Cisco : bloquer l’attaque est illusoire, il faut travailler à la réaction

L’équipementier a profité du FIC, qui se déroulait cette semaine à Lille, pour présenter les résultats de son rapport annuel sur la sécurité qui traduisent l’échec des stratégies de prévention.

L’équipementier a profité du FIC, qui se déroulait cette semaine à Lille, pour présenter les résultats de son rapport annuel sur la sécurité. Des résultats qui semblent traduire l’échec des stratégies de prévention.

Chercher à prévenir les intrusions est-il un combat perdu d’avance ? Oui, disent les chiffres du rapport annuel sur la sécurité de Cisco, présentés cette semaine à l’occasion de l’édition 2015 du Forum international de la cybersécurité, à Lille.

Le premier chiffre mis en avant par l’équipementier parle de lui-même : « 100 % des réseaux analysés contiennent des logiciels malveillants ».

Dès lors, pour Christophe Jolly, directeur commercial Cisco Sécurité France, « bloquer une attaque est désormais un non-événement. Ce qui compte, c’est moins de savoir si l’on a réussi ou pas à bloquer une attaque, que la réaction dont on est capable après intrusion ».

Les entreprises n’ont plus peur de dire qu’elles sont attaquées.

Christophe Jolly, directeur commercial Cisco Sécurité France.

Autrement dit, la prévention touche à ses limites – pas forcément d’un point de vue technologique, mais dans son ensemble, mise en œuvre incluse.

Et pour Christophe Jolly, cela semble plutôt préoccupant : « nous sommes d’avoir des entreprises qui disposent des pratiques et des processus nécessaires » pour faire face à l’après ; « beaucoup se sont cachés derrière des outils. Mais la clé, ce sont d’abord des pratiques et des processus. Il y a encore trop de gens qui en sont restés à chercher l’outil miracle qui leur évitera d’appliquer des correctifs ».

Mauvaises habitudes et surface d’attaque croissante

Et s’ajoute à cela une difficulté largement partagée : la surface d’attaque va croissante de jour en jour.

Ceci dit, les attaques sont font plus ciblées : seulement 1 % des vulnérabilités découvertes l’an passé sont réellement exploitées, souligne Christophe Jolly.

Et ces attaques sont celles d’un rapport de force profondément asymétrique : « l’attaquant a toujours l’avantage par rapport au défenseur, et d’autant plus si ce dernier est mal organisé. […] L’attaquant aura alors sûrement identifié les données sensibles et les infrastructures vulnérables avant que le RSSI n’en ait pris le temps ».

Cisco Logo

Reste que, globalement, les RSSI sont sereins face à la menace des attaques connues – même si les chiffres de compromission devraient, finalement, les encourager à ne pas l’être.

Alors pour Christophe Jolly, l’espoir est à chercher du côté de la posture psychologie : « les entreprises n’ont plus peur de dire qu’elles sont attaquées ». Attention : il ne s’agit pas d’informer le grand public ou la presse. Ou du moins, pas encore. Mais dans un grand nombre d’entreprise, les DSI et RSSI n’ont plus la crainte d’expliquer au comité directeur que l’organisation a été compromise : « l’actualité a permis de dédramatiser, de faire tomber des tabous et des complexes ».

Ce qui permettra de déplacer le débat vers les instances où il mérite d’avoir lieu.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close