Les organisations passent de plus en plus à l'offensive pour déjouer les menaces avant qu'elles ne se transforment en attaques, selon un rapport publié mercredi par une société de simulation de violations et d'attaques.

Dans son rapport 2024 sur l'état de la gestion de l'exposition et de la validation de la sécurité, Cymulate affirme que les responsables de la sécurité reconnaissent que la tendance à acheter de nouvelles technologies et l'état frénétique de la gestion des vulnérabilités de recherche et de réparation ne fonctionnent pas.

Plutôt que d’attendre la prochaine grande cyberattaque et d’espérer disposer des défenses adéquates, poursuit le rapport, les responsables de la sécurité mettent désormais plus que jamais en œuvre une approche proactive de la cybersécurité en identifiant et en comblant les failles de sécurité avant que les attaquants ne les trouvent et ne les exploitent.

Le rapport, qui regroupe des données anonymisées provenant d'évaluations de la surface d'attaque, de scénarios et de campagnes d'attaque simulés et d'activités automatisées d'équipe rouge sur plus de 500 clients Cymulate, met en évidence l'approche proactive qui adopte le point de vue d'un attaquant pour identifier et combler les failles de sécurité avant que les attaquants ne trouvent et exploitent. eux.

« Alors que de nouvelles tactiques d'attaque émergent et que les adversaires continuent d'utiliser les vulnérabilités existantes, les entreprises ne peuvent pas se permettre d'être réactives », a déclaré Avihai Ben Yossef, cofondateur et directeur technique de Cymulate, dans un communiqué.

« Ils doivent évaluer de manière proactive l'efficacité de leurs solutions de sécurité, identifier les lacunes et prendre les mesures nécessaires pour limiter leurs risques et atténuer leur exposition », a-t-il poursuivi. « Nous sommes encouragés de voir un nombre croissant d’organisations adopter les outils de gestion des expositions et de validation de sécurité nécessaires pour améliorer leur posture de sécurité. »

Méthodes de sécurité traditionnelles obsolètes

Traditionnellement, les contrôles de sécurité étaient testés de manière très limitée sur la base d'une évaluation annuelle de l'équipe rouge ou de tests d'intrusion, a expliqué David Kellerman, directeur technique de Cymulate Field.

« À l'ère du DevOps et du cloud, les méthodes traditionnelles d'évaluation de la sécurité sont obsolètes », a-t-il déclaré à Technews.fr.

« Les contrôles de sécurité défensifs doivent être continuellement validés », a-t-il déclaré. « L'approche que les organisations doivent adopter consiste à se cibler avec des milliers de scénarios d'attaque sur tous leurs contrôles de sécurité pour s'assurer que tous les contrôles de sécurité en place sont capables de faire ce pour quoi ils sont destinés et à un niveau maximum. »

Matt Quinn, directeur technique pour l'Europe du Nord chez XM Cyber, une société de sécurité dans le cloud hybride dont le siège est à Herzliya, en Israël, a convenu que l'approche proactive est de plus en plus envisagée, car l'accent mis sur la détection des attaques au fur et à mesure qu'elles se produisent n'est tout simplement pas efficace sur son site. propre.

« Les organisations se noient dans leurs efforts pour se défendre contre des millions d'attaques et ont mis tous leurs œufs dans des contrôles compensatoires », a-t-il déclaré à Technews.fr.

« Les organisations sont désormais plus proactives en examinant ce qui se trouve sous les contrôles compensatoires et en cherchant à corriger ce pour quoi elles compensent », a-t-il déclaré. « C'est une méthode bien plus efficace contre tout type d'attaquant. »

Un paysage de menaces en évolution rapide

Les responsables de la sécurité adoptent de plus en plus une approche proactive en matière de cybersécurité, a noté Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start, une société nationale de services de cybersécurité.

« Ce changement s'explique en grande partie par la reconnaissance du fait qu'il ne suffit plus d'attendre que des attaques se produisent avant de réagir dans le paysage actuel des menaces en évolution rapide », a-t-elle déclaré à Technews.fr. « Une approche proactive implique d’anticiper les menaces et vulnérabilités potentielles et de les traiter avant qu’elles ne puissent être exploitées par des attaquants. »

« Attendre d'adopter une position réactive conduit toujours à un impact plus important et à davantage d'atténuation post-attaque qui est traitée comme une urgence », a ajouté Luciano Allegro, co-fondateur et directeur marketing de BforeAi, une société de renseignement sur les menaces, à Montpellier, en France.

« Cela fait perdre du temps aux employés et provoque un stress excessif pour des problèmes qui auraient pu être résolus rapidement et de manière ordonnée », a-t-il déclaré à Technews.fr.

