Face à des cyberattaques toujours plus rapides, furtives et automatisées par l’IA, les stratégies de sécurité traditionnelles montrent leurs limites. Dans cet avis d’expert, Mukesh Gupta, Directeur des Produits et Vice-Président Exécutif de Infoblox, plaide pour un changement de paradigme : passer d’une logique de réaction à une cybersécurité véritablement préventive, capable d’intercepter les menaces avant même leur impact.
Les approches traditionnelles de détection sont de plus en plus contournées par les cyber attaquants, comme le démontre l’augmentation alarmante des cyber attaques. Ces solutions traditionnelles ne font que réagir aux symptômes déjà observés chez des « patient zéros ». Les attaquants déjouent ces outils au moyen de l’IA, générant chaque jour plus de nouveau variants. Une stratégie plus efficace consiste à cibler préventivement l’infrastructure sous-jacente à ces menaces.
Un paysage des menaces en pleine mutation
La cybercriminalité progresse à un rythme effrayant, avec des dommages mondiaux qui devraient atteindre 23 000 milliards de dollars d’ici 2027. Les cybercriminels s’appuient désormais massivement sur l’intelligence artificielle pour mener des campagnes plus furtives, plus efficaces, et ils le font notamment au moyen de l’IA en générant à la volée des malwares « sur-mesure » à usage unique pour chaque nouvelle entreprise ciblée.
Les attaquants contournent ainsi les systèmes traditionnels de détection et réponse, basés sur des signatures ou des anomalies de comportements déjà observées auprès d’un « Patient Zéro » infecté au préalable, une posture obsolète face à des menaces devenant uniques à chaque attaque.
Dans ce contexte, réagir après l’apparition d’un “Patient Zéro” n’est plus suffisant.
Passer de la réaction à la prévention
Les défenses classiques peinent à suivre le rythme. Pour relever le défi, il ne s’agit plus seulement d’améliorer l’existant mais bien de changer de paradigme, c’est-à-dire d’anticiper et bloquer les menaces avant qu’elles ne se déclenchent.
Il existe aujourd’hui une approche de cybersécurité préventive, qui s’appuie notamment sur le DNS pour intercepter les menaces dès leur origine, avant l’impact. Le DNS constitue également un point de visibilité stratégique pour tout type de machines connectées (utilisateurs où qu’ils soient, serveurs, IoT/OT, cloud), permettant de détecter et bloquer les menaces émergentes et générées par l’IA avant qu’elles n’interagissent avec ces systèmes.
S’attaquer aux réseaux de distribution des cartels plutôt qu’aux « points de deal »
L’analogie avec la lutte contre le trafic de drogue est tout à fait éloquente : Si vous essayiez de nettoyer une ville en proie à des problèmes de drogue, vous pourriez adopter l’une des deux approches suivantes :
- Vous vous attaquez aux dealers de rue. Le problème, c’est que cela revient à jouer au chat et à la souris. Vous en éliminez quelques-uns, et d’autres apparaissent aussitôt.
- Vous vous attaquez au réseau de distribution du cartel. Lorsque vous démantelez ce réseau de distribution, vous éliminez le problème à la source.
Cette même philosophie peut s’appliquer à la cybersécurité:
- Les approches de sécurité traditionnelles visant à bloquer les noms de domaines malveillants montrent leurs limites car ces domaines connus comme frauduleux nécessitent la détection d’un « Patient Zéro », mais les attaquants s’appuyant sur l’IA en créent aussitôt de nouveaux associés à de nouveaux variants de malware.
- À l’inverse, une approche préventive basée sur une Threat Intelligence DNS avancée et sur une analyse en temps réel des domaines « zero day » permet de bloquer les infrastructures (le réseau de distribution) utilisées pour distribuer ces menaces.
Alors que la plupart des solutions se contentent d’attendre l’apparition de domaines malveillants pour les détecter et les bloquer, Infoblox surveille l’ensemble de l’infrastructure DNS associée. Au cours des 18 derniers mois, plus de 75 000 domaines ont ainsi été enregistrés par l’un des acteurs malveillants suivis dans le cadre des investigations d’Infoblox. Dès qu’un nouveau domaine est acheté, il est bloqué de manière préventive, avant même de pouvoir être exploité à des fins malveillantes.
Cette approche permet de stopper les menaces en moyenne 68,4 jours plus tôt que les outils traditionnels, et d’interrompre 82 % des attaques basées sur des noms de domaine dès la première requête DNS. Aucun « patient zéro » n’est nécessaire.
En empêchant les connexions DNS malveillantes avant qu’elles ne surviennent, cette stratégie évite que du trafic dangereux n’atteigne l’infrastructure de l’entreprise, réduisant les risques, la fatigue liée aux alertes et la charge pesant sur les équipes SOC.
L’avenir de la cybersécurité est préemptif
Cette approche change profondément la posture défensive des organisations. Elle leur redonne du temps et de la visibilité, tout en renforçant leur résilience face aux cyberattaques sophistiquées. L’avenir de la cybersécurité semble se dessiner en se reposant moins sur des réactions dans l’urgence et davantage sur une prévention intelligente, et avec un objectif clair d’empêcher les attaques avant même qu’elles ne commencent.
