Interview de Moussa Koita sur la gouvernance cyber prônée par Kaspersky : « L’antivirus classique n’est plus suffisant aujourd’hui »

Face à la numérisation fulgurante de la société ces dernières années, les entreprises s’exposent davantage au risque cyber. Si elles ne contournent les mesures de sécurité existantes, les nouvelles menaces échappent aux radars, donnant littéralement un faux sentiment de protection. Moussa Koita, Presales Manager Kaspersky North, West & Central Africa, est convaincu qu’une gouvernance cyber – combinant des solutions de types EDR ou MDR enrichies avec de la Threat intelligence – contribue à une meilleure compréhension des risques, et renforce la protection contre les menaces avancées et les attaques ciblées.

Cio Mag : Au fur et à mesure qu’elles se digitalisent, les entreprises sont confrontées à des attaques sophistiquées mettant à rude épreuve leurs systèmes de défense. Personne n’est hors de portée aujourd’hui. Quelle analyse faites-vous de cette situation ?

Moussa Koita : Il faut commencer par expliquer les différents types d’attaques, qu’on classe chez Kaspersky en trois groupes : le cybercrime, qui représente plus de 80% des attaques ; les attaques ciblées, qui représentent près de 20% des attaques ; et les APT – attaques souvent très sophistiquées, sponsorisées par des Etats dans bien des cas, qui sont très visibles dans la presse mais représentent moins de 0,1% des attaques.

En ce qui concerne les attaques liées au cybercrime, ou les attaques ciblées – elles ont souvent un but unique : gagner de l’argent. A partir du moment où la valeur d’une entreprise se trouve de plus en plus au niveau de son système d’information, de ses données… alors c’est aussi là qu’on trouve la vulnérabilité et que le risque le plus élevé se trouve. La rapide numérisation de la société ces dernières années, et encore accélérée avec la pandémie, a exposé de plus en plus d’entreprises au risque cyber.

Pourquoi ?

Parce que malheureusement, la notion de cybersécurité n’est pas arrivée en parallèle de la digitalisation dans bien des cas. Mauvaise perception, manque de ressources, manque de compétences, mauvaises analyses de risques et donc – mauvaise analyse du retour sur investissement. Aujourd’hui encore, trop d’entreprises sous-estiment leur exposition au risque cyber parce qu’elles sous-estiment leur valeur et la valeur d’un système d’information, d’un réseau… bien sécurisé. C’est un vrai problème.

Autre point : les cyber attaquants cherchent avant tout la rentabilité et vont venir exploiter des vulnérabilités déjà existantes. Peu importe – souvent – le type d’entreprise qui se cache derrière la vulnérabilité. C’est pour cette raison qu’aujourd’hui, alors que les entreprises ont souvent une mauvaise gestion des patchs de sécurité, on constate aussi de plus en plus de cyberattaques, de fuites de données, etc. Et personne n’est à l’abri à partir du moment où le réseau est connecté à Internet.

Est-ce la pénurie de ressources humaines qualifiées en cybersécurité qui freine les entreprises dans la mise en place de stratégies efficaces ou le manque de matériels adaptés aux nouvelles attaques ?

La pénurie de compétences est en effet un problème. Aujourd’hui, on estime qu’il manque plusieurs millions d’experts en cybersécurité pour répondre à la demande des entreprises à travers le monde. Cela crée un certain nombre de problèmes, notamment en Afrique où les talents se font bien souvent aspirer par les grandes entreprises internationales qui paient très cher.

Cependant, je pense qu’il ne s’agit pas de l’unique problème. Il y a aussi un réel problème d’évaluation des risques et de considération vis-à-vis de la cybersécurité. C’est souvent considéré comme contraignant et même dans les entreprises qui ont la chance d’avoir des Responsables de sécurité des systèmes d’information (RSSI), on constate souvent que ces derniers ont du mal à justifier leurs investissements et décisions en matière de cybersécurité auprès de la direction. Un des enjeux d’aujourd’hui est de faire entrer la cybersécurité au cœur de la stratégie de l’entreprise. A partir du moment où les dirigeants prendront conscience de la rentabilité de l’investissement – et incluront la cyber dans tous les postes de l’entreprise (parce que c’est aussi une problématique RH, avec la formation des employés, etc., aux bonnes pratiques d’hygiène numérique), nous aurons déjà franchi un grand pas vers la cyber-immunité que prône Kaspersky.

Les technologies adaptées au besoin de l’entreprise elles, existent. C’est d’ailleurs le cœur de métier de Kaspersky que de proposer des technologies et des services de pointe, adaptés aux besoins réels des entreprises. On propose des solutions pour tous : de l’individu à la multinationale en passant par les industries critiques, les petites et moyennes entreprises, etc. Et le secteur est concurrentiel, nous ne sommes clairement pas les seuls à proposer des solutions de cybersécurité de qualité. Non, l’ennui est que ces technologies nécessitent d’être opérées par des individus – on revient au manque de compétences – et surtout d’être déployées, de manière optimale – en entreprise et donc d’avoir en face de nous, des personnes convaincues par la nécessité de l’investissement.  

Parlez-nous des types d’incidents que Kaspersky a répertoriés chez les entreprises qui n’intègrent pas la notion de risque dès la phase de conception de leurs projets ?

L’absence d’analyse des risques cyber dans la conception des projets est une erreur courante chez beaucoup d’entreprises. La course à la digitalisation pousse certaines entreprises à l’urgence d’automatisation, et parfois de publication d’une partie des systèmes d’information, sans implémentation des systèmes de sécurité informatique permettant d’assurer leur protection. Dans notre région, ce phénomène est accentué également par le manque de ressources, et d’investissement dans la cybersécurité, conduisant malheureusement certaines entreprises à des attaques avec des conséquences considérables sur le business.

“… la cybersécurité doit être by design dans tout projet d’entreprise, et cela doit être soutenu et suivi par la direction pour s’assurer que les risques sont identifiés et évalués.”

Selon le type d’entreprise, nous observons différents types d’incidents (fraude bancaire, exfiltration de données sensibles, attaque de rançongiciels, cyber-espionnage, attaque de systèmes industriels sensibles, etc.). En effet, toute entreprise qui a de la valeur peut de nos jours être cible des cyber délinquants, qui emploient des techniques de plus en plus sophistiquées, et motivés par le gain financier. Pour éviter ces incidents, la cybersécurité doit être by design dans tout projet d’entreprise, et cela doit être soutenu et suivi par la direction pour s’assurer que les risques sont identifiés et évalués. Cela signifie que chaque projet de digitalisation ou de virtualisation doit être accompagné – en même temps, d’une stratégie de cybersécurité.

Pour faire face à ces menaces polyformes et dynamiques de notre ère, des solutions de type EDR et MDR émergent sur le marché de la cybersécurité. De prime abord, dites-nous ce que recouvrent véritablement ces acronymes ?

Ce que l’on appelle EDR et MDR sont les outils relatifs à la protection des terminaux et postes de travail, et consistent, en fait, en l’évolution de l’antivirus traditionnel pour répondre à la réalité des menaces aujourd’hui. L’antivirus classique, comme nous avions l’habitude de le connaître, n’est plus suffisant aujourd’hui et les éditeurs – dont Kaspersky – ont donc fait évoluer leurs technologies pour fournir plus de capacités de détection et de réponses aux divers incidents rencontrés sur le réseau et les machines des collaborateurs.

 EDR – Endpoint Detection and Response. Les cyberattaques sont de plus en plus complexes et capables de contourner les mesures de sécurité existantes. Les solutions EDR permettent non seulement la détection avancée des menaces, mais également l’investigation et la réponse à incident automatisée. Contrairement au simple antivirus, un EDR permettra d’apporter des capacités de réponse à incident et une analyse approfondie du malware détecté. Kaspersky propose des versions « Optimum » et « Expert » de cet outil, pour répondre aux besoins des entreprises et s’adapter à la réalité de leur exposition au risque et de leurs ressources internes.

MDR – Managed Detection and Response. Cela signifie une protection cyber accompagnée par l’éditeur. Dans une solution MDR, la technologie installée sur le poste de travail des utilisateurs d’une entreprise permet de faire remonter des alertes de sécurité et d’externaliser l’analyse et la remédiation éventuelle, directement auprès de l’éditeur. C’est idéal quand l’entreprise manque de ressources en cybersécurité, cela permet au service informatique de se concentrer sur des tâches à plus grande valeur ajoutée que l’analyse des objets suspects qui peut être très chronophage.

“Kaspersky Managed Detection and Response (MDR) fournit une protection avancée 24 heures sur 24 contre le volume grandissant de menaces qui contournent les barrières de sécurité automatisées…”

Face aux incidents de cybersécurité, la plupart des équipes de sécurité adoptent une approche fondée sur les alertes et n’interviennent qu’une fois que l’incident s’est produit. Pendant ce temps, les nouvelles menaces échappent aux radars, donnant littéralement un faux sentiment de sécurité. Kaspersky Managed Detection and Response (MDR) fournit une protection avancée 24 heures sur 24 contre le volume grandissant de menaces qui contournent les barrières de sécurité automatisées, soulageant ainsi les organisations qui peinent à trouver du personnel spécialisé ou qui disposent de ressources limitées en interne.

