Rompre le cycle : Adopter le changement dans les pratiques de cybersécurité
Il y a quelques jours, alors que je consultais mon fil d'actualités sur la cybersécurité, un compte (re)publiant des articles datant d'années antérieures mettait en évidence un événement survenu à la fin de l'année 2000 (année réelle, pas décennie) impliquant Microsoft et un piratage qui a affecté l'entreprise. Cette violation était remarquable parce que Microsoft avait publié un correctif pour la vulnérabilité concernée dix semaines plus tôt, mais n'avait pas appliqué ce correctif à ses propres serveurs.
Cet incident survenu il y a plusieurs décennies est le reflet d'un problème toujours d'actualité : la réticence des équipes informatiques à s'adapter et à évoluer, alors que les enjeux de la cybersécurité n'ont jamais été aussi importants. Les équipes informatiques et les professionnels de la cybersécurité se retrouvent souvent piégés dans un cycle de pratiques dépassées et de processus profondément enracinés qui sont tout simplement trop lents pour le paysage actuel, comme cela s'est produit il y a 23 ans lorsqu'un pirate néerlandais a exploité une vulnérabilité dans le réseau de Microsoft.
Le contexte
En novembre 2000, un site web fonctionnant sur un serveur Microsoft a été défiguré. En fait, c'était la troisième fois que cela se produisait en l'espace de seulement deux semaines, c'était la troisième fois que cela se produisait en l'espace de deux semaines seulement. Cette fois-ci, c'était différent, car le pirate néerlandais avait pris soin d'alerter la presse et de rendre l'événement public - rappelons que c'était avant le phénomène des réseaux sociaux - et s'était vanté d'avoir exploité la même faille à chaque fois.
Les représentants de Microsoft ont reconnu le problème, mais n'ont pas pu expliquer pourquoi le problème sous-jacent n'avait pas encore été résolu. Il s'agissait d'une vulnérabilité connue pour laquelle un correctif avait été mis à disposition par Microsoft elle-même, et il était (fortement) conseillé aux clients de le déployer sur leurs propres serveurs IIS.
Les dangers de la stagnation
Vingt-trois ans plus tard, tout va beaucoup mieux et personne n'est à la traîne en ce qui concerne les correctifs, contrairement à ce que raconte cette histoire, n'est-ce pas ? Oh, attendez...
- Augmentation du nombre d'acteurs et de la sophistication des menaces: Au cours des deux dernières décennies, le nombre et la sophistication des acteurs de la menace ont augmenté de manière exponentielle. Contrairement aux premiers jours de l'internet, les attaquants d'aujourd'hui font souvent partie d'organisations bien financées et hautement qualifiées, y compris des groupes parrainés par l'État. Cette évolution exige un progrès correspondant de nos stratégies défensives.
- Une diffusion plus rapide de l'information : Les informations sur les vulnérabilités se propagent aujourd'hui à un rythme sans précédent, grâce aux médias sociaux et à diverses plateformes en ligne. Cette diffusion rapide signifie que les acteurs de la menace peuvent exploiter les vulnérabilités plus tôt après leur découverte, réduisant ainsi le délai de mise en place des correctifs.
- Des enjeux plus élevés pour les failles de sécurité : Les dommages potentiels causés par des violations réussies sont montés en flèche. Avec la multiplication des données en ligne et la forte dépendance des entreprises à l'égard de l'infrastructure numérique, les conséquences d'une faille sur le plan financier et sur celui de la réputation sont considérables. Ce scénario très avantageux pour les attaquants fait qu'il est impératif que les défenses soient plus robustes et plus proactives. Il ne s'agit plus simplement de défigurer des sites web - même si cela arrive encore - mais de voler des données, de demander des rançons et de subir des pertes financières bien plus importantes qu'auparavant.
- Des mesures réglementaires et de conformité inadaptées : Les réglementations et les normes de conformité actuelles, comme le délai d'un mois souvent cité pour corriger les nouvelles vulnérabilités, sont dépassées. Elles ne reflètent pas l'urgence requise dans l'environnement actuel des menaces, où les retards peuvent être catastrophiques.
- Avancées technologiques en matière de correctifs : L'ironie de la chose est que les menaces ont évolué, tout comme les solutions. Les technologies telles que le live patching offrent des moyens plus efficaces et moins perturbateurs de maintenir la sécurité des systèmes. Toutefois, l'adoption de ces technologies est lente et souvent entravée par la résistance au changement.
Il est très facile de reconnaître que tous ces points sont connus de tous. Ce qui est plus difficile à comprendre, c'est pourquoi les entreprises continuent à ne pas les traiter de manière adéquate, comme le montrent clairement les incidents qui se succèdent et dont les causes profondes peuvent être attribuées à quelque chose d'aussi évitable qu'un correctif non appliqué à temps.
Log4j a été l'une des pires vulnérabilités à frapper le monde de l'informatique au cours des deux dernières années, a attiré l'attention des médias grand public et, à ce jour, il existe encore des systèmes vulnérables à cette vulnérabilité, facilement identifiables grâce aux services publics d'analyse sur l'internet.
Les racines de la résistance
- Inertie culturelle : Le secteur de la cybersécurité, comme beaucoup d'autres, peut être réfractaire au changement en raison de pratiques culturelles bien ancrées. Cette inertie conduit à répéter les mêmes processus, même lorsqu'ils ne sont plus efficaces.
- L'aversion au changement : Le changement est souvent perçu comme risqué ou contraignant, en particulier lorsqu'il implique l'apprentissage de nouvelles technologies ou la modification de procédures établies. Cette aversion naturelle est un obstacle important à l'adoption de mesures de cybersécurité plus efficaces.
- Défis opérationnels : La mise en œuvre de nouvelles technologies ou de nouveaux processus peut être considérée comme une tâche décourageante, nécessitant du temps, des ressources et une formation que de nombreuses organisations estiment ne pas pouvoir consacrer.
L'urgence de faire évoluer les pratiques
L'histoire d'il y a 23 ans nous rappelle les dangers de la complaisance en matière de cybersécurité. En tant que professionnels dans ce domaine, nous ne pouvons pas nous permettre de nous contenter du statu quo. Le paysage a radicalement changé et nos stratégies doivent évoluer en conséquence. Il est temps de rompre le cycle des pratiques dépassées et d'adopter l'innovation, non seulement pour la conformité, mais aussi pour la véritable sécurité de nos infrastructures numériques.
L'avenir de la cybersécurité dépend de notre capacité à tirer les leçons du passé et à nous adapter à l'avenir. Après tout, de part et d'autre de la clôture, les changements rapides sont la norme plutôt que l'exception. Il est temps de cesser d'être surpris par un incident de cybersécurité et de s'efforcer de l'éviter dès le départ.