La plupart des Chefs de la Cybersécurité (CISOs) disent être mal préparés pour répondre aux cyberattaques
Le rôle du Chef de la Cybersécurité
Le rôle du CISO (ou chef de la cybersécurité) est de s’assurer que son organisation est bien protégée et peut faire face efficacement aux cyberattaques, afin de minimiser les risques de piratages.
Dans les PME, ce rôle est généralement joué par le Directeur ou la Directrice TI dont les fonctions se voient étendues à la cybersécurité, ce qui constitue un défi supplémentaire.
Depuis quelques années, l’on voit aussi émerger le rôle de CISO a la demande (ou CISO as a service). Dans ce cas, une organisation embauche un consultant externe ayant l'expérience d’un CISO, pour l’aider à mettre en place sa stratégie de cybersécurité. Le CISO intervient à temps partiel(1 à 3 jours par semaine) pour s’occuper de sa cybersécurité.
Le Chef de la cybersécurité est en première ligne et agit comme le maître d’orchestre en matière de cybersécurité. Il doit faire face aux cyberattaques quotidiennes, orienter l’évolution de la cybersécurité et en même temps agir comme stratège et anticiper les attaques futures. La vie de CISO est donc remplie de défis au quotidien.
Qu’est-ce que les CISO pensent de leur rôle ?
Comment les CISO perçoivent-ils leurs rôles ? Ont-ils l’impression d’être en contrôle de la situation ou non ? Quels sont leurs défis au quotidien ?
Pour cerner un peu plus l’état d’esprit des CISO, la firme Proofpoint a réalisé une étude nommée 2021 Voice of the CISO de Proofpoint. Elle a concerné plus de 1 400 CISO à travers le monde. L’enquête a concerné les PME et les grandes organisations.
Voici les quelques conclusions de l’enquête :
- Les incidents de sécurité sont le cauchemar des CISO.
- 66 % des CISO ne se sentent pas préparés à faire face à une cyberattaque
- 53 % sont plus préoccupés par les répercussions d'une attaque en 2021 qu'en 2020.
- 58 % des CISO considèrent l'erreur humaine comme leur plus grande vulnérabilité
Définitivement les CISO redoutent l'occurrence des incidents de sécurité et cela peut se comprendre. En effet, en cas d’incident, les impacts peuvent être majeurs (perte financière, arrêt prolongé de lignes de production, vol de données sensibles, impact négatif sur l’image et la réputation de l’organisation, etc). Sans oublier les cas de médiatisations dont les impacts négatifs peuvent s’étaler sur plusieurs années.
Le fait le plus inquiétant dans cette étude concerne le pourcentage des CISO ne se sentent pas préparés à faire face à une cyberattaque : 66%! Autrement dit:
- Les CISO ne sont pas sûrs de pouvoir identifier si un pirate est entré dans leur réseau
- Les CISO ont peu de connaissances des pirates et de leur niveau d’exposition réelle aux cyberattaques
- Les CISO ne savent pas quels sont les moyens les plus susceptibles d’être exploités par les pirates pour entrer dans leurs réseau
- Les CISO n’ont pas la préparation nécessaire pour gérer efficacement un incident de sécurité de bout en bout, afin de minimiser les impacts et revenir très rapidement en production
Et quand on leur demande ce qui les empêche d’être bien préparés, les points ci-dessous ressortent :
- Le manque de visibilité sur la sécurité du réseau et incapacité anticiper les attaques futures
- Manque de visibilité sur la sécurité du télétravail
- Manque de visibilité sur les cyber menaces liées aux courriels
- Difficulté à prioriser les actions (trop de feux à éteindre)
- Incapacité à anticiper la prochaine attaque
Pour aider les CISO à reprendre le contrôle de la sécurité de leur réseau, voici les recommandations de StreamScan:
Manque de visibilité sur la sécurité du réseau et incapacité anticiper les attaques futures
Vous ne pouvez pas vous protéger contre ce que vous ne voyez pas. Tous les points de votre réseau où vous n’avez pas de visibilité constituent des angles morts qui peuvent être exploités par les pirates pour entrer dans votre réseau.
