Je veux tout savoir de la transformation numérique !
Pour lire l’intégralité des articles issus du magazine bimestriel, identifiez-vous. Vous accéderez ainsi aux articles premium, aux exclus web et vous pourrez télécharger l’ensemble de nos ressources en un clic.
Pour recevoir le magazine chez vous, abonnez-vous !
Je m'identifie

Le temps, l’arme fatale par excellence contre les cyberattaques en entreprise

[EXCLUSIF] WannaCry et ses ravages résonnent encore aux oreilles des RSSI qui en cas de cyberattaque sont les premiers à devoir rendre des comptes. Une récente étude d’Aberdeen, menée en partenariat avec Verizon[1], apporte de nouveaux éléments sur l’importance critique de la réactivité lorsque les données sont compromises ou quand le service est indisponible. L’analyse souligne l’urgence absolue pour les responsables de la cybersécurité en entreprise de réduire les temps de détection et de réponse aux incidents.

Laurent Maréchal_McAfee-300

Laurent Maréchal, expert en sécurité – McAfee

En cas d’incident de cybersécurité, le risque maximum pour l’entreprise se situe au début de l’exploitation d’une faille, quand les premières données sont compromises. Les attaquants se hâtent de faire sortir les données qu’ils souhaitent récupérer. Souvent, lorsque les responsables informatiques arrivent enfin à corriger la faille, il est déjà trop tard et les données ont déjà été piratées.

Dans le même temps, entre le début de l’attaque et sa résolution, l’impact sur les activités de l’entreprise et la disponibilité de son service va croissant. Or, en cas d’incident cyber, le facteur temps est un élément majeur. Divisés par deux, les temps de détection et de réponse aux attaques peuvent réduire jusqu’à 70% l’impact négatif sur l’entreprise.

Mais le temps de détection des cyberattaques reste un défi majeur pour les entreprises. Sur les 1 300 violations de données analysées entre 2014 et 2016, la moitié d’entre elles ont pu être détectées jusqu’à 38 jours après leur attaque… mais la moyenne est de 210 jours. Et dans certains cas, le délai de détection peut s’élever jusqu’à 4 ans ! Dans un contexte tiraillé par la mise en conformité avec le RGPD, un tel constat est évocateur et rappelle l’importance du temps de détection d’une menace en entreprise, avec un délai d’alerte de l’autorité de contrôle local sous 72 heures.

Ce décalage montre que les RSSI (responsables de la cybersécurité) doivent encore améliorer la protection de leur infrastructure et repenser rapidement leurs stratégies pour se concentrer en priorité la détection, l’investigation et la résolution/remédiation des incidents.

guide cyber sécurité

Pour garder une longueur d’avance dans la prévention du risque cyber, la prise en compte des éléments clés suivants est capitale :

– En amont du “Zero-day” : l’identification (par la réputation, l’heuristique ou le machine learning, etc.)

Les attaquants sont de plus en plus adeptes de la transformation de l’empreinte du code malveillant, pour parer aux défenses traditionnelles basées sur les signatures. Mais une analyse avancée de la pré-exécution du code, corrélée à celle de son comportement en temps réel, est à présent utilisée pour identifier à l’avance les codes malicieux inconnus, sans l’usage des signatures, et avant qu’il ait l’opportunité de s’exécuter.

– Après l’identification : le confinement (la protection dynamique des applications et l’intelligence agrégée)

Les systèmes de protection avancée dans les postes clients permettent désormais de garder en mémoire un code potentiellement malicieux, afin de l’empêcher de modifier le système, de se propager à d’autres, etc. Cette approche offre une protection immédiate et un gain de temps supplémentaire pour le rassemblement et l’analyse des informations – sans entraver la productivité de l’entreprise.

 Pour la sécurité des data centers et du cloud, les tactiques utilisées dans les terminaux peuvent être appliquées aux serveurs physiques et virtuels. La mise en place des politiques de protection et de patch virtuel est fortement conseillée. Une technique ancienne mais particulièrement efficace lorsque les actifs sont centralisés.

– La gestion du patch virtuel 

Plus connu sous le nom de “patch externe” ou “protection contre les vulnérabilités”, le patch établit une couche de sécurité externe, indépendante des ressources protégées, afin d’identifier et d’intercepter des exploits de vulnérabilités avant qu’ils n’atteignent leur cible. Ainsi, les modifications directes apportées à la ressource protégée ne sont pas requises et les mises à jour peuvent être automatisées et réalisées en temps réel.

– La définition de points d’application stratégiques, soit l’option d’une conception avec moins de sécurité à certains points sur le réseau de l’entreprise, par opposition au temps de déploiement des correctifs sur l’ensemble des systèmes.

Les RSSI mettent tout en œuvre pour gagner la course contre la montre face aux hackers. Les outils existants ainsi que les pratiques au niveau des infrastructures et des centres de données, complètent les investissements d’analyse et d’automatisation qui transforment le Centre d’Opérations de Sécurité (SOC) et les technologies telles que la détection d’anomalie et la corrélation de l’intelligence de menace.

Face au risque de cyberattaques, tout acteur (parties prenantes et tiers parties) doit avoir intégré l’importance de renforcer la protection des systèmes informatiques et des données qui y transitent. A l’image du récent malware hybride – WannaCry qui a surpris et touché d’importantes entreprises mondiales, les parties prenantes doivent apprendre de concert à lutter contre les différents facteurs de risques, qu’il s’agisse du temps, de l‘humain, des infrastructures elles-mêmes, etc.

[1] Aberdeen: «  Cybersécurité : pour la riposte, tout est question de temps »

> A lire également sur Alliancy :

 

 


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *