LANCEMENT.

C'est la commande automatique émise par Oko, le système d'alerte nucléaire soviétique, le 26 septembre 1983. Les sirènes retentissent. Les écrans clignotent. L'avertissement était clair : les États-Unis avaient lancé une frappe nucléaire.

Retranché dans un bunker près de Moscou, le lieutenant-colonel Stanislav Petrov doit faire un choix. Selon le protocole, il faut signaler l'alerte. Cela permettrait aux Soviétiques de lancer une contre-attaque immédiate, qui plongerait inévitablement le monde dans une guerre nucléaire. Mais Petrov a participé au codage du logiciel et savait qu'il était défectueux. Il a choisi de réinitialiser le système.

Les alertes se poursuivent.

Malgré cela, Petrov n'en a pas fait état. Aucune preuve d'une attaque nucléaire n'ayant été apportée, il a considéré qu'il s'agissait d'une fausse alerte. Il l'a classée comme un dysfonctionnement du système et aucune contre-attaque n'a été lancée. C'est pour cette raison qu'on l'a appelé "l'homme qui a sauvé le monde". (En fin de compte, l'alerte erronée a été attribuée à la réflexion de la lumière du soleil sur les nuages de haute altitude).

L'histoire de M. Petrov nous rappelle avec force l'importance du jugement humain dans les situations critiques. Lorsque les enjeux sont importants, s'appuyer uniquement sur l'automatisation peut conduire à des résultats désastreux. Le même principe s'applique à la cybersécurité. Les outils automatisés ont leur place, mais l'expertise pratique fournit le contexte et favorise une cyber-résilience efficace.

L'avantage humain dans la cyber-résilience

Les évaluations automatisées reposent sur des règles prédéfinies, ce qui signifie qu'elles ne peuvent trouver que ce qu'elles sont programmées pour détecter. Les cyberattaquants, bien sûr, ne suivent aucune règle. Ils s'adaptent, innovent et exploitent des failles que les outils ne reconnaissent pas forcément. C'est précisément la raison pour laquelle les analyses automatisées seules ont tendance à échouer.

Les examens manuels apportent une vision humaine, en se concentrant sur les interconnexions uniques de vos contrôles techniques. Cette approche approfondie (que nous appelons "shoulder-surfing") n'est pas un exercice de conformité ou de politique. Il s'agit d'un examen complet de vos contrôles et configurations réels qui vous compare également aux comportements les plus récents des acteurs de la menace.

La seule chose qui manque aux outils automatisés

Les analyses automatisées sont très utiles pour établir une liste de contrôle, mais elles ne tiennent pas compte de l'élément le plus important du puzzle : le contexte de la violation.

Prenons l'exemple d'une mauvaise configuration signalée comme "à faible risque" par un outil automatisé. Si vous ne comprenez pas comment cette mauvaise configuration interagit avec d'autres systèmes ou comment les acteurs de la menace peuvent l'exploiter aujourd'hui, vous travaillez avec des œillères. Ces outils sont basés sur des vulnérabilités et des menaces connues. Ils ne peuvent pas penser comme les attaquants. En revanche, lors d'une session de "shoulder-surfing", les experts en sécurité examinent les configurations en gardant à l'esprit la résilience. Ils peuvent évaluer le problème lui-même, la manière dont il s'inscrit dans le cadre plus large de la sécurité, et traduire toutes ces données en informations exploitables, notamment en déterminant la séquence d'actions correcte. Le contexte d'une brèche est dynamique et nécessite non seulement des mises à jour constantes des renseignements, mais aussi une interprétation.

Les outils automatisés ne sont pas de bonnes sources de données sur le contexte des violations. Les divulgations publiques peuvent donner un aperçu des menaces émergentes, mais les acteurs de la menace s'adaptent rapidement, et la majorité des données critiques relatives aux violations restent enfermées chez les avocats, inaccessibles aux analyses automatisées.

Comment orchestrer vos sauvegardes pour éviter qu'un acteur de la menace ne les détruise sans ces données ? Comment réduire la probabilité d'une destruction massive ? Vous avez besoin d'un être humain possédant une expertise en la matière pour vous guider dans l'examen manuel de chaque tableau de bord, panneau d'administration et configuration.

Les outils ne sont pas plus performants que les données qui leur sont fournies. Ils ne peuvent pas anticiper l'inconnu ou vous informer sur un tout nouveau vecteur d'attaque qu'un client a découvert hier. Les examens pratiques, combinés à l'analyse d'un expert, fournissent le contexte nécessaire à la violation et aident à créer une feuille de route priorisée et exploitable pour la remédiation.

Une cyber-résilience plus forte grâce à des examens menés par l'homme

Les politiques et les outils automatisés n'arrêtent pas les ransomwares. Vous devez penser à l'envers et résoudre les problèmes de l'attaquant. Les examens manuels vous permettent d'examiner votre infrastructure comme le ferait un cyberattaquant. Vous obtenez des informations précieuses sur les failles de vos configurations actuelles, vues sous l'angle du contexte de la violation, avec une réflexion supplémentaire sur la manière dont ces configurations pourraient être exploitées en cas de violation.

Il est essentiel d'avoir accès à des informations actualisées sur les menaces pour orchestrer vos sauvegardes et les contrôles associés en conséquence (et régulièrement). En réalité, vous n'êtes en sécurité que si vos contrôles de sauvegarde sont sûrs, redondants, immuables et conformes aux règles de jeu actuelles des acteurs de la menace. Malheureusement, selon nos informations, 80 % des systèmes critiques ne survivent pas aux attaques. Sur les 20 % qui survivent, seule la moitié sera utilisable dans un délai réaliste. Tous les systèmes doivent être adaptés en fonction des tactiques offensives auxquelles ils sont confrontés.

La question se pose donc : À quand remonte le dernier correctif ou la dernière mise à jour de vos outils automatisés ? Et quelle est votre tolérance au risque de vous fier à des outils qui peuvent ne pas suivre l'évolution du paysage des menaces ?

Les outils automatisés sont précieux, mais si vous voulez vraiment sécuriser votre organisation, il est essentiel d'examiner manuellement les configurations et les contrôles des outils pour s'assurer que rien n'est oublié. L'évolution de l'attaque nécessite l'évolution de la défense.

Vous souhaitez en savoir plus sur le shoulder-surfing et sur la manière de sécuriser vos réseaux contre les acteurs de la menace ? Contactez-nous dès aujourd'hui pour parler à l'un de nos experts en cyber-résilience.