Visitez notre kiosque à CANSEC les 27-28 mai
Un directeur financier nous a récemment posé la question suivante : « si notre détection est aussi performante, pouvons-nous réduire notre investissement dans les sauvegardes? »
C'est une question pertinente, ancrée dans une logique financière solide : si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération?
Le problème n'est pas la question. C'est l'hypothèse qui la sous-tend.
Tous les contrôles de cybersécurité ne sont pas interchangeables. Ce sont des couches complémentaires dans un système conçu avec l'attente qu'une défaillance se produira quelque part.
Le raisonnement est simple : si le contrôle A devient plus efficace, nous pouvons réduire l'investissement dans le contrôle B. Cette logique ne tient que lorsque les deux contrôles abordent le même risque dans la même dimension, mais la détection et réponse gérées (DRG) et les sauvegardes ne le font pas.
La DRG se situe dans les phases de détection et de réponse, et son objectif est de minimiser les risques d'incidents, en permettant en amont de détecter et de contrer les attaques, avant qu'elles ne causent des dommages. Plus et mieux on surveille, et plus on réduit les chances de se faire pirater. Mais le risque zéro n'existe pas en cybersécurité.
Les sauvegardes se situent dans la phase de récupération. Elles répondent à ce qui se produit lorsque la détection échoue, ou lorsque la détection réussit mais que des dommages se sont déjà produits. Les sauvegardes sont votre voie de récupération lorsque les systèmes sont corrompus, chiffrés ou détruits. Elles limitent la gravité de l'impact et rendent les incidents surmontables.
Autrement dit, l'une réduit la probabilité de dommages, tandis que l'autre limite la gravité lorsque des dommages se produisent. Les confondre revient à se demander si de meilleurs détecteurs de fumée réduisent le besoin d'assurance incendie.
Aucun système de détection n'offre de garanties. La DRG réduit considérablement le risque, mais elle opère dans un domaine probabiliste. La plupart des organisations traînent un arriéré de vulnérabilités non corrigées, de mauvaises configurations et de systèmes patrimoniaux. De plus les attaques deviennent de plus en plus complexes, ce qui augmente les risques de compromission. Les attaquants n'ont besoin de réussir qu'une seule fois.
Considérez les scénarios où même une excellente détection ne parvient pas à prévenir l'impact :
Dans chaque cas, la détection réduit la fenêtre d'exposition. Mais elle n'efface pas les dommages survenus avant le confinement. C'est là que les contrôles de récupération deviennent essentiels.
Les rançongiciels illustrent brutalement la distinction. Les opérateurs de rançongiciels modernes ciblent spécifiquement l'infrastructure de sauvegarde. Ils savent que les organisations disposant de sauvegardes intactes et accessibles ne paieront pas de rançons. Ils traquent donc les systèmes de sauvegarde et les corrompent avant de déployer le chiffrement.
Les attaquants sophistiqués passent des semaines à l'intérieur des réseaux, cartographiant les dépôts de données, localisant les sauvegardes et se positionnant pour frapper tout simultanément. Vos options de récupération dépendent entièrement du fait que vos sauvegardes soient intactes, immuables et isolées du réseau compromis. La détection vous indique ce qui s'est produit. Les sauvegardes déterminent si vous pouvez récupérer.
C'est pourquoi l'architecture de sauvegarde importe. Les sauvegardes cloisonnées ou immuables que les attaquants ne peuvent atteindre deviennent votre dernière ligne de défense. Une meilleure détection ne change pas cette équation.
Tous les arguments de réduction des risques ne sont pas erronés. L'optimisation est valide, mais seulement à l'intérieur de la même dimension de risque.
Une façon plus claire d'évaluer cela consiste à séparer les contrôles selon ce qu'ils influencent : probabilité, impact ou temps de récupération. Vous pouvez rationaliser les dépenses à l'intérieur d'une de ces dimensions, mais vous ne devriez pas supprimer une dimension entière.
