Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GS Mag, de la Théorie à la Pratique : la remédiation au cœur de la SSI

mai 2016 par Emmanuelle Lamandé

Comme chaque année, l’équipe de Global Security Mag organise un séminaire « de la Théorie à la Pratique » afin que nos lecteurs bénéficient d’une approche plus pragmatique de la SSI. Pour sa 5ème édition, qui s’est tenue au Musée du Vin le 12 mai dernier, BMC, PwC, Brainwave et Forcepoint sont venus présenter leurs propres visions de la cybersécurité, avec toujours comme fil rouge la réduction des risques, mais aussi des délais de détection des incidents et de remédiation.

L’automatisation au service de la remédiation

La transformation digitale que nous connaissons actuellement pose d’importants problèmes de sécurité, et toutes les entreprises sont aujourd’hui concernées par ce phénomène, explique Nicolas Pellé, Automation Product Account Manager, BMC. L’accélération des services digitaux amène aussi beaucoup plus de challenges en interne en matière de sécurité. Le Cloud, le shadow IT... complexifient, en effet, grandement le SI, rendant la cartographie des vulnérabilités encore plus compliquée. Il faut d’ailleurs compter 193 jours en moyenne aujourd’hui entre la détection d’une vulnérabilité et la remédiation. Pourtant, 80% des attaques actuelles se font via des vulnérabilités déjà connues… BMC vise à réduire ce laps de temps entre la détection et la remédiation. L’objectif est également d’unifier la sécurité et l’opérationnel, et de déterminer de quelle manière la sécurité se décline de manière opérationnelle, afin de basculer des actions de sécurité et de mise en conformité sans impacter pour autant la production.

La démarche SecOps proposée par BMC permet d’intégrer la sécurité et d’automatiser les opérations, de manière à réduire les risques et assurer la remédiation automatique de milliers d’événements de sécurité. Elle aide les équipes en charge des opérations et de la sécurité à adopter une approche proactive de la sécurité des systèmes dans le Cloud et sur site. L’objectif est de s’inscrire dans une démarche de conformité intelligente, qui s’articule autour de quatre principales étapes : la découverte, la définition d’un nouveau système de sécurité, l’audit de ce système et la remédiation, avec une gouvernance du tout. BMC collabore également avec différents partenaires spécialistes de la sécurité afin de pouvoir enrichir cette boucle vertueuse (RAPID 7, Nessus, Qualys).

La solution BMC BladeLogic offre une conformité et une visibilité sur la santé du SI. Elle permet, de plus, une analyse précise des menaces et une remédiation en continu. BMC BladeLogic peut également être customisée, en fonction de chaque cas particulier. Le groupe vient également d’annoncer il y a quelques semaines BladeLogic Threat Director. Cette solution va venir effectuer un mapping en temps réel de tout le parc informatique de l’entreprise et établir un état des lieux du dispositif de sécurité en place. La solution définit elle-même les niveaux de sévérité de chaque faille selon la sensibilité des informations auxquelles elle donne accès en cas d’attaque, et établit automatiquement le lien avec le correctif approprié.

A l’heure actuelle, l’innovation continue repose forcément, selon lui, sur des environnements complétement sécurisés et automatisés. Même si bien évidemment tout n’est pas automatisable, on est aujourd’hui capable d’automatiser à peu près 80% des opérations, estime-t-il, et d’identifier les vulnérabilités en quelques heures contrairement à avant où il fallait plusieurs jours, voire semaines, en moyenne.

Réduire les risques avec l’Identity Analytics

Dans le contexte de la transformation digitale, on ouvre les vannes de plus en plus rapidement et les menaces s’en trouvent de plus en plus prégnantes, constate Cyril Gollain, CEO et Fondateur de Brainwave. Même si les risques liés à l’identité n’ont pas foncièrement changé, ils se sont néanmoins démultipliés. Ainsi, on observe à la fois une explosion des cyber-risques et des risques de fraude interne, mais aussi des problèmes d’agilité, sans compter l’inflation des coûts IT… Alors que la promesse initiale du numérique réside dans une plus grande agilité et une réduction des coûts.

Afin de réduire ces risques liés à l’identité, Brainwave propose aux entreprises de s’inscrire dans une démarche d’Identity Analytics, à travers sa solution de nouvelle génération : Brainwave IdentityGRC. L’Identity Analytics vise à réunir l’ensemble des informations dispersées dans l’entreprise concernant chacun des utilisateurs, leurs permissions d’accès et leurs comportements, et de structurer toutes ces informations. La solution s’articule autour de trois principales familles de fonctionnalités : l’inventaire (qui a accès à quoi), l’automatisation des contrôles et la capacité de détection des signaux faibles et de tout ce qu’on n’a pas réussi à détecter.

