EN SAVOIR IT #8 Cybersécurité€¦ · produits et services de sécurité de l'information atteindront 114 milliards de dollars en 2018 et augmenteront encore de 8,7 % pour atteindre

Définitions : Tendances : Projets :

EN SAVOIR + IT #8

Cybersécurité

Page 1 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de

contenu exclusif PRO+

Cybersécurité

Margaret Rouse, WhatIs.com/fr

La cybersécurité est la protection des systèmes connectés à Internet contre les

menaces informatiques visant le matériel, les logiciels et les données.

La sécurité informatique d'une entreprise comporte la cybersécurité et la

sécurité physique, toutes deux utilisées par l'entreprise pour se prémunir d'une

intrusion non autorisée à ses systèmes informatiques, dont les datacenters.

L'objectif de la cybersécurité est de limiter les risques et de protéger le parc

informatique d’assaillants aux intentions malveillantes. La sécurité informatique,

qui consiste à maintenir la confidentialité, l'intégrité et la disponibilité des

données, est un sous-ensemble de la cybersécurité.

Les grandes comme les petites organisations, les employés et les particuliers

peuvent et doivent appliquer les bonnes pratiques de la cybersécurité. La nature

des risques de sécurité et des APTs (menace persistante avancée) évolue

constamment, ce qui constitue un vrai casse-tête pour assurer la cybersécurité.

Dans son approche traditionnelle, la cybersécurité concentrait l'essentiel de ses

ressources sur les composants cruciaux des systèmes, afin de les protéger des

menaces les plus sérieuses, quitte à laisser des composants sans protection face

Page 2 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


à des risques plus mineurs. Dans le contexte actuel, les organismes de conseil

recommandent désormais une approche plus proactive et adaptative.

Le NIST, Institut américain des normes et de la technologie (National Institute of

Standards and Technology), a récemment publié une mise à jour de ses

recommandations d'évaluation de risques, dans laquelle il prône une évolution

vers un contrôle en continu et des évaluations en temps réel. La version 1.1 de

son guide « Framework for Improving Critical Infrastructure » est sortie aux

Etats-Unis en avril 2018. Son cadre de référence non-contraignant, le CSF (pour

CyberSecurity Framework), a été conçu pour les secteurs de la banque, de la

communicatoin, de la défense et de l'industrie énergétique. Il peut être repris

par tous, y compris les gouvernements et administrations (ou fédérations pour

les US). Le président Donald Trump, a imposé par décret aux agences fédérales

américaines en mai 2017, d'adopter le cadre CSF du NIST.

Objectifs de la cybersécurité

Il convient de toujours appliquer les règles de cybersécurité pour protéger les

données des entreprises, petites et grandes, comme des personnes. On entend

principalement parler des piratages de grande ampleur, mais les petites

entreprises doivent tout autant se préoccuper de leur politique de sécurité :

elles font souvent l'objet d'attaques de virus et de hameçonnage.

Page 3 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Pourquoi la cybersécurité est-elle importante ?

La cybersécurité est importante car elle contribue à protéger les données d'une

entreprise d'un piratage informatique de données qui, mise dans de mauvaises

main, pourraient nuire à l'entreprise ou aux personnes. Les archives des

organismes médicaux, du gouvernement, des entreprises et des institutions

financières regorgent d'informations personnelles. Un incident de sécurité les

concernant peut ternir la réputation d'une entreprise et/ou lui faire perdre de

l'argent. L'entreprise peut être victime de vol de données, d'effacement de

données ou de fraude.

Ce que la cybersécurité permet d'éviter

La cybersécurité permet d'éviter les atteintes aux données, les vols d'identité ou

encore le piratage par rançongiciel. Elle contribue à la gestion de risques.

Lorsqu'une entreprise met en place une politique de sécurité réseau solide

associée à un plan de réponse aux incidents efficace, elle est plus à même de

prévenir les cyberattaques ou d'en atténuer les conséquences. Face aux

nouvelles technologies, aux nouvelles tendances dans la sécurité et aux

menaces d'espionnage, c’est un défi permanent.

Types de menaces à la cybersécurité

Les menaces à la cybersécurité peuvent prendre plusieurs formes :

Page 4 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• Maliciels ( ) : type de logiciel malveillant dans lequel n'importe quel fichier ou programme peut être utilisé pour porter préjudice à l'utilisateur

d'un ordinateur, que ce soit par un vers, un virus, un cheval de Troie ou un logiciel espion.

• Rançongiciel (ransomware) : type de malware par lequel un attaquant

bloque l'accès aux fichiers système de l'ordinateur de la victime - souvent par cryptage - et exige une rançon pour révéler le code et débloquer l'ordinateur.

• Ingénierie sociale : méthode qui repose sur l'interaction humaine pour tromper l'utilisateur et contourner les procédures de sécurité afin d'accéder à des informations sensibles, généralement protégées.

• Hameçonnage (phishing) : type de fraude qui consiste à imiter des

courriels provenant de sources de confiance. L'objectif de ces messages est de voler des données sensibles telles que le code d'une carte de

crédit ou des informations de connexion.

Vecteurs de menace

Un vecteur de menace est un chemin ou un moyen par lequel l’assaillant peut

atteindre un ordinateur ou un réseau pour y déposer un intrus ou y commettre

un acte malveillant. Les vecteurs d'intrusion permettent aux pirates d'exploiter

les vulnérabilités d'un système, y compris les opérateurs humains. Les vecteurs

d'intrusion comportent notamment :

• clefs UBS et autres systèmes de stockage portables • extensions de navigateur non supportés

Page 5 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• sites internet infectés • comptes orphelins

• publicités frauduleuses

• quizz et tests de personnalité en ligne.

Les éléments de la cybersécurité

En cybersécurité, suivre en permanence l'évolution des risques de sécurité peut

se révéler un vrai casse-tête. L'approche traditionnelle consistait à concentrer

ses ressources sur les composants système cruciaux. Aujourd'hui, la

cybersécurité passe par la coordination des efforts dans le système

d'information, avec notamment :

• la sécurité des applications : diminuer la probabilité de voir du code non-autorisé réussir à manipuler les applications pour accéder aux données

sensibles, les voler, les modifier ou les détruire.

• la sécurité de l’information (infosec en anglais) : protéger les informations, quel que soit leur format, qu'elles soient en transit, en cours

de traitement ou stockées au repos.

• la sécurité réseau : détecter et prévenir les menaces puis y réagir grâce à la mise en œuvre des politiques de sécurité, d'outils logiciels et de

services informatiques.

• le plan de continuité d'activité (PCA) / plan de reprise après désastre

(PRA) : assure le maintien ou la reprise rapide des fonctions vitales pour

la mission après un désastre.

Page 6 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• la sécurité des opérations (opsec en anglais) : classifie les informations puis détermine le niveau de contrôle nécessaire pour les protéger.

• L’éducation des utilisateurs finaux : fournit des directives qui décrivent ce que les employés doivent faire, ou éviter de faire, afin de protéger les

biens de l'entreprise.

Les avantages de la cybersécurité

Une politique de cybersécurité permet de mettre en oeuvre :

• la protection de l'entreprise contre les maliciels, les raçongiciels, le hameçonnage et l’ingénierie sociale ;

• la protection des données et réseaux ; • La prévention contre l'accès aux données numérisées par des utilisateurs

non-autorisés ;

• l'amélioration du temps de récupération (RTO) après une intrusion ; • la protection des utilisateurs finaux et de leurs données personnelles ;

• l'amélioration de la confiance au sein de l'organisation.

Les défis de la cybersécurité

Les pirates (hackers), la perte de données, la protection de la vie privée, la

gestion de risques et les changements de stratégies de cybersécurité font partie

des défis constants de la cybersécurité et rien ne suggère que les menaces vont

céder le pas. D'autre part, les stratégies de sécurisation des données numériques

Page 7 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


et de protection des réseaux et des appareils doivent se développer pour faire

face à l'augmentation du nombre de points d'entrée des attaques.

La nature des risques de sécurité évolue constamment, ce qui est un vrai casse-

tête pour la cybersécurité. De nouvelles technologies émergent, les anciennes

sont utilisées différemment ou d'une manière nouvelle; les menaces se

développent dans le même temps par de nouvelles voies.

