Récapitulatif
- La cybersécurité proactive est davantage une philosophie qu’un plan prêt à l’emploi.
- La cybersécurité proactive correspond aux actions que vous menez avant une cyberattaque pour gérer votre exposition ; la sécurité réactive correspond à ce que vous faites ensuite pour la contenir et minimiser les dommages.
- Les capacités spécifiques de cybersécurité proactive incluent l’analyse des vulnérabilités, la gestion de la surface d’attaque, la gestion des vulnérabilités, la validation des expositions, la gestion des correctifs et la formation.
- Prendre des mesures pour minimiser les perturbations et partager une évaluation objective des risques peut vous aider à obtenir l’adhésion aux mesures de cybersécurité proactive.
Le rapport 2025 d’Ivanti sur l’état de la cybersécurité a mis en évidence un constat sans grande surprise : les organisations font état d’un écart de préparation important (c’est-à-dire l’écart entre le niveau de menace perçu et leur degré de préparation) pour chaque vecteur de menace et chaque vulnérabilité sur lesquels nous les avons interrogées.
Si les équipes de sécurité consacrent à juste titre des ressources au renforcement de leur résilience afin de pouvoir répondre rapidement aux attaques et s’en remettre, combler ces écarts de préparation exige des mesures de cybersécurité proactive.
Cybersécurité réactive ou proactive : quelle est la différence ?
La cybersécurité proactive désigne les actions menées avant une cyberattaque pour améliorer votre posture de sécurité et réduire votre surface d’attaque ; la cybersécurité réactive intervient lorsqu’une attaque a déjà compromis vos systèmes, afin de la contenir et de minimiser les dommages qu’elle peut causer.
Ces deux approches ne s’excluent absolument pas. La sécurité proactive réduit les risques, mais ne les élimine pas. Le terme « réactive » peut avoir une connotation légèrement négative, mais les capacités qui vous permettent de répondre à une attaque, même lorsque vous avez considérablement réduit votre exposition aux risques, restent essentielles.
Exemples de mesures de cybersécurité proactive
La sécurité proactive est une philosophie, pas un plan prêt à l’emploi. Elle repose sur l’idée que prendre des mesures pour minimiser l’exposition bien avant qu’un risque ne se matérialise est la meilleure façon d’utiliser le temps et les ressources consacrés à la sécurité.
Cela étant, vous pouvez développer des capacités spécifiques pour adopter cette philosophie, notamment (mais certainement pas uniquement) l’analyse des vulnérabilités, la gestion de la surface d’attaque, la gestion des vulnérabilités, la validation des expositions, la gestion des correctifs, la gestion des configurations et la formation des utilisateurs.
Gestion de la surface d’attaque
La gestion de la surface d’attaque vise à comprendre l’ensemble des points d’entrée d’une organisation — numériques, physiques ou humains — que des pirates peuvent utiliser pour accéder à son environnement IT.
La surface d’attaque comprend les appareils (connus et inconnus), mais l’environnement ne se limite pas aux appareils. Les applications, les logiciels, les comptes de réseaux sociaux ainsi que les autres espaces ou actifs numériques utilisés par des personnes associées à l’entreprise en font également partie.
À lire également :Checklist de la surface d’attaque
Analyse des vulnérabilités
L’analyse des vulnérabilités correspond exactement à ce que son nom indique : des scanners spécialisés évaluent les réseaux et les actifs IT afin d’identifier les vulnérabilités exploitables, puis les signalent aux équipes de sécurité pour qu’elles les traitent. Comme il existe des milliers de vulnérabilités connues (et que de nouvelles apparaissent chaque jour), l’analyse des vulnérabilités est d’autant plus efficace lorsqu’elle est automatisée.
Les analyses externes des vulnérabilités examinent un réseau depuis l’extérieur, en cherchant à identifier les moyens par lesquels un pirate pourrait y pénétrer. Les analyses internes adoptent le point de vue d’une personne qui a déjà réussi à s’introduire dans le réseau et des vulnérabilités qu’elle pourrait exploiter de l’intérieur.
Gestion des vulnérabilités
L’analyse des vulnérabilités et la gestion de la surface d’attaque alimentent le cycle plus long et plus complet de gestion des vulnérabilités. Il s’agit d’un processus continu dans lequel les vulnérabilités sont identifiées et classées selon un certain niveau de priorité, avant que les équipes ne déterminent la meilleure façon de les résoudre.
Une approche courante de la gestion des vulnérabilités consiste à établir les priorités en fonction de la gravité, mais cette approche peut surestimer certaines vulnérabilités tout en en négligeant d’autres. Ajouter le contexte de la menace — cette vulnérabilité est-elle activement exploitée ? — et le contexte du risque — quel serait l’impact de l’exploitation de cette vulnérabilité pour mon organisation ? — permet d’obtenir une vision plus claire de la priorité réelle.
Validation des expositions
La validation des expositions teste la faisabilité d’une attaque et la robustesse de vos contre-mesures en exécutant des scénarios d’attaque. Cette approche est également appelée sécurité offensive. Les deux méthodes les plus courantes sont les tests d’intrusion et le red teaming.
- Tests d’intrusion (ou pen tests) : des hackers éthiques tentent de pirater votre système, puis fournissent un retour sur ce qui a bien fonctionné et sur les domaines à améliorer. Les pen tests peuvent également être réalisés à l’aide d’outils automatisés.
