Obtenez des informations directement des experts sur le podcast Microsoft Threat Intelligence. Écoutez maintenant.
CISO Insider : Issue 3
Bienvenue au troisième numéro de la série CISO Insider. Je m’appelle Rob Lefferts et je dirige les équipes d’ingénieurs de Microsoft Defender et Sentinel. Nous avons lancé cette série il y a environ un an afin de partager les idées issues de nos discussions avec certains de vos homologues, ainsi que de nos propres recherches et de notre expérience sur le front de la cybersécurité.
Nos deux premiers numéros traitaient de la hausse du nombre de menaces telles que les rançongiciels, et de la manière dont les leaders du domaine de la sécurité utilisent l’automatisation et les possibilités de perfectionnement pour répondre efficacement à ces menaces dans un contexte de pénurie de talents. Face à une pression croissante pour assurer un fonctionnement efficace dans le contexte actuel d’incertitude économique, de nombreux RSSI cherchent à optimiser leurs systèmes à l’aide de solutions cloud et de services de sécurité gérée intégrés. Dans ce numéro, nous nous pencherons sur les nouvelles priorités en matière de sécurité, alors que les organisations se tournent vers un modèle de plus en plus axé sur le cloud, intégrant tous les éléments de leur infrastructure numérique, des systèmes locaux aux appareils IoT.
Le cloud offre une sécurité de base solide, un bon rapport coût-efficacité et une informatique évolutive, ce qui en fait une ressource essentielle à une époque dans un contexte de restrictions budgétaires. Toutefois, cette triple combinaison s’accompagne de la nécessité de « tenir compte des lacunes » qui apparaissent au niveau du lien entre le cloud public, les clouds privés et les systèmes locaux. Nous étudions ce que les leaders du domaine de la sécurité font pour gérer la sécurité dans les espaces liminaux entre les appareils connectés en réseau, les points de terminaison, les applications, les clouds et les services gérés. Pour conclure, nous nous attardons sur deux technologies qui représentent l’apogée de ce défi en matière de sécurité, à savoir l’IoT et l’OT. La convergence de ces deux technologies polarisées, l’une naissante et l’autre héritée, toutes deux intégrées dans le réseau sans sécurité intégrée adéquate, crée une frontière perméable vulnérable aux attaques.
Ce numéro 3 se penche sur ces trois priorités en matière de sécurité axée sur le cloud :
Le cloud est sûr ; mais gérez-vous votre environnement cloud de manière sécurisée ?
Les organisations se tournent de plus en plus vers le cloud pour trouver de nouveaux moyens de gagner en efficacité face aux contraintes économiques et à la pénurie de talents. Les RSSI font confiance aux services de cloud public pour leur sécurité fondamentale, mais le cloud n’est sûr que dans la mesure où le client est capable de gérer l’interface entre le cloud public et l’infrastructure privée. Nous observons comment les leaders du domaine de la sécurité comblent cet écart en ayant recours à une stratégie de sécurité cloud solide, par exemple en sécurisant leurs applications et charges de travail cloud à l’aide de différents outils comme la gestion de la posture cloud et la plateforme de protection des applications natives cloud (CNAPP).
Une posture de sécurité complète commence par la visibilité et se termine par la gestion hiérarchisée des risques.
Avec l’adoption accélérée du cloud, on assiste à une prolifération de services, de points de terminaison, d’applications et d’appareils. En plus d’une stratégie de gestion des points de connexion critiques au cloud, les RSSI reconnaissent le besoin d’une plus grande visibilité et d’une meilleure coordination de leur empreinte numérique en pleine expansion c’est-à-dire un besoin de gestion complète de la posture. Nous examinons comment les leaders du domaine de la sécurité élargissent leur approche de la prévention des attaques (qui reste la meilleure défense, tant qu’elle fonctionne) à la gestion des risques grâce à des outils complets de gestion de la posture qui permettent d’inventorier les ressources et de modéliser les risques métier, et bien sûr, le contrôle des identités et des accès.
Comptez sur la Confiance Zéro et la cyberhygiène pour maîtriser l’environnement pour maîtriser l’environnement ultra diversifié et hyperconnecté de l’Internet des objets et de la technologie opérationnelle.
