Face à des intrus plus rapides et plus furtifs, les CISO sont sous pression pour moderniser leurs stratégies de cybersécurité, leurs ensembles d’outils et leurs tactiques. De la détection au post-mortem, voici des points clés de l’accent renouvelé.
L’année dernière, les incidents de l’État-nation ont dominé les titres de la cybersécurité, car les groupes de menaces de typhon chinois et d’autres ont fait des vagues dans plusieurs industries. Mais tout au long de la première moitié de 2025, les attaques les plus connues et les plus connues ont été le travail des acteurs de la cybercriminalité.
Les attaques à motivation financière sont en hausse, avec les détaillants, les systèmes de contrôle industriel, les institutions financières et les soins de santé parmi les secteurs les plus durement touchés cette année.
La récente augmentation des incidents de ransomwares est de taxer les capacités des équipes de cybersécurité même bien préparées pour détecter, suivre et éjecter les adversaires de cybercriminalité avant que des dommages importants ne soient causés. Les efforts de correction ont également été tendus, tout comme la capacité des équipes de sécurité à intégrer les leçons apprises dans leurs plans de réponse aux incidents une fois qu’un incident a été résolu.
En tant que tels, les experts pensent que les anciens camesières de jeu de cyber-défense ne fonctionnent plus, exerçant une pression encore plus grande sur les CISO pour développer des programmes plus modernes et efficaces pour gérer les intrus d’aujourd’hui.
Visibilité et suivi du comportement: plus important que jamais
L’accélération des délais d’attaque exerce une plus grande pression sur la capacité des organisations à détecter l’activité de la cybercriminalité avant que les adversaires ne prennent pied et se propagent latéralement dans les réseaux organisationnels.
«Si vous demandez à la plupart des CISO, quelle est votre capacité à détecter quelque chose en 48 minutes ou moins, ils auraient du mal à vous donner une réponse», explique Tom Etheridge, directeur des services professionnels mondiaux chez Crowdstrike. « Mais nous avons vu le temps de rupture enregistré le plus rapide aussi bas que 51 secondes. Ce sont les choses qui me tiennent debout la nuit. »
Parce que la vitesse à laquelle les adversaires peuvent causer des problèmes accélèrent, les CISO doivent avoir une visibilité claire dans leur environnement. «Pour de nombreuses organisations, des équipes de sécurité et des structures sont mises en place pour répondre aux alertes qu’ils voient sur leur plateforme», explique Etheridge. « Mais si les alertes ne sont pas dans cette plate-forme, ils ne sont peut-être pas conscients d’une vulnérabilité zéro jour et d’une partie de leur infrastructure qu’un acteur de menace exploite. »
Une autre étape pour mieux repérer un intrus consiste à établir de meilleurs mécanismes de suivi – en particulier parce que la plupart des attaquants reposent de nos jours sur l’abus de l’identité des utilisateurs authentifiés. «L’identité est la porte d’entrée de toutes ces organisations et empêcher les intrusions dans le réseau et regarder ce qu’un adversaire (fait) dans le réseau» est essentiel, dit Immler d’Okta.
«Nous avons ce dicton:« Les acteurs de la menace ne piratent plus; ils se connectent », explique Etheridge de Crowdstrike. «Une fois qu’ils sont capables d’accéder à des références privilégiées, puis ils sont dans cette évasion, le temps s’accélère. Comprendre l’identité et le cloud est un autre grand domaine sur lequel les acteurs de menace convergent; ils comprennent le manque de visibilité et de contrôles autour du plan de nuage. C’est un grand domaine cible pour les acteurs de menace.»
En conséquence, les équipes de sécurité d’aujourd’hui doivent utiliser et mettre l’accent sur les techniques de détection d’anomalies pour déterminer plus rapidement quand un utilisateur apparemment authentifié pourrait être un acteur de menace opérant en furtivité. Les comportements anormaux sont des écarts par rapport à l’activité de routine d’un utilisateur. Pour les détecter, les organisations de sécurité doivent établir des profils de base pour les différents types d’utilisateurs opérant dans leurs systèmes et réseaux.
«La construction d’un profil spécifique pour chaque identité n’est pas toujours totalement réalisable», souligne Immler. «Mais les profils de construction basés sur le niveau du département ou le niveau de fonction sont peut-être. Si quelqu’un travaille en comptabilité, devrait-il accéder à une ressource informatique qui n’est pas habituelle ou vice versa?»
L’élaboration de ces profils de segment peut aider les équipes de sécurité à déterminer les «points d’isolement» qui peuvent les aider à empêcher les acteurs de menace de gagner l’entrée aux systèmes qu’ils recherchent, explique Pierre Cadieux, directeur principal du groupe d’intervention d’incidence de Cisco Talos. Ici, les CISO devraient garantir que leur profil de comportement et leurs stratégies de segmentation du réseau fonctionnent en tandem.