Il n’est pas facile, pour les organisations, de mettre leurs pratiques à la page et

de garder le rythme face aux changements permanents et aux progrès dans les

menaces informatiques.

Il faut notamment s'assurer que chaque aspect de la politique de cybersécurité

est constamment modifié et mis à jour pour éviter les vulnérabilités potentielles,

ce qui est un défi encore plus grand pour les petites entreprises.

De plus, aujourd'hui, les entreprises collectent un nombre croissant de données

potentielles sur les membres de leurs services, ce qui augmente la probabilité

qu'un cybercriminel veuille faire main basse sur les informations nominatives.

Une organisation qui archive des informations dans le cloud peut par exemple

subir une attaque par rançongiciel, il importe donc se prémunir contre les

risques d'intrusion dans le cloud.

La cybersécurité devra également prendre en compte l’éducation des

utilisateurs finaux, car ils sont susceptibles d'introduire accidentellement un virus

Page 8 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


au travail via leur ordinateur de travail, leur ordinateur portable ou leur

smartphone.

Enfin, la cybersécurité est fragilisée par le manque de personnel. À mesure que

la quantité de données à gérer en entreprise s’accroît, le besoin de profils

qualifiés augmente pour analyser les incidents, les gérer et y réagir. On estime à

deux millions le nombre de postes de ce type à pourvoir aujourd’hui dans le

monde, un chiffre qui devrait monter à trois millions cinq cent mille en 2021

selon Cybersecurity Ventures.

Automatisation

Les professionnels de la sécurité informatique se saisissent des progrès réalisés

récemment en apprentissage automatique et en intelligence artificielle (IA) pour

organiser et gérer les journaux de données (log data). Dans la gestion de

grandes quantités de flux de données, ils sont utiles pour :

• corréler les données en les organisant, identifier les menaces potentielles

et anticiper le « coup d'après » de l'agresseur ; • détecter les infections en créant une plateforme de sécurité qui analyse

les données et reconnait les menaces ;

• générer des protections sans épuiser les ressources ; • effectuer un audit en continu de l'efficacité des protections en place

pour s'assurer qu'elles fonctionnent.

Page 9 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Les fournisseurs de solutions en cybersécurité

En raison des risques croissants en matière de sécurité, les investissements dans

les technologies et les services de cybersécurité augmentent. Selon Gartner

(entreprise américaine de conseil et recherche), les dépenses mondiales en

produits et services de sécurité de l'information atteindront 114 milliards de

dollars en 2018 et augmenteront encore de 8,7 % pour atteindre 124 milliards

de dollars en 2019.

Les fournisseurs dans le domaine de la cybersécurité utiliseront généralement la

sécurité des points d'accès, des réseaux et la protection avancée contre les

menaces, ainsi que la prévention des pertes de données (DLP). Les trois

fournisseurs de cybersécurité les plus connus sont Cisco, McAfee et Trend

Micro.

Cisco tend à se concentrer sur les réseaux et permet à ses clients d'utiliser des

pare-feu, des réseaux privés virtuels (VPN) et une protection avancée contre les

logiciels malveillants, tout en prenant en charge la sécurité du courrier

électronique et des hôtes du système d'information. Cisco prend également en

charge le blocage des logiciels malveillants en temps réel.

McAfee fabrique des produits de cybersécurité pour les consommateurs et les

entreprises. McAfee prend en charge la sécurité mobile, les clouds d'entreprise,

Page 1 0 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


les réseaux, le web et les serveurs. La protection et le cryptage des données

sont également proposés.

Trend Micro est un fournisseur de logiciels anti-malveillance qui offre une

protection contre les menaces pour les mobiles, les clouds hybrides, le SaaS et

l'Internet des objets (IoT). Trend Micro offre aux utilisateurs une sécurité des

hôtes du système d'information, du courrier électronique et du web.

Les carrières dans la cybersécurité

À mesure que le champ d'action des cybermenaces s'étend, incluant de

nouvelles menaces comme celles à l’encontre de l'Internet des Objets (IoT), les

entreprises ont besoin de renforcer leurs équipes de profils ayant compétences

et sensibilité pour gérer la sécurité matérielle comme logicielle.

Des profils sont recherchés, informaticiens et autres spécialistes en

informatique, pour exercer des métiers liés à la sécurité, tels que :

• Responsable sécurité des systèmes d'information (RSSI) : chargé de mettre en oeuvre le programme de sécurité dans l'ensemble de

l'entreprise et de superviser les opérations du département de la sécurité informatique.

• Ingénieur sécurité : protège les données de l'entreprise des menaces,

avec un accent particulier sur le contrôle qualité de son infrastructure informatique.

Page 1 1 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• Architecte sécurité : responsable de la planification, la conception, le test, la maintenance et le support des infrastructures critiques de

l'entreprise.

• Analyste sécurité : ses responsabilités sont diverses, notamment le contrôle et la mesure de la plannification de la sécurité, la protection des

fichiers numériques et la mise en oeuvre des audits de sécurité internes et

externes.

Un peu d'histoire

L'histoire de la cybersécurité a connu plusieurs moments charnières:

• En 1971, découverte du virus Creeper, reconnu comme étant le premier virus informatique de l'histoire.

• En 1983, le Massachusetts Institute of Technology (MIT) dépose un

brevet pour une méthode et un système de communication cryptée, il s'agit du premier brevet de cybersécurité.

• Dans les années 90, les virus informatiques s'introduisent dans des millions

d'ordinateurs personnels (PC). La cybersécurité devient une préoccupation chez les particuliers, ce qui encourage la création des logiciels antivirus.

• En 1993 se tient la conférence Def Con. Elle a pour thème la cybersécurité.

• En 2003 est formé Anonymous, le premier et célèbre groupe de hackers.

• En 2013, la société américaine Target est victime d’un piratage, les données de 40 millions de cartes de crédit et de débit sont subtilisées.

Page 1 2 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• En 2016, Yahoo annonce avoir été victime de deux intrusions qui ont permis aux pirates d'accéder aux données des comptes de plus de 500

millions d'utilisateurs. • En 2017, Equifax est à son tour victime du piratage des informations

personnelles de 147 millions de personnes.

• En 2018, le règlement général sur la protection des données (RGPD) protégeant les données des utilisateurs finaux de l'Union européenne (UE)

rentre en application.

En 2018, toujours, la Californie met en œuvre le California Consumer Privacy Act

(CCPA), loi californienne de protection de données qui défend le droit des

individus à contrôler l'accès à leurs informations personnelles.

Next Article

Page 1 3 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Menace persistante avancée (APT)


Une menace persistante avancée, ou APT (Advanced Persistent Threat), est

une cyberattaque prolongée et ciblée par laquelle une personne non autorisée

accède au réseau et passe inaperçue pendant une longue période. Une attaque

APT vise généralement à surveiller l'activité réseau et à voler des données plutôt

qu'à porter atteinte au réseau ou à l'organisation.

Sont particulièrement ciblés les secteurs tels que la défense nationale, l'industrie

et la finance, où les informations sont d'une valeur capitale (propriété

intellectuelle, plans militaires et autres données issues des pouvoirs publics et

des entreprises).

La plupart des APT cherchent à obtenir un accès permanent au réseau visé

plutôt qu'à y entrer et en sortir le plus rapidement possible. Compte tenu des

efforts et des ressources à déployer pour perpétrer des attaques APT, les

pirates choisissent des cibles à forte valeur, comme les États-nations et les

grandes entreprises, leur but ultime étant de voler des informations sur une

longue durée.

Pour s'infiltrer, les groupes APT adoptent souvent des modes d'attaque évolués,

notamment les vulnérabilités « zero-day » (« jour zéro »), le hameçonnage ciblé

Page 1 4 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


(« spear phishing ») et d'autres techniques d'ingénierie sociale. Pour conserver

l'accès au réseau ciblé sans se faire repérer, les pirates multiplient les méthodes.

Ils doivent notamment réécrire du code malveillant en permanence et déployer

des techniques de dissimulation sophistiquées. Certaines menaces APT sont si

complexes que la gestion des systèmes et logiciels compromis occupe un

administrateur à temps plein.

Les raisons qui incitent les pirates à mettre en oeuvre des menaces persistantes

avancées sont nombreuses. Soutenus par des États-nations, ils peuvent par

exemple chercher à dérober une propriété intellectuelle afin d'acquérir un

avantage concurrentiel dans certaines industries. La distribution d'énergie, les

télécommunications ainsi que d'autres systèmes d'infrastructure, les réseaux

sociaux, les sociétés média et les cibles électorales et politiques en sont souvent

les victimes. Des groupes du crime organisé peuvent également recourir aux

menaces APT pour acquérir des informations qui leur serviront à mener des

actes criminels par pur appât du gain.

Si les attaques APT sont difficiles à détecter, le vol de données n'est jamais

totalement invisible. L'exfiltration de données risque toutefois d'être le seul

indice prouvant l'attaque subie par un réseau. Les professionnels de la

cybersécurité s'emploient à détecter les anomalies dans les données sortantes

pour savoir si le réseau a subi une attaque APT.

Page 1 5 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Fonctionnement d'une attaque APT

Les pirates perpétrant des attaques APT suivent les étapes majeures ci-dessous,

dans l'ordre, pour obtenir un accès permanent à un réseau ciblé :

• Accéder au réseau : pour atteindre une cible, les groupes APT visent les systèmes via Internet, en envoyant un message d'hameçonnage électronique ciblé ou en exploitant une faille de sécurité qui leur permet

d'insérer un logiciel malveillant. • Etablir un point d'ancrage : une fois l'accès à la cible établi, les pirates

peuvent approfondir leur exploration et commencer à exploiter le logiciel

malveillant qu'ils ont installé pour créer des réseaux de portes dérobées et de tunnels qui les aideront à passer inaperçus lors de leurs déplacements. Les APT peuvent s'appuyer sur des techniques

malveillantes de pointe, telles que la réécriture de code pour effacer leurs traces.

• Etendre l'attaque : une fois infiltrés dans le réseau ciblé, les acteurs APT

peuvent notamment percer un mot de passe pour obtenir des droits d'administration qui leur permettront de mieux contrôler le système et d'accéder à d'autres niveaux.

• Se déplacer latéralement : après violation des systèmes cibles et obtention des droits d'administration, ils peuvent alors se déplacer à volonté dans le réseau d'entreprise. De plus, ils peuvent tenter d'accéder

à d'autres serveurs ou à d'autres zones sécurisées du réseau. • Déployer l'attaque : à ce stade, les pirates centralisent, chiffrent et

compressent les données de façon à les exfiltrer.

Page 1 6 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• Exfiltrer les données : les pirates recueillent les données et les transfèrent vers leur propre système.

• Conserver l'accès sans se faire repérer : les cybercriminels peuvent répéter ce processus sur de longues périodes tout en restant invisibles, ou ils peuvent créer une porte dérobée afin d'accéder de nouveau au

système à leur gré.

Contrairement aux cyberattaques plus ordinaires, les campagnes APT ont

recours à des méthodes personnalisées en fonction de la cible à atteindre,

plutôt qu'à des outils plus génériques conçus pour toucher un maximum de

victimes. Les campagnes APT sévissent généralement sur de plus longues

périodes que les attaques ordinaires, celles-ci étant plus évidentes et donc plus

faciles à contrecarrer.

Exemples d'attaques persistantes avancées

Les campagnes APT portent généralement le nom de ceux qui les ont

découvertes. Cependant, bon nombre d'entre elles ayant été détectées par

plusieurs chercheurs, il arrive qu'elles soient connues sous différents noms.

Voici quelques exemples :

• Sykipot fait référence à une série d'attaques malveillantes de type APT exploitant des failles d'Adobe Reader et Acrobat. Détectées pour la

première fois en 2006, les attaques se sont poursuivies jusqu'en 2013. Les nombreuses cyberattaques menées visaient principalement les

Page 1 7 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


entreprises américaines et britanniques, en particulier les organismes gouvernementaux, les entreprises de défense et les sociétés de

télécommunications. Les pirates recouraient à l'hameçonnage électronique de façon à inclure des liens et des pièces jointes contenant des attaques zéro jour dans des messages ciblés.

• GhostNet est le nom d'une opération de cyber-espionnage découverte en 2009. Lancées depuis la Chine, les attaques reposaient sur des messages d'hameçonnage électronique accompagnés de pièces jointes

malveillantes. Des ordinateurs de plus de 100 pays en ont été les victimes. Les hackers cherchaient principalement à accéder aux réseaux des ministères et des ambassades. Ces attaques leur permettaient de

commander les dispositifs piratés et de les transformer en systèmes d'écoute et d'enregistrement en activant à distance leurs caméras et leurs capacités audio.

• Le ver Stuxnet, dont le but était de contaminer le programme nucléaire iranien, a été détecté en 2010 par des experts en cybersécurité. A l'heure actuelle, il est reconnu comme l'un des malwares les plus sophistiqués

détectés à ce jour. Il visait les systèmes SCADA (Supervisory Control and Data Acquisition) et se propageait par le biais de clés USB infectées. Les États-Unis et Israël ont tous deux été impliqués dans le développement de

Stuxnet. Si aucune des deux nations n'a officiellement reconnu son rôle dans le développement du ver, des confirmations officieuses attestent de leur responsabilité.

• APT29, dit également Cozy Bear, est un groupe de hackers russes impliqués dans un grand nombre d'attaques, notamment une attaque par hameçonnage électronique visant le Pentagone en 2015, et une autre en

2016 dirigée à l'encontre du Comité national démocrate.

Page 1 8 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


• APT28, groupe de hackers russes connu également sous les noms de Fancy Bear, Pawn Storm, Sofacy Group et Sednit, a été identifié pour la

première fois par les chercheurs en sécurité de Trend Micro en 2014. APT28 a été lié à des attaques menées contre des cibles militaires et gouvernementales d'Europe de l'Est, notamment en Ukraine et en

Géorgie. Ce groupe a également été à l'origine de campagnes visant des organisations de l'OTAN et des entreprises de défense américaines.

• APT34, groupe de cyber-espions iraniens, n'a été identifié qu'en 2017 par

les chercheurs en sécurité de FireEye, alors qu'il était actif depuis au moins 2014. Les attaques se sont essentiellement concentrées sur des pays du Moyen-Orient, dans des secteurs aussi variés que la finance, les

pouvoirs publics, l'énergie, les télécommunications ou encore l'industrie chimique.

• APT37, connu également sous les noms de Reaper, StarCruft et Group

123, est un groupe de pirates d'élite à la solde de la Corée du Nord qui serait actif depuis environ 2012. Ce groupe a perpétré plusieurs attaques d'hameçonnage électronique en exploitant une vulnérabilité zéro jour

dans Adobe Flash.

Les menaces persistantes avancées n'ont rien de nouveau, et bon nombre

d'entre elles ont été détectées dès le début des années 2000. Elles remontent à

2003, lorsque des pirates basés en Chine ont lancé l'opération Titan Rain contre

des cibles des pouvoirs publics américains dans le but de dérober des secrets

d'Etat hautement confidentiels. Les cyber-espions visaient des données

militaires ciblées et ont lancé des attaques APT à l'encontre de systèmes très

pointus des agences gouvernementales, dont la NASA et le FBI. Les experts en

Page 1 9 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


cybersécurité ont attribué ces attaques à l'armée de libération du peuple

chinois.

Caractéristiques des menaces persistantes avancées

Les attaques APT partagent souvent des caractéristiques communes, symboles

du haut degré de planification et de coordination nécessaires à la violation de

cibles de haute valeur.

Par exemple, ces attaques sont pour la plupart perpétrées en plusieurs phases : il

faut accéder au réseau, s'y implanter et étendre l'accès, puis tout faire pour

rester le plus discret possible jusqu'à ce que l'objectif de l'attaque soit atteint.

Les menaces APT se distinguent également par la multitude de leurs points

d'attaque. Elles tendent en principe à établir plusieurs points d'entrée sur les

réseaux ciblés, de façon à pouvoir conserver l'accès, même en cas de détection

de l'activité malveillante et de déclenchement de mesures de réaction face à

l'incident. Les défenseurs de la cybersécurité ne barrent alors qu'un seul axe

d'attaque.

Page 2 0 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Détection des APT

Certains signes avant-coureurs, bien que difficiles à détecter, peuvent laisser

présager l'existence d'une APT. Une fois ciblée par une APT, une organisation

peut remarquer quelques symptômes, à savoir :

• une activité inhabituelle sur les comptes des utilisateurs ; • l'utilisation intempestive d'un logiciel malveillant de type cheval de Troie

par une porte dérobée, méthode permettant aux APT de conserver l'accès ;

• une activité erratique ou étrange dans la base de données, telle qu'une augmentation soudaine d'opérations impliquant de considérables volumes de données ;

• la présence de fichiers de données inhabituels, laissant supposer que des données ont été regroupées dans des fichiers pour en faciliter

l'exfiltration.

La détection d'anomalies dans les données sortantes est probablement le

meilleur moyen dont les spécialistes de la cybersécurité disposent, pour

déterminer si un réseau a été la cible d’une attaque APT.

Next Article

Page 2 1 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


UBA (User Behavior analytics)


L'analyse du comportement des utilisateurs (User Behavior analytics, UBA)

consiste à suivre, à collecter et à analyser les données et les activités des

utilisateurs à l'aide de systèmes de surveillance.

Les technologies UBA analysent les journaux de données historiques, notamment

les journaux de réseau et d'authentification collectés et stockés par les

gestionnaires de journaux et les systèmes SIEM, pour détecter les modèles

d'utilisation liés aux comportements des utilisateurs, aussi bien inhabituels que

normaux.

Les systèmes UBA visent essentiellement à fournir des informations exploitables

aux équipes chargées de la cybersécurité. Bien que leurs conclusions ne soient

suivies d’aucune action, ils peuvent être configurés de manière à régler

automatiquement la capacité d'authentification des utilisateurs affichant un

comportement anormal.

Page 2 2 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Utilisation de l'UBA

Les systèmes d'analyse comportementale ont vu le jour au début des années

2000 comme un moyen d'aider les équipes marketing à analyser et à prévoir les

habitudes d'achat des consommateurs.

Aujourd'hui, les systèmes UBA offrent des outils de profilage et de surveillance

des exceptions plus sophistiqués que ceux des systèmes SIEM, et servent

essentiellement à deux fins.

Premièrement, ils permettent d'établir les conditions de référence : activités

normales propres à l'entreprise et à ses utilisateurs individuels.

Deuxièmement, ils sont en mesure de déceler tout écart par rapport aux

pratiques dites normales. L'UBA a recours au Big Data et aux algorithmes

d'apprentissage automatique pour évaluer ces écarts en quasi-temps réel.

Appliquées à un seul utilisateur, les technologies UBA ne permettent pas de

déjouer une activité malintentionnée. En revanche, déployées à grande échelle,

elles donnent à une entreprise les moyens de détecter des actes de

malveillance ou des menaces potentielles à la cybersécurité (malwares,

exfiltration de données, menaces internes et corruption de points terminaux, par

exemple).

Page 2 3 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Fonctionnement de l'UBA

L'UBA collecte différents types de données tels que les rôles et les fonctions des

utilisateurs (y compris les accès, les comptes et les autorisations), leur activité et

emplacement géographique, ainsi que les alertes de sécurité. Ces données

peuvent découler d'une activité passée et présente, et l'analyse prend en

compte des facteurs comme les ressources utilisées, la durée des sessions, la

connectivité et l'activité d'un groupe de pairs, pour identifier tout comportement

suspect. La mise à jour se fait automatiquement dès que des modifications sont

apportées aux données (promotions ou ajout d'autorisations, par exemple).

Les systèmes UBA ne signalent pas toutes les anomalies comme étant à risque. Ils

évaluent plutôt l'impact potentiel du comportement. Si le comportement

concerne des ressources peu sensibles, l'impact attribué sera faible. S'il vise au

contraire des données plus confidentielles, comme des informations à

caractère personnel, l'impact attribué sera plus élevé. De cette façon, les

équipes chargées de la sécurité peuvent établir des priorités sur ce qu'il convient

de suivre, pendant que le système UBA restreint ou accroît automatiquement la

capacité d'authentification de l'utilisateur présentant un comportement anormal.

Les algorithmes d'apprentissage automatique aident les systèmes UBA à réduire

le nombre de faux positifs et à donner aux équipes chargées de la cybersécurité

une idée plus claire des risques et des mesures à prendre.

Page 2 4 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Analyse du comportement des utilisateurs et des entités

(UEBA)

En 2015, le cabinet d'étude Gartner a publié un guide du marché pour ce qu'il a

appelé l'analyse du comportement des utilisateurs et des entités (UEBA).

Les technologies UEBA offrent les mêmes atouts que l'UBA traditionnelle, mais

plutôt que de s'intéresser aux seules activités des utilisateurs, elles surveillent

aussi les équipements, les applications, les serveurs et les données.

Au lieu d'analyser les comportements des utilisateurs à part, cette technologie

les croise avec les comportements des entités. Si l'UBA permet de détecter les

menaces internes, l'UEBA a recours à l'apprentissage automatique pour

rechercher les anomalies de toutes sortes susceptibles de représenter une

menace. Les entreprises utilisent souvent les outils UEBA conjointement aux

technologies SIEM pour approfondir l'analyse des informations recueillies.

Solutions d'analyse du comportement des utilisateurs

Depuis la première apparition des outils UBA, le marché s'est considérablement

développé. Parmi les principaux fournisseurs de solutions UBA, citons Splunk,

Rapid7, Gurucul, Fortscale, Exabeam, Hewlett Packard Enterprise, Niara

(rachetée par HPE en 2017) et bien d'autres encore.

Page 2 5 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Next Article

Page 2 6 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Cybersécurité : des incidents de plus en plus difficiles à cacher

Valéry Marchive, Rédacteur en chef

FireEye vient de rendre publique l’édition 2020 de la synthèse des observations

de ses équipes Mandiant, le M-Trends. Et il peut être tentant d’y lire une bonne

nouvelle : en moyenne, les assaillants sont restés tapis dans le système

d’information des organisations compromises durant 54 jours, avant d’être

débusqués, dans la région EMEA. C’est une centaine de jours de moins qu’en

2018. Mais une telle moyenne cache d’importantes disparités.

Car dans la région seulement 44 % des victimes découvrent elles-mêmes leur

condition peu enviable. Celles-ci sont les mieux loties : il leur faut 23 jours pour

s’en apercevoir. Pour les autres, qui apprennent par le biais de tiers externes

qu’elles ont été compromises, les assaillants ont eu rien moins que 301 jours pour

se promener sereinement dans le système d’information. C’est certes 173 jours

de moins qu’un an plus tôt. Mais cela n’en reste pas moins beaucoup de temps.

Qui plus est, la part des organisations qui découvrent elles-mêmes l’incident

recule, à 44 % l’an dernier, contre 56 % un an plus tôt. Pour FireEye, cette

évolution « reflète le volume de notifications que reçoivent les organisations »,

et surtout l’accroissement du nombre de sources externes « au-delà des

traditionnelles notifications des autorités ». Et de relever que certains incidents

Page 2 7 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


ne trahissent pas des attaques actives, mais des opérations passées, dont tous

les restes n’avaient pas été nettoyés.

Des délais de découverte toujours trop longs

Dans son rapport, FireEye souligne une forte réduction du délai moyen de

séjour des assaillants avant leur découverte depuis 2011, à l’échelle de toutes les

interventions de ses équipes Mandiant à travers le monde : de 416 jours à

l’époque, à 56 jours en 2019. Mais pour Adrian Sanabria, co-fondateur et

directeur de recherche chez Savage Security, il n’y a là pas grand-chose de

rassurant. Pour lui, ce délai « reste un échec complet » : « que peut faire un

attaquant en 56 jours ? Qu’y a-t-il qu’il ne puisse faire en 56 jours ? »

Pour lui, en parcourant un rapport tel que le M-Trends, il convient en fait de

garder deux choses à l’esprit. Tout d’abord, « toute donnée figurant dans ce

rapport vient, par définition, d’un échec ». Surtout, mesurer le temps de séjour

d’un assaillant « est sans intérêt tant que l’on n’atteint pas la parité avec le temps

qu’il faut à un attaquant pour réussir ». Et ce n’est qu’une affaire de jours

comme le montre la vaste majorité des incidents médiatisés. Et cela concerne

en particulier les attaques par rançongiciel : « dans le cas d’un ransomware, les

dégâts peuvent être causés en l’espace de minutes ou d’heures ».

De fait, chez ISS, différents éléments laissent à penser que les assaillants ont eu

au moins une dizaine de jours pour déployer Ryuk, comme chez Bouygues,

Page 2 8 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


même s’il s’agit d’un groupe distinct. A l’université de Maastricht, le groupe

TA505 a eu plus de deux mois. Et peut-être justement, comme d’aucuns

l’évoquent, la recrudescence des cas de ransomware entre la fin 2018 et 2019

contribue-t-elle à la réduction des délais de découverte des intrusions, car vient

un moment où l’incident saute littéralement aux yeux de la victime.

Next Article

Page 2 9 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Cybersécurité : ces acquisitions qui ont rythmé 2019


Il pourrait être tentant de voir le verre à moitié plein : le nombre de jeunes

pousses se créant régulièrement dans le domaine de la sécurité informatique

trahirait l’ampleur de la tâche restant à accomplir. C’est possible. Mais ce

dynamisme trahit surtout la créativité tant des assaillants que des défenseurs. Et

tout naturellement, certaines startups ne manquent pas de s’attirer l’attention

d’acteurs plus établis qui y voient l’occasion de compléter et étendre leur offre.

Systèmes industriels : Cisco s’offre Sentryo

L’équipementier entend profiter de la technologie de la pépite française pour

renforcer son offre de sécurité des systèmes industriels. L’opération s’inscrit

dans une tendance de fond.

Sécurité des systèmes industriels : Tenable s’offre Indegy

Cette nouvelle opération de consolidation tend à confirmer que le temps est

révolu où, venant de la cybersécurité de l’IT, la carte des partenariats suffisait

pour s’attaquer au marché des systèmes opérationnels.

Page 3 0 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Sumo Logic s’invite sur le marché des alternatives au SIEM

Ce spécialiste de la gestion des journaux d’activité vient d’annoncer l’acquisition

de Jask, une jeune pousse qui se pose en concurrent de systèmes traditionnels

de gestion des informations et des événements de sécurité.

Elastic réaffirme ses ambitions avec l’acquisition d’Endgame

En mettant la main sur ce spécialiste de la détection et de remédiation sur le

poste de travail, l’éditeur élargit les perspectives de son offre alternative aux

SIEM traditionnels.

Avec enSilo, Fortinet veut offrir une visibilité complète sur l’infrastructure

Avec cette acquisition, l’équipementier se dote d’un éventail fonctionnel d’EDR

complet. De quoi obtenir une vaste visibilité sur les événements de sécurité du

système d’information, en multipliant les angles de vue.

Rapid7 poursuit ses emplettes pour compléter son offre

Avec NetFort, l’éditeur entend proposer de nouvelles capacités de surveillance

et d’analyse du trafic réseau, en environnements physiques, virtualisés et même

cloud. De quoi étendre le périmètre de son offre Insight.

Page 3 1 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Après Splunk, Palo Alto Networks s’intéresse à son tour à l’automatisation

L’équipementier serait entré en négociation pour racheter la jeune pousse

Demisto. De quoi rappeler l’acquisition de Phantom par Splunk, mais également

celle de Komand par Rapid7 ou encore d’Hexadite par Microsoft.

Sécurité : Fortinet s’offre à son tour un spécialiste de l’automatisation et de

l’orchestration

L’équipementier vient d’annoncer le rachat de CyberSponse. De quoi emboîter

le pas de FireEye, IBM, Microsoft, Splunk, Rapid7 et dernièrement Palo Alto

Networks. Mais également assécher un peu plus le marché.

Avec Verodin, FireEye mise sur l’instrumentation

Cette acquisition doit venir compléter son offre en améliorant la visibilité sur la

posture de sécurité effective d’un système d’information, en tenant compte de

ses spécificités.

Avec Rook Security, Sophos accélère le développement de son offre de

services

Page 3 2 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Ce rachat doit permettre à l’éditeur de mettre la main sur les experts qui

mettront à profit la plateforme de Darkbytes qu’il a récemment acquise. Et de

véritablement lancer son offre de services de détection et de réponse.

Next Article

Page 3 3 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


La cybersécurité à l’épreuve des utilisateurs

Marc Lafleuriel, Directeur d’Exploitation & Sécurité, Cyrès

En 2017 déjà, l’étude « The Global State of Information Security » menée par

PwC indiquait que près d’une entreprise sur trois estimait que ses collaborateurs

étaient involontairement à l’origine de certaines attaques.

Consultation de pages web douteuses, utilisation de logiciels corrompus,

ouverture de fichiers ou de lien malveillants, les possibilités d’accès au système

sont quasi illimitées par le biais du phishing.

Parce que la manipulation psychologique vise à faire croire aux utilisateurs qu’ils

évoluent sur un site sécurisé ou qu’ils échangent avec une personne accréditée,

les méthodes variées d’ingénierie sociale ne sont rien d’autre que de l’abus de

confiance. Elles exploitent tant la crédulité que le manque de formation ou de

sensibilisation à l’égard de ces pratiques.

Des fraudes massives s’appuyant sur l’envoi de spams, à l’escroquerie visant une

personne en particulier, il s’agit pour le hacker de parvenir à soutirer des

informations organisationnelles, des renseignements personnels, à conduire son

interlocuteur à réaliser une action comme le versement de fonds, mais aussi à

provoquer la suspicion. C’est notamment le cas des méthodes utilisant des

Page 3 4 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


machines fantômes, lesquelles compliquent les investigations et la remontée à la

source de l’attaque.

L’Agence Nationale de la Sécurité des Systèmes d’Information, par la voix de son

Directeur Général Guillaume Poupard, a raison d’appeler au calme et à ne pas

chercher à effrayer plus que de raison. Au demeurant, ce n’est qu’en informant

fortement et complètement les utilisateurs, que la lutte en matière de

cybersécurité a des chances de prospérer.

Le fort taux de réussite d’une bonne formation

Tous connectés, tous impliqués, tous responsables, selon les termes mêmes de

l’ANSSI, ces quelques mots expriment parfaitement l’état d’esprit dans lequel

l’entreprise et ses collaborateurs doivent évoluer.

Auditer la sécurité d’une entreprise peut (et devrait) passer par une analyse de

la perception des collaborateurs pour leur rôle et leur implication en matière de

cybersécurité. Les salariés se sentent généralement peu concernés. Ils perçoivent

le sujet comme le domaine réservé de l’équipe sécurité informatique et non

comme un engagement collectif.

Pour inverser la tendance, de nombreuses formations et supports existent pour

former son personnel à la sécurité et aux risques auxquels s’expose une société

informatisée : charte informatique, sessions d’e-learning, formations de groupe

Page 3 5 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


afin de favoriser le partage d’expérience, dispositifs ludiques et participatifs de

type quiz, tests d’intrusion en social engineering et autres serious games, jusqu’à

la mise en conditions réelles avec des sessions de live-hacking.

Et les statistiques parlent d’elles-mêmes. En général un tiers des collaborateurs

se fait piéger lors d’un premier test de mise en situation. L’année suivante seuls 3

à 5 % du personnel sont encore concernés. Un chiffre qui reste stable au fil des

ans compte tenu d’un éventuel turn-over. Avec un coût relativement faible, la

sensibilisation et la formation réduisent massivement les comportements

inadaptés et peuvent enrayer une cyberattaque même élaborée.

Next Article

Page 3 6 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Cybersécurité : une industrie toujours aussi prompte à innover


Qu’elles soient vouées à être rachetées ou destinées à grandir, les jeunes

pousses de la cybersécurité continuent de fleurir dans des domaines

extrêmement variés. Au cours de l’année qui s’achève, la rédaction a eu

l’occasion de vous présenter une bonne dizaine de ces pépites, dont plusieurs

françaises.

Anomali pense déjà à l'avenir du renseignement sur les menaces

L’éditeur développe depuis plusieurs années l’une des plateformes de gestion,

de ces renseignements, les plus renommées. Il s’attèle au marché français depuis

le début de l’année qui s’achève et fait évoluer sa plateforme sans relâche.

Weakspot veut aider les entreprises à évaluer leur exposition en ligne

La jeune pousse adopte la perspective d’un attaquant potentiel, pour faire

ressortir les vecteurs d’entrée éventuels sur l'environnement d'une entreprise,

susceptible d’être exposé à son insu.

Page 3 7 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Zyroc, l’aventure de deux experts de la remédiation d’incident venus de

l’Anssi

Fort du constat d’un réel manque sur le marché, deux anciens responsables

d’opérations de cyberdéfense de l’agence ont décidé de créer leur propre

entreprise. Et le succès ne se fait pas attendre.

Arkose Labs joue l’apprentissage automatique contre le trafic Web frauduleux

Finaliste de l’Innovation Sandbox de RSA Conference 2019, cette jeune pousse

cherche à améliorer le blocage de l’accès aux sites Web aux bots, sans altérer

l’expérience des utilisateurs légitimes.

Pour lutter contre les cybermenaces, Huntress Labs se concentre sur les

modes de persistance

La jeune pousse de Baltimore, dans l’état américain du Maryland, ne prétend pas

concurrencer les outils de prévention, même les plus avancés, mais les

compléter en se penchant sur ce qui permet à un attaquant de se maintenir dans

une infrastructure compromise.

Comment Infocyte veut rendre plus accessible la chasse aux menaces

Page 3 8 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


La jeune pousse a développé une plateforme combinant agents locaux et

analyse de journaux d’activité pour donner les moyens aux analystes de

chercher aisément les menaces. Et cela à petit prix.

Guardrails, un rail de sécurité pour les développements sur GitHub

La jeune pousse veut démocratiser l’intégration de la sécurité aux processus de

développement, en jouant sur l’accessibilité économique, mais également sur

l’attractivité pour les développeurs.

Blue Hexagon mise sur l’apprentissage profond pour détecter les menaces

dans le réseau

La jeune pousse applique le deep learning à la détection de menaces dans le

trafic réseau. Mais certains experts sont réservés quant au réel potentiel de

l’approche.

Stellar Cyber renforce son offre de chasse aux menaces

La version 3.1 de sa plateforme Starlight mise largement sur l’automatisation

pour aider à la détection de menaces et de tentatives d’exploitation de

vulnérabilités, à travers le trafic réseau, mais également les logs.

Safebreach veut aider à identifier l’impact métier des défauts de sécurité

Page 3 9 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


La jeune pousse ne se contente plus de chercher les points faibles de la cuirasse

déployée par les entreprises. Elle veut désormais les mettre en perspective des

enjeux métiers.

Cyquant veut combiner prévention et assurance de la cybersécurité

La jeune pousse suisse cherche à créer un cercle vertueux entre assureurs et

consultants en sécurité informatique, pour amener les entreprises à réduire leur

exposition tout en couvrant le risque résiduel.

L’essentiel sur DataDome, spécialiste de la lutte contre les bots

Cette jeune pousse n’a que quatre ans d’existence, mais elle s’est faite une

solide réputation, comme le montrent ses références, en France et au-delà,

dans le commerce électronique et bien plus.

Youzer veut simplifier la gestion des utilisateurs pour les PME

Né chez Novatim, un spécialiste des services IT aux petites et moyennes

entreprises, cette plateforme veut aider à industrialiser la gestion des identités

en l’ouvrant aux métiers et en déchargeant ainsi les équipes informatiques.

Comment Reblaze veut offrir une protection complète des actifs Web

Page 4 0 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


La jeune pousse mise sur l’établissement d’un profil de visiteur dès le début de sa

session pour déterminer s’il est légitime. Ce profil est mis à profit par l’ensemble

des mécanismes de protection de sa solution.

Ces jeunes pousses qui veulent réenchanter le chiffrement

Entre sécurité et conformité, les cas d’usage du chiffrement ne manquent pas.

Mais si protéger les données est un impératif, pouvoir exécuter des traitements

dessus n’en est pas moins nécessaire. Plusieurs startups renouvellent la réflexion.

Next Article

Page 4 1 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Cybersécurité : la cohérence entre risques perçus et outils déployés progresse


Pas de doute, les adhérents du Cesin ont bien conscience des spécificités des

menaces actuelles. Parmi les 253 membres du Club des experts de la sécurité de

l’information et du numérique, sondés par OpinionWay au tournant de l’année,

79 % des 163 répondant ayant constaté une attaque mentionnent le

hameçonnage ou le harponnage (pishing et spear-phishing) parmi les vecteurs

d’attaque ayant affecté leur entreprise au cours des douze mois passés, plaçant

ces techniques largement en tête.

En lui-même, ce chiffre ne constitue guère une surprise : ces techniques sont

largement utilisées dans la distribution de maliciels – Emotet, Trickbot, Dridex,

notamment – ouvrant la voie au déploiement de rançongiciels. Mais l’éventail

de solutions de sécurité déployées en protection s’avère cohérent avec cette

menace – du moins pour le vecteur d’entrée initial. Ainsi, 85 % des répondants

indiquent disposer d’une passerelle de sécurité de la messagerie électronique –

contre 80 % pour l’édition précédente de l’étude. Ils sont aussi 80 % à disposer

d’une solution de filtrage des URL. Mais c’est surtout l’adoption de

l’authentification à facteurs multiples qui fait un bond de 13 points, à 72 %.

Page 4 2 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Tout aussi encourageant, l’adoption des solutions d’EDR, permettant

potentiellement de gagner en visibilité sur d’éventuelles activités suspectes sur

les postes de travail et serveurs, progresse de 14 points à 34 %. Pour la visibilité

sur le trafic réseau, 58 % des sondés déclarent disposer d’un IDS/IPS, et 37 %

d’une sonde réseau – une distinction qui laisse quelque peu dubitatif lorsque l’on

pense que les sondes Gatewatcher ou Cybels Sensor de Thales sont basées

sur… un IDS, l’incontournable Suricata…

Pour autant, les attaquants parviennent à s’inviter. Dans 65 % des entreprises

représentées par les sondés, au moins une attaque a été observée au cours des

douze derniers mois, voire même entre 4 et 9 pour 14 %, entre 10 et 14 pour 9 %,

et rien moins que 15 ou plus pour 10 %. Au final, pour 40 % des sondés, le

nombre d’attaques a augmenté en un an. Et les impacts n’en ont été jugés

négligeables que par 4 % des sondés ; dans 57 % des cas, l’activité de

l’entreprise a été affectée.

En moyenne, ceux qui ont subi des attaques ont observé 2,5 conséquences, les

deux plus fréquentes étant l’usurpation d’identité et l’infection par maliciel – le

ransomware n’étant mentionné que par 25 % des sondés concernés par au moins

une attaque… tout juste un moins que pour le vol de données personnelles

(26 %).

Mais les membres du Cesin ne contentent pas de déployer des solutions de

prévention et d’attendre que survienne une attaque aux conséquences graves et

Page 4 3 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


douloureuses. Ils sont près d’un sur cinq a déjà avoir mis en place un programme

de cyber-résilience, et 36 % de plus à y travailler – et autant à l’envisager. Au

final, seuls 9 % ne s’en soucient même pas.

L’adoption de l’assurance cyber continue également de progresser – au même

rythme qu’en 2018, avec 10 points de mieux en 2019 à 60 % désormais. Et la

souscription d’un contrat de cyberassurance est en cours pour 13 % des sondés.

Toutefois, la confiance n’est pas au rendez-vous, et recule même encore. Seuls

39 % des sondés s’estiment prêts à faire face une attaque de grande ampleur.

L’an dernier, un peu plus de la moitié des sondés considérait que son entreprise

était bien placée pour résister aux menaces informatiques. A 51 %, c’était 12

points de moins qu’un an plus tôt. Surtout, lors de la précédente édition du

sondage, ils étaient 41 % à penser que leur entreprise était prête à faire face à

un incident de grande ampleur.

Next Article

Page 4 4 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Comment Essilor gagne en visibilité sur son réseau


Jamal Dahmane est RSSI groupe d’Essilor. Et comme il le rappelait lors d’un

atelier organisé aux Assises de la Sécurité, début octobre dernier, ce n’est pas

une mince affaire.

Longtemps, le fabricant de verres de lunettes d’origine française, inventeur du

verre progressif, a enregistré une croissance rapide, notamment externe. Il

comptait de l’ordre de 70 000 collaborateurs à travers le monde avant son

mariage avec Luxottica, une opération annoncée début 2017 et faisant passer le

groupe à plus de 150 000 personnes.

Historiquement, Essilor était doté d’une DSI groupe chargée de définir des

normes globales et du pilotage des infrastructures de l’Essilor d’origine, avec un

certain nombre de services partagés sur lesquels le groupe s’appuie de plus en

plus. Mais la fonction RSSI était distribuée. Jamal Dahmane est ainsi le premier

RSSI groupe d’Essilor, épaulé par deux coordinateurs et 12 responsables locaux

de la sécurité.

C’est dans ce contexte qu’a émergé le besoin d’une visibilité globale sur un

système d’information notamment riche en propriétés intellectuelles, et cela

dans la perspective de la création d’un centre opérationnel de sécurité (SOC) à

Page 4 5 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


l’échelle du groupe, pensé pour la sécurité, là où les SOC existants avaient plutôt

été mis en place à des fins de conformité. Désormais, il s’agit d’homogénéiser les

pratiques, standardiser, et disposer d’une surveillance 24 h/24.

Des capacités de détection bien réelles…

L’appel d’offres en ce sens a été lancé à l’été 2018, suivi de l’établissement d’une

shortlist et de la mise en place de pilotes, avec la recherche de l’outillage. C’est

là qu’est survenue la découverte de Vectra, et son test : tout de suite, les

données remontées et la visibilité obtenue se sont avérées conséquentes. En

outre, le déploiement est apparu aisé ; un point clé pour pouvoir étendre le

projet à l’échelle du groupe, sur les systèmes IT, mais également OT. Car c’est

bien simple, pour Jamal Dahmane, la solution de Vectra est « presque plug-and-

play ».

Presque seulement, car, des réglages sont nécessaires. Le RSSI se souvient ainsi

qu’initialement, des anomalies ont été détectées parce que beaucoup de

données partaient chez Google. Las, rien de plus normal : le groupe utilise les

Google Apps.

Mais d’autres, plus significatives, ont rapidement été découvertes : des systèmes

de production infectés par WannaCry, ou un utilisateur qui téléchargeait des

données internes pour les téléverser en masse sur Internet. Un comportement

suspect vite identifié auquel il a été possible de mettre un terme rapidement.

Page 4 6 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Pour Jamal Dahmane, « ces situations ne sont pas faciles à détecter sans un tel

outil ».

Pour lui, ses équipes ont voulu comparer avec des offres concurrentes. Et il

l’assure : « Vectra arrive premier pour détecter les incidents ». Et l’exploitation

s’avère relativement peu lourde : un équivalent plein temps et demi d’analyste

pour un périmètre initial de 15 000 hôtes.

… Mais présentées de manière accessible

L’approche retenue par Vectra en termes de tableaux de bord et de rapport a

également séduit, en ce qu’elle contribue à rendre plus accessible la sécurité à

des audiences non techniques. Les événements sont classés selon la gravité et la

certitude. Mais il est possible de se pencher sur des périodes arbitraires pour

constater des évolutions.

Un quadrant est d’ailleurs dédié à cela : celui qui présente les hôtes de

l’environnement sur lesquels le comportement observé a le plus évolué sur la

période considérée. Pour Jamal Dahmane, c’est une chose à surveiller. Et il en

est sûr : « de ce que j’ai vu, la corrélation fonctionne à chaque fois ».

Un autre tableau de bord permet de présenter les activités les plus observées.

Et là, bonne nouvelle tout de même : les situations les plus graves, comme

Page 4 7 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


l’exfiltration de données, sont les moins fréquentes – « nous avons eu un cas

avéré en un an sur 70 activités relevées. »

Accessoirement, la solution de Vectra permet d’associer aux actifs surveillés un

niveau de criticité, que ce soit dans une perspective infrastructure ou métier, et

de replacer les activités qui y sont observées dans le contexte d’une chaîne

d’attaque : « de quoi avoir une représentation visuelle de ce qui s’est passé et

d’éventuellement faire le lien avec d’autres opérations ». Du moins, de plus

aisément mettre le doigt sur d’éventuelles attaques.

Next Article

Page 4 8 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Comment Vectra change le travail des analystes chez Saint Gobain


C’est peu dire que l’incident NotPetya s’est avéré déterminant pour Saint

Gobain. Nicolas Fernandez, directeur de la cybersécurité du grouévoquait ainsi,

aux Assises de la Sécurité, à l’automne dernier, une véritable « prise de

conscience au niveau du conseil d’administration », avec un effet positif :

l’élaboration rapide de programmes « pour avancer ». Des programmes

couvrant trois volets : « la détection, la réaction, et la résilience », car la

« protection ne suffit pas ». Mais la réflexion était déjà engagée avant cela et les

équipes de Saint Gobain avaient déjà prévu de tester les outils de Vectra et ses

capacités de détection d’anomalies comportementales sur le réseau. Avec

NotPetya, tout s’est trouvé accéléré.

Comme le souligne Paul Lemesle, responsable du centre opérationnel de

sécurité (SOC) du groupe, l’épisode a donné une « nouvelle dimension » au SOC,

et fait peser sur lui de nouvelles attentes, avec un nouveau mandat, « très fort

en détection et réponse à incident ». Ce qui impliquait d’étendre les sources de

données collectées et analysées, intégrer le réseau, ou encore mettre en œuvre

des approches d’automatisation et d’orchestration.

Page 4 9 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Dans cette perspective, le déploiement d’outils comme ceux de Vectra ne

manque assurément pas d’intérêt. D’autant plus que l’installation initiale n’est pas

particulièrement consommatrice de ressources.

Paul Lemesle résume d’ailleurs ainsi la mise en œuvre : « c’est simple, c’est une

sonde réseau à placer au bon endroit et à connecter à Cognito », le ‘cerveau’

de Vectra. L’infrastructure de Saint Gobain recouvre 140 000 postes de travail,

répartis dans 60 pays, et 10 000 serveurs, ces derniers étant répartis sur trois

centres de calcul principaux et une dizaine de centres de calcul régionaux. C’est

le hub parisien du groupe qui a été retenu comme premier point de collecte,

« pour recevoir tout le trafic entrant et sortant des centres de calcul et des

utilisateurs ».

Comme pour un système de détection/prévention des intrusions (IDS/IPS), le

positionnement des sondes est critique. Depuis le déploiement initial, Saint

Gobain a donc sélectionné d’autres points de collecte, notamment pour couvrir

le trafic entre centres de calcul.

Paul Lemesle souligne qu’une fois une sonde déployée, « elle remonte des

détections très très vite ». A l’automne dernier, le déploiement Vectra du groupe

s’appuyait sur cinq sondes pour analyser 8 Gbps de trafic, avec des pointes à 10

Gbps. Tout cela pour offrir « une vue complète des hôtes du réseau présentant

des comportements déviants ». Et cela sur la base d’une cinquantaine de cas

Page 5 0 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


d’usage, les hôtes étant classés suivant le degré de certitude de la détection et

le niveau de danger de la menace considérée.

Reste que la mise en œuvre d’une solution de détection d’anomalies

comportementales ne va pas sans défis. Piotr Matusiak, RSSI de L’Oréal, l’avait

déjà souligné dans nos colonnes en revenant sur son déploiement de Darktrace.

Paul Lemesle estime ainsi que l’analyse comportementale du trafic réseau (NTA

pour Network Trafic Analytics), consiste en fait en un « changement de

paradigme » par l’utilisation d’un système de gestion des informations et des

événements de sécurité (SIEM) classique : « avec un SIEM, on reçoit des alertes

qu’il faut qualifier », mais avec un outil de NTA, « on a directement une

détection qualifiée ; un comportement anormal sur le réseau ». Dès lors, « la

question que l’on doit se poser est de savoir si cette anomalie est légitime ou

pas ».

