Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Page 1 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Cybersécurité
Margaret Rouse, WhatIs.com/fr
La cybersécurité est la protection des systèmes connectés à Internet contre les
menaces informatiques visant le matériel, les logiciels et les données.
La sécurité informatique d'une entreprise comporte la cybersécurité et la
sécurité physique, toutes deux utilisées par l'entreprise pour se prémunir d'une
intrusion non autorisée à ses systèmes informatiques, dont les datacenters.
L'objectif de la cybersécurité est de limiter les risques et de protéger le parc
informatique d’assaillants aux intentions malveillantes. La sécurité informatique,
qui consiste à maintenir la confidentialité, l'intégrité et la disponibilité des
données, est un sous-ensemble de la cybersécurité.
Les grandes comme les petites organisations, les employés et les particuliers
peuvent et doivent appliquer les bonnes pratiques de la cybersécurité. La nature
des risques de sécurité et des APTs (menace persistante avancée) évolue
constamment, ce qui constitue un vrai casse-tête pour assurer la cybersécurité.
Dans son approche traditionnelle, la cybersécurité concentrait l'essentiel de ses
ressources sur les composants cruciaux des systèmes, afin de les protéger des
menaces les plus sérieuses, quitte à laisser des composants sans protection face
Page 2 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
à des risques plus mineurs. Dans le contexte actuel, les organismes de conseil
recommandent désormais une approche plus proactive et adaptative.
Le NIST, Institut américain des normes et de la technologie (National Institute of
Standards and Technology), a récemment publié une mise à jour de ses
recommandations d'évaluation de risques, dans laquelle il prône une évolution
vers un contrôle en continu et des évaluations en temps réel. La version 1.1 de
son guide « Framework for Improving Critical Infrastructure » est sortie aux
Etats-Unis en avril 2018. Son cadre de référence non-contraignant, le CSF (pour
CyberSecurity Framework), a été conçu pour les secteurs de la banque, de la
communicatoin, de la défense et de l'industrie énergétique. Il peut être repris
par tous, y compris les gouvernements et administrations (ou fédérations pour
les US). Le président Donald Trump, a imposé par décret aux agences fédérales
américaines en mai 2017, d'adopter le cadre CSF du NIST.
Objectifs de la cybersécurité
Il convient de toujours appliquer les règles de cybersécurité pour protéger les
données des entreprises, petites et grandes, comme des personnes. On entend
principalement parler des piratages de grande ampleur, mais les petites
entreprises doivent tout autant se préoccuper de leur politique de sécurité :
elles font souvent l'objet d'attaques de virus et de hameçonnage.
Page 3 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Pourquoi la cybersécurité est-elle importante ?
La cybersécurité est importante car elle contribue à protéger les données d'une
entreprise d'un piratage informatique de données qui, mise dans de mauvaises
main, pourraient nuire à l'entreprise ou aux personnes. Les archives des
organismes médicaux, du gouvernement, des entreprises et des institutions
financières regorgent d'informations personnelles. Un incident de sécurité les
concernant peut ternir la réputation d'une entreprise et/ou lui faire perdre de
l'argent. L'entreprise peut être victime de vol de données, d'effacement de
données ou de fraude.
Ce que la cybersécurité permet d'éviter
La cybersécurité permet d'éviter les atteintes aux données, les vols d'identité ou
encore le piratage par rançongiciel. Elle contribue à la gestion de risques.
Lorsqu'une entreprise met en place une politique de sécurité réseau solide
associée à un plan de réponse aux incidents efficace, elle est plus à même de
prévenir les cyberattaques ou d'en atténuer les conséquences. Face aux
nouvelles technologies, aux nouvelles tendances dans la sécurité et aux
menaces d'espionnage, c’est un défi permanent.
Types de menaces à la cybersécurité
Les menaces à la cybersécurité peuvent prendre plusieurs formes :
Page 4 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• Maliciels ( ) : type de logiciel malveillant dans lequel n'importe quel fichier ou programme peut être utilisé pour porter préjudice à l'utilisateur
d'un ordinateur, que ce soit par un vers, un virus, un cheval de Troie ou un logiciel espion.
• Rançongiciel (ransomware) : type de malware par lequel un attaquant
bloque l'accès aux fichiers système de l'ordinateur de la victime - souvent par cryptage - et exige une rançon pour révéler le code et débloquer l'ordinateur.
• Ingénierie sociale : méthode qui repose sur l'interaction humaine pour tromper l'utilisateur et contourner les procédures de sécurité afin d'accéder à des informations sensibles, généralement protégées.
• Hameçonnage (phishing) : type de fraude qui consiste à imiter des
courriels provenant de sources de confiance. L'objectif de ces messages est de voler des données sensibles telles que le code d'une carte de
crédit ou des informations de connexion.
Vecteurs de menace
Un vecteur de menace est un chemin ou un moyen par lequel l’assaillant peut
atteindre un ordinateur ou un réseau pour y déposer un intrus ou y commettre
un acte malveillant. Les vecteurs d'intrusion permettent aux pirates d'exploiter
les vulnérabilités d'un système, y compris les opérateurs humains. Les vecteurs
d'intrusion comportent notamment :
• clefs UBS et autres systèmes de stockage portables • extensions de navigateur non supportés
Page 5 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• sites internet infectés • comptes orphelins
• publicités frauduleuses
• quizz et tests de personnalité en ligne.
Les éléments de la cybersécurité
En cybersécurité, suivre en permanence l'évolution des risques de sécurité peut
se révéler un vrai casse-tête. L'approche traditionnelle consistait à concentrer
ses ressources sur les composants système cruciaux. Aujourd'hui, la
cybersécurité passe par la coordination des efforts dans le système
d'information, avec notamment :
• la sécurité des applications : diminuer la probabilité de voir du code non-autorisé réussir à manipuler les applications pour accéder aux données
sensibles, les voler, les modifier ou les détruire.
• la sécurité de l’information (infosec en anglais) : protéger les informations, quel que soit leur format, qu'elles soient en transit, en cours
de traitement ou stockées au repos.
• la sécurité réseau : détecter et prévenir les menaces puis y réagir grâce à la mise en œuvre des politiques de sécurité, d'outils logiciels et de
services informatiques.
• le plan de continuité d'activité (PCA) / plan de reprise après désastre
(PRA) : assure le maintien ou la reprise rapide des fonctions vitales pour
la mission après un désastre.
Page 6 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• la sécurité des opérations (opsec en anglais) : classifie les informations puis détermine le niveau de contrôle nécessaire pour les protéger.
• L’éducation des utilisateurs finaux : fournit des directives qui décrivent ce que les employés doivent faire, ou éviter de faire, afin de protéger les
biens de l'entreprise.
Les avantages de la cybersécurité
Une politique de cybersécurité permet de mettre en oeuvre :
• la protection de l'entreprise contre les maliciels, les raçongiciels, le hameçonnage et l’ingénierie sociale ;
• la protection des données et réseaux ; • La prévention contre l'accès aux données numérisées par des utilisateurs
non-autorisés ;
• l'amélioration du temps de récupération (RTO) après une intrusion ; • la protection des utilisateurs finaux et de leurs données personnelles ;
• l'amélioration de la confiance au sein de l'organisation.
Les défis de la cybersécurité
Les pirates (hackers), la perte de données, la protection de la vie privée, la
gestion de risques et les changements de stratégies de cybersécurité font partie
des défis constants de la cybersécurité et rien ne suggère que les menaces vont
céder le pas. D'autre part, les stratégies de sécurisation des données numériques
Page 7 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
et de protection des réseaux et des appareils doivent se développer pour faire
face à l'augmentation du nombre de points d'entrée des attaques.
La nature des risques de sécurité évolue constamment, ce qui est un vrai casse-
tête pour la cybersécurité. De nouvelles technologies émergent, les anciennes
sont utilisées différemment ou d'une manière nouvelle; les menaces se
développent dans le même temps par de nouvelles voies.
Il n’est pas facile, pour les organisations, de mettre leurs pratiques à la page et
de garder le rythme face aux changements permanents et aux progrès dans les
menaces informatiques.
