Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Sécuriser les actifs du gouvernement australien en 2020 : Partie 1

Andrew Kay
Directeur, Ingénierie des ventes, APJ
Illumio Editorial
Juillet 9, 2020
23 min. lire

Comprendre la posture de cybersécurité dans le Commonwealth 

L'Australian Signals Directorate (ASD) a récemment publié le rapport The Commonwealth Cyber Security Posture in 2019, qui met en évidence le nombre et le type d'incidents auxquels il a été répondu, ainsi que certains des programmes qui ont été mis en place pour aider à améliorer la sécurité des entités du Commonwealth. Indépendamment de la pression politique accrue et discutable en faveur d'une plus grande transparence dans les différents services, les données agrégées et anonymes du rapport illustrent clairement la nécessité d'une meilleure protection des données des citoyens. Avec l'annonce récente du Premier ministre et du ministre de la défense concernant les organisations des secteurs public et privé ciblées par un cyberacteur sophistiqué et les faibles progrès réalisés par rapport aux critères mesurés actuels, il pourrait être nécessaire d'opérer un changement révolutionnaire pour placer la barre plus haut.

Chez Illumio, nous sommes fiers de participer à des discussions stratégiques et à des programmes de sécurité dans toute l'Australie et la Nouvelle-Zélande, directement avec les agences et les ministères, ainsi qu'avec les intégrateurs de systèmes de sécurité et les fournisseurs de services gérés, tels que Cirrus Networks, qui sont souvent la salle des machines de ces équipes de TI.

Bien que la plupart des entités déclarent aujourd'hui être en mesure d'identifier avec précision le nombre d'"événements et d'incidents de cybersécurité" qu'elles subissent par jour ou par semaine (souvent des centaines par jour), 73 % des entités du Commonwealth qui ne sont pas des entreprises déclarent n'avoir atteint qu'un niveau de maturité ad hoc ou en cours d'élaboration pour les disciplines de sécurité de base en réponse à de telles menaces.

Les rapports établis au cours des sept dernières années montrent clairement que, malgré les améliorations apportées, les systèmes de l'administration fédérale sont vulnérables aux cybermenaces - et que les entités du Commonwealth doivent faire des efforts supplémentaires pour parvenir à un dispositif de cybersécurité mature et résistant qui réponde à l'évolution de l'environnement des menaces.

Comme le montrent ces résultats, la diversité des incidents et l'évolution des paysages informatiques exigent une évaluation et un ajustement constants de la sécurité. La poursuite d'une approche de solution ponctuelle pour sécuriser une agence contre les attaques nécessite une pléthore d'outils, de compétences et de personnel. Dans de nombreux cas, les organisations bénéficieraient d'une approche architecturale plus holistique de la cyber-résilience, telle que la confiance zéro. Le fait que les ministères fédéraux américains aient pris de l'ampleur permet non seulement d'orienter la réflexion sur la prise en charge et la planification au-delà de la violation, d'instiller les principes du moindre privilège dans l'ensemble des disciplines de sécurité, mais aussi de contribuer, par le biais d'une stratégie globale, à réduire les "dépenses en profondeur" des outils et des équipes cloisonnés. En plein essor dans les services fédéraux américains, cette approche ne se contente pas d'axer la réflexion sur la prise en charge et la planification au-delà d'une violation, mais elle instille les principes du moindre privilège dans l'ensemble des disciplines de sécurité afin de réduire les "dépenses en profondeur" d'outils et d'équipes cloisonnés.

Comme le monde de l'entreprise l'a découvert, les municipalités doivent se concentrer sur des stratégies de confinement préventif qui réduisent l'impact ou le rayon de l'explosion lorsque des brèches se produisent. Cela est d'autant plus important que les ministères continuent de relever leurs niveaux de sécurité de base et qu'il est prouvé que des adversaires motivés et sophistiqués ciblent délibérément l'Australie afin d'obtenir des informations sur les capacités de défense, la recherche australienne de pointe, la propriété intellectuelle de valeur et les informations personnelles et financières des résidents australiens et du personnel du gouvernement.

L'un des points qui ressort et qui représente une constatation constante dans la plupart des entreprises, des États et des agences fédérales est que les organismes du Commonwealth n'ont pas une visibilité suffisante de leurs systèmes d'information et de leurs données. La plupart des équipes informatiques des agences doivent moderniser les technologies de leurs centres de données et progressent dans cette voie grâce à des approches telles que les réseaux définis par logiciel (SDN), la virtualisation et la conteneurisation, associées à des plateformes d'automatisation et d'orchestration, afin d'obtenir un développement d'applications plus agile. Il n'est donc pas étonnant que les équipes chargées des opérations et de la sécurité éprouvent des difficultés exponentielles à suivre l'évolution de l'environnement applicatif dynamique et les zones d'ombre existantes en matière de sécurité.

Empêcher l'exécution de macros Microsoft Office non approuvées et non fiables, renforcer les applications sur les postes de travail des utilisateurs, mettre en place une authentification multifactorielle sur les sessions RDS et patcher les serveurs web sont des tactiques d'hygiène importantes, et il est bon de constater une nette amélioration dans ces domaines. Toutefois, il ne s'agit là que d'une partie de la multitude de vecteurs de menace utilisés par les attaquants, y compris d'autres attaques de type "copier-coller" sur des vulnérabilités connues, ainsi que d'autres menaces "zero-day" qui continuent d'être découvertes et exploitées. Pour prévenir les dommages causés par les brèches lorsqu'elles se produisent (et elles se produisent inévitablement), il faut comprendre comment l'attaquant pourrait alors se déplacer latéralement à partir du point d'ancrage établi, quelle que soit la manière dont il l'a établi, vers les systèmes gérant des données sensibles au sein des centaines et des milliers de serveurs gérés par chaque département.

