Difficile de faire le tri dans les « buzz words » qui peuplent l’univers de la cybersécurité. Les entreprises croulent sous les offres de solutions technologiques, souvent désignées par d’obscurs sigles anglais. Mais derrière ce foisonnement se dégagent plusieurs tendances, qui répondent aux évolutions des entreprises comme des stratégies des cyberattaquants. Voici trois d’entre elles, qui suscitent l’intérêt des spécialistes.
1 - Faire du « zéro trust »
En français, faire du « zéro trust », c’est ne faire confiance à personne, nulle part. Alors que les entreprises se sont longtemps protégées en dressant des murailles aux points d’entrée de leurs réseaux informatiques, cette défense de type château fort est aujourd’hui obsolète. En cause : les services informatiques ne sont plus installés sur les serveurs de la société cliente, mais hébergés par chaque fournisseur et consommés à distance. L’infrastructure à protéger n’est donc plus un périmètre sanctuarisé, mais une étoile multibranche. Une réalité renforcée par le nomadisme et le télétravail croissants des salariés.
« Aujourd’hui, tout le monde se connecte à tout, depuis n’importe où, y compris de chez soi, observe Loïc Guézo, le secrétaire général du Clusif, association de référence de la sécurité du numérique en France. On crée désormais des systèmes de connexion où le degré de confiance accordé diffère selon l’équipement utilisé, sa configuration, l’identité de l’utilisateur... En variant selon l’usage, le périmètre de l’organisation devient dynamique. » Qualifié par le spécialiste de « philosophie avant tout », le zero trust repose sur le déploiement de plusieurs briques technologiques.
Le fournisseur Zscaler en a intégré certaines au sein de sa plateforme cloud Zero Trust Exchange. « Notre technologie permet une connexion point par point, où vous accédez uniquement à l’application métier, détaille Didier Schreiber, le directeur marketing de Zscaler pour l’Europe du Sud. Cet accès passe par la reconnaissance de l’utilisateur, opérée par un petit agent informatique installé sur chaque poste de travail – ordinateur, téléphone portable, tablette –, qui scrute l’identité, mais aussi les habitudes de connexion et le degré de sécurité requis sur l’équipement. » Une connexion réalisée depuis un pays improbable ou à une heure inusuelle sera bloquée. De quoi contrer le piratage du compte d’un salarié.
2 - Se doter d’un XDR
Dans 90% des cyberattaques, une erreur humaine est en cause. Les outils de détection des intrusions ou compromissions sont donc clé. Avec la volonté de gagner en réactivité, car chaque minute compte. « Il y a deux ou trois ans, la mode était d’aller détecter les anomalies dans les logs, les journaux retraçant l’historique des événements dont est doté chaque équipement informatique, rappelle Michel Van Den Berghe, le président du Campus Cyber, à la Défense (Hauts-de-Seine). Mais cette approche, fondée sur des systèmes de corrélation d’événements, permettait d’agir après coup et non en temps réel. Désormais, on veut une détection dynamique et plus proche de l’utilisateur, pour isoler rapidement un poste de travail en cas de compromission suspectée. »
D’où l’émergence de deux nouveaux types de logiciels : les NDR (pour Network detection and response), des sondes qui détectent ce qui se passe sur le réseau informatique, et les EDR (pour Endpoint detection and response), leurs équivalents pour les terminaux. « Avoir un EDR qui fonctionne bien évite pas mal d’ennuis, abonde Gérôme Billois, associé chez Wavestone. On l’installe sur les points de terminaison du système informatique – ordinateurs, tablettes... – pour détecter une anomalie et y répondre, soit de manière automatisée, soit à distance avec l’intervention d’experts. » Et pour réunir ces deux dispositifs, un nouvel acronyme est né : le XDR (pour Extended detection and response), qui détecte les anomalies sur le réseau comme sur les terminaux.
3 - Sonder les réseaux industriels
Côté usines, la détection en temps réel des menaces a elle aussi sa solution. Il s’agit d’installer des sondes pour scruter les réseaux et équipements opérationnels. « Les outils venus du monde de l’informatique ne sont pas forcément adaptés à l’usine, estime Emmanuel Le Bohec, le directeur des ventes de Claroty, éditeur américain spécialiste de la cybersécurité industrielle. Les protocoles de communication des automates industriels sont en général propres au fabricant et beaucoup d’outils venus de l’informatique ont pour écueil de perturber la production. »
L’entreprise propose des sondes qui, une fois installées sur les automates et les PC de production, permettent de cartographier le matériel, d’identifier les erreurs de configuration et de détecter les connexions de l’extérieur. « Pour sécuriser les accès distants, notre outil enregistre en vidéo tout ce qui se passe sur l’écran de l’entrant, afin de pouvoir tout revoir après coup », fait valoir Emmanuel Le Bohec. Le dispositif prévoit qu’un opérateur de maintenance à distance bénéficie d’un compte à usage unique, directement détruit après son passage. De quoi améliorer la sécurité de systèmes industriels de plus en plus connectés, donc susceptibles d’être la cible de cyberattaques.