- Red teaming : comme les pen tests, cette approche consiste à faire réaliser par des hackers éthiques une cyberattaque planifiée dans le but de découvrir où vos défenses peuvent être améliorées. Le red teaming est une simulation fondée sur un scénario, tandis que les pen tests visent à rechercher autant de vulnérabilités différentes que possible.
La validation adversariale des expositions, ou AEV, émerge également comme pratique, en utilisant des logiciels pour réaliser en continu et de manière autonome des simulations d’attaque afin de démontrer l’existence d’expositions.
Gestion des correctifs
Une fois les vulnérabilités identifiées grâce à la gestion de la surface d’attaque et à l’analyse des vulnérabilités, hiérarchisées grâce à la gestion des vulnérabilités, puis validées grâce à la validation des expositions, la question devient : comment réagir ?La gestion des correctifs est l’un des moyens de répondre aux vulnérabilités et de les corriger, en particulier les vulnérabilités logicielles pour lesquelles des correctifs existent.
La gestion des correctifs se prête particulièrement bien à l’automatisation, notamment lorsqu’elle est associée à une gestion des vulnérabilités basée sur les risques. Les workflows qui passent automatiquement de la détection à la prise de décision, puis au déploiement, réduisent le délai moyen de remédiation et minimisent les erreurs humaines.
La gestion des correctifs présente toutefois un angle mort important : le shadow IT. Sans inventaire précis des logiciels utilisés par les employés, il est impossible de faire respecter la conformité des correctifs. C’est pourquoi la composante de découverte de la gestion de la surface d’attaque est si essentielle.
Gestion des configurations
La gestion des configurations, comme la gestion des correctifs, est un moyen de répondre aux vulnérabilités identifiées — dans ce cas, les vulnérabilités qui concernent les appareils eux-mêmes plutôt que les logiciels qui y sont exécutés. La configuration désigne les mesures de cybersécurité proactive définies au niveau de l’appareil, comme l’application de l’authentification multifacteur ou du chiffrement. Si ces mesures peuvent être appliquées individuellement par l’utilisateur final, elles sont plus efficacement imposées à l’aide d’un logiciel de gestion des terminaux.
Là encore, comme pour la gestion des correctifs, le shadow IT complique la situation. Les appareils inconnus et non gérés peuvent ne pas respecter les normes de sécurité de votre organisation — et il est impossible de le savoir. Comme pour la gestion des correctifs, la composante de découverte de la gestion de la surface d’attaque est essentielle. En identifiant des appareils auparavant inconnus et en les intégrant à la gestion, les équipes IT peuvent faire respecter la conformité.
Formation des utilisateurs
Votre surface d’attaque n’est pas uniquement numérique : elle comporte également une dimension humaine. Le phishing et d’autres formes d’ingénierie sociale exploitent les vulnérabilités humaines, souvent en les combinant à des expositions numériques (vulnérabilités logicielles, mauvaises configurations, etc.) pour lancer une attaque. Former les employés contribue à minimiser les expositions, tout comme la remédiation des vulnérabilités numériques.
Obtenir l’adhésion aux mesures de cybersécurité proactive
Obtenir l’adhésion aux mesures de cybersécurité proactive est, à certains égards, plus difficile que pour les mesures de cybersécurité réactive. La menace ne s’est pas encore matérialisée, il est donc plus difficile pour les parties prenantes hors sécurité de comprendre les compromis nécessaires, comme des interruptions temporaires de l’activité ou d’autres éléments susceptibles de freiner la productivité, au moins à court terme. La formation des utilisateurs prend du temps dans des emplois du temps déjà chargés. Le déploiement de correctifs peut mettre des applications hors ligne ou nécessiter du dépannage.
Pour obtenir et conserver l’adhésion à ce type de mesures, les équipes de sécurité doivent veiller à minimiser les perturbations que la remédiation peut entraîner (par exemple, en utilisant un déploiement par anneaux, qui déploie les mises à jour logicielles dans des « anneaux » de plus en plus larges, en identifiant les problèmes et en les corrigeant à chaque étape, avant d’étendre le déploiement à l’ensemble des utilisateurs).
Un exercice d’évaluation des risques peut également aider à rendre concrète, pour les autres parties prenantes, une menace qui ne s’est pas encore matérialisée. Une mesure objective de votre exposition et du coût des risques associés — en particulier si vous pouvez quantifier cette exposition en termes financiers — peut faire la différence entre une acceptation à contrecœur et un véritable soutien à la sécurité proactive.
À lire également :Évaluer objectivement le cyber-risque : guide des évaluations des risques fondées sur les données
Pourquoi la cybersécurité proactive est importante
Une stratégie de cybersécurité proactive n’est pas incompatible avec la sécurité réactive : une organisation saine dispose de capacités solides pour traiter les risques avant et après leur matérialisation. Mais les actions préventives amélioreront votre posture de risque et rendront les situations où un risque se matérialise moins fréquentes et plus espacées. Les mesures de cybersécurité proactive, comme la gestion de la surface d’attaque, l’application de correctifs, des configurations adaptées et la sensibilisation des utilisateurs, constituent des investissements évidents dans la sécurité à long terme de votre organisation.
FAQ
Qu’est-ce que le shadow IT ?
Le shadow IT désigne l’utilisation par les employés de logiciels, d’applications et d’appareils non autorisés ou non gérés. Il représente un défi pour les équipes de sécurité, car il crée des angles morts dans la posture de sécurité de l’organisation, ce qui rend difficile de s’assurer que toutes les vulnérabilités sont identifiées et gérées.