L’augmentation exponentielle des appareils IoT et OT connectés ne cesse de poser des défis en matière de sécurité, en particulier compte tenu de la difficulté de concilier des technologies qui sont un mélange d’outils tiers, natifs du cloud, et d’équipements hérités modernisés pour la mise en réseau. Le nombre de dispositifs IoT devrait atteindre 41,6 milliards d’ici 2025, offrant ainsi une surface d’attaque élargie pour les pirates qui utilisent ces appareils comme points d’entrée de leurs cyberattaques. Ces appareils ont tendance à être ciblés en tant que points de vulnérabilité au sein d’un réseau. Ils peuvent avoir été intégrés de manière ad hoc et connectés au réseau informatique sans orientation claire de l’équipe de sécurité, développés sans sécurité fondamentale par un tiers ou gérés de manière inadéquate par l’équipe de sécurité en raison de difficultés comme les protocoles propriétaires et les exigences en matière de disponibilité (OT). Découvrez comment de nombreux responsables informatiques font désormais évoluer leur stratégie de sécurité IoT/OT pour faire face à cette situation critique.
Le cloud est sûr ; mais gérez-vous votre environnement cloud de manière sécurisée ?
En ces temps de pénurie de talents et de budgets restreints, le cloud présente de nombreux avantages : rentabilité, ressources évolutives à l’infini, outils de pointe et protection des données plus fiable que ce que la plupart des leaders du domaine de la sécurité estiment pouvoir mettre en œuvre en local. Alors que les RSSI considéraient autrefois les ressources cloud comme un compromis entre une plus grande exposition aux risques et une plus grande rentabilité, la plupart des leaders du domaine de la sécurité avec lesquels nous discutons aujourd’hui ont adopté le cloud comme la nouvelle norme. Ils font confiance à la sécurité fondamentale de la technologie du cloud : « Il est impératif que les fournisseurs de services cloud soient en règle en termes de gestion des identités et des accès, de sécurité des systèmes et de sécurité physique », déclare un RSSI.
Mais comme le reconnaissent la plupart des leaders du domaine de la sécurité, la sécurité fondamentale du cloud ne garantit pas la sécurité de vos données : la protection de vos données dans le cloud dépend fortement de la manière dont les services dématérialisés sont mis en œuvre aux côtés des systèmes locaux et des technologies internes. Le risque provient des écarts entre le cloud et les frontières organisationnelles traditionnelles, les politiques et les technologies utilisées pour sécuriser le cloud. Des erreurs de configuration surviennent, laissant souvent les organisations exposées et dépendantes des équipes de sécurité pour identifier et combler les failles.
« De nombreuses violations sont le résultat d’une mauvaise configuration, de quelqu’un configurant involontairement quelque chose de manière incorrecte, ou modifiant quelque chose qui permet la fuite de données. »
Services publics – Eau, 1 390 employés
D’ici 2023, 75 % des atteintes à la sécurité du cloud seront imputables à une gestion inadéquate des identités, des accès et des privilèges, contre 50 % en 2020 (Les erreurs de configuration et les vulnérabilités constituent les risques les plus importants en matière de sécurité du cloud : Rapport | CSO Online). La difficulté ne réside pas dans la sécurité du cloud lui-même, mais dans les politiques et les contrôles utilisés pour en sécuriser l’accès. Comme l’explique un RSSI du secteur des services financiers, « la sécurité du cloud est excellente si elle est déployée correctement. Le cloud lui-même et ses composants sont sécurisés. Puis vient la configuration : mon code est-il écrit correctement ? Mes connecteurs sont-ils configurés correctement dans l’ensemble de l’entreprise ? » Un autre spécialiste de la sécurité résume le défi qui se pose : « C’est la mauvaise configuration de ces services cloud qui les rend vulnérables aux acteurs de menace. » Alors que de plus en plus de leaders du domaine de la sécurité prennent conscience des risques d’une mauvaise configuration du cloud, le débat sur la sécurité du cloud est passé de la question « Le cloud est-il sûr ? » à « Mon utilisation du cloud est-elle sécuritaire ? ».
Que signifie utiliser le cloud en toute sécurité ? Bon nombre des leaders avec lesquels je m’entretiens abordent la stratégie de sécurité du cloud de manière pragmatique, en s’attaquant aux erreurs humaines qui exposent l’organisation à des risques tels que les violations d’identité et les mauvaises configurations. Ceci est conforme à nos recommandations : la sécurisation des identités et la gestion adaptative de leur accès sont absolument fondamentales pour toute stratégie de sécurité du cloud.
