Les défenseurs des systèmes doivent protéger l’ensemble des points d’entrée susceptibles de subir une attaque, tandis que les pirates informatiques se contentent d’exploiter une seule vulnérabilité. Une asymétrie qui joue en faveur du hacker et qui doit être corrigée nous soutient Pascal Beurel, directeur technique Europe chez Gigamon.
Selon le dernier rapport annuel sur la sécurité publié par Cisco, le nombre d’entreprises qui affirment que leurs infrastructures de sécurité sont à jour a chuté de 10 % en 2015, et ce malgré le renforcement continu des campagnes de sensibilisation à la cybersécurité auprès des entreprises. Ces incohérences contribuent, entre autres, au déséquilibre qui oppose aujourd’hui les hackers aux défenseurs des systèmes. Ces derniers doivent en effet protéger l’ensemble des points d’entrée susceptibles de subir une attaque, tandis que les pirates informatiques se contentent, pour leur part, de n’exploiter qu’une seule vulnérabilité. Une asymétrie qui joue en faveur du hacker et qui doit être corrigée.
La plupart des déploiements de sécurité actuels s’appuient sur un modèle centré sur le périmètre qui restreint la pénétration des malwares et des menaces dans le système, tout en visant à protéger les utilisateurs et les données qui s’y trouvent. Toutefois, la nature même des attaques a évolué au cours des dernières années et change ce paradigme. Tandis que par le passé les virus et vers informatiques se propageaient rapidement en causant des dégâts sur leur passage, la plupart des menaces actuelles collectent le maximum d’informations confidentielles sur des périodes de temps étendue, à plusieurs endroits différents et de manière très furtive. Par exemple, une fois qu’un malware est entré dans un système utilisateur cible, il se propagera lentement et discrètement dans l’entreprise tout en évitant les systèmes de détection pour atteindre le cœur des systèmes et de l’organisation. Au cours de ce processus, les pirates peuvent mettre en place un système de communication clandestin – sous forme de porte dérobée (backdoor) – avec des centres de commande et de contrôle ; cette propagation peut prendre des semaines, voire des mois. La collecte de données intervient dans un second temps. Tandis qu’à ce stade de l’attaque d’importants volumes de données confidentielles ont probablement été rassemblés et exfiltrés, les entreprises ne s’aperçoivent, la plupart du temps, de l’étendue de l’attaque qu’une fois que les données ont été récupérées. Il est donc essentiel de comprendre le cycle de vie des menaces afin de pouvoir contrebalancer ce déséquilibre entre le pirate informatique et le défenseur.
La détection de l’intérieur
L’ensemble des spécialistes de sécurité s’accordent sur le fait qu’il faut s’éloigner du modèle centré sur le périmètre, plus bénéfique pour le hacker, en faveur d’un modèle de détection et de confinement. Aujourd’hui, les entreprises doivent en effet toujours partir du principe que les adversaires vont s’introduire dans le réseau, voire qu’ils s’y trouvent déjà. Une fois que le pirate s’est introduit dans l’organisation, afin de maximiser sa présence et sa collecte d’informations, il doit prendre toutes les précautions nécessaires pour échapper aux systèmes de détection en place. De son côté, le défenseur doit chercher l’empreinte numérique laissée par l’assaillant à l’intérieur du système afin de remonter jusqu’à lui et stopper toute progression. Par conséquent, les phases telles que les mouvements latéraux de malwares au sein de l’organisation, les tentatives de mise en place de ponts de communications et de contrôle via des portes dérobées, ou encore les tentatives d’exfiltration de données représentent les meilleures opportunités pour détecter et contenir les menaces. L’équilibre peut ainsi être inversé en faveur du protecteur.
Comme indiqué précédemment, pour parvenir à un tel résultat, les équipes informatiques doivent créer et mettre en place des systèmes qui se concentrent davantage sur la détection de l’intérieur. Toutefois, au sein de l’infrastructure de l’organisation, d’importants volumes de données doivent être passés en revue, et l’utilisation croissante du chiffrement ainsi que la mobilité des applications, terminaux et utilisateurs créent des zones d’ombre supplémentaires et ajoutent de l’imprévisible en ce qui concerne l’accès aux données. Par conséquent, ce glissement vers la détection proactive nécessite le déploiement de nouvelles stratégies de sécurité des systèmes qui assurent l’accès aux données pertinentes, à la fois dans les systèmes physiques et virtualisés, indépendamment de l’emplacement ou de l’usage de technologies de chiffrement.