Kaspersky MDR est basée sur des modèles de Machine Learning brevetés, une Threat Intelligence continue et unique et une expérience éprouvée de recherche efficace sur les attaques ciblées. Cette solution renforce automatiquement la résilience des entreprises face aux cybermenaces, tout en optimisant les ressources existantes et les futurs investissements de sécurité informatique.

Dans ce contexte de nouvelle normalité créé par le covid-19, les solutions EDR ou MDR sont-elles synonymes de résilience et de pérennisation des activités pour une entreprise ?

La résilience est exactement le mot adapté pour aborder la réalité de l’écosystème cyber aujourd’hui. Il est plus que primordial que les entreprises aient un temps d’avance vis-à-vis de la menace puisque la question n’est plus de savoir « si elles seront attaquées » mais plutôt « quand et par quel vecteur ». Les capacités automatisées disponibles dans les technologies offertes, notamment par Kaspersky permettent en effet aux entreprises d’être plus résilientes vis-à-vis de la menace, mais cela ne fait pas tout. Il faut que les entreprises soient en capacité d’opérer ces technologies, de les paramétrer, de faire les bonnes mises à jour mais également de former leurs salariés à quelques règles de cyber-hygiène de base, parce qu’un salarié averti est un premier rempart contre la menace. Quand on sait que le phishing – par le biais de spam – reste encore l’un des principaux vecteurs d’infection d’un réseau informatique – on comprend à quel point les capacités des salariés à reconnaitre des emails piégés ou frauduleux, sont critiques. Faisons le parallèle avec une voiture. On aura beau avoir la voiture la plus perfectionnée, avec toutes les technologies embarquées et toute la sécurité possible, si le conducteur n’a pas le permis de conduire il risque malgré tout d’avoir un accident. C’est un peu pareil en cybersécurité.

Quels sont les socles des solutions de cybersécurité offertes par Kaspersky dès lors qu’une approche EDR ou MDR est évoquée ?

Kaspersky fournit tout un panel de solutions et de services cybersécurité, permettant aux entreprises de se protéger contre les menaces avancées et les attaques ciblées. Notre offre repose sur un modèle à 3 niveaux :

  • La couche fondation : le must have pour toute entreprise, et le niveau de sécurité minimal permettant la protection des postes de travail, des réseaux et des données. Il s’agit des technologies permettant la mise en place des mesures de protection préventives, et la matérialisation technique de la politique de sécurité des systèmes d’information de l’entreprise. Les solutions proposées dans la gamme Fondation sont : la protection du poste de travail, la protection de la messagerie, la sécurisation de la navigation web, la sécurité des stockages, etc. On parle ici de solutions de type Kaspersky Endpoint Security Cloud, Kapersky Secure Mail Gateway, Kaspersky Security for Microsoft 365, etc.
  • La sécurité Optimum : l’offre Optimum est une suite de technologies et de services permettant l’identification des attaques avancées, l’outillage nécessaire pour la réponse aux incidents, ainsi que la formation des collaborateurs sur les risques et enjeux de la sécurité des systèmes d’information. C’est l’évolution logique pour les clients disposant des solutions de sécurité périmétriques et désirant augmenter leur niveau de résilience face aux menaces complexes grâce à l’EDR, le MDR, la sensibilisation, etc. Ici on proposera du coup des solutions de type EDR Optimum, mais aussi MDR ou Kaspersky Automated Security Awareness Platform.
  • Sécurité Expert : destinée aux équipes de cybersécurité matures et aux entreprises ayant des systèmes d’information évolués et complexes, l’offre Expert est constituée également des services et technologies les plus avancées. Grace à la technologie XDR (EDR Expert), les attaques ciblées et les menaces évasives pourront facilement être identifiées et bloquées sur le système d’information. Il s’agit d’une visibilité complète sur les menaces, avec des technologies combinant l’IA et les moteurs de détection les plus avancés du domaine. Ces technologies sont enrichies avec de la threat intelligence (renseignement sur les menaces), afin de contextualiser les incidents, et permettre aux équipes sécurité, de prévenir les attaques et cela, bien avant qu’elles ne se produisent grâce à l’intelligence de l’anticipation (voir Threat intelligence Portal de Kaspersky pour plus d’information).

Enfin, nous proposons des services cybersécurité, permettant aux entreprises d’évaluer la résilience de leur système d’information, et former les équipes sur des thématiques poussées de la sécurité (analyse de malware, investigation numérique, réponse aux incidents…)

Selon Kaspersky, quelle est aujourd’hui la meilleure approche pour sécuriser le périmètre d’une entreprise ?

La gouvernance cyber est la clé. On l’a déjà mentionné mais empiler les couches de technologies sans gouvernance est contre-productif. Il est très important de :

  • Cartographier son réseau et de le maitriser pour comprendre où sont les principales portes d’entrées afin de le sécuriser en conséquence.
  • Former les employés à la cybersécurité grâce à des formations et de la sensibilisation.
  • Garder une politique de patchs et de mises à jour les plus pointues possibles.
  • Intégrer la cybersécurité dans la culture de l’entreprise : quelle est la valeur des données traitées par l’entreprise ? Des données sur les employés ? Quelle valeur a la propriété intellectuelle ? Quelle valeur a la chaine de production si cette dernière est informatisée ? Transmettre cette valeur en interne et donner les bonnes pratiques d’hygiène numérique pour que chacun soit un rempart et convaincu de l’importance de la protection de cette valeur.
  • Installer des solutions technologiques adaptées au besoin et aux ressources de l’entreprise (EDR, MDR, etc.).
  • Gérer ces technologies en fonction de la réalité de l’activité de l’entreprise.

Comment Kaspersky contribue-t-il à sa mise en œuvre ?

Kaspersky fournit, depuis 25 ans, des technologies de pointe qui permettent de protéger tous ses clients à travers le monde de tous les types de malwares, quels qu’ils soient et d’où qu’ils viennent.

Ensuite, l’entreprise fonctionne en réseau de vente 100% indirect, ce qui signifie qu’elle travaille avec des revendeurs, des intégrateurs, des fournisseurs de services managés. Elle offre des formations et des accompagnements permanents à ces différents partenaires pour qu’ils disposent ensuite de toutes les compétences nécessaires pour déployer les meilleures solutions de sécurité auprès du client final.

Les équipes de Kaspersky sont également disponibles en permanence pour accompagner, répondre aux nouvelles problématiques, faire monter les services IT en compétences cyber.

L’entreprise fournit également tout un panel de services et de solutions qui permettent de répondre aux différentes étapes de la sécurisation d’une entreprise. Cela passe notamment par la mise à disposition d’outils de formation des employés – à différents niveaux. Il y a d’abord Kaspersky Automated Security Awareness Platform, Cybersecurity for IT Online (destinée aux professionnels IT) ou encore des formations experts, proposées par les chercheurs d’élite de l’entreprise : https://xtraining.kaspersky.com/

Enfin, l’entreprise fournit également du renseignement sur la menace – via son portail Threat Intelligence Portal afin de contribuer à la meilleure compréhension du paysage de la menace et à construire une intelligence collective afin de lutter contre le cybercrime. 

Etre bien renseigné sur les menaces émergentes et se donner les moyens de les détecter pour réagir de manière proactive est donc essentiel en matière de cybersécurité, peut-on dire ?

On connait tous l’adage « un citoyen averti en vaut deux ». C’est la même chose en ce qui concerne la compréhension du cyberespace et la capacité à se protéger des menaces qui en émanent. Concrètement, le paysage de la menace et les capacités des attaquants se développent perpétuellement. Il existe néanmoins un certain nombre d’acteurs, dont les chercheurs du GREAT chez Kaspersky, qui s’évertuent à comprendre, analyser ces mouvements et faire des liens de causalité entre les différentes attaques et menaces observées. Elles décryptent les malwares, les vecteurs d’infections, les méthodes d’attaques des différents groupes d’attaquants et publient des rapports, à ce sujet, à destination des entreprises – et parfois du grand public sur Securelist. Ces rapports, c’est toute l’intelligence de Kaspersky et cela permet à ceux qui y accèdent de mieux comprendre la menace, pour mieux l’anticiper, la contrer et finalement avoir toujours un temps d’avance sur le cybercriminel. Nous appelons cela la Threat intelligence. Et couplée à une bonne politique cyber interne qui associe compétences, sensibilisation et technologies – notamment EDR – c’est selon moi, avoir à minima toutes les cartes en main pour une bonne résilience cyber. Encore faut-il savoir jouer ces cartes mais Kaspersky est également là pour accompagner les entreprises, notamment par le biais de son réseau de partenaires certifiés, et formés par Kaspersky – qui sont ensuite capables d’apporter du soutien aux différentes entreprises.

Anselme AKEKO

Responsable Editorial Cio Mag Online

Journaliste numérique (économie numérique, High tech, cybercriminalité, inclusion numérique & financière, transition digitale...). Passionné de web journalisme, Anselme Akéko est Responsable Editorial Cio Mag Online et Correspondant en Côte d'Ivoire.
En savoir plus
WhatsApp : +225 05 55 46 49 94

View All Posts