie de l'entreprise.
Les analystes reçoivent souvent ces données beaucoup plus tard. Ce n'est qu'après une enquête minutieuse, qui nécessite généralement un travail manuel minutieux, que l'incident est transmis aux experts en intervention et en récupération. Même dans les grandes organisations dotées de centres d'intervention réputés, les trois fonctions - spécialiste de la sécurité, analyste et expert en intervention - sont généralement exercées par la même personne.
Selon nos statistiques, il s'écoule en moyenne 214 jours entre la pénétration initiale du système et le moment où une grande entreprise découvre une menace complexe. Dans le meilleur des cas, les experts en sécurité informatique peuvent identifier les traces d'une attaque même à la dernière seconde. Cependant, les pertes et la récupération des systèmes sont souvent à l'ordre du jour.
Comment minimiser les risques et optimiser la stratégie sécurité informatique entreprise ?
Une nouvelle approche adaptative est nécessaire pour protéger la propriété intellectuelle, la réputation et d'autres actifs importants des organisations. Les stratégies de protection du périmètre du réseau et des postes de travail doivent être adaptées et renforcées grâce à des outils de recherche active et à une enquête et une réponse unifiées aux menaces de sécurité informatique.
La stratégie sécurité informatique entreprise de cybersécurité appropriées implique l'utilisation d'un concept de recherche active, également connu sous le nom de chasse aux menaces. Bien que cette tâche soit difficile, des outils spéciaux peuvent la faciliter. L'EDR, Endpoint Detection and Response, est l'un de ces outils. Il donne au personnel de sécurité informatique la capacité d'identifier rapidement les menaces, de recueillir des informations et de neutraliser une attaque grâce à une interface unifiée. Les systèmes EDR utilisent les informations de renseignement sur les menaces que les entreprises obtiennent de diverses sources pour contrôler les processus dans leurs réseaux d'entreprise.
Théoriquement, la chasse aux menaces peut également être effectuée sans EDR ; cependant, la chasse aux menaces purement manuelle est beaucoup plus coûteuse et moins efficace. Mais ce n'est pas tout : elle peut avoir un impact négatif sur les processus commerciaux, car les analystes doivent intervenir directement dans le fonctionnement d'un grand nombre de postes de travail.
Essentiellement, l'EDR donne aux professionnels de la sécurité la possibilité de rassembler rapidement toutes les informations dont ils ont besoin, de les analyser (automatiquement et manuellement), de prendre des décisions, de supprimer des fichiers ou des logiciels malveillants grâce à l'interface de contrôle unifiée, de mettre en quarantaine tout objet et de lancer le processus de récupération requis - tout cela sans que l'utilisateur ne s'en aperçoive, puisqu'aucun accès physique aux postes de travail n'est nécessaire et qu'aucune activité commerciale n'est donc perturbée.