Le super-pouvoir invisible

Le B2B-CSIRT de Swisscom a développé un cadre d’Incident Response pour Microsoft 365. Sur la base de règles, il peut détecter les méthodes utilisées par les cybercriminels et aider les entreprises à définir des mesures pour stopper l’attaque. Ainsi, le cadre identifie par exemple les «déplacements impossibles», c’est-à-dire les connexions provenant de différentes régions en peu de temps, les appareils MFA nouvellement enregistrés par les pirates ou les téléchargements massifs destinés à l’exfiltration de données commerciales.

Angelo Violetti, Incident Responder au B2B-CSIRT de Swisscom, a également présenté des recommandations sur la manière dont les entreprises peuvent améliorer la résilience de leurs environnements M365. On y retrouve notamment les mesures suivantes:

• Authentification multifactorielle résistante au phishing
  
• Continuous Access Evaluation (évaluation continue de l’accès): Contrôler en permanence les accès, par exemple en cas de modification des adresses IP 
• Conditional Access Policies (politique d’accès conditionnel) pour réglementer l’ajout d’appareils MFA supplémentaires
  
• Outbound Spam Policy (politique de spam sortant) pour empêcher les envois en masse à partir de comptes piratés 
• Auditing et Logging (audit et journalisation) des systèmes SIEM pour le monitoring dans le SOC
   

Ce cadre d’IR ne permet pas d’éviter toutes les attaques, mais d’atténuer et d’endiguer rapidement de nombreux risques.

L’époque où les fournisseurs de logiciels n’assumaient plus aucune responsabilité après la vente est révolue. En effet, de nouvelles réglementations et obligations de déclaration, comme le Cyber Resilience Act (CRA) dans l’UE, visent à améliorer la cybersécurité, en particulier dans la chaîne d’approvi­sion­nement logicielle. À partir de septembre 2026, les fournisseurs devront signaler les vulnérabilités exploitées dans leurs produits dans des délais déterminés. Pour cela, il faut connaître les composants et les bibliothèques d’un logiciel, par exemple pour détecter les paquets manipulés à partir des répertoires NPM ou PyPi. Pour cela, une nomenclature logicielle (SBOM) est indispensable. Mais si l’approche est claire, sa mise en œuvre pose des défis:

• Un contrôle automatisé est nécessaire pour gérer la multitude de dépendances et de vulnérabilités.
  
• Tous les points faibles ne sont pas publiés en tant que CVE (Common Vulnerabilities and Exposures), leur dénomination est souvent hétérogène et la NVD (National Vulnerability Database) n’est pas toujours à jour.
  
• Les normes SBOM ouvertes telles que CycloneDX(ouvre une nouvelle fenêtre) d’OWASP et l’interopérabilité deviennent une condition préalable au bon déroulement des tests de vulnérabilité.
  
  

La résilience implique donc non seulement de se doter d’équipements techniques, mais aussi d’outils organisationnels et réglementaires – tout en se préparant à assumer la responsabilité de l’ensemble de la chaîne d’approvisionnement.

La dépendance aux fournisseurs de cloud américains comporte des risques géopolitiques et juridiques pour la sécurité des données en ce qui concerne la confidentialité et la disponibilité des données. Il existe des options techniques et organisationnelles pour conserver ou développer la résilience. Celles-ci ont leurs inconvénients, dont il faut tenir compte:

• Hold Your Own Key (HYOK): Toutes les données transitent par un proxy crypté. Cela accroît certes la sécurité, mais c’est aussi plus cher et limitatif.
  
• Confidential Computing: Les données restent cryptées et ne sont décryptées que dans le CPU – mais là aussi, il existe des risques résiduels sous forme de failles de sécurité.
  
• Architectures hybrides: Elles permettent de stocker et de sauvegarder localement des données sensibles, mais il faut s’assurer qu’elles ne sont pas traitées dans un cloud, par exemple lorsqu’un logiciel antivirus analyse un fichier en ligne à la recherche d’un malware.
   

Il est essentiel que les entreprises soient en mesure de comprendre et de contrôler leurs flux de données afin de gérer activement leur résilience.

En matière de cybersécurité, l’IA peut-elle aider à renforcer nos «défenses» et donc notre résilience? Une méta-étude de l’EPFZ a montré que le travail d’équipe n’est pas toujours plus efficace que celui d’un être humain ou de l’IA seule. L’essentiel est de répartir les tâches de manière à ce que l’homme et la machine puissent chacun exploiter leurs points forts:

• Lorsque l’humain est meilleur pour une tâche donnée, la collaboration avec l’IA peut améliorer les performances.
  
• Si l’IA est plus à même de gérer d’autres opérations, elle devrait prendre le relais, mais toujours sous surveillance humaine.
  
• La compatibilité entre le modèle d’IA et le modèle humain est décisive.
  
• VLa confiance dans les systèmes et dans ses propres capacités constitue la base de la résilience.
  

La résilience n’est pas un simple atout, mais un facteur décisif pour survivre dans un monde incertain. Concevoir la résilience comme un super-pouvoir stratégique, c’est non seulement pouvoir se défendre contre les attaques, mais aussi saisir les opportunités – et être en mesure d’agir même lorsque l’imprévu se produit. La conférence Swiss Cyber Storm 2025 l’a montré : la résilience englobe à la fois le travail d’équipe, la technique, l’organisation et l’attitude. C’est le super-pouvoir invisible qui fait toute la différence.