Pour ceux qui hésitent encore, peut-être que ceci vous aidera : McAfee a indiqué que 70 % des enregistrements exposés (5,4 milliards) ont été compromis en raison de services et de portails mal configurés. La gestion des accès au moyen de contrôles d’identité et la mise en œuvre d’une solide hygiène de sécurité peuvent grandement contribuer à combler les lacunes. Selon McAfee, 70 % des enregistrements exposés (5,4 milliards) ont été compromis en raison de services et de portails mal configurés. La gestion des accès au moyen de contrôles d’identité et la mise en œuvre d’une solide hygiène de sécurité peuvent grandement contribuer à combler les lacunes.
Une stratégie de sécurité du cloud robuste repose sur les meilleures pratiques suivantes :
1. Mise en œuvre d’une stratégie de bout en bout de plateforme de protection des applications natives du cloud (CNAPP) : La gestion de la sécurité à l’aide d’outils fragmentés peut entraîner certaines lacunes en matière de protection et une augmentation des coûts. Afin de réduire la surface d’attaque globale du cloud et d’automatiser la protection contre les menaces, il est essentiel de disposer d’une plateforme tout-en-un qui vous permette d’intégrer la sécurité du code au cloud. La stratégie CNAPP repose sur les meilleures pratiques suivantes :
a. Donnez la priorité à la sécurité dès le départ dans le cadre du DevOps. La sécurité peut passer au second plan dans la précipitation pour développer des applications cloud. Les développeurs sont incités à résoudre rapidement un problème métier et peuvent manquer de compétences en matière de sécurité du cloud. En conséquence, les applications peuvent se multiplier sans les règles appropriées d’autorisation des données. Les API sont devenues une cible privilégiée pour les pirates informatiques, car les organisations ne peuvent souvent pas en assurer le suivi compte tenu du rythme de développement des applications cloud. Gartner considère que la « prolifération des API » est un problème croissant et prévoit que d’ici 2025, moins de la moitié des API d’entreprise seront gérées (Gartner). Il est donc essentiel de mettre en œuvre une stratégie DevSecOps le plus rapidement possible.
b. Renforcez la posture de sécurité du cloud et corrigez les erreurs de configuration. Les erreurs de configuration sont la cause la plus fréquente des violations de sécurité du cloud. Découvrez les erreurs de configuration les plus courantes des groupes de sécurité répertoriées par la Cloud Security Alliance . Si laisser les ressources de stockage ouvertes au public est la crainte la plus fréquente dont on nous fait part, les RSSI citent également d’autres domaines de négligence : surveillance et journalisation désactivées, autorisations excessives, sauvegardes non protégées, etc. Le chiffrement est une protection importante contre la mauvaise gestion et il est essentiel pour réduire le risque d’être victime d’un rançongiciel. Les outils de gestion de la posture de sécurité dans le cloud offrent une autre ligne de défense en surveillant les ressources du cloud pour détecter les expositions et les mauvaises configurations avant qu’une violation ne se produise, afin que vous puissiez réduire la surface d’attaque de manière proactive.
c. Automatiser la détection, la réponse et l’analyse des incidents. L’identification et la correction des mauvaises configurations sont importantes, mais nous devons également nous assurer de disposer des outils et des processus nécessaires pour détecter les attaques qui parviennent à passer les défenses. C’est là que les outils de détection de menaces et de gestion des réponses se révèlent précieux.
d. Assurez une bonne gestion des accès. L’authentification multifacteur, l’authentification unique (SSO), le contrôle d’accès en fonction du rôle, la gestion des autorisations et les certifications permettent de gérer les deux plus grands risques pour la sécurité du cloud : l’utilisateur et les propriétés numériques mal configurées. Le principe de moindre privilège est une pratique exemplaire de la gestion des droits de l’infrastructure cloud (CIEM). Certains leaders s’appuient sur une solution de gestion des identités et des accès ou de gestion des droits pour mettre en place des contrôles de sécurité actifs. Un leader des services financiers s’appuie sur le broker de sécurité d’accès au cloud (CASB) en tant que « filet de sécurité essentiel » pour gérer les services SaaS de l’organisation et assurer le contrôle de leurs utilisateurs et de leurs données. Le CASB joue le rôle d’intermédiaire entre les utilisateurs et les applications cloud, en fournissant une visibilité et en appliquant des mesures de gouvernance par le biais de politiques. Le CASB joue le rôle d’intermédiaire entre les utilisateurs et les applications cloud, en offrant une visibilité et en appliquant des mesures de gouvernance par le biais de politiques.
Une plateforme de protection des applications natives Cloud comme celle proposée par Microsoft Defender for Cloud offre non seulement une visibilité sur les ressources multicloud, mais assure également une protection de toutes les couches de l’environnement tout en surveillant les menaces et en corrélant les alertes dans des incidents qui s’intègrent à votre solution de Gestion des informations et des événements de sécurité (SIEM). Cela simplifie les enquêtes et permet à vos équipes SOC de garder une longueur d’avance sur les alertes multiplateformes.
