En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Innovaphone_AnywhereWorkplace_leaderboard

Comment Home Depot et JP Morgan auraient pu éviter le pire ?

Jalios_Digital Summit 2017_pave

Au début du mois d’octobre, la banque JP Morgan Chase annonçait que le piratage dont elle avait été victime fin août avait touché 76 millions de ménages et 7 millions de PME. Une attaque comparable à celle de la chaîne de magasins Home Depot, aux États-Unis et au Canada en septembre. Vicent Bieri, Chief Product & Evangelist & Co-Founder chez Nexthink, réagit.

Les cyber-attaques font les titres de la presse presque tous les jours et il semble que personne ne soit à l'abri – Home Depot, Adobe, eBay et JP Morgan inclus. Le point commun entre ces attaques est qu’elles sont découvertes des mois après avoir été lancées! Ces cas nous donnent le sentiment que les DSI et RSSI se battent contre les cybercriminels avec les yeux fermés et les mains attachées dans le dos. Que se passe-t-il? N’y-a-t-il pas une alternative?

Il est choquant de lire les analystes et de constater que parmi les organisations avec plus de 5000 ordinateurs, plus de 90% sont compromises à un moment donné, et que dans presque 9 cas sur 10 elles ne le découvriront pas par elles-mêmes! On peut dire, qu’aujourd’hui, il existe deux type d’entreprises: celles qui savent qu’elles sont compromises et celles qui ne le savent pas encore ! Il y a clairement un manque de visibilité et de moyen d’anticipation.

Il est temps pour les DSI et RSSI de commencer à se concentrer sur la détection de menace en cours et l’atténuation des dégâts plutôt que de compter uniquement sur des moyens de protection qui sont sensés empêcher leur exécution. On constate clairement aujourd’hui que la prévention ne suffit plus, les cas reportés quasiment chaque jour montre qu’il est facile pour un adversaire de prendre le contrôle d’un ou plusieurs systèmes internes et de là, silencieusement, parfois durant des mois, rechercher et exfiltrer les informations qui finiront chez un concurrent, exposées sur Internet, ou comme moyen de négocier une rançon. Des impacts financiers, d’image et légaux sont ici en jeu. Une préoccupation qui doit aller au-delà du DSI et du RSSI dans l’entreprise. Mais que peut proposer le DSI et le RSSI à leur direction générale et à leur conseil d’administration?

Survivre à une attaque de requin est assez simple: tant que vous nagez plus vite que la personne à côté de vous, vos chances sont bonnes ! Il n'y a pas si longtemps, tant que votre entreprise avait une meilleure protection que la moyenne, vous étiez probablement à l'abri parce que quelqu'un d'autre serait touché en premier étant une cible plus facile. Aujourd’hui, bien que des attaques simples et de masse existent encore, les méthodes sont spécifiques et ciblées. Si vos données ont un intérêt, l'adversaire va créer une méthode d’attaque dédiée à votre environnement.

La plupart des dommages se passent bien après l’intrusion initiale. Dans un scénario typique, cette première phase ne prend que quelques minutes à quelques heures, le vrai dommage, cependant, se produit après que les pirates obtiennent plus de droits et d’accès une fois à l'intérieur de la cible. C'est comme découvrir une mine d'or, les pirates étudient le réseau interne de leur victime, compromettent d’autres systèmes pour étendre leur exploration et obtenir des données précieuses, pendant des mois voire des années avant d'être détecté, ou pas! Se concentrer sur cette première phase et avoir plus de visibilité et de moyen de réagir à ce moment-là donneraient un avantage au DSI et RSSI qu’ils n’ont pas aujourd’hui. Avec un système documentant et alertant une telle activité anormale, ils seraient capables d’empêcher la propagation et les dommages liés aux attaques aujourd’hui invisibles à leurs yeux.