Il faut notamment s'assurer que chaque aspect de la politique de cybersécurité
est constamment modifié et mis à jour pour éviter les vulnérabilités potentielles,
ce qui est un défi encore plus grand pour les petites entreprises.
De plus, aujourd'hui, les entreprises collectent un nombre croissant de données
potentielles sur les membres de leurs services, ce qui augmente la probabilité
qu'un cybercriminel veuille faire main basse sur les informations nominatives.
Une organisation qui archive des informations dans le cloud peut par exemple
subir une attaque par rançongiciel, il importe donc se prémunir contre les
risques d'intrusion dans le cloud.
La cybersécurité devra également prendre en compte l’éducation des
utilisateurs finaux, car ils sont susceptibles d'introduire accidentellement un virus
Page 8 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
au travail via leur ordinateur de travail, leur ordinateur portable ou leur
smartphone.
Enfin, la cybersécurité est fragilisée par le manque de personnel. À mesure que
la quantité de données à gérer en entreprise s’accroît, le besoin de profils
qualifiés augmente pour analyser les incidents, les gérer et y réagir. On estime à
deux millions le nombre de postes de ce type à pourvoir aujourd’hui dans le
monde, un chiffre qui devrait monter à trois millions cinq cent mille en 2021
selon Cybersecurity Ventures.
Automatisation
Les professionnels de la sécurité informatique se saisissent des progrès réalisés
récemment en apprentissage automatique et en intelligence artificielle (IA) pour
organiser et gérer les journaux de données (log data). Dans la gestion de
grandes quantités de flux de données, ils sont utiles pour :
• corréler les données en les organisant, identifier les menaces potentielles
et anticiper le « coup d'après » de l'agresseur ; • détecter les infections en créant une plateforme de sécurité qui analyse
les données et reconnait les menaces ;
• générer des protections sans épuiser les ressources ; • effectuer un audit en continu de l'efficacité des protections en place
pour s'assurer qu'elles fonctionnent.
Page 9 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Les fournisseurs de solutions en cybersécurité
En raison des risques croissants en matière de sécurité, les investissements dans
les technologies et les services de cybersécurité augmentent. Selon Gartner
(entreprise américaine de conseil et recherche), les dépenses mondiales en
produits et services de sécurité de l'information atteindront 114 milliards de
dollars en 2018 et augmenteront encore de 8,7 % pour atteindre 124 milliards
de dollars en 2019.
Les fournisseurs dans le domaine de la cybersécurité utiliseront généralement la
sécurité des points d'accès, des réseaux et la protection avancée contre les
menaces, ainsi que la prévention des pertes de données (DLP). Les trois
fournisseurs de cybersécurité les plus connus sont Cisco, McAfee et Trend
Micro.
Cisco tend à se concentrer sur les réseaux et permet à ses clients d'utiliser des
pare-feu, des réseaux privés virtuels (VPN) et une protection avancée contre les
logiciels malveillants, tout en prenant en charge la sécurité du courrier
électronique et des hôtes du système d'information. Cisco prend également en
charge le blocage des logiciels malveillants en temps réel.
McAfee fabrique des produits de cybersécurité pour les consommateurs et les
entreprises. McAfee prend en charge la sécurité mobile, les clouds d'entreprise,
Page 1 0 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
les réseaux, le web et les serveurs. La protection et le cryptage des données
sont également proposés.
Trend Micro est un fournisseur de logiciels anti-malveillance qui offre une
protection contre les menaces pour les mobiles, les clouds hybrides, le SaaS et
l'Internet des objets (IoT). Trend Micro offre aux utilisateurs une sécurité des
hôtes du système d'information, du courrier électronique et du web.
Les carrières dans la cybersécurité
À mesure que le champ d'action des cybermenaces s'étend, incluant de
nouvelles menaces comme celles à l’encontre de l'Internet des Objets (IoT), les
entreprises ont besoin de renforcer leurs équipes de profils ayant compétences
et sensibilité pour gérer la sécurité matérielle comme logicielle.
Des profils sont recherchés, informaticiens et autres spécialistes en
informatique, pour exercer des métiers liés à la sécurité, tels que :
• Responsable sécurité des systèmes d'information (RSSI) : chargé de mettre en oeuvre le programme de sécurité dans l'ensemble de
l'entreprise et de superviser les opérations du département de la sécurité informatique.
• Ingénieur sécurité : protège les données de l'entreprise des menaces,
avec un accent particulier sur le contrôle qualité de son infrastructure informatique.
Page 1 1 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• Architecte sécurité : responsable de la planification, la conception, le test, la maintenance et le support des infrastructures critiques de
l'entreprise.
• Analyste sécurité : ses responsabilités sont diverses, notamment le contrôle et la mesure de la plannification de la sécurité, la protection des
fichiers numériques et la mise en oeuvre des audits de sécurité internes et
externes.
Un peu d'histoire
L'histoire de la cybersécurité a connu plusieurs moments charnières:
• En 1971, découverte du virus Creeper, reconnu comme étant le premier virus informatique de l'histoire.
• En 1983, le Massachusetts Institute of Technology (MIT) dépose un
brevet pour une méthode et un système de communication cryptée, il s'agit du premier brevet de cybersécurité.
• Dans les années 90, les virus informatiques s'introduisent dans des millions
d'ordinateurs personnels (PC). La cybersécurité devient une préoccupation chez les particuliers, ce qui encourage la création des logiciels antivirus.
• En 1993 se tient la conférence Def Con. Elle a pour thème la cybersécurité.
• En 2003 est formé Anonymous, le premier et célèbre groupe de hackers.
• En 2013, la société américaine Target est victime d’un piratage, les données de 40 millions de cartes de crédit et de débit sont subtilisées.
Page 1 2 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• En 2016, Yahoo annonce avoir été victime de deux intrusions qui ont permis aux pirates d'accéder aux données des comptes de plus de 500
millions d'utilisateurs. • En 2017, Equifax est à son tour victime du piratage des informations
personnelles de 147 millions de personnes.
• En 2018, le règlement général sur la protection des données (RGPD) protégeant les données des utilisateurs finaux de l'Union européenne (UE)
rentre en application.
En 2018, toujours, la Californie met en œuvre le California Consumer Privacy Act
(CCPA), loi californienne de protection de données qui défend le droit des
individus à contrôler l'accès à leurs informations personnelles.
Next Article
Page 1 3 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Menace persistante avancée (APT)
Margaret Rouse, WhatIs.com/fr
Une menace persistante avancée, ou APT (Advanced Persistent Threat), est
une cyberattaque prolongée et ciblée par laquelle une personne non autorisée
accède au réseau et passe inaperçue pendant une longue période. Une attaque
APT vise généralement à surveiller l'activité réseau et à voler des données plutôt
qu'à porter atteinte au réseau ou à l'organisation.
Sont particulièrement ciblés les secteurs tels que la défense nationale, l'industrie
et la finance, où les informations sont d'une valeur capitale (propriété
intellectuelle, plans militaires et autres données issues des pouvoirs publics et
des entreprises).
La plupart des APT cherchent à obtenir un accès permanent au réseau visé
plutôt qu'à y entrer et en sortir le plus rapidement possible. Compte tenu des
efforts et des ressources à déployer pour perpétrer des attaques APT, les
pirates choisissent des cibles à forte valeur, comme les États-nations et les
grandes entreprises, leur but ultime étant de voler des informations sur une
longue durée.
Pour s'infiltrer, les groupes APT adoptent souvent des modes d'attaque évolués,
notamment les vulnérabilités « zero-day » (« jour zéro »), le hameçonnage ciblé
Page 1 4 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
(« spear phishing ») et d'autres techniques d'ingénierie sociale. Pour conserver
l'accès au réseau ciblé sans se faire repérer, les pirates multiplient les méthodes.
Ils doivent notamment réécrire du code malveillant en permanence et déployer
des techniques de dissimulation sophistiquées. Certaines menaces APT sont si
complexes que la gestion des systèmes et logiciels compromis occupe un
administrateur à temps plein.