Pour assurer la sécurité de l’environnement cloud dans sa totalité, du réseau d’entreprise aux services cloud, il est primordial de privilégier la prévention en comblant les lacunes en matière de contrôle des identités et de configuration, et en utilisant des outils performants de réponse aux attaques.
Une posture de sécurité complète commence par la visibilité et se termine par la gestion hiérarchisée des risques.
Le passage au cloud n’expose pas seulement l’organisation à des lacunes de mise en œuvre, mais aussi à une prolifération de ressources en réseau (appareils, applications, points de terminaison), ainsi qu’à des charges de travail cloud vulnérables. Les leaders du domaine de la sécurité gèrent leur posture au sein de cet environnement au périmètre non délimité à l’aide de technologies qui offrent une visibilité et une réponse hiérarchisée. Ces outils permettent aux organisations de dresser un inventaire des ressources qui couvre l’ensemble de la surface d’attaque, en intégrant les appareils gérés et non gérés, à l’intérieur comme à l’extérieur du réseau de l’organisation. Grâce à ces éléments, les RSSI sont en mesure d’évaluer le niveau de sécurité de chaque ressource ainsi que son rôle dans l’entreprise, afin d’élaborer un modèle de risque hiérarchisé.
Lors de nos conversations avec les leaders du domaine de la sécurité, nous constatons une évolution de la sécurité périmétrique vers une approche axée sur la posture de sécurité, qui englobe un écosystème sans frontières.
Comme l’explique un RSSI, « Pour moi, la posture se résume à l’identité... Nous ne l’abordons pas seulement comme une posture traditionnelle où se situe le périmètre : nous l’élargissons jusqu’au point de terminaison. » (Services publics – Eau, 1 390 employés). « L’identité est devenue le nouveau périmètre », commente un RSSI du domaine de la Fintech : « Que représente l’identité dans ce nouveau modèle où la distinction entre intérieur et extérieur n’existe plus ? » (Fintech, 15 000 employés).
Compte tenu de la perméabilité de l’environnement, les RSSI comprennent l’urgence d’une gestion complète de la posture, mais beaucoup se demandent s’ils disposent des ressources et de la maturité numérique nécessaires pour concrétiser cette vision. Heureusement, grâce à une combinaison de cadres ayant fait leurs preuves dans le secteur (et adaptés aux besoins actuels) et d’innovations en matière de sécurité, la gestion complète de la posture est à la portée de la plupart des organisations.
Installez dans votre cyberinfrastructure des outils vous permettant de dresser l’inventaire de vos ressources. Deuxièmement, il faut déterminer les appareils critiques, ceux présentant le plus de risques pour l’organisation, et comprendre les éventuelles vulnérabilités potentielles de ces appareils pour décider s’il est nécessaire d’appliquer des correctifs ou de les isoler.
Ken Malcolmson, Conseiller exécutif en sécurité, Microsoft
Voici quelques meilleures pratiques et certains des outils utilisés par les leaders du domaine de la sécurité pour gérer leur posture dans un environnement ouvert et axé sur le cloud :
1. Obtenez une visibilité complète grâce à un inventaire des ressources.
La visibilité est la première étape d’une gestion globale de la posture. Les RSSI se posent la question suivante : « Savons-nous au moins tout ce dont nous disposons dans un premier temps ? Avons-nous au moins une visibilité avant d’aborder la question de la gestion ? » Un inventaire des ressources à risque comprend les ressources informatiques telles que les réseaux et les applications, les bases de données, les serveurs, les propriétés du cloud, les propriétés de l’IoT, ainsi que les données et les ressources de propriété intellectuelle stockées au sein de cette infrastructure numérique. La plupart des plateformes, comme Microsoft 365 ou Azure, intègrent des outils d’inventaire des ressources qui vous aideront à vous lancer.
La visibilité est la première étape d’une gestion globale de la posture. Les RSSI se posent la question suivante : « Savons-nous au moins tout ce dont nous disposons dans un premier temps ? Avons-nous au moins une visibilité avant d’aborder la question de la gestion ? » Un inventaire des ressources à risque comprend les ressources informatiques telles que les réseaux et les applications, les bases de données, les serveurs, les propriétés du cloud, les propriétés de l’IoT, ainsi que les données et les ressources de propriété intellectuelle stockées au sein de cette infrastructure numérique. La plupart des plateformes, comme Microsoft 365 ou Azure, intègrent des outils d’inventaire des ressources qui vous aideront à vous lancer.
