magazine f-secure future of work
TRANSCRIPT
ÉDITION
FUTURE OF WORKMagazine F-Secure
Un avenir numérique résilientQuestions-Réponses avec Erka Koivunen, CISO chez F-Secure
Un nouveau modèle de travail hybride
Une meilleure cybervisibilité
« Aujourd'hui plus que jamais, la cybersécurité joue un
rôle-clé dans l'avenir des entreprises. »
Future of work
2
Une question se pose : celle du retour au bureau après
la pandémie. Quand retourner au bureau ? Selon quelles
modalités ? Les directeurs des grandes banques, les CEO,
les influenceurs LinkedIn, les analystes de marché... Tous
se sont exprimés sur la question.
Jusqu'à présent, les articles et recherches menées à
ce sujet se sont focalisées sur les divergences entre
employeurs et employés. Selon une enquête de
Gartner, 75 % des employés qualifiés déclarent qu'ils
sont désormais plus favorables au télétravail et 39 % des
employés prévoient de quitter leur emploi actuel s'ils
sont contraints de revenir à un modèle 100% présentiel.
Il se peut que le modèle hybride s'impose comme la
prochaine, voire même la dernière étape de l'évolution
du travail. Quoi qu'il en soit, la situation actuelle donne
aux entreprises l'occasion de recentrer leur stratégie
numérique autour du concept de résilience.
La cyber-résilience, pour une entreprise, est la
capacité à assurer une protection efficace contre les
cybermenaces, mais aussi à détecter les intrusions et à y
répondre, pour être en mesure de retrouver rapidement
un fonctionnement normal.
Ce concept de cyber-résilience est accepté depuis
longtemps au sein de la communauté de la sécurité mais
il a récemment gagné une reconnaissance plus large.
Selon une enquête menée par le Ponemon Institute
auprès de plus de 3 400 professionnels de l'informatique,
le pourcentage d'entreprises déclarant un niveau élevé
de cyber-résilience est passé de 35 % en 2015 à 53 % en
2020.
La nouvelle popularité de ce concept est liée à un triste
constat : les pirates informatiques ont su tirer profit de la
pandémie, face à des entreprises vulnérables. Selon une
enquête Cisco, 61 % des professionnels interrogés ont
constaté une augmentation de 25 % des cybermenaces
depuis le début de la pandémie. Les petites entreprises
sont les plus durement touchées.
Plus que jamais, la cybersécurité joue un rôle-clé
dans l'avenir des entreprises. 85 % des organisations
considèrent la cybersécurité comme extrêmement
importante ou plus importante qu'avant la pandémie.
Les responsables informatiques doivent veiller à pouvoir
assurer une réponse efficace face aux cyberincidents,
pour que leur entreprise puisse se rétablir rapidement et
préserver ses capacités opérationnelles.
Dans ce document, vous découvrirez comment les RSSI
font face aux bouleversements actuels et quels aspects
de la sécurité ils entendent privilégier en 2022.
UN AVENIR NUMÉRIQUE RÉSILIENT
Future of work
3
Q : Erka, la façon dont vous gérez les risques de sécurité a-t-elle évolué depuis que le travail à distance s'est imposé en entreprise ?
EK : Au début de la pandémie, toutes les organisations
à travers le monde ont dû passer au télétravail. Le plus
gros coup dur a été pour les entreprises qui ne disposait
pas encore d'une approche Zero Trust (ou « confiance
zéro »). Pour ces organisations, plus aucun des contrôles
de sécurité en place ne fonctionnait et, bien souvent, elles
n'ont pas eu le temps de se doter d'un système adéquat :
elles ont dû improviser un système d'accès à distance pour
leurs employés et se sont retrouvées fortement exposées
aux menaces.
Les RSSI ont dû déterminer quel type de supervision ils
devaient mettre en place. Jusque-là, la configuration des
locaux permettait aux supérieurs d'avoir un certain contrôle
sur ce que faisaient leurs employés. Avec le télétravail, les
employés pouvaient soudain disparaître pendant des jours
sans que personne ne s'en aperçoive. Il fallait soit accepter
ce risque, soit trouver un moyen de le compenser.