Les raisons qui incitent les pirates à mettre en oeuvre des menaces persistantes
avancées sont nombreuses. Soutenus par des États-nations, ils peuvent par
exemple chercher à dérober une propriété intellectuelle afin d'acquérir un
avantage concurrentiel dans certaines industries. La distribution d'énergie, les
télécommunications ainsi que d'autres systèmes d'infrastructure, les réseaux
sociaux, les sociétés média et les cibles électorales et politiques en sont souvent
les victimes. Des groupes du crime organisé peuvent également recourir aux
menaces APT pour acquérir des informations qui leur serviront à mener des
actes criminels par pur appât du gain.
Si les attaques APT sont difficiles à détecter, le vol de données n'est jamais
totalement invisible. L'exfiltration de données risque toutefois d'être le seul
indice prouvant l'attaque subie par un réseau. Les professionnels de la
cybersécurité s'emploient à détecter les anomalies dans les données sortantes
pour savoir si le réseau a subi une attaque APT.
Page 1 5 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Fonctionnement d'une attaque APT
Les pirates perpétrant des attaques APT suivent les étapes majeures ci-dessous,
dans l'ordre, pour obtenir un accès permanent à un réseau ciblé :
• Accéder au réseau : pour atteindre une cible, les groupes APT visent les systèmes via Internet, en envoyant un message d'hameçonnage électronique ciblé ou en exploitant une faille de sécurité qui leur permet
d'insérer un logiciel malveillant. • Etablir un point d'ancrage : une fois l'accès à la cible établi, les pirates
peuvent approfondir leur exploration et commencer à exploiter le logiciel
malveillant qu'ils ont installé pour créer des réseaux de portes dérobées et de tunnels qui les aideront à passer inaperçus lors de leurs déplacements. Les APT peuvent s'appuyer sur des techniques
malveillantes de pointe, telles que la réécriture de code pour effacer leurs traces.
• Etendre l'attaque : une fois infiltrés dans le réseau ciblé, les acteurs APT
peuvent notamment percer un mot de passe pour obtenir des droits d'administration qui leur permettront de mieux contrôler le système et d'accéder à d'autres niveaux.
• Se déplacer latéralement : après violation des systèmes cibles et obtention des droits d'administration, ils peuvent alors se déplacer à volonté dans le réseau d'entreprise. De plus, ils peuvent tenter d'accéder
à d'autres serveurs ou à d'autres zones sécurisées du réseau. • Déployer l'attaque : à ce stade, les pirates centralisent, chiffrent et
compressent les données de façon à les exfiltrer.
Page 1 6 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• Exfiltrer les données : les pirates recueillent les données et les transfèrent vers leur propre système.
• Conserver l'accès sans se faire repérer : les cybercriminels peuvent répéter ce processus sur de longues périodes tout en restant invisibles, ou ils peuvent créer une porte dérobée afin d'accéder de nouveau au
système à leur gré.
Contrairement aux cyberattaques plus ordinaires, les campagnes APT ont
recours à des méthodes personnalisées en fonction de la cible à atteindre,
plutôt qu'à des outils plus génériques conçus pour toucher un maximum de
victimes. Les campagnes APT sévissent généralement sur de plus longues
périodes que les attaques ordinaires, celles-ci étant plus évidentes et donc plus
faciles à contrecarrer.
Exemples d'attaques persistantes avancées
Les campagnes APT portent généralement le nom de ceux qui les ont
découvertes. Cependant, bon nombre d'entre elles ayant été détectées par
plusieurs chercheurs, il arrive qu'elles soient connues sous différents noms.
Voici quelques exemples :
• Sykipot fait référence à une série d'attaques malveillantes de type APT exploitant des failles d'Adobe Reader et Acrobat. Détectées pour la
première fois en 2006, les attaques se sont poursuivies jusqu'en 2013. Les nombreuses cyberattaques menées visaient principalement les
Page 1 7 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
entreprises américaines et britanniques, en particulier les organismes gouvernementaux, les entreprises de défense et les sociétés de
télécommunications. Les pirates recouraient à l'hameçonnage électronique de façon à inclure des liens et des pièces jointes contenant des attaques zéro jour dans des messages ciblés.
• GhostNet est le nom d'une opération de cyber-espionnage découverte en 2009. Lancées depuis la Chine, les attaques reposaient sur des messages d'hameçonnage électronique accompagnés de pièces jointes
malveillantes. Des ordinateurs de plus de 100 pays en ont été les victimes. Les hackers cherchaient principalement à accéder aux réseaux des ministères et des ambassades. Ces attaques leur permettaient de
commander les dispositifs piratés et de les transformer en systèmes d'écoute et d'enregistrement en activant à distance leurs caméras et leurs capacités audio.
• Le ver Stuxnet, dont le but était de contaminer le programme nucléaire iranien, a été détecté en 2010 par des experts en cybersécurité. A l'heure actuelle, il est reconnu comme l'un des malwares les plus sophistiqués
détectés à ce jour. Il visait les systèmes SCADA (Supervisory Control and Data Acquisition) et se propageait par le biais de clés USB infectées. Les États-Unis et Israël ont tous deux été impliqués dans le développement de
Stuxnet. Si aucune des deux nations n'a officiellement reconnu son rôle dans le développement du ver, des confirmations officieuses attestent de leur responsabilité.
• APT29, dit également Cozy Bear, est un groupe de hackers russes impliqués dans un grand nombre d'attaques, notamment une attaque par hameçonnage électronique visant le Pentagone en 2015, et une autre en
2016 dirigée à l'encontre du Comité national démocrate.
Page 1 8 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
• APT28, groupe de hackers russes connu également sous les noms de Fancy Bear, Pawn Storm, Sofacy Group et Sednit, a été identifié pour la
première fois par les chercheurs en sécurité de Trend Micro en 2014. APT28 a été lié à des attaques menées contre des cibles militaires et gouvernementales d'Europe de l'Est, notamment en Ukraine et en
Géorgie. Ce groupe a également été à l'origine de campagnes visant des organisations de l'OTAN et des entreprises de défense américaines.
• APT34, groupe de cyber-espions iraniens, n'a été identifié qu'en 2017 par
les chercheurs en sécurité de FireEye, alors qu'il était actif depuis au moins 2014. Les attaques se sont essentiellement concentrées sur des pays du Moyen-Orient, dans des secteurs aussi variés que la finance, les
pouvoirs publics, l'énergie, les télécommunications ou encore l'industrie chimique.
• APT37, connu également sous les noms de Reaper, StarCruft et Group
123, est un groupe de pirates d'élite à la solde de la Corée du Nord qui serait actif depuis environ 2012. Ce groupe a perpétré plusieurs attaques d'hameçonnage électronique en exploitant une vulnérabilité zéro jour
dans Adobe Flash.
Les menaces persistantes avancées n'ont rien de nouveau, et bon nombre
d'entre elles ont été détectées dès le début des années 2000. Elles remontent à
2003, lorsque des pirates basés en Chine ont lancé l'opération Titan Rain contre
des cibles des pouvoirs publics américains dans le but de dérober des secrets
d'Etat hautement confidentiels. Les cyber-espions visaient des données
militaires ciblées et ont lancé des attaques APT à l'encontre de systèmes très
pointus des agences gouvernementales, dont la NASA et le FBI. Les experts en
Page 1 9 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
cybersécurité ont attribué ces attaques à l'armée de libération du peuple
chinois.
Caractéristiques des menaces persistantes avancées
Les attaques APT partagent souvent des caractéristiques communes, symboles
du haut degré de planification et de coordination nécessaires à la violation de
cibles de haute valeur.
Par exemple, ces attaques sont pour la plupart perpétrées en plusieurs phases : il
faut accéder au réseau, s'y implanter et étendre l'accès, puis tout faire pour
rester le plus discret possible jusqu'à ce que l'objectif de l'attaque soit atteint.
Les menaces APT se distinguent également par la multitude de leurs points
d'attaque. Elles tendent en principe à établir plusieurs points d'entrée sur les
réseaux ciblés, de façon à pouvoir conserver l'accès, même en cas de détection
de l'activité malveillante et de déclenchement de mesures de réaction face à
l'incident. Les défenseurs de la cybersécurité ne barrent alors qu'un seul axe
d'attaque.
Page 2 0 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Détection des APT
Certains signes avant-coureurs, bien que difficiles à détecter, peuvent laisser
présager l'existence d'une APT. Une fois ciblée par une APT, une organisation
peut remarquer quelques symptômes, à savoir :
• une activité inhabituelle sur les comptes des utilisateurs ; • l'utilisation intempestive d'un logiciel malveillant de type cheval de Troie
par une porte dérobée, méthode permettant aux APT de conserver l'accès ;
• une activité erratique ou étrange dans la base de données, telle qu'une augmentation soudaine d'opérations impliquant de considérables volumes de données ;
• la présence de fichiers de données inhabituels, laissant supposer que des données ont été regroupées dans des fichiers pour en faciliter
l'exfiltration.
La détection d'anomalies dans les données sortantes est probablement le
meilleur moyen dont les spécialistes de la cybersécurité disposent, pour
déterminer si un réseau a été la cible d’une attaque APT.
Next Article
Page 2 1 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
UBA (User Behavior analytics)
Margaret Rouse, WhatIs.com/fr
L'analyse du comportement des utilisateurs (User Behavior analytics, UBA)
consiste à suivre, à collecter et à analyser les données et les activités des
utilisateurs à l'aide de systèmes de surveillance.
Les technologies UBA analysent les journaux de données historiques, notamment
les journaux de réseau et d'authentification collectés et stockés par les
gestionnaires de journaux et les systèmes SIEM, pour détecter les modèles
d'utilisation liés aux comportements des utilisateurs, aussi bien inhabituels que
normaux.
Les systèmes UBA visent essentiellement à fournir des informations exploitables
aux équipes chargées de la cybersécurité. Bien que leurs conclusions ne soient
suivies d’aucune action, ils peuvent être configurés de manière à régler
automatiquement la capacité d'authentification des utilisateurs affichant un
comportement anormal.
Page 2 2 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Utilisation de l'UBA
Les systèmes d'analyse comportementale ont vu le jour au début des années
2000 comme un moyen d'aider les équipes marketing à analyser et à prévoir les
habitudes d'achat des consommateurs.
Aujourd'hui, les systèmes UBA offrent des outils de profilage et de surveillance
des exceptions plus sophistiqués que ceux des systèmes SIEM, et servent
essentiellement à deux fins.
Premièrement, ils permettent d'établir les conditions de référence : activités
normales propres à l'entreprise et à ses utilisateurs individuels.
Deuxièmement, ils sont en mesure de déceler tout écart par rapport aux
pratiques dites normales. L'UBA a recours au Big Data et aux algorithmes
d'apprentissage automatique pour évaluer ces écarts en quasi-temps réel.
Appliquées à un seul utilisateur, les technologies UBA ne permettent pas de
déjouer une activité malintentionnée. En revanche, déployées à grande échelle,
elles donnent à une entreprise les moyens de détecter des actes de
malveillance ou des menaces potentielles à la cybersécurité (malwares,
exfiltration de données, menaces internes et corruption de points terminaux, par
exemple).
Page 2 3 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Fonctionnement de l'UBA
L'UBA collecte différents types de données tels que les rôles et les fonctions des
utilisateurs (y compris les accès, les comptes et les autorisations), leur activité et
emplacement géographique, ainsi que les alertes de sécurité. Ces données
peuvent découler d'une activité passée et présente, et l'analyse prend en
compte des facteurs comme les ressources utilisées, la durée des sessions, la
connectivité et l'activité d'un groupe de pairs, pour identifier tout comportement
suspect. La mise à jour se fait automatiquement dès que des modifications sont
apportées aux données (promotions ou ajout d'autorisations, par exemple).
Les systèmes UBA ne signalent pas toutes les anomalies comme étant à risque. Ils
évaluent plutôt l'impact potentiel du comportement. Si le comportement
concerne des ressources peu sensibles, l'impact attribué sera faible. S'il vise au
contraire des données plus confidentielles, comme des informations à
caractère personnel, l'impact attribué sera plus élevé. De cette façon, les
équipes chargées de la sécurité peuvent établir des priorités sur ce qu'il convient
de suivre, pendant que le système UBA restreint ou accroît automatiquement la
capacité d'authentification de l'utilisateur présentant un comportement anormal.
Les algorithmes d'apprentissage automatique aident les systèmes UBA à réduire
le nombre de faux positifs et à donner aux équipes chargées de la cybersécurité
une idée plus claire des risques et des mesures à prendre.
Page 2 4 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Analyse du comportement des utilisateurs et des entités
(UEBA)
En 2015, le cabinet d'étude Gartner a publié un guide du marché pour ce qu'il a
appelé l'analyse du comportement des utilisateurs et des entités (UEBA).
Les technologies UEBA offrent les mêmes atouts que l'UBA traditionnelle, mais
plutôt que de s'intéresser aux seules activités des utilisateurs, elles surveillent
aussi les équipements, les applications, les serveurs et les données.
Au lieu d'analyser les comportements des utilisateurs à part, cette technologie
les croise avec les comportements des entités. Si l'UBA permet de détecter les
menaces internes, l'UEBA a recours à l'apprentissage automatique pour
rechercher les anomalies de toutes sortes susceptibles de représenter une
menace. Les entreprises utilisent souvent les outils UEBA conjointement aux
technologies SIEM pour approfondir l'analyse des informations recueillies.
Solutions d'analyse du comportement des utilisateurs
Depuis la première apparition des outils UBA, le marché s'est considérablement
développé. Parmi les principaux fournisseurs de solutions UBA, citons Splunk,
Rapid7, Gurucul, Fortscale, Exabeam, Hewlett Packard Enterprise, Niara
(rachetée par HPE en 2017) et bien d'autres encore.
Page 2 5 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Next Article
Page 2 6 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Cybersécurité : des incidents de plus en plus difficiles à cacher
Valéry Marchive, Rédacteur en chef
FireEye vient de rendre publique l’édition 2020 de la synthèse des observations
de ses équipes Mandiant, le M-Trends. Et il peut être tentant d’y lire une bonne
nouvelle : en moyenne, les assaillants sont restés tapis dans le système
d’information des organisations compromises durant 54 jours, avant d’être
débusqués, dans la région EMEA. C’est une centaine de jours de moins qu’en
2018. Mais une telle moyenne cache d’importantes disparités.
Car dans la région seulement 44 % des victimes découvrent elles-mêmes leur
condition peu enviable. Celles-ci sont les mieux loties : il leur faut 23 jours pour
s’en apercevoir. Pour les autres, qui apprennent par le biais de tiers externes
qu’elles ont été compromises, les assaillants ont eu rien moins que 301 jours pour
se promener sereinement dans le système d’information. C’est certes 173 jours
de moins qu’un an plus tôt. Mais cela n’en reste pas moins beaucoup de temps.
Qui plus est, la part des organisations qui découvrent elles-mêmes l’incident
recule, à 44 % l’an dernier, contre 56 % un an plus tôt. Pour FireEye, cette
évolution « reflète le volume de notifications que reçoivent les organisations »,
et surtout l’accroissement du nombre de sources externes « au-delà des
traditionnelles notifications des autorités ». Et de relever que certains incidents
Page 2 7 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
ne trahissent pas des attaques actives, mais des opérations passées, dont tous
les restes n’avaient pas été nettoyés.
Des délais de découverte toujours trop longs
Dans son rapport, FireEye souligne une forte réduction du délai moyen de
séjour des assaillants avant leur découverte depuis 2011, à l’échelle de toutes les
interventions de ses équipes Mandiant à travers le monde : de 416 jours à
l’époque, à 56 jours en 2019. Mais pour Adrian Sanabria, co-fondateur et
directeur de recherche chez Savage Security, il n’y a là pas grand-chose de
rassurant. Pour lui, ce délai « reste un échec complet » : « que peut faire un
attaquant en 56 jours ? Qu’y a-t-il qu’il ne puisse faire en 56 jours ? »
Pour lui, en parcourant un rapport tel que le M-Trends, il convient en fait de
garder deux choses à l’esprit. Tout d’abord, « toute donnée figurant dans ce
rapport vient, par définition, d’un échec ». Surtout, mesurer le temps de séjour
d’un assaillant « est sans intérêt tant que l’on n’atteint pas la parité avec le temps
qu’il faut à un attaquant pour réussir ». Et ce n’est qu’une affaire de jours
comme le montre la vaste majorité des incidents médiatisés. Et cela concerne
en particulier les attaques par rançongiciel : « dans le cas d’un ransomware, les
dégâts peuvent être causés en l’espace de minutes ou d’heures ».
