Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Christophe Jolly, Vectra : Les équipes de sécurité doivent considérer l’approche comportementale pour la détection et la réponse aux menaces

janvier 2020 par Marc Jacob

Vectra pour sa nouvelle participation au FIC, présentera Cognito®, sa plateforme de détection et de réponse aux menaces fonctionnant grâce à l’IA. Christophe Jolly, Directeur France, Vectra considère que les équipes de sécurité commenceront, cette année, à considérer une approche comportementale pour la détection et la réponse aux menaces.

Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2020 ?

Christophe Jolly : Vectra continue de se développer rapidement, et en 2020 notre engagement à l’occasion du FIC n’en est que plus grand. Notre équipe française, récemment élargie, présentera Cognito®, notre plateforme de détection et de réponse aux menaces fonctionnant grâce à l’IA. Cognito permet à un nombre croissant d’entreprises françaises de détecter automatiquement et de répondre rapidement aux cyberattaques dissimulées dans les environnements cloud, les datacenters et les réseaux.

La plateforme Cognito se compose de Cognito Stream™, de Cognito Detect™ et de Cognito Recall™.
Cognito Stream fournit des métadonnées de réseau à l’échelle de l’entreprise - enrichies d’informations sur la sécurité au format inZeek (anciennement Bro) - aux Data Lakes ainsi qu’aux applications de gestion des informations et des événements de sécurité (SIEM) tout en évitant la complexité de l’outil open-source Zeek. Cognito Recall permet un « threat hunting » assisté par l’IA, ainsi que des enquêtes décisives sur les incidents, tandis que Cognito Detect automatise la détection en temps réel des cyberattaquants, où qu’ils soient dissimulés (cloud, datacenters, workloads, terminaux ou équipements IoT).

La genèse de la plateforme Cognito repose sur des fondements simples pour détecter les menaces : l’utilisation d’une source de données faisant autorité et la recherche des comportements de la menace - que les cybercriminels ne sauraient éviter lorsqu’ils mènent une attaque. Pour ce faire, la plateforme Cognito s’appuie sur la seule source fiable de renseignements lors d’une cyberattaque : le trafic d’infrastructure. Seul le trafic dans les environnements cloud, les datacenters et le réseau livre des informations fiables. La sécurité du périmètre basse fidélité ne montre que ce que l’équipe IT a déjà vu, et non les menaces qui leur ont échappé.

La plateforme Cognito offre une approche beaucoup plus efficace pour analyser le trafic des infrastructures. Plutôt que de recourir à l’inspection traditionnelle de la charge utile, elle utilise l’intelligence artificielle, le machine learning et l’analyse comportementale sur le trafic pour révéler les comportements de menace élémentaires des attaquants lorsqu’ils espionnent, diffusent et volent - même dans le cas d’un trafic crypté.

Global Security Mag : Selon-vous, comment l’humain peut-il être acteur de la cybersécurité, alors qu’il est essentiellement regardé aujourd’hui comme victime ou comme auteur ?

Christophe Jolly : L’homme est à la fois le meilleur bouclier et le maillon faible de la protection des entreprises. Ils sont la ressource la plus précieuse, à la fois en tant que membres de l’équipe de sécurité, de plus en plus difficiles à recruter et à fidéliser, et plus généralement en tant que « pare-feu vivant » des entreprises. Les éditeurs de solutions de sécurité continueront, sans cesse, de développer des technologies telles que l’intelligence artificielle et de faciliter leur utilisation et leur intégration à d’autres solutions et processus de sécurité, mais l’être humain restera au cœur des bonnes pratiques en matière de cybersécurité.

Global Security Mag : Quels conseils pourriez-vous donner aux organisations pour qu’elles parviennent à impliquer les décideurs et sensibiliser leurs utilisateurs ?

Christophe Jolly : Trop souvent, les équipes de sécurité sont considérées comme contraignantes en interne : un service qui dit trop souvent « non, vous ne pouvez pas faire ça ». Le RSSI doit être un partenaire de confiance qui s’associe aux autres départements, qui dirige la discussion sur les risques et qui fait partie de la stratégie de sécurisation et d’activation des nouvelles initiatives digitales et commerciales. Dans les organisations progressistes, la cybersécurité n’est pas seulement considérée comme une question technologique et politique. Le management doit assumer une part de responsabilité dans les décisions de sécurité qui le concernent, la sécurité pourra ainsi devenir un impératif commun à tous les départements de l’entreprise. Ce changement de culture n’est pas facile car il prend du temps et nécessite un RSSI capable de d’influencer et de se faire respecter dans le domaine des affaires comme dans celui de la sécurité et des risques. Dans l’idéal, le RSSI est un catalyseur permettant d’ancrer une culture de sécurité, positive, dans toute l’entreprise.