Q : Comment les RSSI doivent-ils réagir face aux nouveaux risques ?
EK : La mise en place d'une approche Zero Trust constitue
une première étape-clé. Il s'agit de mettre en place un
système de vérification qui s'appuie sur un certain nombre
de facteurs pour garantir un haut degré de confiance. Ce
système doit prendre en compte l'appareil, l'application
cliente, l'identité de l'utilisateur, la session, le service et le
réseau. Il doit vérifier toutes ces variables en continu pour
s'assurer que l'utilisateur est bien celui qu'il prétend être.
Q : Dans cette optique, quels types de résultats de sécurité les RSSI devraient-ils viser en 2021 ?
EK : La visibilité et la contextualisation sont essentielles au
bon fonctionnement d'une approche Zero Trust. Il faut
pouvoir certifier que le comportement du endpoint utilisé
et que le comportement de l'utilisateur sont conformes aux
objectifs de sécurité.
Dans le contexte de la pandémie, les professionnels ont dû
se connecter depuis de nombreux endroits : leur réseau
domestique, le Wi-Fi de leur voisin ou même un hôtel où
ils étaient bloqués à l'autre bout du monde. Pour sécuriser
ces connexions, la logique consiste à adopter une approche
axée sur la protection des endpoints qui combine solutions
EDR et EPP. Une telle approche permet en effet d'obtenir
des rapports d'anomalie plus détaillés et plus nuancés.
Si un utilisateur se comporte de manière étrange, c'est-à
dire si les identifiants, la puissance du processeur ou la
connectivité sont utilisés de manière inhabituelle, l'EDR
peut déterminer avec un haut degré de confiance s'il s'agit
de l'utilisateur ou de quelqu'un qui se fait passer pour lui.
Les équipes de sécurité peuvent également agir à un autre
niveau, en cultivant une approche centrée sur l'utilisateur.
Le responsable de la sécurité traditionnel est perçu comme
« hostile » aux utilisateurs : il tente sans cesse de détecter
les taupes et les fraudeurs, et rassemble des preuves pour
étayer cette vision du monde quelque peu paranoïaque. Le
système EDR permet une approche différente.
L'EDR permet de déterminer si un processus est lancé par
une entité malveillante plutôt que par un humain. Si l'EDR
parvient à déterminer que l'utilisateur est la victime et non
l'auteur des actes malveillants, celui-ci peut aussi devenir
un allié. Il est contre-productif de traiter tous les utilisateurs
comme des cybercriminels potentiels. Il est en réalité bien
plus utile d'entretenir de bons rapports avec eux.
QUESTIONS-RÉPONSES AVEC ERKA KOIVUNEN
Erka Koivunen est le CISO de F-Secure. Il dirige la sécurité interne chez F-Secure depuis maintenant cinq ans. Il
nous fait part de ses réflexions sur la manière dont les RSSI peuvent relever les défis liés à l'évolution des modes
de travail.
Future of work
4
Q : Merci Erka, viser plus de visibilité tout en cultivant une approche plus humaine constitue en effet un objectif fort pour les RSSI.
Comment peut-on appliquer cette approche à un environnement reposant largement sur des applications cloud ? Quelles mesures de sécurité supplémentaires les RSSI doivent-ils envisager pour ces applications ?
EK : L'idéal est de pouvoir orchestrer des actions de
réponse, et donc de disposer d'un mécanisme de détection
qui monitore les endpoints, les instances cloud et la logique
applicative. Malheureusement, les offres de sécurité restent
souvent très cloisonnées : les équipes de sécurité doivent
donc corréler manuellement tous les événements de
sécurité de leur solution de sécurité Salesforce avec leur
solution de sécurité Microsoft et leur solution EDR, pour
finalement obtenir un tableau complet de la situation.
L'idéal serait un panneau de contrôle unique
Malheureusement, il est impossible de monitorer des
applications si elles ne sont pas « monitorables ». Sans API
permettant monitoring et contrôle, tout ce travail reste très
compliqué.
Q : Que doivent faire concrètement les entreprises pour se préparer à une période prolongée de télétravail ou à l'avènement d'un modèle hybride ?
