La visibilité au service de la protection en ligne

En ligne, la protection parfaite n’existe pas. Les cybercriminels sont en effet de plus en plus chevronnés et adoptent des techniques toujours plus sophistiquées, pour des surfaces d’attaque qui augmentent de façon exponentielle. Face à ce paysage de menaces grandissant, les professionnels de la sécurité doivent donc passer d’une idéologie purement préventive à une approche axée sur la détection précoce et la réactivité.

Il ne s’agit pas pour les experts de la cybersécurité d’éliminer tous les outils de prévention de leur arsenal, mais plutôt d’accepter le caractère provisoire des victoires.

C’est une course sans fin dont les hackers remporteront inévitablement certaines étapes en accédant aux réseaux des entreprises. La seule façon pour les organisations d’améliorer leur posture de sécurité consiste donc à se doter de la capacité de détecter, au plus tôt, tout comportement suspect afin d’en déterminer la nature et de le neutraliser, le cas échéant, dans les meilleurs délais.

Les failles sont vouées à survenir quoi qu’il arrive dans le cycle de vie d’un réseau, mais c’est la réactivité qui fait la différence. En effet, chaque fois qu’une violation majeure est découverte, nos analyses montrent que les attaquants, la plupart du temps, se sont infiltrés insidieusement dans les réseaux et ont eu accès aux systèmes ciblés pendant des semaines, voire des mois, avant d’être détectés.

Aux sempiternelles questions relatives à la remédiation ou aux outils et méthodes qui aideront les équipes IT à détecter plus rapidement les comportements suspects, une seule réponse prévaut : la visibilité. Elle est impérative car on ne peut pas sécuriser ce que l’on ne peut pas voir.

Gartner a présenté sa « triade de la visibilité » dans un rapport intitulé Applying Network-Centric Approaches for Threat Detection and Response (Application d’approches axées sur le réseau pour la détection et la réponse aux attaques). L’analyste estime ainsi que : « La sophistication croissante des attaques oblige les entreprises à utiliser de multiples sources de données pour les détecter et y réagir. Les technologies basées sur les réseaux permettent aux techniciens spécialisés d’obtenir rapidement une visibilité sur les menaces dans l’ensemble d’un environnement sans faire appel à des agents. » Ces outils : le SIEM, l’EDR et la NDR, présentent de nombreux avantages et se sont ainsi révélés complémentaires.

• Le SIEM (système de gestion des événements et des informations de sécurité) recueille et analyse des données de logs, c’est-à-dire des listes d’événements s’étant produits dans un système informatique, tels que des connexions, des erreurs ou tout autre problème. Si ces données sont collectées sur de longues périodes (à partir d’un ou deux ans, par exemple), il est alors possible de créer ses propres règles de détection personnalisées. Toutefois, ce système est extrêmement coûteux et long à mettre en œuvre. De plus, il nécessite un niveau d’expertise élevé pour assurer la rédaction des règles personnalisées. Mais la collecte de données de logs est importante pour permettre aux équipes informatiques de comprendre le fonctionnement de leurs systèmes, de les dépanner ou même de les soumettre à un audit.
  

• L’EDR (détection et réponse au niveau des points d’accès) permet pour sa part de capturer l’exécution, les connexions locales, les modifications d’un système, ainsi que les activités de la mémoire et d’autres opérations à partir des points d’accès. Ces derniers désignent différents types de terminaux, tels que les serveurs, les ordinateurs portables ou encore les téléphones, lesquels sont les plus fréquemment compromis par des utilisateurs distraits qui cliquent accidentellement sur un lien frauduleux, ne vérouillent pas leurs appareils ou ont recours à des codes confidentiels faibles, ou installent des applications ayant des vulnérabilités non corrigées, telles que des logiciels obsolètes. Ces terminaux infectés se connectent sans difficulté au réseau de l’entreprise et donnent aux hackers malveillants la possibilité de s’y déplacer librement pour accéder aux informations qu’ils convoitent. 
  

• Enfin, la NDR (détection et réponse au niveau du réseau) assure la visibilité du réseau par le biais d’outils conçus pour la capture et l’analyse du trafic. Les solutions NDR s’avèrent être l’une des technologies les plus importantes de la pile de sécurité, puisque les pirates doivent se connecter au réseau pour accéder aux données visées. Cependant le réseau reste le seul endroit où un attaquant ne peut cacher son activité dès lors que l’on peut saisir une capture de paquets (PCAP), qui contient une preuve objective en cas de violation potentielle. Certaines entreprises pensent qu’il suffit d’avoir des solutions SIEM et EDR, mais ces angles morts réseau subsistent laissant des lacunes en matière de visibilité. La seule façon de bénéficier d’une sécurité complète consiste à se doter d’une solution de surveillance du réseau.

Chacune de ces solutions est nécessaire mais présente ses propres inconvénients. Ainsi, les données de logs ne fournissent pas d’informations véritablement contextualisées, tandis que l’EDR nécessite des centaines, voire des milliers d’agents qui ne suivent pas toujours la sophistication croissante des logiciels malveillants, et dont l’empreinte matérielle est souvent incompatible pour un déploiement sur les appareils IoT. Certaines solutions NDR présentent elles aussi des inconvénients quant à la qualité des données. C’est pourquoi, ces trois solutions de sécurité peuvent et devraient être complétées par un outil de visibilité de bout en bout qui permette la capture et l’inspection approfondie des paquets (DPI) à grande échelle.

Cette approche permettra ainsi de disposer d’une riche source de métadonnées et offrira aux équipes IT la visibilité à la fois au point d’intrusion et à l’emplacement de la détection. Elles pourront ainsi examiner l’incident avant, pendant et après l’attaque et disposeront des moyens de neutraliser et de prévenir toute menace future. De cette manière, elles seront plus à même de de garder une visibilité totale sur les réseaux, de détecter toute activité inhabituelle et de garder une longueur d’avance sur les cybercriminels.