Global Security Mag : Comment les technologies doivent-elles évoluer pour une sécurité au plus près de l’utilisateur ?

Christophe Jolly : L’adage dit que « la simplicité est la sophistication ultime », et cela est de plus en plus vrai lorsqu’il s’agit d’adopter de nouvelles technologies et pratiques de travail. La création de logiciels intelligents et adaptatifs pour automatiser la détection et la réponse aux incidents réseaux (NDR) nous a obligés à concevoir et à former un ensemble diversifié d’algorithmes d’IA, dont la plupart seraient incompréhensibles pour les non-spécialistes. Il a donc fallu déployer des efforts considérables pour que l’expérience utilisateur et les interfaces soient intuitives et communiquent instantanément le contexte, les détails et les mesures appropriées à prendre. Ce design centré sur l’homme permet à l’équipe de sécurité d’adopter et d’intégrer rapidement ces nouvelles fonctionnalités dans ses outils de sécurité et ses processus de réponse aux incidents.

Global Security Mag : Quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?

Christophe Jolly : Avec plus de 325 000 postes vacants dans les services de cybersécurité en Europe d’ici 2022, nous devons abattre les barrières à l’entrée. Le déficit persistant de compétences et le manque de talents dans la cybersécurité seront un catalyseur de la maturation rapide des offres d’automatisation de la sécurité. Il ne s’agit pas de remplacer complètement les humains, mais d’augmenter leurs capacités et de leur permettre de maximiser au mieux le temps qui leur est imparti. Permettre aux analystes de la sécurité d’effectuer un travail plus significatif et plus stimulant, grâce à l’automatisation des tâches de réponse aux incidents, contribuera à la valorisation de l’emploi, et donc à l’amélioration du taux de titularisation des employés.

Global Security Mag : Selon vous, à quoi pouvons-nous nous attendre en termes d’attaques et de défense pour 2020 ?

Christophe Jolly : Les attaquants tenteront plus que jamais de maximiser leurs gains. Aujourd’hui, il est observé une augmentation du nombre de rançons ciblées, ainsi que des signes naissants d’utilisation de l’IA par les attaquants pour automatiser l’ingénierie sociale et les tactiques d’attaque existantes pour travailler à plus grande vitesse et à plus grande échelle.

Bien qu’il ne s’agisse pas d’un phénomène nouveau, le Shadow IT et ses risques inhérents en matière de sécurité et de contrôle prendront une ampleur inédite. Les équipes de sécurité adopteront des outils de visualisation du réseau pour s’assurer qu’elles peuvent repérer et réagir à l’utilisation à la fois de dispositifs non autorisés et de services cloud.

L’adoption accélérée du cloud rendra l’approche traditionnelle de la sécurité centrée sur le périmètre obsolète et servira de catalyseur pour réorganiser les dispositifs de sécurité afin qu’ils reflètent les entreprises hybrides modernes, ce qui favorisera l’adoption des outils, des processus, des services et des personnes nécessaires pour y parvenir.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Christophe Jolly : Alors que les nations et les entreprises opèrent une transformation digitale, la protection des données, des services et des infrastructures est devenue une priorité absolue. La fourniture de services locaux de cloud computing sera également un élément essentiel de nombreuses transformations numériques.

Les équipes de sécurité commenceront, cette année, à considérer une approche comportementale pour la détection et la réponse aux menaces. Les entreprises établissent un classement des outils dont elles disposent et ceux qui ne seront pas performants seront éliminés. Il y a trop d’outils disponibles et les entreprises ne désirent plus, à juste titre, payer pour ces multiples solutions. Les nouvelles techniques d’analyse comportementale réduiront le nombre total d’outils de sécurité utilisés aujourd’hui.

Les architectures cloud souffrent de lacunes en matière de sécurité et l’Institut SANS indique qu’une entreprise sur cinq a été touchée par un accès non autorisé à son environnement cloud au cours de l’année écoulée. Alors que de plus en plus d’entreprises se tournent vers le cloud pour accroître leur échelle opérationnelle et leur rentabilité, il est essentiel de remédier à ces vulnérabilités afin que les entreprises puissent innover sans craindre les menaces externes. Si l’on ajoute à cela un important déficit de ressources humaines et de compétences en matière de cybersécurité, nous avons l’occasion de relever les défis stratégiques de la sécurité grâce à l’automatisation de la détection des menaces et de la réponse à celles-ci par l’IA.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants