Groupe de réflexion sur la sécurité : Quand apprendront-ils un jour ?

Ayant travaillé à l’extrémité aiguë de l’industrie de la cybersécurité pendant plus de 20 ans, la sagesse conventionnelle suggère que nous aurions dû tirer des leçons et faire beaucoup de chemin dans la protection de nos entreprises, de nos actifs et de nos infrastructures nationales essentielles (ICN). La vérité est que, bien que nous ayons fait de grands progrès, les cybercriminels ont encore une longueur d’avance et trop d’entreprises leur facilitent la tâche en ne faisant pas les bases. Cela inclut l’application de correctifs, l’authentification multifacteur, la segmentation, le renforcement du réseau, etc.

Ainsi, bien que 2021 ait été unique et difficile à bien des égards, elle a également été tristement familière. Nos tests d’intrusion et nos exercices d’équipe rouge découvrent les mêmes problèmes et vulnérabilités à chaque fois. De nombreuses organisations à qui l’on vend une promesse et qui investissent des centaines de milliers de livres dans de nouvelles technologies de cybersécurité se retrouvent souvent avec un faux sentiment de sécurité. En réalité, très peu d’entreprises bénéficient des niveaux de protection qu’elles pensent avoir.

La cybersécurité a toujours été et reste un problème commercial avant tout, plutôt qu’un problème technologique. Il s’agit d’avoir le cadran de sécurité au bon endroit dans le contexte des besoins et de l’appétit pour le risque de l’entreprise. Pour ce faire, les chefs d’entreprise doivent d’abord comprendre les risques et la valeur de leurs actifs de données pour les attaquants afin de prendre des décisions éclairées et de justifier les investissements aux bons endroits.

Mais pour de nombreuses entreprises, c’est la leçon la plus difficile de toutes – lorsqu’elles sont attaquées – de se réveiller, de réagir et d’agir. Et cela peut être drastique. Les entreprises touchées par des attaques de ransomware , quelle que soit leur taille, sont confrontées à une crise qui peut être extrêmement coûteuse, chronophage et épuisante mentalement.

Il est de loin préférable d’apprendre des autres et d’être proactif plutôt que réactif. Et il y a des signes positifs avec l’abandon de l’approche traditionnelle de la sécurité par case à cocher au profit d’une sécurité davantage axée sur les résultats. C’est là que les organismes de réglementation et les autorités définissent les résultats souhaités plutôt que de simplement prescrire des mesures pour y parvenir.

C’est la différence entre se faire dire que vous avez besoin d’une clôture de 6 pieds et se faire dire que vous devez faire tout ce qu’il faut pour empêcher les gens d’entrer. Ce changement est motivé par des régimes de réglementation tels que CBEST dans les services bancaires et financiers et des initiatives similaires dans d’autres industries, telles que les télécommunications, l’aviation et l’énergie.

Quelles autres leçons avons-nous apprises au cours des 12 derniers mois? Une leçon à vie est que nous savons que si vous cédez aux intimidateurs, ils continueront à revenir. Il en va de même pour les criminels de ransomware. La seule façon dont ils s’arrêteront est d’arrêter de les payer et de travailler plus fort pour les fermer. Cela nécessitera le soutien total de l’industrie, des gouvernements et des forces de l’ordre du monde entier, mais jusqu’à ce que ces choses se produisent, nous serons confrontés à d’autres attaques.

La dernière leçon apprise est celle de l’histoire et de la politique. Après avoir vécu et travaillé à travers les hauts et les bas de la posture et des manœuvres mondiales des États-nations, combinées aux forces économiques, financières et naturelles en jeu, il est clair que nous sommes confrontés à une période d’instabilité mondiale. Et l’histoire nous dit que cela se manifestera inévitablement par une augmentation des cyberattaques parrainées par l’État et criminelles.

On pourrait dire qu’au cours des 12 derniers mois, tout a changé mais rien n’a changé. Mais notre industrie continue de relever le défi, malgré des pénuries continues de compétences et un paysage de menaces en constante évolution. Le rapport de fin d’année pourrait se lire comme suit : « Bien performé, mais il reste encore du travail à faire. »