Le déploiement de l'infrastructure pour soutenir le travail à distance en masse a joué un rôle clé dans le fonctionnement des entreprises au cours des dernières années. Personne ne s'attendait à ce que la pandémie dure aussi longtemps qu'elle l'a fait, ni à ce que le travail à distance et maintenant le travail hybride deviennent la norme.
Selon le ministère britannique de l'emploi et de la formation professionnelle, le travail à distance et le travail hybride sont devenus la norme. Office des statistiques nationales, seuls 16 pour cent des travailleurs travaillent désormais uniquement à domicile, tandis que 28 pour cent ont un mode de travail hybride, oscillant entre le domicile et le bureau de septembre 2022 à janvier 2023. Cependant, au cours de l'année 2022, ceux qui travaillent à domicile ont augmenté et diminué entre 25 et 40 pour cent, sans tendance claire à la hausse ou à la baisse, ce qui indique une certaine fluidité dans les modalités de travail des gens. Pour s'adapter à cette évolution, les entreprises doivent fournir une infrastructure tout aussi flexible et doivent donc maintenant se pencher sérieusement sur la sécurité des systèmes déployés à la hâte il y a trois ans.
Principales préoccupations
Le travail à distance présente des défis très spécifiques. En premier lieu, il y a le problème de l'établissement d'une connexion sécurisée. Traditionnellement, les organisations s'appuient sur Réseaux privés virtuels (VPN) pour faciliter cela, mais ils ont été compromis par le passé. Des organismes tels que le FBI, le Agence de cybersécurité et de sécurité des infrastructures. et le Agence nationale de sécurité ont tous émis des avertissements à la suite d'une augmentation des attaques VPN après la pandémie.
Il faut donc que le VPN soit sécurisé et qu'il n'y ait pas de connexions non cryptées, ou que l'entreprise dispose d'un système de sécurisation de l'information. Architecture de réseau à confiance zéro (ZTNA).
Deuxièmement, la protection des terminaux est une préoccupation majeure. Désormais situés en dehors du périmètre du réseau et des mesures de sécurité qui y sont associées, ces appareils sont devenus beaucoup plus vulnérables. Certains utilisateurs voudront utiliser une combinaison d'appareils personnels et professionnels, ce qui augmente encore les risques. Il est donc important de s'assurer que seuls les appareils autorisés peuvent se connecter au réseau de l'entreprise. Il est donc important de s'assurer que seuls les appareils autorisés peuvent se connecter au réseau de l'entreprise. Ces appareils nécessitent une surveillance à distance, des mises à jour et des dispositions pour faciliter le déploiement de nouvelles applications sur une base automatique et pour éviter la nécessité d'une auto-installation, qui peut alors alourdir la charge de travail du service d'assistance.
La gestion et la sécurisation des utilisateurs, de leurs appareils et de l'infrastructure, est sans aucun doute un problème complexe, et c'est un problème qui empêche les cyber C-Suite de dormir, puisque 52 % d'entre eux admettent qu'il s'agit de leur principale source de stress, selon le rapport 2022 Deep Instinct Voice of SecOps. Mais la main-d'œuvre hybride est également symptomatique d'un changement beaucoup plus large qui voit une utilisation accélérée du cloud public, des chaînes d'approvisionnement plus étroitement interconnectées et l'expansion des actifs numériques tournés vers le public, autant de facteurs qui augmentent encore les risques. Alors, quelle doit être la ligne de conduite du RSSI ?
Par où commencer ?
Les cyber leaders doivent être capables de suivre et d'analyser l'activité de différentes sources dans un environnement complexe et complexe. d'une infrastructure informatique complexe et largement distribuée.Mais il est également nécessaire de contrôler les coûts, en particulier dans le climat économique actuel. Ainsi, plutôt que d'ajouter à la pile de cybersécurité, il est intéressant d'examiner comment elle peut être consolidée.
La combinaison de technologies sur une seule plateforme peut fournir une solution de sécurité cohésive qui peut surveiller les terminaux, l'accès au réseau et rechercher les comportements anormaux sans avoir besoin d'investir dans encore plus de solutions ponctuelles. La détection et la réponse aux points finaux est un exemple concret. De nombreuses entreprises de taille moyenne ne peuvent pas justifier les dépenses liées à l'investissement dans une solution dédiée, mais en déployant un agent avancé intégré au système de gestion de l'information de l'entreprise, il est possible d'améliorer la qualité de l'information. Gestion des informations et des événements de sécurité (SIEM), il est possible de surveiller à distance les points de terminaison. Les journaux et la télémétrie des points de terminaison sont introduits dans le SIEM, analysés et peuvent ensuite être automatiquement étudiés et contextualisés à l'aide d'une autre solution intégrée, Orchestration, automatisation et réponse en matière de sécurité (SOAR).
SOAR permet à l'entreprise d'agréger et de hiérarchiser les alertes de sécurité grâce à l'utilisation d'informations contextuelles et de renseignements supplémentaires. Les playbooks automatisés permettent une réponse automatisée, garantissant un temps moyen de réponse (MTTR) beaucoup plus rapide. Cela signifie essentiellement que toute attaque provenant d'un travailleur à distance peut être qualifiée, signalée pour investigation, et l'attaque déjouée avant que les actifs de l'entreprise ne soient compromis.
Surveillance des utilisateurs
Mais il y a aussi la possibilité ici de surveiller les utilisateurs finaux eux-mêmes. User Entity Behaviour Analytics (UEBA) peut fournir une analyse de l'utilisateur final. Elle établit des profils d'utilisateurs basés sur le rôle, les privilèges d'accès et plus encore, avec pour résultat net que tout écart dans l'activité est ensuite signalé à l'équipe de sécurité. Ces paramètres peuvent également être appliqués à des équipes spécifiques et sont très nuancés, de sorte que des exceptions peuvent être faites lorsqu'il s'agit de certaines demandes d'accès. L'ajout d'un contexte important comme celui-ci peut aider les organisations à s'aligner sur des cadres de sécurité clés, tels que MITRE ATT&CK, mais surtout aider à définir la nouvelle normalité du point de vue des pratiques de travail.
Étant donné que de nombreuses entreprises dépendent encore des VPN, d'une approche basée sur des politiques difficiles à appliquer ou à vérifier, qu'elles en sont aux premiers stades de la mise en œuvre d'une stratégie de confiance zéro, qu'elles ont une détection limitée ou inexistante des points finaux et qu'elles continuent à voir leur domaine d'information s'étendre, il est logique d'envisager une approche convergente.
La combinaison de ces technologies sur un SIEM convergent peut permettre à l'entreprise de surveiller plus efficacement les terminaux, d'effectuer des interrogations pour découvrir les menaces potentielles, d'analyser les incidents, d'effectuer une détection et une réponse automatiques aux incidents et d'utiliser une modélisation des menaces basée sur le comportement.
Tout cela garantit à l'équipe de sécurité des données plus significatives qui peuvent être utilisées pour mieux protéger la main-d'œuvre à distance et l'entreprise dans son ensemble.
Tim Wallen est directeur régional, UKI, US & ; marchés émergents chez Logpoint
Tu pourrais aussi lire :
La menace des initiés va-t-elle s'intensifier pendant la récession ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
