Informations sur la conformité : Comment stopper les mouvements latéraux et renforcer l'autorisation

Il n'est donc pas étonnant que les organismes de réglementation aient des attentes claires en matière de limitation des possibilités des attaquants, avec des exigences telles que les suivantes :

• Règlement général sur la protection des données (RGPD) : Article 32 : mettre en œuvre des mesures techniques et organisationnelles pour garantir un niveau de sécurité adapté au risque, par l'intermédiaire de contrôles tels que la segmentation réseau.

• Normes de sécurité de l'industrie des cartes de paiement (PCI DSS), v4.0 : Exigence 1 : mettre en œuvre des pare-feux pour protéger les données des titulaires de carte de crédit et s'assurer que les pare-feux sont configurés de manière à restreindre les connexions entre les réseaux de confiance et non fiables.

• Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/CEI) 27001 : isoler les installations de traitement des informations et des données afin de protéger la confidentialité, l'intégrité et la disponibilité des informations.

Aujourd'hui, la surface d'attaque n'est pas seulement plus large ; elle est plus profonde, et comprend un ensemble de  couches complexes qui sont des sous-produits de la course à l'innovation des entreprises. Cela inclut plusieurs environnements cloud, des conteneurs qui apparaissent rapidement, des milliers d'API qui mènent aux données et des applications d'IA qui accèdent et diffusent de manière autonome des informations sensibles. 

Toutes ces couches constituent des vulnérabilités, ce qui donne aux acteurs malveillants plus de possibilités de naviguer librement dans un réseau compromis et d'obtenir un accès non autorisé aux données sensibles et à la propriété intellectuelle. Sans les configurations appropriées et l'application des principes de moindre privilège, ces ressources deviennent vulnérables au vol d'identifiants et à l'élévation des privilèges.

Il revient à votre organisation d'identifier et de combler les failles susceptibles de permettre des mouvements latéraux, des violations de données et des amendes coûteuses. Les pratiques de sécurité telles que la recherche des menaces et l'analyse des comportements peuvent détecter les comportements inhabituels des utilisateurs et les attaques potentielles, et permettre à votre entreprise de garder une longueur d'avance sur les menaces persistantes avancées.

Dans un précédent article de blog de notre série sur la conformité, nous avons souligné l'importance d'adopter une approche de sécurité multicouche pour l'assemblage des contrôles et des outils nécessaires à la conformité réglementaire. 

Par exemple, si votre entreprise est soumise à des directives qui exigent des évaluations des risques, votre approche de sécurité multicouche devrait vous amener à vous demander : Quelles fonctionnalités puis-je ajouter pour m'assurer qu'en cas de défaillance d'une couche, une autre passera au niveau supérieur ? 

Dans cet article, nous allons examiner les différentes couches permettant d'identifier, de contenir et de prévenir les attaques par mouvement latéral, tout en améliorant les contrôles d'authentification et d'autorisation.

Le parc informatique moyen n'a pas seulement étendu sa superficie : il a créé des ajouts, des étages et des connexions virtuelles avec les parcs d'autres entreprises. Les organismes de réglementation ont des difficultés à faire face aux risques qui en résultent. 

Par exemple, l'UE a publié une mise à jour de la directive sur la sécurité des réseaux et des systèmes d'information (NIS2) en janvier 2023 pour étendre les obligations initiales de la NIS2. À peine deux ans plus tard, les développements rapides de l'IA ont entraîné des changements considérables dans la façon dont les entreprises font des affaires et dans la façon dont les acteurs malveillants attaquent les innovations en matière d'IA des entreprises. 

De nouvelles menaces comme l'injection de prompts dans des LLM et l'exfiltration de données par l'IA compromettent l'investissement mondial de 632 milliards de dollars dans l'IA qui, d'après IDC, devrait se produire d'ici 2028. Les nouvelles méthodes d'attaque ne sont pas encore abordées dans les réglementations mises à jour telles que la NIS2, le RGPD ou la PCI DSS v4.0. Toutefois, une violation est une violation, et les organismes de réglementation infligeront des amendes aux entreprises en cas de non-conformité. 

C'est le cas de la protection des API. Chaque fois qu'un client, un partenaire ou un fournisseur interagit avec votre entreprise par la voie digitale, une API facilite l'échange rapide de données. Les cybercriminels qui, par le passé, auraient élaboré des stratégies d'attaque complexes comprennent désormais qu'ils peuvent simplifier leurs actions en ciblant les API.

Par exemple, les acteurs malveillants peuvent exploiter les points de terminaison d'API vulnérables à la défaillance de l'autorisation au niveau de l'objet (BOLA) en manipulant les ID d'objet dans les demandes d'API. Cette vulnérabilité permet de se déplacer de manière latérale dans le réseau, de sorte que les acteurs malveillants peuvent contourner l'autorisation, élever les privilèges et accéder aux données des clients. 

La BOLA est généralement causée par des défauts de logique métier et bon nombre de ces défaillances impliquent des vérifications d'autorisation mal configurées. Les erreurs de configuration ont été la principale cause d'incidents de sécurité des API citée par les professionnels de la sécurité des applications interrogés dans le cadre de l'étude 2024 des impacts sur la sécurité des API. 