EK : Chez F-Secure, avant même d'être passé au télétravail
intégral, nous avons pris conscience que, compte-tenu de
notre envergue mondiale, certaines de nos entités devaient
pouvoir être opérationnelles indépendamment de leur
emplacement physique ou topologique (sur le réseau).
Voilà pourquoi nous avions déjà expérimenté le tout virtuel
pour les réunions de certaines équipes. Ces exercices nous
ont semblé un peu artificiel au départ, mais ils avaient
l'avantage de mettre tous les participants d'une réunion sur
un pied d'égalité. Ils avaient également permis de définir
la capacité réseau, la latence et l'évolutivité nécessaire à
un fonctionnement 100% virtuel, ce qui a eu d'énormes
avantages lorsque la pandémie s'est déclarée.
Les entreprises doivent réaliser sans cesse des exercices et
expérimenter de nouvelles approches. De cette manière,
elles peuvent tester différents scénarios, même si ces
derniers ne reflètent pas une réalité effective à l'instant t. La
plupart du temps, ces exercices n'ont pas besoin de donner
lieu à un changement réel, mais ils offrent de nouvelles
perspectives.
Q : Sur quels types d'exercices les RSSI doivent-ils miser désormais ?
EK : Ils doivent se préparer à l'éventualité que leurs
systèmes internes tombent entièrement ou partiellement
aux mains d'une entité externe malveillante. Pour ce faire, ils
doivent déterminer quelles mesures prendre pour protéger
leur infrastructure, compartimenter et isoler les problèmes,
et enfin identifier les mesures à prendre pour assurer une
récupération efficace.
Les attaques de ransomware révèlent un problème évident :
la plupart des entreprises sont incapables de se protéger, de
détecter les problèmes de sécurité et d'y répondre. Grâce
à la visibilité accrue et aux outils offerts par les solutions
managées EDR et MDR, le risque d'intrusion informatique
peut toutefois être grandement atténué.
Plus de flexibilité, plus de simplicité. La plateforme cloud n°1 pour la sécurité de votre entreprise
En savoir plus
Future of work
5
Pour atteindre la cyber-résilience, les responsables en
cybersécurité doivent avant tout connaître leur environnement.
Il leur faut monitorer l'activité des connexions à distance pour
obtenir une visibilité accrue et minimiser les risques liés aux
connexions distantes. Toutefois, plusieurs études montrent que ce
monitoring peut s'avérer difficile à mettre en place.
L'accent doit être mis sur la visibilité réseau. Les professionnels
travaillant à distance doivent disposer d'appareils sécurisés,
correctement configurés et monitorés. Par ailleurs, l'ensemble du
personnel doit pouvoir bénéficier d'une formation adéquate et
d'outils de sécurité simples et intégrés.
Pour de nombreuses entreprises, de telles initiatives impliquent
un investissement XDR supplémentaire. SWZD a interrogé à ce
sujet 1 000 acheteurs de technologies en Europe et en Amérique
du Nord pour son rapport 2021 sur l'état du secteur informatique.
Il en est ressorti que, pour ces professionnels, la protection des
endpoints constituait la priorité numéro un.
Un tel résultat semble logique, car les données les plus précieuses
se trouvent bien souvent sur les endpoints. Selon les dernières
recherches de F-Secure sur l'évolution des cybermenaces, le
passage au télétravail a engendré une augmentation exponentielle
des frontières réseau des entreprises, et donc des surfaces
d'attaque.
Un volume colossal de données est désormais accessible au-
dehors des frontières physiques des entreprises. Et trop souvent,
les télétravailleurs utilisent des appareils et réseaux moins
sécurisés. Ils disposent également d'un accès moindre au support
assuré par les équipes de sécurité informatique. Il est important
que ces travailleurs distants puissent identifier et hiérarchiser les
risques liés aux endpoints, et réagir rapidement en cas d'incident.
La technologie de détection et de réponse offre une visibilité
instantanée sur l'environnement informatique et sur le statut
de sécurité, via un seul et même panneau de contrôle. Cette
approche assure la sécurité de l'entreprise et de ses données en
détectant rapidement les attaques et en permettant une réponse
efficace, grâce à des conseils d'experts.
