Jeff Watkins de AND Digital discute du dangereux manque de compétences en matière de cybersécurité et de ce qui devrait être fait pour résoudre le problème.
La technologie constituant fermement l’épine dorsale de l’industrie moderne, il n’est pas surprenant qu’une telle innovation s’accompagne d’une grande menace. Le passage au numérique a obligé de nombreuses organisations à rechercher des solutions rapides pour permettre la continuité des activités, en particulier depuis le début de la pandémie. Cependant, ce qui n’est pas toujours pris en compte, c’est la vulnérabilité accrue à la cybercriminalité que cela implique.
C’est un fait que la cybersécurité n’est certainement pas un point fort pour la plupart des organisations – les compétences ne sont tout simplement pas là. Au Royaume-Uni, par exemple, une forte proportion d’entreprises manquent de personnel possédant les compétences techniques, de réponse aux incidents et de gouvernance nécessaires pour gérer leur cybersécurité, le gouvernement estimant qu’un nombre inconfortable de 48 % des entreprises ont un manque de compétences de base.
L’informatique quantique étant une méthode d’attaque réalisable dans un avenir proche, parallèlement au taux d’évolution technique par ailleurs immense, un cycle d’environ deux à trois ans de changement significatif dans la technologie que nous utilisons signifie que les entreprises sont exposées et mal équipées pour se défendre. et leurs données. À un niveau plus large, les infrastructures critiques sont déjà constamment menacées de piratage, soulignant le besoin urgent et persistant d’investir dans les cyber-compétences – et rapidement.
De toute évidence, il y a beaucoup de travail à faire non seulement pour renforcer les systèmes technologiques contre la vulnérabilité, mais aussi pour doter les équipes des compétences dont elles ont besoin pour opérer et détecter les menaces au fur et à mesure qu’elles surviennent. La vraie menace, sans doute, concerne les entreprises dont les correctifs de sécurité ne sont tout simplement pas à la hauteur – le faux sentiment de sécurité peut conduire à la complaisance et laisser les menaces se glisser sous le radar.
La cybercriminalité en hausse
Le passage accéléré à l’industrie numérique que nous connaissons actuellement alimenté par Covid-19 a été applaudi, mais il comporte certainement des risques. Un passage aussi rapide au travail et à l’apprentissage à domicile a entraîné un déluge de cyberattaques, de failles de sécurité et une augmentation des attaques de ransomware impliquant la fuite de données exfiltrées.
On peut soutenir que le nombre d’incidents augmentait déjà régulièrement avant la pandémie, mais de nombreuses organisations ont dû passer à distance sans avoir le temps d’examiner les implications en matière de sécurité. En conséquence, la cybercriminalité connaît une croissance exponentielle.
Opter pour des applications rapides était une nécessité mais, à mesure que le temps passe, il est crucial que les équipes DevOps se concentrent sur le renforcement de leur infrastructure et de leurs réseaux pour atténuer les risques croissants. En ce qui concerne, les opportunistes saisissent leur moment pour exposer les vulnérabilités dans les écoles, les collèges et les universités.
Dans cet esprit, les dirigeants doivent sérieusement considérer les implications des utilisateurs dispersés en protégeant et en centralisant leurs réseaux lorsque cela est possible.
De pire en pire
Une mauvaise sécurité est à bien des égards pire que pas de sécurité. Ce faux sentiment de sécurité peut conduire à la complaisance et, à son tour, à d’énormes trous pour les pirates informatiques à infiltrer. Inévitablement, cela peut avoir des effets dévastateurs.
Pour les organisations financées par des fonds publics en particulier, le manque de budget et de formation appropriée pourrait constituer les principaux obstacles à la sécurisation de la transformation numérique.