Par exemple, consolider plusieurs outils de terminaux ou de télémétrie dans une plateforme unifiée peut réduire les coûts et la complexité sans réduire la couverture. Rationaliser les pipelines de détection ou centraliser les flux de réponse peut améliorer à la fois l'efficience et l'efficacité. Ce sont des optimisations parce qu'elles préservent la fonction tout en améliorant l'exécution.
À l'inverse, réduire les sauvegardes parce que la détection est forte supprime une couche entière de protection. Cela n'optimise pas, mais réalloue le risque vers des résultats à impact plus élevé. Un test simple s'applique : si la suppression d'un contrôle augmente la probabilité d'un incident, l'impact d'un incident ou le temps requis pour récupérer, vous n'optimisez pas. Vous acceptez plus de risque.
Pour les directeurs financiers habitués aux cadres de perte attendue, la relation devient plus claire lorsqu'elle est mappée aux composantes de risque :
Perte attendue = Probabilité × Impact
La DRG réduit la probabilité. Elle rend les attaques réussies moins probables en réduisant la fenêtre dont disposent les attaquants pour opérer sans être détectés. Mais la probabilité n'atteint jamais zéro. Vous gérez une distribution de risque, vous n'éliminez pas la menace.
Les sauvegardes réduisent l'impact. Lorsque des incidents se produisent malgré la détection, les sauvegardes déterminent la gravité de la perturbation des activités et de la perte de données. Sans sauvegardes fiables, même un incident confiné peut être catastrophique.
Les deux contrôles sont mathématiquement indépendants. Améliorer la détection ne change pas l'impact des incidents qui passent à travers. Renforcer les sauvegardes ne réduit pas la probabilité que des attaques se produisent.
Plus important encore, le risque de cybersécurité présente une exposition extrême aux événements rares. La distribution est fortement biaisée vers des événements rares mais dévastateurs. Les calculs de perte attendue utilisant des moyennes passent à côté de cela. Un seul incident catastrophique peut être existentiel, peu importe sa faible probabilité.
Les sauvegardes protègent contre les pires scénarios, pas les cas moyens. La question n'est pas de savoir si la détection réduit les coûts d'incident typiques. C'est de savoir si vous pouvez survivre au pire incident qui présente encore une probabilité raisonnable.
Si la pression budgétaire exige des compromis, il existe des moyens plus efficaces de trouver de l'efficience. La plupart des organisations ne surinvestissent pas dans les capacités essentielles comme la détection ou la récupération. Elles surinvestissent dans la complexité.
Les outils redondants qui résolvent des problèmes similaires augmentent les coûts sans améliorer les résultats. Les systèmes déconnectés ralentissent la réponse et créent une traînée opérationnelle, et dans de nombreux environnements, le problème n'est pas un outillage insuffisant mais une mauvaise intégration et exécution.
Il existe également une tendance à investir dans la capacité plutôt que la capacité opérationnelle, ce qui pour les sauvegardes signifie souvent plus de stockage sans attention suffisante à l'immuabilité, à l'isolation ou à la vitesse de récupération. Réaffecter les dépenses vers l'architecture et la validation produit une réduction de risque beaucoup plus importante.
Enfin, certains contrôles existent principalement pour satisfaire les exigences de conformité plutôt que pour réduire matériellement le risque. Identifier et supprimer les contrôles à faible impact peut libérer du budget sans augmenter l'exposition.
L'objectif n'est pas de dépenser moins en sécurité. C'est de s'assurer que chaque dollar réduit une composante distincte et significative du risque.
La DRG rend les incidents plus restreints. Les sauvegardes les rendent surmontables.
Une détection robuste réduit les dommages que les attaques peuvent infliger avant que vous ne les confiniez. Des sauvegardes fiables garantissent que vous pouvez rétablir les opérations lorsque des dommages se produisent malgré la détection. Les deux sont essentielles. Aucune ne remplace l'autre.
Les organisations qui naviguent avec succès le risque de cybersécurité traitent leurs défenses comme des couches complémentaires, et non comme des pièces interchangeables. Elles investissent dans la détection pour réduire la probabilité et la fenêtre des attaques réussies. Elles investissent dans la récupération pour s'assurer que les incidents ne deviennent pas des événements d'extinction.