Tous ces facteurs soulignent la nécessité d’une détection de violation robuste pour fournir une nouvelle ligne de défense contre les attaques modernes en apportant une vraie visibilité en temps-réel sur ce qui se passe dans l’entreprise avec, en appui, une analyse intelligente des informations pour révéler automatiquement des facteurs de risque, des signaux d’intrusion et des activités d’exfiltration de données. Ceci au lieu de se concentrer uniquement sur le blocage de l'intrusion à l’exécution du code malicieux initial (type anti-virus). Sans compter que dans bien des cas, ce sont des applications et des comptes utilisateurs valides qui sont utilisés pour compromettre des données, il n’y a donc même pas de code malicieux impliqué. Bien que la détection après-coup ne soit pas un nouveau concept, l'ancienne génération de systèmes de détection d'intrusion (IDS) s’appuie sur des règles et des signatures prédéfinies pour détecter les infractions et manque cruellement de visibilité sur le contexte utilisateur car placé au niveau du périmètre. Le résultat est que dans un monde d'attaques sur mesure, ces solutions sont inefficaces car ne détectent pas ce qui devrait l’être et vous inonde des centaines, voire des milliers d'alertes par jour sans moyen de lever le doute ou valider et documenter rapidement le risque en cours pour y répondre dans les meilleurs délais. Il n'est pas surprenant que les entreprises citées en introduction, comme beaucoup d'autres, ont raté les signes avant-coureurs de leurs attaques. Il n’est pas facile de chercher une aiguille spécifique dans une botte de foin remplie d’aiguilles!

La détection de violation passe par analyser une grande variété de données à volume élevé et à grande vitesse, afin de déterminer les violations potentielles. Plus important encore, les outils doivent être précis; trop de faux positifs et de leurs rapports vont rapidement être ignorés, tout comme le garçon qui criait au loup! Plutôt que de s'appuyer sur la détection de signatures connues, il s’agit de marier les techniques de big data, d’auto-apprentisage et d’expertise cybersécurité en mode collaboratif généralement dans le cloud. Il s’agit de comprendre les habitudes des utilisateurs et le comportement des machines et des applications à travers les réseaux internes et externes, ce qui leur permet de détecter des attaques ciblées et complexes, par analyse des effets post-intrusion plutôt que des méthodes d’intrusion. Et pour éviter aux professionnels de la sécurité d’être inondés dans une mer d'alertes inutiles, il faut réduire au minimum le nombre d'alertes et de fournir des interfaces utilisateur riches qui permettent l'exploration interactive d’investigations approfondies.

Un attaquant laisse inévitablement derrière lui des traces à chaque étape de l'attaque, il génère des connexions réseau, par exemple. Il se déplace à travers l'organisation d'une manière un tant soit peu différente de ce qui est normal; il va accéder à du code propriétaire sur les serveurs de développement utilisant la connexion d'un directeur des ventes, ce qui est un contexte jamais vu. Etre capable de détecter tous ces mouvements et changements, puis reconstituer les pièces du puzzle en temps réel pour agir avant que plus de dégâts importants n’aient lieu est ce qui va changer la situation actuelle des DSI et RSSI, et leur redonner la vue et délier leurs mains face au cyber-attaques pour ne plus faire les titres avec des attaques en cours depuis des mois ou des années !

 

Auteur : Juliette Paoli

Comment Home Depot et JP Morgan auraient pu éviter le pire ?
Notez cet article

Laisser un commentaire

Pénurie de compétences IT ?

Anticipez en formant vos équipes. Trois conseils aux responsables informatiques pour garder une longueur d'avance

Lire le livre blanc Vodeclic

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Avantages fiscaux d'Apple et d'Amazon : Bercy soutient les décisions de la Commission européenne

    Dans une déclaration commune, Bruno Le Maire, Gérald Darmanin et Mounir Mahjoubi se réjouissent des…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert - Entreprise : comment trouver un business Angel

    Jérôme Tarting, PDG de Clic Formalités, spécialiste en ligne du formalisme pour professionnels et particuliers,…

    > En savoir plus...
Etudes/Enquêtes
  • Dépenses informatiques : 3,7 milliards de dollars prévues en 2018

    C'est le chiffre prévu par le cabinet d'analyse Gartner. Soit une hausse de 4,3 %…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Cloud hybride : réussir l’externalisation de votre SI en 4 étapes

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
BlueMind_Nouvelle version_skycraper