« En cas de compromis ou d’incident, vous pouvez dire que nous abandonnons les boucliers sur ce réseau spécifique ou ces segments spécifiques, ou que vous avez la capacité de faire de l’isolement du réseau peut-être sur une base à l’échelle du bâtiment, à l’échelle du campus ou régionale en fonction du type de menace que nous traitons », explique Cadieux.
Confinement acteur de menace: de plus en plus «chirurgical» et mieux avec un plan
Même après l’identification d’un intrus, le rythme rapide de l’activité adversaire d’aujourd’hui est également à la main la capacité des équipes de cybersécurité à contenir des intrus avant de pouvoir causer des dommages.
« Si je suis un CISO, si je suis responsable de détecter et de corriger cet incident avant qu’il ne progresse à devenir un gros problème dans mon environnement, je dois pouvoir aller plus rapidement que l’adversaire », explique Etheridge de Crowdstrike. « Et pouvoir avoir la confiance dans vos capacités de votre équipe pour pouvoir arrêter un adversaire dans les 48 minutes suivant la puciner dans votre environnement est une activité intimidante. »
L’astuce, dit Etheridge, est de ne pas trop corriger et de brouiller vos systèmes. «Vous devez être très, très chirurgical à ce sujet. Il existe de nombreux exemples où les actions de confinement peuvent trop corriger et créer des perturbations commerciales, opérationnels et potentiellement financiers.»
La résilience face à l’intrusion est devenue un plus grand accent aujourd’hui, et les CISO doivent considérer cela comme faisant partie de leurs plans de confinement. Ici, Immler d’Okta conseille à l’utilisation de l’automatisation pour assurer une approche plus ciblée des problèmes de triage.
«Je suis toujours un grand partisan de l’automatisation dans ces systèmes de sécurité en tant que première ligne de défense, surtout si ce n’est pas une action trop dommageable», explique Immler. «Les automatisations sont vraiment utiles comme les premières lignes de défense lorsque vous voyez quelque chose se produire et que vous avez besoin d’une chance de le triage, où cela peut être problématique si vous allez trop loin.»
Il ajoute: « Je pense qu’il est bon d’être très agile et sélectif et de reconnaître ce compte qui a juste essayé de faire quelque chose qu’il ne devrait jamais faire et désactiver ce compte pendant un petit moment ou émettre une déconnexion pour une déconnexion universelle, quelque chose comme ce que vous auriez dû faire à ce qu’ils faisaient?
De plus, avoir un plan de réponse aux incidents à l’avance, puis le suivre est un must lorsqu’il contenait un acteur de menace, souligne Cadieux de Cisco Talos. «Cela remonte au plan IR qu’ils auraient dû développer. Il devrait y avoir une base pour faire du confinement, les options basées sur notre peuple et notre technologie, et comment les exécuter. Et puis, bien sûr, le plan doit être testé.»
Les méthodes de contenu et d’éjection des intrus dépendent de la nature du plan de violation et de réponse, «mais les choses que vous pouvez faire techniquement pour les bloquer sans qu’elles remarquent immédiatement sont les meilleures», explique Immler. « Sinon, si vous voyez des données sensibles sortir, vous devez faire tomber le marteau et les couper. »
Incident post-mortems: améliorer les réponses futures à l’accélération des menaces
Le rythme de l’activité contradictoire met également davantage l’accent sur l’importance de mener des post mortems sur toute intrusion pour affiner les plans de réponse aux incidents pour de meilleures performances futures. Ici, les systèmes d’exploitation de journalisation sont essentiels, dit Immler.
«C’est là que la mise en place d’un bon système SIEM (Informations sur la sécurité et gestion des événements) est essentielle pour tous vos systèmes critiques parce que vous allez passer par vos journaux et dire:« D’accord, nous avons identifié et contenu l’attaquant. Regardons chaque système qu’ils ont touché », dit-il.
«Souvent, lorsque nous traitons des ransomwares, par exemple, nous avons affaire à une menace accélérée qui se produit à ce moment-là, ce que la mauvaise chose déclenche en ce moment», ajoute Cadieux de Cisco Talos. «Si l’analyse des causes profondes ou le point d’entrée initial sont essentiels, vous devez considérer la durée de la durée de ces journaux.»
Après cela, les CISO doivent rester en avance sur la courbe en suivant les tendances de l’industrie et en restant informé des dernières caractéristiques des acteurs de la menace. «Vous devez regarder les nouvelles technologies et vous assurer que vous les suivez», conseille Immler. « Donc, juste parce que quelque chose a fonctionné l’année dernière ou l’année précédente ou que vous avez bien servi pendant 20 ans ne signifie pas que cela va suivre le paysage changeant. »