2. Évaluez les vulnérabilités et analysez les risques.
Une fois qu’une organisation dispose d’un inventaire complet de ses ressources, il est possible d’analyser les risques en fonction des vulnérabilités internes et des menaces externes. Cette étape dépend fortement du contexte et est propre à chaque organisation. Une évaluation fiable des risques repose sur un partenariat solide entre les équipes chargées de la sécurité, de l’informatique et des données. Pour mener son analyse, cette équipe interfonctionnelle s’appuie sur les outils automatisés d’évaluation et de hiérarchisation des risques : par exemple, les outils de hiérarchisation des risques intégrés dans Microsoft Entra ID, Microsoft Defender XDR et Microsoft 365. Les technologies automatisées d’évaluation et de hiérarchisation des risques peuvent également intégrer des conseils d’experts pour remédier aux lacunes ainsi que des informations contextuelles pour une réponse efficace aux menaces.
Une fois qu’une organisation dispose d’un inventaire complet de ses ressources, il est possible d’analyser les risques en fonction des vulnérabilités internes et des menaces externes. Cette étape dépend fortement du contexte et est propre à chaque organisation. Une évaluation fiable des risques repose sur un partenariat solide entre les équipes chargées de la sécurité, de l’informatique et des données. Pour mener son analyse, cette équipe interfonctionnelle s’appuie sur les outils automatisés d’évaluation et de hiérarchisation des risques : par exemple, les outils de hiérarchisation des risques intégrés dans Microsoft Entra ID, Microsoft Defender XDR et Microsoft 365. Les technologies automatisées d’évaluation et de hiérarchisation des risques peuvent également intégrer des conseils d’experts pour remédier aux lacunes ainsi que des informations contextuelles pour une réponse efficace aux menaces.
3. Hiérarchisez les risques et les besoins en matière de sécurité à l’aide d’une modélisation des risques métier.
En ayant une compréhension précise du paysage des risques, les équipes techniques peuvent travailler avec les dirigeants pour classer par ordre de priorité les interventions de sécurité en fonction des besoins de l’entreprise. Tenez compte du rôle de chaque ressource, de sa valeur pour l’entreprise et du risque qu’elle représente si elle est compromise, en vous posant des questions comme : « Quel est le degré de sensibilité de ces informations et quelles seraient les répercussions de leur exposition sur l’entreprise ? » Ou encore « Dans quelle mesure ces systèmes sont-ils stratégiques et quelles seraient les conséquences d’un temps d’arrêt pour l’entreprise ? » Microsoft propose des outils permettant d’identifier les vulnérabilités et de les classer par ordre de priorité en fonction de la modélisation des risques métier, notamment Niveau de sécurité Microsoft, Score de conformité Microsoft, Niveau de sécurité Azure, Microsoft Defender External Attack Surface Management (Gestion de surface d’attaque externe Microsoft Defender) et Microsoft Defender Vulnerability Management (Gestion des vulnérabilités Microsoft Defender).
En ayant une compréhension précise du paysage des risques, les équipes techniques peuvent travailler avec les dirigeants pour classer par ordre de priorité les interventions de sécurité en fonction des besoins de l’entreprise. Tenez compte du rôle de chaque ressource, de sa valeur pour l’entreprise et du risque qu’elle représente si elle est compromise, en vous posant des questions comme : « Quel est le degré de sensibilité de ces informations et quelles seraient les répercussions de leur exposition sur l’entreprise ? » Ou encore « Dans quelle mesure ces systèmes sont-ils stratégiques et quelles seraient les conséquences d’un temps d’arrêt pour l’entreprise ? » Microsoft propose des outils permettant d’identifier les vulnérabilités et de les classer par ordre de priorité en fonction de la modélisation des risques métier, notamment Niveau de sécurité Microsoft, Score de conformité Microsoft, Niveau de sécurité Azure, Microsoft Defender External Attack Surface Management (Gestion de surface d’attaque externe Microsoft Defender) et Microsoft Defender Vulnerability Management (Gestion des vulnérabilités Microsoft Defender).
4. Concevez une stratégie de gestion de la posture.
L’inventaire des ressources, l’analyse des risques et la modélisation des risques métier constituent la base d’une gestion complète de la posture. Grâce à cette visibilité et à ces informations, l’équipe de sécurité peut aisément déterminer la meilleure méthode pour allouer les ressources, les mesures de renforcement à appliquer et la façon d’optimiser le compromis entre le risque et la facilité d’utilisation pour chaque segment du réseau.