« On est amené à réfléchir en termes de comportement et pas d’offense. Un

comportement anormal demande une analyse plus fine »

Responsable SOC, Saint Gobain

Paul Lemesle

Développant son propos, le responsable du SOC de Saint Gobain explique « que

l’on est amené à réfléchir en termes de comportement et pas d’offense. Un

Page 5 1 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


comportement anormal demande une analyse plus fine ». Pour lui, donc, il n’y a

jamais là de faux positif, mais des remontées sur la légitimité desquelles il faut

enquêter. Et de faire le parallèle avec les alertes que peuvent remonter les

analystes de niveau un et deux d’un prestataire de services de sécurité

managés : « pour répondre à cela, on ne déroule pas un playbook préétabli ; on

a besoin d’analystes de niveau 3, dotés d’une connaissance du métier ». Mais

également capables d’aller chercher des indices dans les traces réseau, dans

d’autres systèmes de sécurité – comme un outil de détection et de remédiation

sur les hôtes (EDR).

Paul Lemesle prend ainsi un exemple : de nombreux systèmes présentaient un

comportement anormal, typique d’un ver. Mais en fait, de maliciel il n’y avait

point : l’enquête a permis d’identifier un service lié à la suite Bartender, un outil

de gestion de codes barres en cours de déploiement par les métiers, et qui

scanne le réseau à la recherche, notamment, de son serveur de licences. De la

même manière, Cognito a alerté à l’occasion de prises en main à distance via

WebEx… en soupçonnant des communications de type Command & Control

(C2C). Mais encore une fois, pour Paul Lemesle, pas question de parler de faux

positif : une anomalie comportementale est observée, détectée ; cela justifie

une enquête.

Toutefois, dans la pratique, ce « changement de paradigme » conduit à une

évolution des besoins au sein du SOC : « les analystes de niveau 1 n’ont pas

l’expertise » nécessaire pour traiter les détections des outils de NTA ; « cela

Page 5 2 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


nécessite une adaptation complète de l’équipe, car nous avons besoin

d’analystes de plus haut niveau pour aller chercher des traces ailleurs et les

corréler ». Sans compter également « une connaissance fine du système

d’information ».

Next Article

Page 5 3 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


C2S Bouygues mise sur l’analyse comportementale et le renseignement sur les menaces


La plateforme d’analyse comportementale du trafic réseau de Darktrace est en

production chez C2S Bouygues depuis la fin 2016. Avec ce choix technologique,

Marc Cierpisz, directeur de la sécurité des systèmes d’information de la filiale du

groupe Bouygues, voulait réduire l’avance que les attaquants ont sur les

défenseurs : « les outils du marché, dans leur grande majorité, ne conviennent

plus à mes besoins. Depuis une vingtaine d’années, je vois toujours la même

problématique : des solutions qui répondent à des besoins passés, pas futurs.

L’analyse comportementale, c’est à ce niveau-là que l’on peut voir et agir

rapidement sur des évolutions d’attaque que l’on ne connaît pas actuellement ».

Car outre les outils reposant sur une part d’intelligence artificielle, « dans la

plupart des cas, les solutions proposent simplement de définir des « use case »

pour détecter des profils d’attaque connus. Mais qui dit attaque connue, dit qu’à

partir du moment où il y a détection, l’attaque est déjà engagée. Et ça, je veux

l’éviter. Cela devient lassant d’être toujours en retard sur des attaques ou des

événements de sécurité. Car c’est un fait : on est toujours en retard par rapport à

des personnes malveillantes. Elles ont quelque chose que l’on n’a pas : le temps.

Et à partir du moment où eux ont du temps, ils peuvent préparer leurs scénarios

Page 5 4 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


d’attaque pour toujours avoir un coup d’avance sur les outils de sécurité que l’on

peut avoir déployés ».

Et pour rattraper le retard, Marc Cierpisz mise donc sur « l’analyse du

comportement des utilisateurs » et « la recherche d’anomalies : un commissaire

aux comptes qui vient en clôture d’exercice, c’est normal. Mais un accès qui

survient hors de cette période à 2h du matin, ce n’est peut-être pas normal. Et

sur pareil cas, j’obtiens une alerte vraiment pertinente dans la détection d’une

menace qui serait passée inaperçue dans des outils classiques de centre

opérationnel de sécurité (SOC), comme un système de gestion des informations

et des événements de sécurité (SIEM) ».

En fait, Marc Cierpisz suit de près les technologies d’apprentissage automatique

et d’intelligence artificielle depuis plusieurs années. Il se souvient de

l’émergence des premières solutions matures début 2015. Alors bien sûr, il a

également observé les éditeurs de SIEM s’intéresser progressivement à ces

technologies, à l’instar d’un Splunk avec le rachat de Caspida en juillet 2015 :

« ce sont des éditeurs qui se posent les bonnes questions, qui cherchent à

dépasser le sujet des use case, sur la base de logs collectés, analysés, corrélés.

Encore une fois, être alerté sur des scénarios d’attaque connus, cela veut dire

que les attaquants sont déjà bien installés dans le SI ».

Reste qu’aujourd’hui, son SIEM, Splunk justement, ne sert que de puits de

journaux d’activité : « avec le déploiement de Darktrace, nous avons revu toute

Page 5 5 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


l’approche de la supervision ». Et celle-ci s’articule désormais autour trois axes :

le renseignement sur les menaces – la plateforme ad hoc doit être

prochainement retenue –, « devenu aujourd’hui obligatoire » ; l’analyse du

trafic réseau pour produire les alertes ; et enfin la gestion des alertes et des

incidents.

Au total, Marc Cierpisz estime profiter de « gains de temps considérables,

profitant aux activités d’analyse, grâce à la réduction du taux de faux positifs

traditionnels des SIEM ». Et cela pour superviser plusieurs milliers d'hôtes (postes

de travail et serveurs) du groupe Bouygues – hors l’opérateur télécoms maison –

avec un SOC comptant cinq personnes.

Pour aller plus loin, le directeur de la sécurité des systèmes d’information de C2S

Bouygues cherche à déployer une solution d’orchestration et d’automatisation

(SOAR). Dans le domaine, Demisto a notamment piqué sa curiosité. Il concède

que la SOAR nécessite, pour être pleinement profitable, de disposer d’une

bonne connaissance de son SI, entre cartographique et CMDB à jour : « et c’est

une grosse problématique des entreprises. Mais Darktrace m’a permis de valider

la nôtre. Et c’est très plaisant ».

Page 5 6 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Accéder à plus de contenu exclusif PRO+

Vous avez accès à cet e-guide en tant que membre via notre offre PRO+ : une

collection de publications gratuites et offres spéciales rassemblées pour vous

par nos partenaires et sur tout notre réseau de sites internet.

L’offre PRO+ est gratuite et réservée aux membres du réseau de sites internet

TechTarget.

Profitez de tous les avantages liés à votre abonnement sur: http://www.lemagit.fr/eproducts

Images; stock.adobe.com

©2020 TechTarget. Tout ou partie de cette publication ne peut être transmise ou reproduite dans quelque forme ou de

quelque manière que ce soit sans autorisation écrite de la part de l’éditeur.

http://www.lemagit.fr/eproducts

Page 5 7 of 5 8

Dans ce guide

Définitions

Tendances

Projets

Accéder à plus de


Le document consulté provient du site www.lemagit.fr

David Castaneira | Editeur

TechTarget

29 rue du Colisée, 75008 Paris

www.techtarget.com

©2020 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la forme sans l'autorisation écrite de l'éditeur.

Les réimpressions de TechTarget sont disponibles à travers The YGS Group.

TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent un accès rapide à un stock important

d'informations, de conseils, d'analyses concernant les technologies, les produits et les process déterminants dans vos fonctions. Nos

événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les

problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de

connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du secteur.

http://www.lemagit.fr/

http://reprints.ygsgroup.com/m/techtarget

Documents

EN SAVOIR IT #8 Cybersécurité€¦ · produits et services de sécurité de l'information atteindront 114 milliards de dollars en 2018 et augmenteront encore de 8,7 % pour atteindre