Rob T. Lee, directeur des programmes et chef du corps professoral du SANS Institute, une organisation mondiale de formation, d'éducation et de certification en cybersécurité, a cité plusieurs mesures proactives que les organisations déploient actuellement.

Ces stratégies incluent l’adoption de services de renseignement sur les menaces pour anticiper les attaques potentielles, la réalisation régulière de tests d’intrusion pour identifier les vulnérabilités et la mise en œuvre de cadres « Zero Trust » qui ne font automatiquement confiance à rien à l’intérieur ou à l’extérieur de l’organisation.

« Une formation de sensibilisation à la sécurité pour les employés est essentielle pour reconnaître les tentatives de phishing et autres tactiques d'ingénierie sociale », a-t-il ajouté.

« Les solutions de sécurité avancées telles que les plates-formes Endpoint Detection and Response (EDR) et Security Orchestration, Automation and Response (SOAR) sont également vitales », a-t-il déclaré à Technews.fr. « De plus, la formation et la gestion du personnel en matière de cybersécurité sont cruciales pour créer un pare-feu humain résilient. »

« Les règles récentes de la SEC encouragent également une mentalité de cybersécurité au niveau de la haute direction et du conseil d'administration, soulignant le rôle stratégique de la cybersécurité dans la gouvernance d'entreprise », a-t-il déclaré.

IA proactive

L'intelligence artificielle peut être un autre outil dans la stratégie proactive d'une entreprise, a soutenu Matt Hillary, vice-président de la sécurité et RSSI de Drata, une société d'automatisation de la sécurité et de la conformité à San Diego.

« L'IA peut aider les entreprises à identifier et à combler les failles de sécurité en identifiant de manière proactive les vulnérabilités critiques et en prenant en charge les mesures correctives », a-t-il déclaré à Technews.fr.

Par exemple, Hillary a expliqué que l'IA peut être utilisée pour explorer le périmètre du réseau d'une entreprise afin d'explorer quels systèmes ou applications sont accessibles sur Internet et quels risques ils peuvent comporter.

« Grâce à leur capacité à analyser rapidement des quantités massives de données, les grands modèles de langage bien entraînés peuvent augmenter les processus de sécurité manuels pour détecter et résoudre les problèmes à une vitesse qui était auparavant impossible », a-t-il déclaré.

Elisha Riedlinger, COO de NeuShield, une société de protection des données basée à Fremont, en Californie, a ajouté qu'il y a toujours eu un certain pourcentage d'organisations qui prennent la sécurité au sérieux et travaillent à la mise en œuvre de solutions de sécurité proactives.

« Cependant, a-t-il déclaré à Technews.fr, « de nombreuses organisations ne sont toujours pas en mesure d'être proactives. Ces organisations n’ont peut-être pas les ressources ni le temps nécessaires pour évaluer et mettre en œuvre ces solutions de manière proactive.

Culture d’évasion de contrôle

Le rapport Cymulate révèle également que les organisations sont confrontées à un risque croissant d'exfiltration de données en raison de la diminution de l'efficacité de leurs contrôles de prévention des pertes de données (DLP). L’étude révèle que les scores de risque d’exfiltration de données sont passés de 33 en 2021 à 46 en 2024.

« Malheureusement, toutes les organisations n'ont pas construit la sécurité autour des données », a déclaré Gopi Ramamoorthy, responsable de la sécurité et de la gouvernance, de l'ingénierie des risques et de la conformité chez Symmetry Systems, une société de gestion de la sécurité des données à San Francisco.

« Les organisations ont pour la plupart donné la priorité à la sécurité du réseau, des points finaux, des applications et des identités », a-t-il déclaré à Technews.fr.

« De plus, poursuit-il, les outils DLP traditionnels n'offrent pas une visibilité et des contrôles de sécurité adéquats sur les données dans le cloud. L’adoption de la dernière plateforme de sécurité des données – la gestion de la posture de sécurité des données – a également été lente. En raison d’une visibilité moindre sur la posture et les contrôles de sécurité des données, l’exfiltration des données continue de se produire.

John Bambenek, président de Bambenek Consulting, une société de conseil en cybersécurité et en renseignement sur les menaces basée à Schaumburg, dans l'Illinois, a souligné que les organisations ont également fertilisé l'exfiltration de données par d'autres moyens.

« Dans la course au développement agile – qui inculque intrinsèquement une culture d'évasion des contrôles – et au cloud d'abord, où chaque ingénieur possédant une carte de crédit peut créer des services, nous avons créé un monde où les données peuvent quitter facilement », a-t-il déclaré à Technews.fr. .