De fait, chez ISS, différents éléments laissent à penser que les assaillants ont eu
au moins une dizaine de jours pour déployer Ryuk, comme chez Bouygues,
Page 2 8 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
même s’il s’agit d’un groupe distinct. A l’université de Maastricht, le groupe
TA505 a eu plus de deux mois. Et peut-être justement, comme d’aucuns
l’évoquent, la recrudescence des cas de ransomware entre la fin 2018 et 2019
contribue-t-elle à la réduction des délais de découverte des intrusions, car vient
un moment où l’incident saute littéralement aux yeux de la victime.
Next Article
Page 2 9 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Cybersécurité : ces acquisitions qui ont rythmé 2019
Valéry Marchive, Rédacteur en chef
Il pourrait être tentant de voir le verre à moitié plein : le nombre de jeunes
pousses se créant régulièrement dans le domaine de la sécurité informatique
trahirait l’ampleur de la tâche restant à accomplir. C’est possible. Mais ce
dynamisme trahit surtout la créativité tant des assaillants que des défenseurs. Et
tout naturellement, certaines startups ne manquent pas de s’attirer l’attention
d’acteurs plus établis qui y voient l’occasion de compléter et étendre leur offre.
Systèmes industriels : Cisco s’offre Sentryo
L’équipementier entend profiter de la technologie de la pépite française pour
renforcer son offre de sécurité des systèmes industriels. L’opération s’inscrit
dans une tendance de fond.
Sécurité des systèmes industriels : Tenable s’offre Indegy
Cette nouvelle opération de consolidation tend à confirmer que le temps est
révolu où, venant de la cybersécurité de l’IT, la carte des partenariats suffisait
pour s’attaquer au marché des systèmes opérationnels.
Page 3 0 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Sumo Logic s’invite sur le marché des alternatives au SIEM
Ce spécialiste de la gestion des journaux d’activité vient d’annoncer l’acquisition
de Jask, une jeune pousse qui se pose en concurrent de systèmes traditionnels
de gestion des informations et des événements de sécurité.
Elastic réaffirme ses ambitions avec l’acquisition d’Endgame
En mettant la main sur ce spécialiste de la détection et de remédiation sur le
poste de travail, l’éditeur élargit les perspectives de son offre alternative aux
SIEM traditionnels.
Avec enSilo, Fortinet veut offrir une visibilité complète sur l’infrastructure
Avec cette acquisition, l’équipementier se dote d’un éventail fonctionnel d’EDR
complet. De quoi obtenir une vaste visibilité sur les événements de sécurité du
système d’information, en multipliant les angles de vue.
Rapid7 poursuit ses emplettes pour compléter son offre
Avec NetFort, l’éditeur entend proposer de nouvelles capacités de surveillance
et d’analyse du trafic réseau, en environnements physiques, virtualisés et même
cloud. De quoi étendre le périmètre de son offre Insight.
Page 3 1 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Après Splunk, Palo Alto Networks s’intéresse à son tour à l’automatisation
L’équipementier serait entré en négociation pour racheter la jeune pousse
Demisto. De quoi rappeler l’acquisition de Phantom par Splunk, mais également
celle de Komand par Rapid7 ou encore d’Hexadite par Microsoft.
Sécurité : Fortinet s’offre à son tour un spécialiste de l’automatisation et de
l’orchestration
L’équipementier vient d’annoncer le rachat de CyberSponse. De quoi emboîter
le pas de FireEye, IBM, Microsoft, Splunk, Rapid7 et dernièrement Palo Alto
Networks. Mais également assécher un peu plus le marché.
Avec Verodin, FireEye mise sur l’instrumentation
Cette acquisition doit venir compléter son offre en améliorant la visibilité sur la
posture de sécurité effective d’un système d’information, en tenant compte de
ses spécificités.
Avec Rook Security, Sophos accélère le développement de son offre de
services
Page 3 2 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Ce rachat doit permettre à l’éditeur de mettre la main sur les experts qui
mettront à profit la plateforme de Darkbytes qu’il a récemment acquise. Et de
véritablement lancer son offre de services de détection et de réponse.
Next Article
Page 3 3 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
La cybersécurité à l’épreuve des utilisateurs
Marc Lafleuriel, Directeur d’Exploitation & Sécurité, Cyrès
En 2017 déjà, l’étude « The Global State of Information Security » menée par
PwC indiquait que près d’une entreprise sur trois estimait que ses collaborateurs
étaient involontairement à l’origine de certaines attaques.
Consultation de pages web douteuses, utilisation de logiciels corrompus,
ouverture de fichiers ou de lien malveillants, les possibilités d’accès au système
sont quasi illimitées par le biais du phishing.
Parce que la manipulation psychologique vise à faire croire aux utilisateurs qu’ils
évoluent sur un site sécurisé ou qu’ils échangent avec une personne accréditée,
les méthodes variées d’ingénierie sociale ne sont rien d’autre que de l’abus de
confiance. Elles exploitent tant la crédulité que le manque de formation ou de
sensibilisation à l’égard de ces pratiques.
Des fraudes massives s’appuyant sur l’envoi de spams, à l’escroquerie visant une
personne en particulier, il s’agit pour le hacker de parvenir à soutirer des
informations organisationnelles, des renseignements personnels, à conduire son
interlocuteur à réaliser une action comme le versement de fonds, mais aussi à
provoquer la suspicion. C’est notamment le cas des méthodes utilisant des
Page 3 4 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
machines fantômes, lesquelles compliquent les investigations et la remontée à la
source de l’attaque.
L’Agence Nationale de la Sécurité des Systèmes d’Information, par la voix de son
Directeur Général Guillaume Poupard, a raison d’appeler au calme et à ne pas
chercher à effrayer plus que de raison. Au demeurant, ce n’est qu’en informant
fortement et complètement les utilisateurs, que la lutte en matière de
cybersécurité a des chances de prospérer.
Le fort taux de réussite d’une bonne formation
Tous connectés, tous impliqués, tous responsables, selon les termes mêmes de
l’ANSSI, ces quelques mots expriment parfaitement l’état d’esprit dans lequel
l’entreprise et ses collaborateurs doivent évoluer.
Auditer la sécurité d’une entreprise peut (et devrait) passer par une analyse de
la perception des collaborateurs pour leur rôle et leur implication en matière de
cybersécurité. Les salariés se sentent généralement peu concernés. Ils perçoivent
le sujet comme le domaine réservé de l’équipe sécurité informatique et non
comme un engagement collectif.
Pour inverser la tendance, de nombreuses formations et supports existent pour
former son personnel à la sécurité et aux risques auxquels s’expose une société
informatisée : charte informatique, sessions d’e-learning, formations de groupe
Page 3 5 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
afin de favoriser le partage d’expérience, dispositifs ludiques et participatifs de
type quiz, tests d’intrusion en social engineering et autres serious games, jusqu’à
la mise en conditions réelles avec des sessions de live-hacking.
Et les statistiques parlent d’elles-mêmes. En général un tiers des collaborateurs
se fait piéger lors d’un premier test de mise en situation. L’année suivante seuls 3
à 5 % du personnel sont encore concernés. Un chiffre qui reste stable au fil des
ans compte tenu d’un éventuel turn-over. Avec un coût relativement faible, la
sensibilisation et la formation réduisent massivement les comportements
inadaptés et peuvent enrayer une cyberattaque même élaborée.
Next Article
Page 3 6 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Cybersécurité : une industrie toujours aussi prompte à innover
Valéry Marchive, Rédacteur en chef
Qu’elles soient vouées à être rachetées ou destinées à grandir, les jeunes
pousses de la cybersécurité continuent de fleurir dans des domaines
extrêmement variés. Au cours de l’année qui s’achève, la rédaction a eu
l’occasion de vous présenter une bonne dizaine de ces pépites, dont plusieurs
françaises.
Anomali pense déjà à l'avenir du renseignement sur les menaces
L’éditeur développe depuis plusieurs années l’une des plateformes de gestion,
de ces renseignements, les plus renommées. Il s’attèle au marché français depuis
le début de l’année qui s’achève et fait évoluer sa plateforme sans relâche.
Weakspot veut aider les entreprises à évaluer leur exposition en ligne
La jeune pousse adopte la perspective d’un attaquant potentiel, pour faire
ressortir les vecteurs d’entrée éventuels sur l'environnement d'une entreprise,
susceptible d’être exposé à son insu.
Page 3 7 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Zyroc, l’aventure de deux experts de la remédiation d’incident venus de
l’Anssi
Fort du constat d’un réel manque sur le marché, deux anciens responsables
d’opérations de cyberdéfense de l’agence ont décidé de créer leur propre
entreprise. Et le succès ne se fait pas attendre.
Arkose Labs joue l’apprentissage automatique contre le trafic Web frauduleux
Finaliste de l’Innovation Sandbox de RSA Conference 2019, cette jeune pousse
cherche à améliorer le blocage de l’accès aux sites Web aux bots, sans altérer
l’expérience des utilisateurs légitimes.
Pour lutter contre les cybermenaces, Huntress Labs se concentre sur les
modes de persistance
La jeune pousse de Baltimore, dans l’état américain du Maryland, ne prétend pas
concurrencer les outils de prévention, même les plus avancés, mais les
compléter en se penchant sur ce qui permet à un attaquant de se maintenir dans
une infrastructure compromise.
Comment Infocyte veut rendre plus accessible la chasse aux menaces
Page 3 8 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
La jeune pousse a développé une plateforme combinant agents locaux et
analyse de journaux d’activité pour donner les moyens aux analystes de
chercher aisément les menaces. Et cela à petit prix.
Guardrails, un rail de sécurité pour les développements sur GitHub
La jeune pousse veut démocratiser l’intégration de la sécurité aux processus de
développement, en jouant sur l’accessibilité économique, mais également sur
l’attractivité pour les développeurs.
Blue Hexagon mise sur l’apprentissage profond pour détecter les menaces
dans le réseau
La jeune pousse applique le deep learning à la détection de menaces dans le
trafic réseau. Mais certains experts sont réservés quant au réel potentiel de
l’approche.
Stellar Cyber renforce son offre de chasse aux menaces
La version 3.1 de sa plateforme Starlight mise largement sur l’automatisation
pour aider à la détection de menaces et de tentatives d’exploitation de
vulnérabilités, à travers le trafic réseau, mais également les logs.
Safebreach veut aider à identifier l’impact métier des défauts de sécurité
Page 3 9 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
La jeune pousse ne se contente plus de chercher les points faibles de la cuirasse
déployée par les entreprises. Elle veut désormais les mettre en perspective des
enjeux métiers.
Cyquant veut combiner prévention et assurance de la cybersécurité
La jeune pousse suisse cherche à créer un cercle vertueux entre assureurs et
consultants en sécurité informatique, pour amener les entreprises à réduire leur
exposition tout en couvrant le risque résiduel.
L’essentiel sur DataDome, spécialiste de la lutte contre les bots
Cette jeune pousse n’a que quatre ans d’existence, mais elle s’est faite une
solide réputation, comme le montrent ses références, en France et au-delà,
dans le commerce électronique et bien plus.
Youzer veut simplifier la gestion des utilisateurs pour les PME
Né chez Novatim, un spécialiste des services IT aux petites et moyennes
entreprises, cette plateforme veut aider à industrialiser la gestion des identités
en l’ouvrant aux métiers et en déchargeant ainsi les équipes informatiques.
Comment Reblaze veut offrir une protection complète des actifs Web
Page 4 0 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
La jeune pousse mise sur l’établissement d’un profil de visiteur dès le début de sa
session pour déterminer s’il est légitime. Ce profil est mis à profit par l’ensemble
des mécanismes de protection de sa solution.
Ces jeunes pousses qui veulent réenchanter le chiffrement
Entre sécurité et conformité, les cas d’usage du chiffrement ne manquent pas.
Mais si protéger les données est un impératif, pouvoir exécuter des traitements
dessus n’en est pas moins nécessaire. Plusieurs startups renouvellent la réflexion.
Next Article
Page 4 1 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Cybersécurité : la cohérence entre risques perçus et outils déployés progresse
Valéry Marchive, Rédacteur en chef
Pas de doute, les adhérents du Cesin ont bien conscience des spécificités des
menaces actuelles. Parmi les 253 membres du Club des experts de la sécurité de
l’information et du numérique, sondés par OpinionWay au tournant de l’année,
79 % des 163 répondant ayant constaté une attaque mentionnent le
hameçonnage ou le harponnage (pishing et spear-phishing) parmi les vecteurs
d’attaque ayant affecté leur entreprise au cours des douze mois passés, plaçant
ces techniques largement en tête.
En lui-même, ce chiffre ne constitue guère une surprise : ces techniques sont
largement utilisées dans la distribution de maliciels – Emotet, Trickbot, Dridex,
notamment – ouvrant la voie au déploiement de rançongiciels. Mais l’éventail
de solutions de sécurité déployées en protection s’avère cohérent avec cette
menace – du moins pour le vecteur d’entrée initial. Ainsi, 85 % des répondants
indiquent disposer d’une passerelle de sécurité de la messagerie électronique –
contre 80 % pour l’édition précédente de l’étude. Ils sont aussi 80 % à disposer
d’une solution de filtrage des URL. Mais c’est surtout l’adoption de
l’authentification à facteurs multiples qui fait un bond de 13 points, à 72 %.
Page 4 2 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Tout aussi encourageant, l’adoption des solutions d’EDR, permettant
potentiellement de gagner en visibilité sur d’éventuelles activités suspectes sur
les postes de travail et serveurs, progresse de 14 points à 34 %. Pour la visibilité
sur le trafic réseau, 58 % des sondés déclarent disposer d’un IDS/IPS, et 37 %
d’une sonde réseau – une distinction qui laisse quelque peu dubitatif lorsque l’on
pense que les sondes Gatewatcher ou Cybels Sensor de Thales sont basées
sur… un IDS, l’incontournable Suricata…
Pour autant, les attaquants parviennent à s’inviter. Dans 65 % des entreprises
représentées par les sondés, au moins une attaque a été observée au cours des
douze derniers mois, voire même entre 4 et 9 pour 14 %, entre 10 et 14 pour 9 %,
et rien moins que 15 ou plus pour 10 %. Au final, pour 40 % des sondés, le
nombre d’attaques a augmenté en un an. Et les impacts n’en ont été jugés
négligeables que par 4 % des sondés ; dans 57 % des cas, l’activité de
l’entreprise a été affectée.
En moyenne, ceux qui ont subi des attaques ont observé 2,5 conséquences, les
deux plus fréquentes étant l’usurpation d’identité et l’infection par maliciel – le
ransomware n’étant mentionné que par 25 % des sondés concernés par au moins
une attaque… tout juste un moins que pour le vol de données personnelles
(26 %).
Mais les membres du Cesin ne contentent pas de déployer des solutions de
prévention et d’attendre que survienne une attaque aux conséquences graves et
Page 4 3 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
douloureuses. Ils sont près d’un sur cinq a déjà avoir mis en place un programme
de cyber-résilience, et 36 % de plus à y travailler – et autant à l’envisager. Au
final, seuls 9 % ne s’en soucient même pas.
L’adoption de l’assurance cyber continue également de progresser – au même
rythme qu’en 2018, avec 10 points de mieux en 2019 à 60 % désormais. Et la
souscription d’un contrat de cyberassurance est en cours pour 13 % des sondés.
Toutefois, la confiance n’est pas au rendez-vous, et recule même encore. Seuls
39 % des sondés s’estiment prêts à faire face une attaque de grande ampleur.
L’an dernier, un peu plus de la moitié des sondés considérait que son entreprise
était bien placée pour résister aux menaces informatiques. A 51 %, c’était 12
points de moins qu’un an plus tôt. Surtout, lors de la précédente édition du
sondage, ils étaient 41 % à penser que leur entreprise était prête à faire face à
un incident de grande ampleur.
Next Article
Page 4 4 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Comment Essilor gagne en visibilité sur son réseau
Valéry Marchive, Rédacteur en chef
Jamal Dahmane est RSSI groupe d’Essilor. Et comme il le rappelait lors d’un
atelier organisé aux Assises de la Sécurité, début octobre dernier, ce n’est pas
une mince affaire.
Longtemps, le fabricant de verres de lunettes d’origine française, inventeur du
verre progressif, a enregistré une croissance rapide, notamment externe. Il
comptait de l’ordre de 70 000 collaborateurs à travers le monde avant son
mariage avec Luxottica, une opération annoncée début 2017 et faisant passer le
groupe à plus de 150 000 personnes.
Historiquement, Essilor était doté d’une DSI groupe chargée de définir des
normes globales et du pilotage des infrastructures de l’Essilor d’origine, avec un
certain nombre de services partagés sur lesquels le groupe s’appuie de plus en
plus. Mais la fonction RSSI était distribuée. Jamal Dahmane est ainsi le premier
RSSI groupe d’Essilor, épaulé par deux coordinateurs et 12 responsables locaux
de la sécurité.
C’est dans ce contexte qu’a émergé le besoin d’une visibilité globale sur un
système d’information notamment riche en propriétés intellectuelles, et cela
dans la perspective de la création d’un centre opérationnel de sécurité (SOC) à
Page 4 5 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
l’échelle du groupe, pensé pour la sécurité, là où les SOC existants avaient plutôt
été mis en place à des fins de conformité. Désormais, il s’agit d’homogénéiser les
pratiques, standardiser, et disposer d’une surveillance 24 h/24.
Des capacités de détection bien réelles…
L’appel d’offres en ce sens a été lancé à l’été 2018, suivi de l’établissement d’une
shortlist et de la mise en place de pilotes, avec la recherche de l’outillage. C’est
là qu’est survenue la découverte de Vectra, et son test : tout de suite, les
données remontées et la visibilité obtenue se sont avérées conséquentes. En
outre, le déploiement est apparu aisé ; un point clé pour pouvoir étendre le
projet à l’échelle du groupe, sur les systèmes IT, mais également OT. Car c’est
bien simple, pour Jamal Dahmane, la solution de Vectra est « presque plug-and-
play ».
Presque seulement, car, des réglages sont nécessaires. Le RSSI se souvient ainsi
qu’initialement, des anomalies ont été détectées parce que beaucoup de
données partaient chez Google. Las, rien de plus normal : le groupe utilise les
Google Apps.
Mais d’autres, plus significatives, ont rapidement été découvertes : des systèmes
de production infectés par WannaCry, ou un utilisateur qui téléchargeait des
données internes pour les téléverser en masse sur Internet. Un comportement
suspect vite identifié auquel il a été possible de mettre un terme rapidement.
Page 4 6 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Pour Jamal Dahmane, « ces situations ne sont pas faciles à détecter sans un tel
outil ».
Pour lui, ses équipes ont voulu comparer avec des offres concurrentes. Et il
l’assure : « Vectra arrive premier pour détecter les incidents ». Et l’exploitation
s’avère relativement peu lourde : un équivalent plein temps et demi d’analyste
pour un périmètre initial de 15 000 hôtes.
… Mais présentées de manière accessible
L’approche retenue par Vectra en termes de tableaux de bord et de rapport a
également séduit, en ce qu’elle contribue à rendre plus accessible la sécurité à
des audiences non techniques. Les événements sont classés selon la gravité et la
certitude. Mais il est possible de se pencher sur des périodes arbitraires pour
constater des évolutions.
Un quadrant est d’ailleurs dédié à cela : celui qui présente les hôtes de
l’environnement sur lesquels le comportement observé a le plus évolué sur la
période considérée. Pour Jamal Dahmane, c’est une chose à surveiller. Et il en
est sûr : « de ce que j’ai vu, la corrélation fonctionne à chaque fois ».
Un autre tableau de bord permet de présenter les activités les plus observées.
Et là, bonne nouvelle tout de même : les situations les plus graves, comme
Page 4 7 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
l’exfiltration de données, sont les moins fréquentes – « nous avons eu un cas
avéré en un an sur 70 activités relevées. »
Accessoirement, la solution de Vectra permet d’associer aux actifs surveillés un
niveau de criticité, que ce soit dans une perspective infrastructure ou métier, et
de replacer les activités qui y sont observées dans le contexte d’une chaîne
d’attaque : « de quoi avoir une représentation visuelle de ce qui s’est passé et
d’éventuellement faire le lien avec d’autres opérations ». Du moins, de plus
aisément mettre le doigt sur d’éventuelles attaques.
Next Article
Page 4 8 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Comment Vectra change le travail des analystes chez Saint Gobain
Valéry Marchive, Rédacteur en chef
C’est peu dire que l’incident NotPetya s’est avéré déterminant pour Saint
Gobain. Nicolas Fernandez, directeur de la cybersécurité du grouévoquait ainsi,
aux Assises de la Sécurité, à l’automne dernier, une véritable « prise de
conscience au niveau du conseil d’administration », avec un effet positif :
l’élaboration rapide de programmes « pour avancer ». Des programmes
couvrant trois volets : « la détection, la réaction, et la résilience », car la
« protection ne suffit pas ». Mais la réflexion était déjà engagée avant cela et les
équipes de Saint Gobain avaient déjà prévu de tester les outils de Vectra et ses
capacités de détection d’anomalies comportementales sur le réseau. Avec
NotPetya, tout s’est trouvé accéléré.
Comme le souligne Paul Lemesle, responsable du centre opérationnel de
sécurité (SOC) du groupe, l’épisode a donné une « nouvelle dimension » au SOC,
et fait peser sur lui de nouvelles attentes, avec un nouveau mandat, « très fort
en détection et réponse à incident ». Ce qui impliquait d’étendre les sources de
données collectées et analysées, intégrer le réseau, ou encore mettre en œuvre
des approches d’automatisation et d’orchestration.
Page 4 9 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Dans cette perspective, le déploiement d’outils comme ceux de Vectra ne
manque assurément pas d’intérêt. D’autant plus que l’installation initiale n’est pas
particulièrement consommatrice de ressources.
Paul Lemesle résume d’ailleurs ainsi la mise en œuvre : « c’est simple, c’est une
sonde réseau à placer au bon endroit et à connecter à Cognito », le ‘cerveau’
de Vectra. L’infrastructure de Saint Gobain recouvre 140 000 postes de travail,
répartis dans 60 pays, et 10 000 serveurs, ces derniers étant répartis sur trois
centres de calcul principaux et une dizaine de centres de calcul régionaux. C’est
le hub parisien du groupe qui a été retenu comme premier point de collecte,
« pour recevoir tout le trafic entrant et sortant des centres de calcul et des
utilisateurs ».
Comme pour un système de détection/prévention des intrusions (IDS/IPS), le
positionnement des sondes est critique. Depuis le déploiement initial, Saint
Gobain a donc sélectionné d’autres points de collecte, notamment pour couvrir
le trafic entre centres de calcul.
Paul Lemesle souligne qu’une fois une sonde déployée, « elle remonte des
détections très très vite ». A l’automne dernier, le déploiement Vectra du groupe
s’appuyait sur cinq sondes pour analyser 8 Gbps de trafic, avec des pointes à 10
Gbps. Tout cela pour offrir « une vue complète des hôtes du réseau présentant
des comportements déviants ». Et cela sur la base d’une cinquantaine de cas
Page 5 0 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
d’usage, les hôtes étant classés suivant le degré de certitude de la détection et
le niveau de danger de la menace considérée.
Reste que la mise en œuvre d’une solution de détection d’anomalies
comportementales ne va pas sans défis. Piotr Matusiak, RSSI de L’Oréal, l’avait
déjà souligné dans nos colonnes en revenant sur son déploiement de Darktrace.
Paul Lemesle estime ainsi que l’analyse comportementale du trafic réseau (NTA
pour Network Trafic Analytics), consiste en fait en un « changement de
paradigme » par l’utilisation d’un système de gestion des informations et des
événements de sécurité (SIEM) classique : « avec un SIEM, on reçoit des alertes
qu’il faut qualifier », mais avec un outil de NTA, « on a directement une
détection qualifiée ; un comportement anormal sur le réseau ». Dès lors, « la
question que l’on doit se poser est de savoir si cette anomalie est légitime ou
pas ».
« On est amené à réfléchir en termes de comportement et pas d’offense. Un
comportement anormal demande une analyse plus fine »
Responsable SOC, Saint Gobain
Paul Lemesle
Développant son propos, le responsable du SOC de Saint Gobain explique « que
l’on est amené à réfléchir en termes de comportement et pas d’offense. Un
Page 5 1 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
comportement anormal demande une analyse plus fine ». Pour lui, donc, il n’y a
jamais là de faux positif, mais des remontées sur la légitimité desquelles il faut
enquêter. Et de faire le parallèle avec les alertes que peuvent remonter les
analystes de niveau un et deux d’un prestataire de services de sécurité
managés : « pour répondre à cela, on ne déroule pas un playbook préétabli ; on
a besoin d’analystes de niveau 3, dotés d’une connaissance du métier ». Mais
également capables d’aller chercher des indices dans les traces réseau, dans
d’autres systèmes de sécurité – comme un outil de détection et de remédiation
sur les hôtes (EDR).
Paul Lemesle prend ainsi un exemple : de nombreux systèmes présentaient un
comportement anormal, typique d’un ver. Mais en fait, de maliciel il n’y avait
point : l’enquête a permis d’identifier un service lié à la suite Bartender, un outil
de gestion de codes barres en cours de déploiement par les métiers, et qui
scanne le réseau à la recherche, notamment, de son serveur de licences. De la
même manière, Cognito a alerté à l’occasion de prises en main à distance via
WebEx… en soupçonnant des communications de type Command & Control
(C2C). Mais encore une fois, pour Paul Lemesle, pas question de parler de faux
positif : une anomalie comportementale est observée, détectée ; cela justifie
une enquête.
Toutefois, dans la pratique, ce « changement de paradigme » conduit à une
évolution des besoins au sein du SOC : « les analystes de niveau 1 n’ont pas
l’expertise » nécessaire pour traiter les détections des outils de NTA ; « cela
Page 5 2 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
nécessite une adaptation complète de l’équipe, car nous avons besoin
d’analystes de plus haut niveau pour aller chercher des traces ailleurs et les
corréler ». Sans compter également « une connaissance fine du système
d’information ».
Next Article
Page 5 3 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
C2S Bouygues mise sur l’analyse comportementale et le renseignement sur les menaces
Valéry Marchive, Rédacteur en chef
La plateforme d’analyse comportementale du trafic réseau de Darktrace est en
production chez C2S Bouygues depuis la fin 2016. Avec ce choix technologique,
Marc Cierpisz, directeur de la sécurité des systèmes d’information de la filiale du
groupe Bouygues, voulait réduire l’avance que les attaquants ont sur les
défenseurs : « les outils du marché, dans leur grande majorité, ne conviennent
plus à mes besoins. Depuis une vingtaine d’années, je vois toujours la même
problématique : des solutions qui répondent à des besoins passés, pas futurs.
L’analyse comportementale, c’est à ce niveau-là que l’on peut voir et agir
rapidement sur des évolutions d’attaque que l’on ne connaît pas actuellement ».
Car outre les outils reposant sur une part d’intelligence artificielle, « dans la
plupart des cas, les solutions proposent simplement de définir des « use case »
pour détecter des profils d’attaque connus. Mais qui dit attaque connue, dit qu’à
partir du moment où il y a détection, l’attaque est déjà engagée. Et ça, je veux
l’éviter. Cela devient lassant d’être toujours en retard sur des attaques ou des
événements de sécurité. Car c’est un fait : on est toujours en retard par rapport à
des personnes malveillantes. Elles ont quelque chose que l’on n’a pas : le temps.
Et à partir du moment où eux ont du temps, ils peuvent préparer leurs scénarios
Page 5 4 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
d’attaque pour toujours avoir un coup d’avance sur les outils de sécurité que l’on
peut avoir déployés ».
Et pour rattraper le retard, Marc Cierpisz mise donc sur « l’analyse du
comportement des utilisateurs » et « la recherche d’anomalies : un commissaire
aux comptes qui vient en clôture d’exercice, c’est normal. Mais un accès qui
survient hors de cette période à 2h du matin, ce n’est peut-être pas normal. Et
sur pareil cas, j’obtiens une alerte vraiment pertinente dans la détection d’une
menace qui serait passée inaperçue dans des outils classiques de centre
opérationnel de sécurité (SOC), comme un système de gestion des informations
et des événements de sécurité (SIEM) ».
En fait, Marc Cierpisz suit de près les technologies d’apprentissage automatique
et d’intelligence artificielle depuis plusieurs années. Il se souvient de
l’émergence des premières solutions matures début 2015. Alors bien sûr, il a
également observé les éditeurs de SIEM s’intéresser progressivement à ces
technologies, à l’instar d’un Splunk avec le rachat de Caspida en juillet 2015 :
« ce sont des éditeurs qui se posent les bonnes questions, qui cherchent à
dépasser le sujet des use case, sur la base de logs collectés, analysés, corrélés.
Encore une fois, être alerté sur des scénarios d’attaque connus, cela veut dire
que les attaquants sont déjà bien installés dans le SI ».
Reste qu’aujourd’hui, son SIEM, Splunk justement, ne sert que de puits de
journaux d’activité : « avec le déploiement de Darktrace, nous avons revu toute
Page 5 5 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
l’approche de la supervision ». Et celle-ci s’articule désormais autour trois axes :
le renseignement sur les menaces – la plateforme ad hoc doit être
prochainement retenue –, « devenu aujourd’hui obligatoire » ; l’analyse du
trafic réseau pour produire les alertes ; et enfin la gestion des alertes et des
incidents.
Au total, Marc Cierpisz estime profiter de « gains de temps considérables,
profitant aux activités d’analyse, grâce à la réduction du taux de faux positifs
traditionnels des SIEM ». Et cela pour superviser plusieurs milliers d'hôtes (postes
de travail et serveurs) du groupe Bouygues – hors l’opérateur télécoms maison –
avec un SOC comptant cinq personnes.
Pour aller plus loin, le directeur de la sécurité des systèmes d’information de C2S
Bouygues cherche à déployer une solution d’orchestration et d’automatisation
(SOAR). Dans le domaine, Demisto a notamment piqué sa curiosité. Il concède
que la SOAR nécessite, pour être pleinement profitable, de disposer d’une
bonne connaissance de son SI, entre cartographique et CMDB à jour : « et c’est
une grosse problématique des entreprises. Mais Darktrace m’a permis de valider
la nôtre. Et c’est très plaisant ».
Page 5 6 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Accéder à plus de contenu exclusif PRO+
Vous avez accès à cet e-guide en tant que membre via notre offre PRO+ : une
collection de publications gratuites et offres spéciales rassemblées pour vous
par nos partenaires et sur tout notre réseau de sites internet.
L’offre PRO+ est gratuite et réservée aux membres du réseau de sites internet
TechTarget.
Profitez de tous les avantages liés à votre abonnement sur: http://www.lemagit.fr/eproducts
Images; stock.adobe.com
©2020 TechTarget. Tout ou partie de cette publication ne peut être transmise ou reproduite dans quelque forme ou de
quelque manière que ce soit sans autorisation écrite de la part de l’éditeur.
Page 5 7 of 5 8
Dans ce guide
Définitions
Tendances
Projets
Accéder à plus de
contenu exclusif PRO+
Le document consulté provient du site www.lemagit.fr
David Castaneira | Editeur
TechTarget
29 rue du Colisée, 75008 Paris
www.techtarget.com
©2020 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la forme sans l'autorisation écrite de l'éditeur.
Les réimpressions de TechTarget sont disponibles à travers The YGS Group.
TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent un accès rapide à un stock important
d'informations, de conseils, d'analyses concernant les technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les
problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du secteur.