L’inventaire des ressources, l’analyse des risques et la modélisation des risques métier constituent la base d’une gestion complète de la posture. Grâce à cette visibilité et à ces informations, l’équipe de sécurité peut aisément déterminer la meilleure méthode pour allouer les ressources, les mesures de renforcement à appliquer et la façon d’optimiser le compromis entre le risque et la facilité d’utilisation pour chaque segment du réseau.
Les solutions de gestion de la posture offrent la visibilité et l’analyse des vulnérabilités nécessaires pour aider les organisations à comprendre où concentrer leurs efforts d’amélioration de leur posture. Elle peut exploiter ces informations pour identifier et classer par ordre de priorité les zones clés de leur surface d’attaque.
Comptez sur la Confiance Zéro et la cyberhygiène pour maîtriser l’environnement pour maîtriser l’environnement ultra diversifié et hyperconnecté de l’Internet des objets et de la technologie opérationnelle
Les deux défis que nous avons évoqués, c’est-à-dire le décalage entre la mise en œuvre du cloud et la prolifération des appareils qui y sont connectés, engendrent un cocktail explosif de risques dans les environnements des appareils IoT et OT. Outre le risque inhérent à une surface d’attaque élargie introduite par les dispositifs IoT et OT, les leaders du domaine de la sécurité me confient qu’ils tentent de rationaliser la convergence des stratégies IoT naissantes et des stratégies OT héritées. L’IoT peut être « natif du cloud », mais ces appareils donnent souvent la priorité à l’efficacité opérationnelle plutôt qu’à la sécurité fondamentale ; L’OT est généralement un équipement hérité géré par des fournisseurs, développé sans mesures de sécurité modernes, et introduit de manière improvisée sur le réseau informatique de l’organisation.
Les appareils IoT et OT permettent aux organisations de moderniser leurs espaces de travail, de s’appuyer davantage sur les données et d’alléger la charge de travail du personnel grâce à des changements stratégiques tels que la gestion à distance et l’automatisation. Selon l’International Data Corporation (IDC), on estime qu’il y aura 41,6 milliards d’appareils IoT connectés d’ici 2025, un taux de croissance dépassant celui des appareils informatiques traditionnels.
Mais cette opportunité s’accompagne de risques importants. Notre rapport Cyber Signals de décembre 2022, La convergence des technologies informatiques et opérationnelles, a examiné les risques que ces technologies font peser sur les infrastructures stratégiques.
Les principales conclusions sont les suivantes :
1. 75 % des contrôleurs industriels les plus courants dans les réseaux OT des clients présentent des vulnérabilités majeures, qui n’ont pas été corrigées.
2. Entre 2020 et 2022, on a observé une augmentation de 78 % des révélations de vulnérabilités majeures dans les équipements de contrôle industriel produits par des fournisseurs renommés.
3. De nombreux appareils visibles publiquement sur Internet utilisent des logiciels non pris en charge. Par exemple, le logiciel obsolète Boa est encore largement utilisé dans les appareils IoT et les kits de développement logiciel (SDK).
Les appareils IoT représentent souvent le maillon faible de l’infrastructure numérique. Du fait qu’ils ne sont pas gérés, mis à jour ou corrigés de la même manière que les appareils informatiques traditionnels, ces appareils peuvent servir de passerelle idéale pour les attaquants cherchant à infiltrer le réseau informatique. Une fois accessibles, les appareils IoT sont vulnérables à l’exécution de codes à distance. Un attaquant peut prendre le contrôle et exploiter les vulnérabilités pour implanter des botnets ou des logiciels malveillants dans un appareil IoT. À ce stade, l’appareil peut faire office de porte ouverte vers l’ensemble du réseau.
Les dispositifs de technologie opérationnelle représentent un risque encore plus inquiétant, car nombre d’entre eux sont essentiels au fonctionnement de l’organisation. Historiquement hors ligne ou physiquement isolés du réseau informatique des entreprises, les réseaux OT sont de plus en plus intégrés aux systèmes informatiques et à l’IoT. D’après notre étude de novembre 2021 menée avec le Ponemon Institute, L’état de la cybersécurité IoT/OT dans l’entreprise, il ressort que plus de la moitié des réseaux OT sont désormais reliés aux réseaux informatiques (opérationnels) des entreprises. Une proportion similaire d’entreprises (56 %) disposent d’appareils connectés à Internet sur leur réseau OT pour des scénarios comme l’accès à distance.
« Presque toutes les attaques que nous avons observées l’année dernière ont commencé initialement par un accès à un réseau informatique qui était utilisé dans l’environnement OT. »
David Atch, Responsable de la recherche sur la sécurité IoT/OT, Veille des menaces Microsoft
La connectivité OT expose les organisations au risque de perturbations majeures et de temps d’arrêt en cas d’attaque. Les technologies de l’information sont souvent au cœur de l’activité de l’entreprise, offrant aux attaquants une cible séduisante à exploiter pour causer des dommages importants. Les appareils eux-mêmes peuvent être des cibles faciles, car il s’agit souvent d’équipements hérités qui ne sont pas sécurisés dès leur conception, qui datent d’avant les pratiques de sécurité modernes et qui peuvent avoir des protocoles propriétaires qui échappent à la visibilité des outils de surveillance informatique standard. Les attaquants ont tendance à exploiter ces technologies en découvrant des systèmes exposés à Internet, en obtenant un accès au moyen des informations de connexion des employés ou en se servant de l’accès accordé aux fournisseurs tiers et aux sous-traitants. Les protocoles non surveillés des systèmes de contrôle industriels (ICS) sont souvent utilisés comme vecteur d’attaques ciblant précisément les systèmes OT (Rapport de défense numérique Microsoft 2022).
Pour relever ce défi unique de la gestion de la sécurité de l’IoT et de l’OT dans ce continuum hybride de différents appareils connectés de différentes manières au réseau informatique, les leaders du domaine de la sécurité suivent les meilleures pratiques suivantes :
1. Bénéficiez d’une visibilité complète sur les appareils.
Une compréhension approfondie de toutes les ressources présentes au sein d’un réseau, de leur interconnexion, ainsi que des risques métier et de l’exposition associée à chaque point de connexion est un prérequis essentiel pour une gestion efficace de l’IoT/OT. En intégrant une solution de détection et de réponse réseau (NDR) adaptée à l’IoT et à l’OT et une solution SIEM telle que Microsoft Sentinel, vous pourrez surveiller de façon plus précise les appareils IoT/OT de votre réseau et détecter tout comportement inhabituel, comme des communications avec des hôtes inconnus. (Pour plus d’informations sur la gestion des protocoles ICS exposés dans le domaine de l’OT, consultez « Le risque de sécurité unique des appareils IoT/OT », Sécurité Microsoft).
Une compréhension approfondie de toutes les ressources présentes au sein d’un réseau, de leur interconnexion, ainsi que des risques métier et de l’exposition associée à chaque point de connexion est un prérequis essentiel pour une gestion efficace de l’IoT/OT. En intégrant une solution de détection et de réponse réseau (NDR) adaptée à l’IoT et à l’OT et une solution SIEM telle que Microsoft Sentinel, vous pourrez surveiller de façon plus précise les appareils IoT/OT de votre réseau et détecter tout comportement inhabituel, comme des communications avec des hôtes inconnus. (Pour plus d’informations sur la gestion des protocoles ICS exposés dans le domaine de l’OT, consultez « Le risque de sécurité unique des appareils IoT/OT », Sécurité Microsoft).
2. Segmentez les réseaux et appliquez les principes de Confiance Zéro.
Dans la mesure du possible, segmentez les réseaux afin de bloquer tout mouvement latéral en cas d’attaque. Les appareils IoT et les réseaux OT doivent être isolés du réseau informatique de l’entreprise par des pare-feu. Toutefois, il est également primordial de prendre en compte que vos technologies opérationnelles et informatiques sont convergentes et de mettre en place des protocoles de Confiance Zéro sur toute la surface d’attaque. Il est de moins en moins possible de segmenter le réseau. Pour les organismes réglementés comme les établissements de santé, les services publics ou encore le secteur industriel, la connectivité OT-IT est au cœur du fonctionnement des activités : à titre d’exemple, les mammographes ou les systèmes IRM intelligents qui se connectent aux systèmes de dossiers médicaux informatisés (DMI) ; les lignes de production intelligentes ou la purification de l’eau qui nécessitent une surveillance à distance. Pour ces différents cas, la Confiance Zéro est d’une importance capitale.
