Les failles de cybersécurité continuent de faire la une à travers le monde, dans le sillage des cyberattaques menées par des criminels et des États contre les entreprises de nombreux secteurs. En mars 2018, de grands groupes ont dû révéler publiquement les compromissions dont ils avaient fait l'objet : Applebee's (167 restaurants), Orbitz (880 000 cartes de paiement), Saks Fifth Avenue et Lord & Taylor (5 millions de cartes de paiement) ou encore Under Armour (150 millions de comptes utilisateurs). Ces événements nous rappellent que les entreprises éprouvent toujours des difficultés à mettre en œuvre des stratégies de sécurité efficaces.
Dans ce contexte, il est indispensable d'inscrire la cybersécurité, et une hausse des investissements dans ce domaine, à l'ordre du jour des conseils d'administration des entreprises.
CrowdStrike a récemment mis en avant un nouvel indicateur appelé « temps de propagation », inspiré par les résultats de son rapport 2018 Global Threat Report. L'enquête réalisée a compilé et analysé 30 trillions d'événements de sécurité collectés en 2017 pour dégager les grandes tendances des attaques et élaborer des recommandations en matière de bonnes pratiques. La notion de « temps de propagation » peut permettre de comprendre et contextualiser l'efficacité de l'infrastructure de sécurité d'une entreprise.
1h58 pour empêcher un incident de sécurité de devenir une véritable faille.
Qu'est-ce que le temps de propagation ? Il s'agit du temps nécessaire à un intrus pour se déplacer latéralement à l'extérieur de la tête de pont initiale, vers d'autres systèmes du réseau. Et cela afin de s'insinuer au plus profond du réseau, mener sa mission de reconnaissance et identifier ses cibles. Le temps de propagation moyen analysé au cours de l'année précédente a été établi à 1 heure 58 minutes. En d'autres mots, c'est la fenêtre (étroite s'il en est) pendant laquelle une entreprise peut empêcher un incident de sécurité de devenir une véritable faille. Et c’est le temps dont elle dispose pour détecter et éjecter l'intrus. Voilà pourquoi la notion de rapidité est essentielle à l'heure d'évaluer l'efficacité d'un système de sécurité.
Quelques indicateurs essentiels
La sécurité est un impératif métier et une priorité pour tous les cadres dirigeants. Cependant, il est compliqué d'aborder la sécurité comme une considération métier et de trouver les indicateurs permettant de démontrer son efficacité.
Les trois indicateurs suivants peuvent aider une entreprise à évaluer son état de préparation face aux violations de sécurité :
- Temps nécessaire pour détecter une intrusion
- Temps nécessaire pour investiguer un incident, déterminer sa criticité et identifier les contre-mesures nécessaires
- Temps nécessaire pour intervenir en cas d'intrusion, éjecter l'attaquant et maîtriser les dommages
Les entreprises les plus matures se fixent pour objectifs les échéances suivantes afin de minimiser l’impact de l’intrusion :
- Détection d'une intrusion en une minute en moyenne
- Investigation et analyse en moins de dix minutes
- Éjection du cyberpirate en moins d'une heure
En cybersécurité comme en affaires, le temps c'est de l'argent. Face au paysage des menaces extrêmement complexe, les cadres dirigeants et les conseils d'administration doivent prendre conscience de l'équilibre à trouver entre les délais d'intervention et le niveau de risque. Le temps de propagation est un indicateur essentiel qui replace la capacité de réaction d'une entreprise dans un contexte clair et compréhensible. Les entreprises devraient toutes pouvoir faire mieux que le temps de propagation des cyberpirates. Pour lutter efficacement contre les cyberattaques furtives, elles doivent pouvoir détecter une intrusion en moins d'une minute, la comprendre en moins de dix minutes et éjecter l'attaquant en moins d'une heure. Pensez-vous y arriver ?
Scott Taschler, Directeur Marketing Produits - CROWDSTRIKE