Ce n'est qu'une fois que vous aurez compris quelles sont vos applications, où elles sont hébergées et comment elles interagissent entre elles, que vous pourrez commencer à prendre le contrôle de ces actifs et définir et déployer la posture de sécurité la plus efficace.

Andrew Weir, directeur technique de Cirrus Networks, confirme que ses clients lui demandent régulièrement comment ils pourraient avoir une meilleure visibilité sur ce qui se passe dans les applications de leurs systèmes et de leurs réseaux. Souvent, ces applications ont été développées sur des systèmes existants, puis intégrées dans une nouvelle infrastructure à une date ultérieure. Pour les grands services informatiques, il peut être difficile de valider et de gérer l'efficacité et la sécurité des applications. Comprendre ce que font vos applications et vos utilisateurs dans votre environnement est essentiel pour prendre de bonnes décisions. Sans cette visibilité, il est difficile de déterminer où les ressources limitées doivent être dépensées".

La sécurité des réseaux étant traditionnellement axée sur le trafic nord-sud à travers le périmètre, les agences s'efforcent d'empêcher l'établissement d'un commandement et d'un contrôle, mais n'intègrent pas encore les huit disciplines essentielles en matière de sécurité. Les attaquants qui parviennent à franchir le pare-feu externe n'ont souvent plus aucune restriction à l'intérieur du réseau. En d'autres termes, les pirates peuvent se frayer un chemin et sont ensuite libres de se déplacer latéralement dans le réseau jusqu'à ce qu'ils atteignent leurs cibles.

Bien qu'elle ne fasse pas partie des huit éléments essentiels, cette recommandation est "excellente" dans le cadre plus large de la limitation de l'étendue des cyberincidents. La segmentation efficace du réseau pour le centre de données moderne et les stratégies de confinement au cœur de la confiance zéro deviennent (et doivent continuer à être) prioritaires en tant qu'élément vital et fondamental de la stratégie de sécurité permanente de chaque département. Cela contribuera à renforcer la résilience lorsque les niveaux de référence de l'étiage seront atteints.

La manière dont les agences sont actuellement invitées à évaluer et à rendre compte de leur posture de sécurité conduit à des mesures qualitatives et, en fin de compte, à des approches ou des produits qui les rendent "plus conformes, améliorent leur sécurité ou fournissent un meilleur moyen de détecter les menaces". Cela dit, "plus", "améliorer" et "mieux" sont des mesures qualitatives et essentiellement auto-évaluées. Ces initiatives permettent-elles d'améliorer quantitativement la résilience des systèmes informatiques contre les attaques malveillantes, qu'il s'agisse d'attaques d'États-nations ou des rançongiciels toujours populaires des cybercriminels, et peuvent-elles être reliées à ces améliorations ?

Bien choisie, la microsegmentation garantit non seulement que vous augmentez considérablement la difficulté pour les attaquants d'atteindre et d'exfiltrer des données précieuses - avec des avantages quantitatifs prouvés - mais elle le fait sans nécessiter de personnel supplémentaire ni les efforts et le fardeau financier des initiatives de sécurité traditionnelles à grande échelle qui, selon ce rapport, sont les obstacles les plus fréquemment signalés.

Mais nous y reviendrons dans la deuxième partie de cette série.

Bien que les détails spécifiques des attaques n'aient pas été mentionnés et que la source de l'augmentation récente du volume des attaques n'ait pas été publiquement attribuée à qui que ce soit, le récent communiqué de presse du Premier ministre Morrison devrait certainement être considéré par les ministères et les entreprises australiens comme une sonnette d'alarme, tout autant que comme un avis adressé aux responsables pour leur dire : "Nous savons ce que vous faites".

Si vous n'êtes pas encore engagé, communiquez avec Illumio et Cirrus et consultez le prochain article pour savoir comment vous pouvez suivre le conseil du ministre de la Défense : "prenez des mesures pour protéger votre propre réseau" et planifiez au-delà des recommandations tactiques pour les vecteurs d'attaque récents afin de limiter l'opportunité et l'impact des brèches futures.

Et pour plus d'informations sur le fonctionnement de la microsegmentation avec Illumio, visitez le site https://www.illumio.com/products/illumio-core.

Sujets connexes

No items found.

Articles connexes

Comment Illumio comble les lacunes en matière de visibilité dans les environnements de conteneurs
Cyber Resilience

Comment Illumio comble les lacunes en matière de visibilité dans les environnements de conteneurs

Découvrez comment Illumio offre une visibilité complète à l'intérieur et à l'extérieur des grappes Kubernetes et OpenShift, élimine les angles morts et contient les brèches.

Read more
4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre
Cyber Resilience

4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre

Découvrez pourquoi les responsables de la cybersécurité mettent l'accent sur la nécessité d'adopter un état d'esprit de confiance zéro pour s'adapter aux nouvelles menaces.

Read more
Quand l'EDR échoue : L'importance du confinement dans la sécurité des points finaux
Cyber Resilience

Quand l'EDR échoue : L'importance du confinement dans la sécurité des points finaux

Les fournisseurs d'EDR doivent adopter la segmentation "zéro confiance" afin de réduire le temps d'attente en matière de cybersécurité et de combler le fossé de confiance.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more