La protection active permet d’observer et de comprendre les attaques, de les ralentir et d’amenuiser les ressources des attaquants. 

La première étape consiste à analyser les attaques : les informations obtenues servent ensuite à adapter et à optimiser les moyens de défense traditionnels. Ainsi, les piratages sont bloqués plus efficacement en : 

Concrètement, la protection active peut prendre différentes formes : 

La gestion de la protection active correspond à un travail quotidien des administrateurs système, en liaison constante avec les RH : (re)distribuer les autorisations selon les paramètres de ceux “ayant le droit d’en connaître” et suivre les mouvements du personnel pour adapter (ou supprimer) leurs accès. 

En effet, le paramétrage des privilèges et autorisations d’accès ainsi que leur mise à jour constante nécessitent une intervention humaine. 

La surveillance des flux de données et la détection de fréquences inhabituelles de demandes d’accès requièrent des outils informatiques automatisés (couplés, en général, à l’intelligence humaine), ces derniers étant mieux adaptés aux grands volumes. 

Dans tous les cas, il est recommandé de faire appel à une société spécialisée disposant des ressources techniques nécessaires en tests d’intrusion et en “red team” : une équipe de spécialistes qui se tient très à jour des menaces, et qui monte des scénarios d’attaques possibles afin de proposer des solutions pour les contrer.

Les exemples d’actions de sécurité active sont en général tenus secrets par les entreprises et leurs prestataires – sous peine de voir leurs effets annulés. 

La protection passive est une défense pré-installée, à la manière d’un château fort muni de plusieurs enceintes successives. 

Les matériels et logiciels sont installés par design et permettent une protection automatique des systèmes. Par exemple : 

Entrent aussi en compte dans la protection passive des aspects purement matériels de protection périmétrique, voire de protection anti-incendie ou encore anti-surtensions comme des onduleurs (capables d’écrêter les pics de tension et de maintenir une tension minimale permettant le bon fonctionnement du système informatique). 

Concrètement, c’est au moment du design de l’architecture du système et de l’installation des logiciels  que les responsables SI vont concevoir ce “château fort” :

Les exemples de systèmes de sécurité passive sont nombreux, mais pas tous du même niveau. Disposer d’un extincteur c’est bien, d’un serveur redondant dans un bâtiment sécurisé contre l’incendie, c’est mieux. On se rappelle les mésaventures d’OVH avec l’incendie d’un de ses data centers. Ici, on a affaire à un double défaut de sécurité passive : d’une part la sécurisation contre l’incendie s’est avérée peu efficace, de plus les sauvegardes étaient absentes ou mal conçues.

L’installation d’antivirus ou d’anti-malwares et leur mise à jour quotidienne automatisée font aussi partie de l’arsenal des mesures qui, par construction, cerclent le système d’information de barrières de sécurité passives (parfois en couches successives) auxquelles on peut accorder confiance.

Les tactiques traditionnelles de sécurité passive inspirées du modèle du château fort, c’est-à-dire visant à se protéger automatiquement (fermeture des flux, antivirus, IPS, etc.), ne suffisent plus à elles seules, et ne sont pas adaptées pour répondre aux types de menaces actuelles. Les tactiques actives peuvent paraître lourdes, car faisant appel à des compétences pointues (souvent externalisées), mais elles sont particulièrement adaptées aux méthodes actuelles des attaquants.

Il est recommandé de ne pas attendre d’être victime pour anticiper : auditer, analyser, décortiquer les tentatives d’intrusion, puis les contrer, permet d’être proactif et de conserver un avantage par rapport aux pirates.

Il est possible de se prémunir contre tout usage non autorisé des données de l’entreprise, en les rendant incompréhensibles et donc invendables et inutilisables. 

Il s’agit du chiffrement des données :  il peut s’appliquer dès la création du fichier, et de manière transparente – c’est-à-dire que l’utilisateur ne s’aperçoit pas que le contenu qu’il reçoit ou qu’il crée est immédiatement chiffré, sans délai ni perte de temps. 

L’entreprise reste maître de son chiffrement, et se positionne comme le seul propriétaire des clés qui permettent le déchiffrement des données. 

Cette protection empêche le pirate d’exploiter son action malveillante. Et prévient ainsi l’entreprise des conséquences lourdes d’une fuite de données.

L’organisation a tout intérêt à cumuler des couches de protections passives – par construction – et actives – par une action volontaire de gestion des systèmes pour améliorer sa protection. Et pour assoir tout cela sur une base solide, à mettre en place un chiffrement systématique des données qu’elle traite et héberge.