Voici quelques meilleures pratiques pour renforcer votre stratégie de sécurité des API afin de limiter les mouvements latéraux,  d'atténuer les activités malveillantes et de remédier aux attaques en cours avec un processus d'autorisation robuste.

• Établissez des relations claires entre les utilisateurs et les ressources auxquelles ils accèdent souvent ; par exemple, définissez des références comportementales via des algorithmes d'apprentissage automatique capables de détecter les comportements d'accès anormaux.

• Mettez en œuvre des fonctionnalités de protection de l'exécution qui permettent de faire la différence entre les activités normales et les activités suspectes avec les API.

• Réagissez aux comportements suspects en intégrant une solution de sécurité des API à votre pile existante ; la solution doit détecter les comportements à haut risque et bloquer le trafic suspect avant de le laisser accéder aux ressources sensibles.

Ces meilleures pratiques en matière de sécurité des API sont essentielles pour la cyberrésilience et la conformité réglementaire, qu'il s'agisse de protéger une entreprise, une agence gouvernementale ou une organisation de santé régie par l'HIPAA.

Alors que les équipes de cybersécurité mettent en place des contrôles pour répondre aux nouvelles réglementations, il peut être frustrant de réaliser que des failles de sécurité déjà difficiles à gérer peuvent conduire à la non-conformité. Par exemple, la loi sur la résilience opérationnelle numérique (DORA), entrée en vigueur en janvier 2025, exige explicitement la sécurisation des technologies de l'information et de la communication (TIC) par l'intermédiaire de contrôles de sécurité réseau rigoureux. Cela s'applique non seulement aux institutions financières couvertes, mais également aux tiers qui gèrent leurs systèmes et services relatifs aux TIC.

Nous avons vu comment DORA exige une meilleure visibilité sur les risques. Examinons le lien entre l'amélioration de la visibilité du réseau et la limitation de la mobilité des attaquants. 

Plus précisément, DORA appelle à adopter une approche basée sur les risques pour établir une bonne gestion du réseau et de l'infrastructure, y compris des fonctionnalités automatisées qui isolent les actifs touchés pendant les cyberattaques. DORA exige d'établir des connexions réseau qui permettent une segmentation instantanée afin d'empêcher la propagation de cybermenaces telles que les attaques par ransomware. 

Malheureusement, de nombreuses équipes de sécurité avec lesquelles nous parlons manquent de visibilité en temps réel sur les communications réseau et ne voient pas de signaux indiquant un mouvement latéral réalisé par des attaquants qui ont enfreint le système, ou qui pointent vers la propagation de menaces telles que les logiciels malveillants. Cela est particulièrement difficile dans un parc informatique complexe qui implique des composants sur site et dans le cloud.

De nombreuses équipes de cybersécurité ont mis en œuvre des contrôles de segmentation de référence qui divisent le réseau en segments plus petits et isolés. Chaque segment fonctionne de manière indépendante et l'accès entre eux est contrôlé. L'objectif : réduire la surface d'attaque et limiter la propagation des menaces.

Nous vous recommandons d'aller plus loin avec la microsegmentation définie par un logiciel. 

La microsegmentation permet aux équipes de cybersécurité de créer des segments encore plus petits et plus granulaires au sein du réseau. Chaque microsegment peut disposer de ses propres stratégies de sécurité et contrôles d'accès, comme le moindre privilège, pour identifier, isoler et atténuer le trafic réseau malveillant. 

Par exemple, avec les bons outils de microsegmentation, les équipes de sécurité peuvent créer des stratégies qui bloquent, segmentent et limitent la façon dont les applications interagissent les unes avec les autres et avec le système. L'isolation des ressources dans des périmètres définis peut aider les entreprises à :

• remédier aux vulnérabilités qui peuvent être exploitées par des logiciels malveillants ou des applications compromises, ce qui est une menace clé identifiée par des réglementations comme DORA ; 

• simplifier la création de rapports pour se conformer aux réglementations qui exigent des audits réguliers et la documentation des mesures de sécurité.

Recherchez des outils de sécurité qui fournissent des modèles recommandés par l'IA pour remédier aux ransomwares et autres cas d'utilisation courants, avec des attributs précis de charge de travail (processus, utilisateurs, noms de domaine, etc.). Associés à l'architecture Zero Trust, ces outils de sécurité peuvent contribuer à renforcer les contrôles d'autorisation et d'accès, quel que soit le compte utilisateur ou la ressource impliquée.

Nous pensons que le respect des réglementations sur la sécurité des données exige une approche similaire à la façon dont les entreprises mettent en œuvre des stratégies de sécurité multicouche pour protéger chaque couche de la surface d'attaque. 

Dans cette série d'articles de blog, nous avons étudié les défis courants en matière de conformité et discuté des meilleures pratiques directement liées aux exigences actuelles des organismes de réglementation, au-delà des tactiques traditionnelles, comme les anciens outils de sécurité réseau. En fin de compte, une sécurité optimale peut conduire à des programmes de conformité plus robustes. Restez à l'affût des prochains articles qui exploreront le lien entre la sécurisation des entreprises et la conformité aux exigences réglementaires.