Ces « conseils d'experts » peuvent s'avérer particulièrement
difficiles à trouver. La pénurie de compétences en matière de
cybersécurité est bien documentée, et la pandémie de COVID-19
n'a fait qu'exacerber ce phénomène. Dans le secteur, le nombre
d'offres d'emploi est nettement supérieur au nombre de candidats
qualifiés.
Dans une enquête réalisée par Robert Half, près d'un tiers (32%)
des directeurs informatiques (CIO et CTO) ont déclaré que,
depuis le début de la pandémie, les employés IT possédant
des compétences en sécurité étaient devenus les plus difficiles
à trouver. Et selon Gartner, le nombre d'offres d'emploi en
infosécurité a bondi au Royaume-Uni et aux États-Unis, les États-
Unis enregistrant une hausse de la demande de 65 %.
De nombreuses entreprises cherchent à combler cette pénurie de
compétences par le biais de fournisseurs de services de sécurité
managés. 59 % des PME interrogées par ConnectWise estiment
que la totalité ou la plupart de leurs besoins en cybersécurité
seront externalisés d'ici cinq ans. Et 49 % affirment que le fait de
travailler avec un fournisseur de services managés présente des
avantages significatifs en termes d'expertise.
Ce type de services s'avère essentiel pour toutes les entreprises
qui, même si elles comprennent toute l'importance de la cyber-
résilience, ne disposent pas des ressources nécessaires pour tout
faire en interne.
UNE MEILLEURE CYBERVISIBILITÉ
« Avec tous les outils de collaboration actuels, qu'il
s'agisse de Microsoft 365, Teams, Sharepoint, Salesforce, etc., les
données atterrissent dans le cloud. En tant qu'entreprise, vous devez
savoir comment ces données sont sécurisées »
Juha Högmander, F-Secure
Future of work
6
Concevoir un modèle de travail hybride fonctionnel
est désormais l'une des missions-clés des équipes de
sécurité. En pratique, il s'agit d'assurer une collaboration
sécurisée, ce qui, pour la plupart des entreprises,
équivaut à travailler avec des applications cloud SaaS.
« Avec tous les outils de collaboration actuels, qu'il
s'agisse de Microsoft 365, Teams, Sharepoint, Salesforce,
etc., les données atterrissent dans le cloud. En tant
qu'entreprise, vous devez savoir comment ces données
sont sécurisées », explique Juha Högmander, Director of
Product Management chez F-Secure.
Microsoft 365 est la solution de collaboration à distance
la plus utilisée. Voilà pourquoi F-Secure a intégré un
outil qui renforce la sécurité de Microsoft 365 dans
F-Secure Elements, sa plateforme de sécurité tout-en-
un. Cette approche vise à intégrer la sécurité cloud à
d'autres solutions telles que l'EPP, l'EDR et la gestion des
vulnérabilités, via une plateforme centralisée unique. Pour
Juha Högmander, cette approche représente l'avenir.
« Avec Elements, nous aurons une visibilité sur un nombre
croissant d'applications et de services cloud »,
explique-t-il.
Cette protection optimisée apporte davantage de fluidité
au modèle de travail hybride. Grâce à ce fonctionnement
intégré, les opérations ont moins de chances d'être
entravées par un clic sur un e-mail malveillant, et l'équipe
de sécurité gagne en efficacité.
UN NOUVEAU MODÈLE DE TRAVAIL HYBRIDE
Solutions messagerie et EDR cloisonnées F-Secure Elements EDR + MS365
1. L'utilisateur reçoit un e-mail malveillant. Celui-ci est signalé
comme potentiellement suspect par la solution de messagerie
cloisonnée, mais aucune action n'est prise et aucun log central
n'est créé.
1. L'utilisateur reçoit un e-mail malveillant. Celui-ci est signalé
comme potentiellement suspect par la protection intégrée de
la messagerie et est répertorié de manière centralisée, via un
unique panneau de contrôle.
2. Le pirate informatique effectue une action Command &
Control. Celle-ci est signalée par la solution EDR cloisonnée.
L'équipe de sécurité réagit.
2. Le pirate informatique effectue une action Command &
Control. Celle-ci est signalée par la solution EDR intégrée.