Outre les contraintes budgétaires, l’augmentation du nombre d’appareils distants et une mauvaise communication des politiques peuvent entraîner des failles de sécurité. Tout le personnel doit fonctionner sur des réseaux sécurisés, les investissements dans la formation et les meilleures pratiques ne peuvent plus être laissés de côté, et la responsabilité du travail sécurisé ne peut plus reposer uniquement sur le service informatique.
Une approche de confiance zéro, c’est-à-dire traiter tous les appareils comme non fiables, devrait être adoptée en standard. La main-d’œuvre dispersée signifie que les entreprises ne peuvent pas compter sur des canaux de communication sécurisés à 100 pc et le BYOD (apportez votre propre appareil) ajoute sa propre couche de complexité et de risque. Les équipes de toutes tailles doivent veiller à garder un œil sur les conseils et à les intégrer dans leur stratégie infosec à long terme.
Compétences fondamentales et stratégie
Pour que les équipes DevOps s’attaquent vraiment aux risques généralisés et suivent le rythme de l’augmentation des cyberattaques, des compétences dans certaines compétences de base sont indispensables. Les praticiens de la sécurité doivent être capables de gérer les incidents et les réponses et maîtriser les outils et services SIEM (gestion des informations et des événements de sécurité).
L’aptitude à créer une automatisation et une analyse en temps réel doit se traduire par des plans de réponse aux incidents, qui à leur tour doivent être intégrés dans des conversations de gestion des risques à long terme. Repérer les problèmes tôt et y répondre à temps peut faire toute la différence et pourrait même éviter une catastrophe à grande échelle.
Toutes les entreprises doivent se préparer à toute éventualité en matière de sécurité. L’investissement dans la formation autour de l’audit et de la conformité, de la conformité réglementaire, de l’analyse et des compétences en matière de renseignement permettra aux équipes de mieux comprendre comment procéder en cas de violation, par exemple.
Parallèlement à ces compétences de base, des connaissances en détection d’intrusion, gestion de pare-feu, développement de la sécurité des applications, gestion des appareils mobiles, criminalistique numérique, gestion des identités et des accès permettront aux entreprises de se défendre numériquement.
Ce qui est en jeu?
À grande échelle, les infrastructures critiques des États-nations sont très menacées d’infiltration si elles ne sont pas correctement défendues. Le taux de génération de données par les nouvelles technologies entraîne le besoin d’ordinateurs haute puissance pour analyser et déchiffrer les données et les correctifs de sécurité appropriés devront être suffisamment avancés pour gérer ce processus.
Les États-nations doivent être les premiers à bénéficier de la technologie de haute puissance, car les données les plus sensibles et les plus critiques leur appartiennent sans doute. Surtout, le chiffrement matriciel et l’agilité devront être au centre des préoccupations des équipes DevOps dans la course pour suivre et se défendre contre cette génération rapide de menaces.
Il ne s’agit plus de savoir si – mais quand – une violation se produira. C’est pourquoi l’investissement dans la formation professionnelle doit être prioritaire à mesure que nous progressons vers l’industrie 4.0. Les programmes destinés au personnel existant sont un excellent point de départ et de démonstration de l’engagement envers l’amélioration des compétences et la reconnaissance des capacités, ce qui est toujours une bonne idée.
De même, les partenariats qui peuvent éduquer et créer des logiciels pour se protéger contre les cybermenaces croissantes sont une sage décision, donnant aux employés des conseils pratiques sur le terrain sur la meilleure façon de se défendre contre les cybermenaces croissantes.
Se rappeler que les gens sont toujours au volant de toutes les cybermenaces devrait inciter les entreprises à investir dans leur propre personnel. Leur offrir les connaissances nécessaires pour lutter contre les menaces de sécurité avancées et leur donner un aperçu de ce qui est en jeu les protégera sans aucun doute contre les menaces futures pour les années à venir. Cela vaut l’investissement.
Par Jeff Watkins
Jeff Watkins est l’ingénieur en chef de la société de services technologiques AND Digital. Il a plus de 21 ans d’expérience dans l’industrie informatique.