Dans la mesure du possible, segmentez les réseaux afin de bloquer tout mouvement latéral en cas d’attaque. Les appareils IoT et les réseaux OT doivent être isolés du réseau informatique de l’entreprise par des pare-feu. Toutefois, il est également primordial de prendre en compte que vos technologies opérationnelles et informatiques sont convergentes et de mettre en place des protocoles de Confiance Zéro sur toute la surface d’attaque. Il est de moins en moins possible de segmenter le réseau. Pour les organismes réglementés comme les établissements de santé, les services publics ou encore le secteur industriel, la connectivité OT-IT est au cœur du fonctionnement des activités : à titre d’exemple, les mammographes ou les systèmes IRM intelligents qui se connectent aux systèmes de dossiers médicaux informatisés (DMI) ; les lignes de production intelligentes ou la purification de l’eau qui nécessitent une surveillance à distance. Pour ces différents cas, la Confiance Zéro est d’une importance capitale.
3. Adoptez une hygiène de gestion de la sécurité de l’IoT/OT.
Les équipes de sécurité peuvent combler les lacunes en adoptant diverses pratiques d’hygiène de base comme :
Les équipes de sécurité peuvent combler les lacunes en adoptant diverses pratiques d’hygiène de base comme :
- Supprimer les connexions Internet inutiles et les ports ouverts, restreindre ou refuser l’accès à distance et utiliser des services VPN
- Gérer la sécurité des appareils en appliquant des correctifs et en modifiant les mots de passe et les ports par défaut
- Veiller à ce que les protocoles ICS ne soient pas directement exposés à Internet
Pour des recommandations pratiques sur la manière d’atteindre ce niveau de connaissance et de gestion, consultez « Le risque de sécurité unique des appareils IoT/OT », Microsoft Security Insider.
Informations analytiques actionnables
1. Utilisez une solution de détection et de réponse réseau (NDR) adaptée à l’IoT/OT, ainsi qu’une solution de gestion des informations et des événements de sécurité (SIEM) ou une solution d’orchestration de la sécurité, d’automatisation et de réponse (SOAR) afin d’obtenir une visibilité détaillée des appareils IoT/OT se trouvant sur votre réseau, et ainsi surveiller les appareils pour détecter les comportements inhabituels ou non autorisés, comme la communication avec des hôtes inconnus
2. Protégez vos stations d’ingénierie en les surveillant à l’aide de solutions de détection et de réponse des points de terminaison (EDR)
3. Réduisez la surface d’attaque en éliminant les connexions Internet inutiles et les ports ouverts, en limitant l’accès à distance par le blocage des ports, en refusant l’accès à distance et en ayant recours à des services VPN
4. Veillez à ce que les protocoles ICS ne soient pas exposés directement sur Internet.
5. Segmentez les réseaux afin de limiter la possibilité pour les attaquants de progresser latéralement et de compromettre des ressources suite à une intrusion initiale. Les appareils IoT et les réseaux OT doivent être isolés des réseaux informatiques de l’entreprise par des pare-feu
6. Veillez à la robustesse des appareils en appliquant des correctifs, en modifiant les mots de passe et les ports par défaut
7. Partez du principe que vos technologies informatiques et opérationnelles sont convergentes et intégrez des protocoles de Confiance Zéro à votre surface d’attaque
8. Assurez l’alignement organisationnel entre l’OT et l’IT en favorisant une plus grande visibilité et une meilleure intégration des équipes
9. Suivez toujours les meilleures pratiques de sécurité IoT/OT basées sur une veille des menaces fondamentale
Alors que les leaders du domaine de la sécurité saisissent l’occasion de rationaliser leur infrastructure numérique dans un contexte de menaces croissantes et de pression pour faire plus avec moins de ressources, le cloud s’impose comme le fondement de la stratégie de sécurité moderne. Comme nous l’avons évoqué, les avantages d’une approche axée sur le cloud l’emportent largement sur les risques, en particulier pour les organisations qui mettent en œuvre les meilleures pratiques pour gérer leurs environnements cloud au moyen d’une stratégie de sécurité du cloud solide, d’une gestion complète de la posture et de tactiques spécifiques visant à combler les lacunes de l’IoT/OT à la périphérie.
Vous trouverez dans notre prochain numéro d’autres analyses et points de vue sur la sécurité. Merci de lire CISO Insider !
Pour des recommandations pratiques sur la manière d’atteindre ce niveau de connaissance et de gestion, consultez « Le risque de sécurité unique des appareils IoT/OT », Microsoft Security Insider.
Toutes les recherches Microsoft citées ont recours à des cabinets de recherche indépendants pour contacter des professionnels de la sécurité, tant pour des études quantitatives que qualitatives, assurant ainsi la protection de la vie privée et la rigueur analytique. Sauf indication contraire, les citations et les résultats figurant dans le présent document sont le fruit des études de Microsoft.
Suivez Microsoft