(Tribune) Détection, visibilité et réponses automatiques, points-clés en matière de cybersécurité
Avec la détection en temps réel mise en place, les entreprises peuvent désormais commencer à introduire des réponses basées sur des politiques qui répondent aux menaces potentielles à la vitesse réelle et prévenant de tous dommages.
Je m'abonneCyber-extorsion, panne de réseau, piratage de données, corruption de sites internet, contamination de bases de données, détournement d'images ou d'argent, vol de brevets... Aujourd'hui, les entreprises sont de plus en plus sensibilisées aux menaces planant sur elles. Les spécialistes de la sécurité s'accordent également tous à dire que les attaques sont plus fréquentes et destructrices et plus organisées qu'auparavant. Dans un contexte où les grandes entreprises, sont très bien équipées mais malheureusement bien souvent piratées quotidiennement, il devient capital de transférer les investissements de produits de prévention ("Bac à Sables", IPS, Pare-Feu, anti-virus...) en produits de détection et réponse.
Les hackers qui innovent et s'adaptent continuellement, avec des méthodes d'attaques toujours plus sophistiquées, doivent pousser les entreprises à l'innovation et à faire évoluer leurs capacités de défense afin de minimiser l'impact de ces agressions.
Étant donné que le coût annuel moyen du cybercrime par entreprise s'élève à 15 millions d'US$ (Etude Ponemon Institute, Cost of Cyber Crime Study 2015), en croissance de 20% par rapport à l'année dernière, il est impératif que les organisations soient en mesure de minimiser le temps entre la détection et la destruction afin de limiter les dégâts qu'une attaque peut occasionner. La prévention ne peut plus uniquement être invoquée car son efficacité diminue de jour en jour.
Un exemple récent encore puisque le 14 octobre 2015, la NCA (National Crime Agency) au Royaume Uni a lancé une alerte concernant une vague d'attaques d'une souche de malwares de type Dridex qui a permis à des cybers criminels de voler £20m (estimations des institutions financières) sur des comptes bancaires du Royaume-Uni.
Les mécanismes de détection sont très manuels, obligeant les professionnels de la sécurité à passer des heures sur des fichiers de logs et de rapports. En revanche, les attaquants sont beaucoup plus agiles et utilisent un certains nombre d'automatismes afin d'attaquer les murs de la forteresse jusqu'à ce qu'ils cèdent. Le flux constant d'attaques complexes réussies souligne que les modèles de sécurité existants ne sont tout simplement plus assez efficaces. Suivant les différents rapports d'analystes il faudrait en moyenne 197 jours afin de détecter une compromission avec un délai moyen de résolution d'une cyberattaque de 46 jours en augmentation d'environ 30% sur les 6 dernières années.
L'automatisation, LA réponse aux différentes nouvelles menaces ?
L'automatisation est largement considérée par les analystes tels que Forester ou Gartner comme la clé dans la lutte contre ces attaques de plus en plus automatisées. Par exemple, ce type de processus peut être capable de bloquer des redirections vers des sites web malveillants, de stopper des processus malveillants, de mettre en quarantaine des fichiers infectés ou de réinitialiser/expirer des informations d'identification de l'utilisateur à la vitesse du réseau et de façon automatisée et orchestrée.
Avec la détection en temps réel mise en place, les entreprises peuvent désormais commencer à introduire des réponses basées sur des politiques qui répondent aux menaces potentielles à la vitesse réelle et prévenant de tous dommages. Compte tenu de la régularité avec laquelle les pirates passent à travers les défenses périmétriques et se livrent à des attaques persistantes et avancées, la surveillance continue fournit une couche supplémentaire de sécurité qui reste vigilante lorsque les mesures préventives échouent.
Aujourd'hui, de plus en plus de solutions peuvent permettre d'enrayer ces menaces. La première étape majeure réside dans la fusion de la détection réseau avec celle du poste de travail et du déclenchement de contremesures en temps réel. Ceci offrira la possibilité aux organisations de fonctionner à la même vitesse que les cybercriminels et de déployer des mécanismes de défense qui limitent la surface d'exposition.