PME : le maillon (très) faible de la cybersécurité
Pour les PME en particulier, repérer les menaces sophistiquées s'avère complexe. En plus des menaces visibles déjà difficiles à adresser par manque de ressources, les menaces cachées auxquelles elles sont confrontées, sont difficilement neutralisables.
Les attaquants ont en effet une bonne connaissance de l'environnement qu'ils ciblent et conçoivent des attaques faites pour être indécelables par l'entreprise.
Un rapport de Ponemom Institute révélait il y a quelque temps qu'il faut en moyenne 206 jours à une petite entreprise pour détecter une faille. Durant ce laps de temps, l'entreprise est des plus vulnérables. Ainsi, une attaque apparue le 31 décembre ne serait détectée que fin juillet et sûrement encore présente sur le réseau en août. Car il faut en moyenne 28 jours à l'entreprise pour l'éradiquer.
En 2018, nous avons mis en évidence que 35% des malwares détectés ciblant les PME étaient de type « Zéro Day ». Ces attaques ne sont pas détectées par les systèmes antivirus traditionnels reposant sur des bases de données de signatures.
Les équipes informatiques doivent en outre être sans cesse sur le qui-vive puisque 4 à 5 nouveaux types de ces malwares sont créés par seconde dans le monde. Les PME doivent donc se prémunir et trouver un moyen efficace de détecter ces menaces cachées et inconnues.
Lire aussi : L'IA et l'IA générative devraient transformer la cybersécurité de la plupart des organisations
On ne protège bien que ce que l'on peut voir ! Et aujourd'hui, cette recherche de visibilité ne concerne plus seulement les grands groupes. Les PME aussi, qui sont la cible de nombreuses attaques quotidiennes, doivent pouvoir compter sur une visibilité complète de leur réseau.
Tant que ce prérequis ne sera pas rempli, il est inutile d'investir et d'accumuler des solutions de sécurité. Et la difficulté grandit encore avec le manque de ressources en cybersécurité - en effet, 21% des PME déclare avoir des difficultés à recruter des profils qualifiés dans ce domaine.
Pour autant, l'équipe informatique doit être en capacité de comprendre immédiatement l'activité de son réseau à un instant T. Cela est essentiel pour détecter les problèmes et réagir le plus rapidement possible. Mais comment y parvenir ? Et par où commencer ?
La priorité devrait être de disposer d'une bonne « baseline » du comportement du réseau et des applications. A ce titre, il est vital de savoir répondre à des questions telles que : Qui discute avec qui ? Sur quel(s) protocole(s) ? Dans quels volumes ?
En disposant d'une visibilité sur le « pouls » du réseau au quotidien, il devient beaucoup plus simple de détecter les anomalies lorsque celles-ci surviennent. Comme par exemple un pic de trafic inhabituel entre une application SharePoint et un serveur exposé sur Internet ou l'apparition de protocoles inhabituels comme du trafic SSH là où seules des requêtes HTTP et DNS transitaient jusqu'à présent. Ou encore un poste de travail qui se met à soudain à contacter des serveurs de chat IRC.
Lire aussi : { Tribune Expert } - L'IA : notre plus grande alliée ou notre pire ennemie dans la lutte contre les cybermenaces ?
Une fois cette base acquise, il devient alors possible d'intégrer une notion de vélocité afin de détecter les événements qui se propagent. Par exemple, des postes de travail communicant sur IRC, chaque seconde plus nombreux.
Évidemment, il est difficile d'obtenir une telle visibilité sans outils. Heureusement, des solutions accessibles existent, offrant une bonne lisibilité du réseau et une bonne gestion de la bande passante, et permettant aux PME de réagir rapidement en cas d'attaque.
Et si l'argument sécurité à lui seul ne suffit pas, la visibilité améliore aussi les performances ! Elle permet en effet d'optimiser et d'assurer la productivité des collaborateurs en identifiant et en corrigeant les sources de ralentissement du réseau, avant même que les premiers utilisateurs ne s'en plaignent.
Grâce à une visibilité complète du réseau et des applications de l'entreprise, l'équipe informatique peut ainsi rapidement identifier les sources d'encombrement ou les problèmes de configuration et résoudre définitivement ces problèmes.
Sur le même thème
Voir tous les articles Cybersécurité