Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport annuel de Cybersécurité de Cisco : les RSSI misent sur l’automatisation, le machine learning et l’intelligence artificielle pour déjouer les menaces

février 2018 par Cisco

La sophistication des logiciels malveillants ne cesse d’augmenter à l’heure où les cyber-attaquants se mettent à utiliser les services Cloud comme nouvelle arme. Ils échappent ainsi à la détection via le chiffrement, qui leur permet de masquer leur activité de prise de contrôle et de commande des matériels. Afin de réduire la fenêtre de tir de ces derniers, les responsables de la sécurité informatique (RSSI) indiquent qu’ils vont renforcer leurs investissements dans les outils de protection utilisant l’IA et le machine learning. C’est ce qui ressort essentiellement du 11ème Rapport annuel de Cisco® sur la cybersécurité (ACR).

Alors que le chiffrement est censé améliorer la sécurité, la hausse du volume du trafic Web crypté (+50 % en octobre 2017) qu’il le soit pour des raisons légitimes ou malveillantes, pose de nouvelles difficultés pour déceler et surveiller les menaces potentielles. Les chercheurs de Cisco spécialisés dans ce domaine ont observé à partir d’échantillons de malwares analysés, sur une période de 12 mois, que les communications réseau cryptées utilisées par ces logiciels avaient plus que triplées.

Le recours au machine learning contribue à améliorer les défenses du réseau et au fil du temps à « apprendre » comment détecter automatiquement les schémas de comportement inhabituels dans les environnements de trafic Web crypté, Cloud et IoT. Sur les 3 600 RSSI interrogés par Cisco pour l’édition 2018 de son étude comparative annuelle sur les moyens de sécurité informatique des entreprises, certains ont déclaré que bien que fortement désireux de s’appuyer sur des outils comme le machine learning et l’IA, ils étaient freinés dans leur élan par le nombre de faux positifs générés par ce type de systèmes. Alors que ces technologies en sont encore à leurs débuts, elles vont gagner en maturité au fil du temps et apprendre à reconnaître ce qui relève d’une activité « normale » dans les environnements réseau qu’elles surveillent.

« L’évolution des malwares tout au long de 2017 montre que les attaquants continuent d’apprendre », déclare John N. Stewart, Senior Vice President et Directeur de la division cybersécurité de Cisco. « Nous devons passer à la vitesse supérieure en investissant dans la technologie et en adoptant des pratiques de sécurité efficaces, sans perdre de vue les attentes des entreprises. Le niveau de risque est très élevé et il nous appartient de le réduire. »

Les autres points clés révélés par le rapport 2018 de Cisco sur la cybersécurité :

• Le coût financier des attaques n’est plus un nombre hypothétique. D’après les répondants, plus de la moitié des attaques ont entraîné des dommages financiers supérieurs à 500 000 $, avec entre autres des pertes de recettes, de clients et d’opportunités commerciales, ainsi que des dépenses supplémentaires pour l’entreprise.

• Les attaques visant la chaîne d’approvisionnement sont de plus en plus rapides et complexes.
Elles peuvent impacter un grand nombre de systèmes et perdurer pendant des mois voire des années. Les défenseurs doivent avoir conscience du risque potentiel lié à l’utilisation de logiciels et d’équipements provenant de fournisseurs qui ne semblent pas avoir une attitude responsable en matière de sécurité.
o Deux attaques de ce type en 2017, Nyetya and CCleaner, ont infecté des systèmes au travers de logiciels dans lesquels les utilisateurs avaient confiance.
o Les défenseurs devraient régulièrement mener des tests d’efficacité des technologies de sécurité réalisés par des tiers afin de réduire les risques d’attaque sur la chaîne d’approvisionnement.

• La sécurité est de plus en plus complexe et l’ampleur des failles s’élargit.
Les défenseurs utilisent une combinaison de solutions complexe provenant d’une grande diversité de fournisseurs afin de se protéger des failles de sécurité. Cette complexité et l’augmentation des failles ont de nombreuses répercussions sur la capacité de l’entreprise à parer les attaques, avec notamment un risque accru de pertes.
o En 2017, 25 % des responsables de la cybersécurité indiquaient qu’ils travaillaient avec 11 à 20 fournisseurs différents, contre 18 % en 2016.
o Ils rapportaient également que 32 % des failles affectaient plus de la moitié de leurs systèmes, contre 15 % en 2016.

• Les responsables de la cybersécurité considèrent que les outils d’analyse du comportement apportent une aide précieuse pour localiser les personnes malveillantes sur les réseaux.
o 92 % déclarent que ces outils sont efficaces.
o Deux tiers des responsables de la cybersécurité dans les entreprises et organisations du secteur de la santé, suivis par ceux des établissements financiers, jugent les outils d’analyse comportementale très efficaces pour identifier les personnes malveillantes.

• Le Cloud gagne du terrain mais les attaquants profitent du manque de technologies de sécurité avancées.
o Le rapport 2018 indique que 27 % des responsables de la cybersécurité utilisent des Clouds privés externalisés contre 20 % en 2016.
o Parmi eux, 57 % déclarent héberger leur réseau dans le Cloud en raison de ses meilleures conditions de sécurité des données, 48 % pour sa capacité de montée en charge et 46 % pour sa facilité d’utilisation.
o Même si le Cloud protège mieux les données, les attaquants profitent du fait que les équipes de sécurité ont du mal à défendre les environnements Cloud à mesure qu’ils évoluent et que leur périmètre s’élargit. En associant les meilleures pratiques, les technologies de sécurité avancées comme le machine learning et les outils de première ligne de défense comme les plateformes de sécurité pour le Cloud, les équipes de sécurité peuvent mieux protéger cet environnement.

• La tendance à la hausse du volume de malwares a une incidence sur le temps que mettent en moyenne les défenseurs pour détecter une attaque (Time to Detection TTD).
o Le TDD moyen de 4,6 heures de Cisco pour la période de novembre 2016 à octobre 2017 est bien inférieur à celui de 39 heures de novembre 2015 et à celui de 14 heures mentionné pour la période de novembre 2015 à octobre 2016 dans le rapport annuel 2017 de Cisco sur la cybersécurité.
o L’utilisation des technologies de sécurité basées dans le Cloud a été un facteur déterminant pour aider Cisco à atteindre et conserver sont TDD moyen à un faible niveau. Plus le TDD est court, plus les défenseurs parviennent à colmater les failles rapidement.

Autres recommandations pour les défenseurs :
• Continuer de faire respecter les pratiques de l’entreprise en matière de correctifs pour les applications, les systèmes et les appliances.
• Vérifier qu’ils ont bien accès aux données exactes et à jour d’analyse des menaces et aux processus qui permettent d’intégrer ces données au pilotage de la sécurité.
• Réaliser des analyses plus poussées et plus détaillées.
• Sauvegarder régulièrement les données et tester les procédures de restauration ; deux précautions essentielles face à l’évolution rapide des attaques par ransomware et des armes de cyberdestruction.
• Réaliser un examen de sécurité des systèmes de microservices, de services Cloud et d’administration des applications.




Voir les articles précédents

    

Voir les articles suivants