Les produits de cybersécurité évoluent rapidement, plus que jamais avec l’avènement des ressources basées sur l’IA. Voici quelques technologies et pratiques qui deviennent de plus en plus inutilisables.
Les responsables de la cybersécurité peuvent choisir parmi une liste toujours croissante d’outils numériques pour les aider à parer aux attaques et, sur la base des projections du marché, ils mettent en œuvre un grand nombre de ces options.
Gartner prévoit une augmentation de 15 % des dépenses en cybersécurité d’ici 2025, les dépenses mondiales devant atteindre 212 milliards de dollars l’année prochaine. Le cabinet de recherche et de conseil affirme que les dépenses consacrées aux seuls logiciels de sécurité augmenteront de 15,1 % entre 2024 et 2025, passant de 87,5 milliards de dollars à près de 100,7 milliards de dollars.
Bien que l’achat de fonctionnalités nouvelles sur le marché – telles que celles rendues possibles par l’IA générative – génère une grande partie de ces dépenses, les RSSI affirment que leur besoin de mise à niveau à partir de technologies obsolètes alimente également une partie de leurs achats technologiques prévus.
En fait, des entretiens avec plusieurs RSSI révèlent qu’ils considèrent que certaines technologies de cybersécurité de longue date sont prêtes à être remplacées.
Par exemple, David Ulloa, RSSI de la société américaine de transport IMC Companies, tient une liste des technologies que les RSSI devraient retirer, citant les antivirus basés sur les signatures, les systèmes de détection d’intrusion de base, les protocoles de cryptage obsolètes, les VPN existants, la protection de base des points finaux, l’authentification par mot de passe. , et quelques pare-feu.
Ici, lui et d’autres responsables de la sécurité identifient certains outils de sécurité majeurs (et pratiques associées) qu’ils considèrent comme ayant dépassé leur apogée :
1. Contrôles de sécurité basés sur un mot de passe
« Je pense que les mots de passe ont été dévoilés. Je pense que les mots de passe sont utilisés, en particulier (en les utilisant) avec des tiers », déclare Richard Marcus, RSSI chez l’éditeur de logiciels AuditBoard. « Vous ne voulez pas donner un identifiant à un tiers qui pourrait être piraté et ensuite utilisé contre vous ; donc, à moins que vous ne soyez vraiment discipliné dans la rotation de ces diplômes, le risque est trop élevé.
Marcus n’est pas le seul à qualifier les mots de passe de problématiques : le Ponemon Institute, dans son rapport 2023 sur le coût d’une violation de données, a constaté que 50 % de toutes les violations pouvaient être attribuées à des mots de passe volés ou faibles.
Marcus affirme qu’en 2024, il a commencé à éloigner son entreprise de l’utilisation de contrôles de sécurité par mot de passe et à s’orienter vers une plus grande utilisation de l’authentification dynamique.
« Lorsque nous sélectionnons des fournisseurs, nous leur disons que nous n’allons pas émettre de mot de passe, ni même de jeton ou de clé. Ce sont tous des exemples d’authentificateurs statiques », explique-t-il. « Mais nous sommes également réalistes : si nous avons besoin d’un produit qui nécessite des mots de passe, nous exigeons que les mots de passe changent fréquemment. Pour nous, l’utilisation d’identifiants statiques est devenue l’exception et non la règle.
2. Tests d’intrusion programmés obligatoires
Bien qu’il ne s’agisse pas d’un outil de sécurité spécifique, les tests d’intrusion programmés et obligatoires sont néanmoins cités par certains comme une stratégie obsolète.
Attila Torok, RSSI de la société technologique GoTo, estime par exemple que ces tests d’intrusion effectués une ou deux fois par an pour satisfaire aux exigences réglementaires ou des fournisseurs n’évaluent pas efficacement la véritable posture de sécurité d’une organisation. Il dit plutôt qu’ils ne capturent qu’un instantané de la sécurité de l’environnement à une date donnée.
« Notre environnement change constamment. Nous modifions notre code plusieurs fois par jour, donc effectuer des tests d’intrusion une fois par an ne représente rien (beaucoup de valeur) et coûte très cher », dit-il.
Cependant, Torok n’écarte pas complètement les tests d’intrusion dans l’ensemble. En fait, il affirme que son service de sécurité dispose d’une équipe offensive qui teste régulièrement l’environnement pour détecter les vulnérabilités, expliquant qu’il estime que ce type d’approche dynamique des tests d’intrusion est plus efficace pour des environnements en constante évolution.
Il dispose également d’un programme de bug bounty, qui, selon lui, est également plus efficace que les tests d’intrusion programmés semestriels ou même trimestriels. « Avec les tests d’intrusion, l’entreprise est payée quoi qu’elle trouve, mais pour un programme de bug bounty, elle doit trouver quelque chose de significatif pour être payée, elle est donc plus incitée (à trouver des vulnérabilités) », ajoute Torok.