L'équipe de sécurité réagit.
3. Aucune corrélation avec l'e-mail n'est mise en évidence, à
moins que l'équipe de sécurité ne s'en souvienne et ne procède
à une vérification manuelle.
3. La cause est automatiquement affichée sur le panneau de
contrôle et les règles de messagerie peuvent être modifiées
pour bloquer ce type d'e-mail, pour l'ensemble du personnel.
Exemple d'attaque
Cet exemple décrit, étape par étape, comment la sécurité intégrée de la messagerie peut s'avérer utile en cas d'attaque par
e-mail.
« Avec XDR, vous collectez des données provenant de différentes sources cloud et les corrélez aux autres informations pour
obtenir une vue globale de la situation, et répondre en conséquence », explique Juha Högmander. La protection intégrée de
la messagerie est l'un des nombreux cas d'utilisation de l'approche unifiée de F-Secure Elements.
Future of work
7
La visibilité est essentielle car, pour stopper un pirate
informatique, encore faut-il déjà savoir qu'il est présent sur le
réseau. Et une fois la menace détectée, les équipes informatiques
doivent contextualiser la détection, pour mieux la comprendre.
Juha Högmander, de F-Secure, décrit la situation comme suit :
« Si vous avez pu déterminer la nature de l'attaque, vous savez de
quel type de défense vous avez besoin. »
En pratique, cela s'avère pourtant très complexe. Pour déterminer
la nature d'une attaque, il faut disposer d'une compréhension
élargie de la situation et d'une connaissance précise des
cybermenaces en circulation.
Par exemple, si une attaque par ransomware a lieu au Royaume-
Uni et qu'elle touche de nombreuses entreprises du secteur
industriel, les autres entreprises de ce secteur auront sans doute
connaissance de cette attaque. Mais elles ne disposeront peut-
être que des informations diffusées dans les médias. Elles ne
connaîtront alors ni les détails de l'attaque, ni les mesures à
prendre pour rester protégées.
Juha Högmander explique comment F-Secure Elements aide les
entreprises à obtenir une vue plus précise de la situation.
« Elements renforce sa sécurité à mesure que les cybermenaces
évoluent. Si un appareil non-protégé était marqué jaune
auparavant, il deviendra orange. Et si des ransomwares
spécialement conçus pour cibler cet appareil apparaissent, il
passera immédiatement au rouge. »
Les entreprises peuvent compter sur une protection commune
centralisée. Elles obtiennent ainsi une visibilité nettement
supérieure à une protection isolée.
« Nous collectons toutes les données sur les vulnérabilités et les
événements suspects de l'environnement client, notamment
les données émanant des appareils et des applications cloud.
Nous les corrélons ensuite à notre analyse du comportement
utilisateur. Nous pouvons ainsi déterminer quels risques
existent à l'instant t, pour les prioriser et les corriger », explique
Högmander.
Cette visibilité, rendue possible par une solution comme
Elements, permet aux entreprises de prendre des mesures de
réponse appropriées. Elements fournit déjà des réponses pour
tous les cas avancés détectés par le système EDR, et évolue
pour coordonner les réponses entre plusieurs technologies.
Dans le cas de l'attaque par e-mail illustrée par le tableau à la
page précédente, la réponse est assurée avec une technologie
distincte de celle ayant servi à la détection (détection dans la
solution EDR, réponse dans la solution de messagerie).
En visant une solide connaissance situationnelle, les entreprises
pourront obtenir une visibilité accrue et engager une transition
en douceur vers un modèle de travail hybride. Elles pourront
aussi améliorer leurs capacités de réponse et, par conséquent,
leur cyber-résilience, pour 2022 et au-delà.
ÊTRE ATTENTIF
f-secure.com/fr_FR/ | twitter.com/fsecurefrance | linkedin.com/company/f-secure-corporation
À PROPOS DE F-SECURE
Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée dans la cyber sécurité, cotée au NASDAQ OMX Helsinki Ltd.
Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services.
Des solutions de protection des postes de travail à la détection et réponses des menaces avancées, nous veillons à ce que nos
utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine, de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un
acteur incontournable du marché européen.