Entreprises : Trois axes stratégiques pour se prémunir efficacement contre les menaces informatiques
Face à la recrudescence des menaces, les équipes chargées de la sécurité n'ont jamais autant joué le rôle de pompiers ! Le nombre d'intrusions a augmenté de 11% depuis 2018, et de 67% depuis 2014¹ : une situation telle, que la cybercriminalité pourrait coûter annuellement 10,5 billions de dollars² à l'économie mondiale.
De nos jours, il n’est pas surprenant que les équipes chargées de la sécurité informatique aient bien du mal à anticiper les menaces, et se retrouvent le plus souvent contraintes d’éteindre des débuts d’incendie.
Par ailleurs, les entreprises qui sont nombreuses à s’être tournées vers la digitalisation, s’appuient de plus en plus sur les logiciels, ce qui complexifie encore plus la situation.
Chaque connexion digitale entraîne la collecte de données, le partage des informations …entre plusieurs machines, et les décisions sont prises en parfaite autonomie en fonction de la situation à laquelle la première machine est confrontée. Il est primordial que chacune des connexions entre machines ait une identité machine pour sécuriser ses communications – qu’il s’agisse des systèmes, des applications, des interfaces de programmation (API) ou du cloud natif. En moyenne, chaque organisation dispose désormais de deux fois plus d’identités machines qu’il y a 24 mois. Pourtant, la gestion de ces identités n’a pas été prise en compte dans la stratégie de transformation digitale mise en œuvre dans l’ensemble de l’entreprise.
Attention, les pirates connaissent les points faibles
Les cybercriminels sont bien informés des manquements dans les stratégies d’identités machines de nombreuses entreprises. Cela s’est traduit par une série d’attaques visant à exploiter des politiques déficientes de protection et de gestion des identités machines. Le programme malveillant appelé Hildegard s’est par exemple servi d’identités machines SSH pour attaquer des clusters Kubernetes et lancer un programme de type « cryptomineur » ; l’attaque visant SolarWinds a contourné les identités machines à signature de code pour diffuser son programme malveillant, tandis que l’attaque dont a été victime le serveur web de MonPass a utilisé des identités de machines TLS/SSL pour échapper à toute détection.
Les individus malintentionnés s’appuient souvent sur des identités machines pour se donner une légitimité de façade qui leur permet d’éviter les contrôles de sécurité. En s’emparant d’identités machines, des pirates peuvent disposer d’un accès privilégié à des systèmes critiques, afin d’avoir une liberté de mouvement sur le réseau tout en restant cachés pendant une durée prolongée. Ces attaques gagnent également en sophistication, au rythme des techniques employées par les différentes catégories d’attaquants, allant de groupuscules épaulés par des États-nations jusqu’à des gangs de cybercriminels lambda. En outre, en l’espace de deux ans, 79% des entreprises ont été victimes d’une intrusion liée à un problème d’identification, et seules 35% des équipes chargées de l’informatique et de la sécurité indiquent avoir réussi à déjouer des tentatives d’intrusion exploitant des identités machines.
Comment les organisations peuvent-elles riposter ?
Les organisations doivent réagir dès maintenant pour réduire les risques d’attaques exploitant des identités machines. A défaut, les identités machines insuffisamment sécurisées sont une proie facile pour des pirates qui sèmeront le chaos. Face à ce constat, les entreprises doivent s’améliorer sur trois axes stratégiques : la visibilité, l’information et l’automatisation.
- Visibilité : pour que toutes les politiques soient appliquées avec efficacité, il faut procéder à un recensement de la totalité des identités machines. Les équipes informatiques seront ainsi sûres d’avoir de la visibilité sur leur réseau et sur les processus en place pour réagir rapidement en cas de détection d’une menace.
- Information : les entreprises doivent disposer d’informations complètes et exploitables sur l’ensemble du cycle de vie des identités machines, qui regroupe l’enregistrement, l’installation, le renouvellement et la révocation des certificats. Cela les aidera à protéger et à sécuriser les communications chiffrées qui sont autorisées entre les machines. Un tel niveau d’informations sur les identités des machines permettra d’éviter une grosse partie des coûts induits par la gestion des certificats.
- Automatisation : une gestion des identités machines automatisée allège le poids pesant sur l’équipe chargée de la sécurité, et évite certaines erreurs pouvant survenir par inadvertance, comme l’oubli de certaines tâches à effectuer. L’automatisation permet à l’équipe de sécurité de mettre en œuvre très rapidement un ensemble d’actions focalisées sur une identité machine spécifique ou sur un groupe entier d’identités. Elle réduit également les frais induits par les changements manuels d’autorités de certification (CA) et le remplacement des identités machines vulnérables.
Ensemble, ces trois axes stratégiques permettent aux organisations de sécuriser la totalité du cycle de vie de leurs identités machines. Cela passe par la mise en application de politiques de sécurité strictes en matière de certificats, la simplification de l’application des correctifs ad hoc, la vérification de la mise en place des identités machines et de leur bon fonctionnement, et la supervision constante des certificats pour s’assurer de leur force et de leur sécurité. La gestion des identités machines devrait gagner en visibilité et en facilité, pour être bien comprise par toute l’entreprise. La sécurité n’est en effet pas l’affaire d’une seule personne ou équipe, elle est de la responsabilité de tous les collaborateurs.
¹https://www.accenture.com/us-en/insights/security/cost-cybercrime-study
²https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/