3. VPN
Les réseaux privés virtuels sont un autre outil de sécurité qui, selon certains RSSI, a une valeur limitée aujourd’hui.
« Les VPN sont précieux, mais ils ne le sont que dans certains contextes », déclare Pablo Ballarin, qui, en tant que co-fondateur de BALUSIAN, SL, travaille comme RSSI, conseiller en cybersécurité et consultant éthique en IA. « Ils sont utiles si de nombreux employés de votre organisation possèdent leur propre ordinateur portable et n’ont aucun autre moyen d’accéder en toute sécurité aux services internes. Mais il existe d’autres solutions plus logiques.
Des recherches ont montré que les VPN peuvent être un canal d’attaques. Par exemple, le « Cybersecurity Insiders 2024 VPN Risk Report » révèle que 56 % des entreprises ont subi au cours de l’année précédente au moins une cyberattaque ciblant des vulnérabilités VPN non corrigées. Le rapport révèle également que 91 % des 647 experts en informatique et en sécurité interrogés « ont exprimé des inquiétudes quant aux VPN compromettant leur environnement de sécurité informatique, les récentes violations illustrant les risques liés au maintien d’infrastructures VPN obsolètes ou non corrigées ».
Ballarin affirme que ce n’est pas tant que le VPN ne vaut rien, mais que l’époque où la sécurité pouvait s’appuyer dans une large mesure sur lui est révolue. « Il s’agit plutôt de mettre en œuvre des solutions complémentaires à celles existantes », ajoute-t-il.
Ballarin et d’autres recommandent une défense en profondeur, affirmant que les organisations doivent disposer d’une authentification multifactorielle, d’une authentification basée sur des certificats et d’une stratégie de confiance zéro à la place ou en plus des VPN (dont certaines ont encore besoin pour accéder aux applications existantes).
4. SIEM sur site
Un système de gestion des informations et des événements de sécurité (SIEM), chargé de reconnaître et de traiter les menaces et vulnérabilités potentielles en matière de sécurité avant qu’elles ne causent des problèmes, constitue une technologie de sécurité fondamentale.
Mais George Gerchow, professeur à IANS Research ainsi que RSSI par intérim et responsable de la confiance chez MongoDB, a déclaré que les SIEM sur site doivent disparaître.
Il dit qu’ils reçoivent trop d’alertes, ce qui accroît la fatigue des alertes au lieu de contribuer à l’atténuer. Et ils ne sont pas sensibilisés au cloud, dit-il, ce qui oblige les organisations soit à déplacer et stocker de grandes quantités de données (à un coût élevé), soit à renoncer à utiliser toutes les données nécessaires pour assurer la sécurité des déploiements cloud.
« Si je dois payer une somme exorbitante pour des bûches, je choisis alors celles qui comptent le plus et je prends un gros pari avec la sécurité », explique-t-il. « Il se peut que je ne dispose pas des bons journaux lorsqu’un incident survient, et je ne dispose peut-être pas de ces journaux à cause des coûts. »
Gerchow reconnaît que de nombreuses entreprises conservent des SIEM sur site parce qu’elles ne souhaitent pas placer les données de journaux sensibles dans le cloud, mais il dit qu’il pense toujours que le temps des SIEM sur site est révolu.
5. Pare-feu conventionnels
Le pare-feu est l’une des premières technologies de cybersécurité, datant des années 1980. Les premières versions étaient des filtres de paquets intégrés dans des routeurs destinés à arrêter le trafic sur la base de règles prédéfinies généralement centrées sur les adresses IP source et de destination, les numéros de port et les protocoles utilisés.
Le pare-feu, bien entendu, a évolué depuis. Même si certaines versions sont adaptées à l’environnement numérique complexe d’aujourd’hui, les RSSI affirment que les pare-feu simples et les pare-feu d’applications Web (WAF) obsolètes ne sont plus à la hauteur.
« Les pare-feu ne vont pas disparaître, mais c’est la fin des actifs matériels traditionnels. Vous avez toujours besoin d’un pare-feu, mais on s’éloigne du matériel informatique robuste vers le numérique », déclare Stephanie Hagopian, qui, en tant que vice-présidente des solutions physiques et de cybersécurité au sein de la société de vente et de conseil technologique CDW, dirige une équipe de consultants conseillant les RSSI. .
Hagopian affirme que les RSSI passent généralement à des pare-feu plus modernes dans le cadre de leurs cycles de rafraîchissement lorsqu’ils abandonnent le matériel existant et sur site pour le cloud et d’autres technologies numériques modernes. « Il ne suffit pas d’appuyer sur un interrupteur », ajoute-t-elle. « Vous devez configurer le nouveau pare-feu et retirer l’ancien matériel, et l’équipe doit apprendre à gérer la nouvelle technologie. C’est un effort pour une organisation, mais à mesure que le matériel est actualisé, cela l’oblige à effectuer ce changement.