Solution : pour gérer efficacement la sécurité de votre réseau, vous devez avoir une visibilité totale (à 360 degrés) de votre environnement TI interne, dans le Cloud ainsi qu’au niveau des courriels (O365, etc.). Pour cela, vous avez besoin de:
- Déployer des technologies de protection capables de détecter/bloquer rapidement les cyberattaques qui vous ciblent. C’est par exemple le cas de la technologie CDS de Streamscan.
- Monitorer en continu la sécurité de votre réseau 24/7. La plupart des cyberattaques sont lancées aujourd’hui par des robots qui balaient Internet 24/7 a la recherche de cibles et il est important que votre réseau soit surveillé en continu. Assurez-vous d’inclure votre solution de courriels (ex: O365) dans la portée de la surveillance car c’est l’un des vecteurs d’attaques les plus exploités actuellement.
- Si vous n’avez pas d’expertise en interne pour surveiller la sécurité de votre réseau, le service de supervision externalisée MDR (Managed Detection and Response / Détection et Réponse Gérées) de Streamscan est fait pour vous.
Manque de visibilité sur la sécurité du télétravail
Le passage massif au télétravail dû à la COVID-19 a fait perdre le contrôle des équipes TI et des CISO sur la sécurité des terminaux et ordinateurs utilisés pour accéder à distance au réseau. Certains employés utilisent leurs propres terminaux (Bring Your Own Device ou BYOD) pour accéder au réseau corporatif. Or la sécurité de des terminaux personnels n’est très souvent pas adéquate : antivirus désuet, système d’exploitation désuet, partage d’ordinateurs avec d’autres membres de la famille, etc.
De plus, contrairement au travail en présentiel au bureau où la navigation Internet de tous les employés est filtrée par une technologie de filtrage (Proxy), lors du télétravail, les employés accèdent directement à Internet, sans filtrage. Ceci augmente fortement les risques d’infection de ces terminaux.
Vous devez avoir un contrôle sur la sécurité des terminaux qui accèdent à votre réseau dans le cadre du télétravail..Chaque ordinateur mal sécurisé pourrait être exploité pour entrer dans votre réseau.
Solution : vous devez sensibiliser vos employés sur les risques de sécurité liés au télétravail. Assurez-vous que les employés ont un antivirus à jour sur leurs ordinateurs. Nous recommandons fortement d’offrir un antivirus (ou un EDR) aux employés qui n’ont pas d’antivirus à jour, car vous minimisez les risques d’introduction de vulnérabilités dans votre réseau.
Manque de visibilité sur les cyber menaces liées aux courriels
Les pirates privilégient les attaques qui leur demandent le moins d’efforts, tout en leur permettant de faire le plus de dégâts. A cet effet, ils ont vite compris que le télétravail leur offrait une belle opportunité, d’autant plus que peu d’entreprises ont sensibilisé leurs employés aux risques de sécurité lors du passage au télétravail massif.
De ce fait, plutôt que d’attaquer frontalement les réseaux, les pirates se sont rabattus sur le courriel, ce qui a conduit à une explosion des cas d'hameçonnage.
Le CISO doit donc accorder une attention très particulière à la sécurité des courriels et prendre les mesures nécessaires pour réduire fortement les cas d'hameçonnage.
Solution : sensibilisez vos employés sur les risques de sécurité liés au courriel. Assurez-vous aussi que votre solution de courriels est bien configurée :
- Activation des fonctions de détection en temps réel
- Blocage des fichiers et liens malicieux
- Utilisation d’une authentification multi-facteurs (MFA) pour accéder aux courriels
- Activation des fonctionnalités anti spam et anti hameçonnage
Vous devez aussi surveiller 24/7 les attaques ciblant le courriel. Cette surveillance vous permettra d’être proactif, de reprendre le contrôle de la sécurité des courriels et de minimiser les risques d'hameçonnage. Si vous utilisez O365, voici 5 choses à faire sur Office 365 pour se protéger contre les hackers.
