La cybersécurité nécessite davantage de prévention et moins de recours aux remèdes

Lucas Morel

La détection et l’alerte sont surchargées et ont besoin d’aide.

Demandez à n’importe quel médecin et il vous dira qu’il vaut mieux prévenir que guérir. C’est plus rentable et cela donne de meilleurs résultats.

Il en va de même en matière de cybersécurité. Mais nous pensons que notre industrie s’est trop éloignée de ce concept simple. Nous observons que la plupart des nouveaux outils sont axés sur la détection, et nous appelons les cyberinnovateurs et le capital-risque à réinvestir leurs ressources dans le blocage plutôt que dans la simple découverte des problèmes.

Les raisons pour lesquelles la cybersécurité repose sur la détection sont compréhensibles et reposent sur l’histoire des systèmes en réseau. Les premiers systèmes étaient fragiles. La reprise était lente et les temps d’arrêt coûteux. Ainsi, les premiers contrôles de sécurité ont été conçus pour restreindre les accès non autorisés. Ils ont bloqué l’exécution et empêché l’exploitation, car si une attaque réussissait – comme un virus informatique s’exécutant avec succès – les conséquences auraient pu être irréversibles.

Avec l’explosion d’Internet dans les années 1990, les solutions de prévention se sont multipliées. Les fournisseurs ont développé des pare-feu et des plates-formes antivirus pour bloquer les menaces avant qu’elles ne surviennent.

Mais les attaquants se sont bien entendu adaptés et les réseaux sont devenus plus complexes. Les contrôles périmétriques ne suffisaient plus à eux seuls. La cyber-industrie a répondu avec des systèmes de détection d’intrusion et plus tard avec la gestion des informations de sécurité et des événements. La détection a bénéficié de l’agrégation et de l’analyse de journaux à grande échelle.

C’était un excellent complément à la prévention. Mais il n’a jamais été question de le remplacer.

La détection n’a pas réduit le risque

Aujourd’hui, la sécurité se concentre sur la visibilité, les alertes et la réponse. Les dirigeants utilisent des mesures telles que le temps moyen de détection et le temps moyen de réponse, et les compromis sont souvent considérés comme inévitables. Mais à mesure que la détection s’améliore, cela n’a pas entraîné une baisse proportionnelle des taux de compromission.

Le rapport IBM sur le coût d’une violation de données montre systématiquement qu’une identification et un confinement plus rapides réduisent l’impact financier. Mais le coût moyen mondial d’une violation s’élève toujours à des millions de dollars – car la détection n’empêche pas la compromission initiale.

Le problème initial continue de provenir des endroits habituels : vulnérabilités connues, informations d’identification volées ou mauvaises configurations. En d’autres termes, la détection réduit l’impact à court terme, mais elle ne réduit pas le risque structurel.

Les limites d’un modèle de détection d’abord

Lorsque nous nous réunissons pour des forums industriels comme la conférence RSAC, les sujets abordés incluent l’automatisation, la réponse basée sur l’IA et la résilience opérationnelle. Ces éléments sont certes importants, mais ils ont des limites. La détection produit des faux positifs et du bruit. Le volume des alertes commence à dépasser la capacité humaine à les trier pour déceler les véritables problèmes. La lassitude face aux alertes est réelle et la pénurie de talents persiste.

Nous observons que le ratio outils de détection versus outils de prévention s’accroît. La RSAC Conference organise le plus grand concours de startups dans le domaine de la cybersécurité. Au cours des trois dernières années, plus de 500 nouvelles entreprises de cybersécurité ont participé au concours, et nous estimons que plus de 70 % de ces entreprises proposent des outils de détection, et non des outils de prévention.

La détection ne s’active qu’après une panne et, malheureusement, les adversaires modernes opèrent désormais à la vitesse d’une machine. Les vulnérabilités sont attaquées grâce à l’automatisation et l’intelligence artificielle génère des campagnes de phishing à grande échelle.

À mesure que l’IA abaisse les barrières à l’entrée et accélère les capacités, la surface d’attaque s’étendra encore davantage. Les progrès réalisés dans certains modèles d’IA d’avant-garde, tels que Mythos d’Anthropic et GPT-5.5 d’OpenAI, pourraient révéler des risques Zero Day jusqu’alors inconnus tout en enchaînant diverses vulnérabilités à faible risque.

Comme si cela ne suffisait pas, l’informatique quantique suscite des inquiétudes quant à la résilience cryptographique. S’appuyer principalement sur des alertes plus rapides n’est pas la meilleure réponse à toutes ces menaces qui vont tout simplement se multiplier plus rapidement.

La prévention change l’économie

D’un autre côté, la prévention modifie l’économie défensive. Pour réduire l’espace des problèmes, un professionnel peut faire les choses suivantes : activer l’authentification multifacteur (MFA) résistante au phishing, bloquer les exécutions malveillantes, segmenter les réseaux et gérer de manière proactive les vulnérabilités.

À mesure que l’exposition diminue, le volume d’alerte diminue. La détection devient plus efficace car le bruit est réduit.

Les recherches montrent que les organisations sont confrontées à moins de violations à fort impact lorsqu’elles disposent d’une gouvernance des identités mature, de correctifs proactifs et de principes de confiance zéro. La maturité préventive est corrélée à une réduction de la gravité des incidents et à une diminution des coûts à long terme. Il n’est pas nécessaire d’être parfait pour avoir de la valeur.

Nous pensons donc que les responsables de la sécurité devraient reconsidérer la manière de définir le succès. Il est important de réduire le temps d’immobilisation (la durée pendant laquelle un attaquant passe dans vos systèmes). Réduire les points d’entrée est fondamental. Mais lorsque les budgets privilégient la visibilité post-compromis plutôt que l’architecture et la gouvernance préventives, la cybersécurité ne remplit pas son mandat initial.

L’IA ne fera qu’amplifier le déséquilibre, car des capacités qui nécessitaient autrefois des années de formation peuvent désormais être déployées rapidement. Des boîtes à outils offensives sont facilement disponibles.

Parvenir à un meilleur équilibre

Nous pensons que les architectures et capacités de prévention évolutives constituent une meilleure voie à suivre que l’augmentation des effectifs d’analystes.

Les cybermenaces vont s’accélérer et la détection restera essentielle. Mais notre profession ne devrait pas être définie par l’efficacité avec laquelle nous observons les compromis. Cela devrait être défini par l’efficacité avec laquelle nous réduisons en premier lieu la probabilité de compromis.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Sécurité des données et des informationsSécuritéStratégie informatiqueDirection informatique