Difficulté à prioriser les actions (trop de feux à éteindre)
Les cyberattaques ne font qu'exposer et viennent de partout : le courriel, l'attaque frontale du réseau, le télétravail, VPN, etc. A cela s'ajoute le fait que les attaques sont principalement lancées par des robots/botnets qui balaient Internet 24/7 a la recherche de vulnérabilités à exploiter. Pendant que vous dormez, votre réseau est sous tension.
Les CISO en sont conscients et doivent faire preuve d’équilibrisme entre la gestion quotidienne des feux à éteindre et leur désir d’appliquer une stratégie claire et cohérente sur le long terme. La gestion du quotidien devient prioritaire, ce qui empêche les CISO d’avoir une vue claire sur l’avenir. Cette situation les empêche de bien prioriser leurs actions, ce qui peut faire en sorte que des actions prioritaires soient repoussées à plus tard. Ceci met l’organisation à risque.
Solution : définissez un plan d’actions de sécurité avec des priorités claires et gardez le focus sur ce plan. Voici votre première priorité en tant que CISO.
Appliquez nos recommandations ci-dessus et vous minimiserez fortement vos interventions au quotidien. Dès lors, vous pourrez vous concentrer sur votre stratégie de cybersécurité.
Incapacité à anticiper la prochaine attaque
Ransomware ? Fraude financière ? Vol de données ? Hameçonnage ? Vu l'explosion des cyberattaques, les CISO sont conscients qu’un jour ou l’autre, leur organisation sera la cible d’une attaque. Mais quand ? Le fait de ne pas pouvoir anticiper la prochaine attaque rend les CISO nerveux, et leur cause du stress supplémentaire. Or en matière de cybersécurité, rester calme est nécessaire si l’on veut prendre les bonnes décisions.
Solution : Il est important que les CISO soient bien préparés à réagir efficacement, quelle que soit la nature de la cyberattaque. Ainsi, plutôt que de se focaliser sur quelle sera la prochaine attaque, les CISO devraient mettre l’accent sur la proactivité de la gestion de leur cybersécurité, et s'entraîner à faire face aux cas d’attaque. Pour cela, ils doivent:
- Définir un plan de réponse aux incidents et le tester au moins 1 fois par année
- Déployer des outils de détection/préventions d’intrusions (couvrant le réseau interne, le Cloud, le courriel, etc.) et mettre en place un monitoring 24/7 du réseau
- Avoir un partenariat avec une firme de cybersécurité spécialisée en réponse aux incidents, tel que Streamscan. En cas de besoin, cette firme réagira rapidement afin d’aider l'organisation à isoler l’incident et le traiter efficacement pour un retour en production rapide.
Comment Streamscan peut vous aider ?
- Nous pouvons vous aider à définir votre plan de réponse aux incidents et le tester afin de confirmer que vous êtes prêts à faire face aux incidents qui peuvent vous cibler.
- Nous agissons comme votre firme de réponse aux incidents. En cas d’incident, vous pouvez compter sur nous pour vous aider à le gérer efficacement. Nous avons à notre actif la gestion de plusieurs dizaines de cas de ransomwares, exfiltration de données, fraude, hameçonnage, etc.
- Notre service de monitoring de sécurité en mode 24/7 vous donne une visibilité à 360 degrés et vous aide à gérer efficacement, proactivement la sécurité de votre réseau et vous met à l’abri des cyberattaques. Nous connaissons les moyens les plus utilisés par les pirates pour entrer dans les réseaux et leurs modes opératoires. Lors du monitoring de la sécurité de votre réseau, cette connaissance est utilisée pour isoler rapidement les cas problématiques et les traiter à la source avant qu’ils ne se transforment en problème.