Voici quelques exemples de cas de grands groupes pour lesquels Brainwave est intervenu avec Brainwave IdentityGRC, afin de minimiser les risques de fuites de données et de fraude et, ainsi, améliorer la conformité :
- Du côté des cyber-risques, le groupe a détecté et corrigé chez un client une erreur de droits permettant un accès libre à tous les contrats de travail des salariés sur le réseau, exposant directement l’entreprise à des risques de sécurité et de conformité ;
- Concernant la fraude interne, la solution a permis par exemple d’identifier, chez un autre compte, 20 000 euros de transactions frauduleuses dans l’activité des utilisateurs ;
- Dans le cadre d’opérations de fusion, des migrations de données s’opèrent et le nombre de référentiels se multiplie, causant régulièrement un manque d’agilité pour l’entreprise. Pourtant, quand on arrive à corréler les informations au sein d’un système unique, on peut faciliter la remédiation ;
- Enfin, le suivi de l’affectation des ressources par utilisateur permettrait de réduire les coûts IT, d’autant que de nombreux comptes ne sont pas rattachables à une utilité particulière aujourd’hui. A titre d’exemple, Brainwave a permis à une entreprise de réduire de 300 000 euros par an ses coûts de licence Salesforce, grâce à l’optimisation de l’affectation des accès.

Brainwave IdentityGRC, via une application Web, permet entre autres aux entreprises de :
- Déterminer s’il existe des comptes encore actifs appartenant à des utilisateurs ayant quitté la structure ;
- Faire correspondre les droits d’accès des collaborateurs à leurs fonctions actuelles et de déterminer qui dispose de droits non nécessaires ;
- Croiser les droits conflictuels avec les logs d’usage ;
- Fournir aux managers des informations qui soient compréhensibles, de manière à ce qu’ils puissent prendre facilement des décisions.

A travers une analyse de processus de bout en bout, Brainwave définit les risques potentiels par rapport aux droits, et identifie les risques avérés. L’analyse du comportement des utilisateurs permet, quant à elle, d’envoyer des alertes et de fournir des solutions de remédiation. Cette démarche s’inscrit, en outre, dans un pilotage optimal de la gouvernance et de la conformité.

Votre SOC est-il efficient ?

Face à l’augmentation de la surface d’exposition aux cyber-risques et à la professionnalisation des menaces, les investissements réalisés dans les outils de sécurité sont de plus en plus importants, aussi bien en prévention, qu’en détection et réponse à incident. En effet, aucun système n’est aujourd’hui invulnérable et inviolable, souligne Fabrice Garnier de Labareyre, PwC, l’important est donc désormais de détecter au plus tôt l’attaque et d’en assurer la remédiation. Ainsi, la cybersurveillance est plus que jamais d’actualité et place le Security Operation Center (SOC) au centre des enjeux de la cybersécurité. Cependant, le fait qu’une entreprise dispose d’un SOC ne garantit pas sa sécurisation pour autant, c’est pourquoi il est nécessaire de tester ses capacités de détection et de réponse sur trois axes : humain, process et outil. PwC propose, en ce sens, une logique complète de détection et de remédiation, ainsi qu’une méthode spécifique permettant d’évaluer l’efficacité d’un SOC. Le groupe réalise, de plus, chaque année un baromètre dédié à la cybersécurité, The Global State of Information Security® Survey, lui permettant d’avoir un bon aperçu des tendances en la matière, des projets des entreprises, ainsi que leur façon de gérer et d’améliorer la cybersécurité au sein des organisations.

Pour mener à bien cette étude, PwC a envoyé un questionnaire à tous ses clients dans 127 pays et obtenu près de dix mille réponses à travers le monde. Parmi les principaux résultats du baromètre 2016, PwC a pu constater une augmentation en 2015 des menaces et des tentatives d’attaques. Le nombre de cyberattaques a, quant à lui, progressé de 38% dans le monde l’an passé. Chaque année, les entreprises déclarent aussi de plus en plus d’incidents. Concernant l’origine de ces incidents, même si ce sont les sources externes qui ont le plus progressé, l’interne reste encore le facteur le plus important. Attention, cela ne signifie pas forcément « délinquance interne »… seulement que le facteur humain reste le principal maillon faible. De plus, les incidents attribués aux partenaires ont augmenté de 30% environ. Les systèmes industriels sont également de plus en plus la cible d’attaques. On remarque ainsi une augmentation de 36% en France du nombre d’attaques visant ces systèmes et de 158% dans le monde.

Le groupe a également pu observer un changement de comportement des directions générales par rapport à la cybersécurité. Le comité exécutif s’implique davantage dans ce type de problématiques. On observe d’ailleurs une augmentation du budget alloué à la cybersécurité, de 29% en France et de 24% dans le monde. Les dirigeants et entreprises assurant la gestion de la cybersécurité ont d’ailleurs une santé économique bien meilleure, contrairement à celles qui ne s’en préoccupent pas, et qui ont beaucoup plus de mal à s’en remettre en cas de problème. Cela a amené les entreprises à prendre en compte ces aspects dans le calcul de la notation et le budget. La cybersécurité est aujourd’hui devenue un critère de robustesse de l’entreprise, explique-t-il. D’autant que les pertes financières liées à des incidents de cybersécurité sont estimées à 3,7 millions d’euros par entreprise en France.

91% des répondants ont mis en œuvre un pilotage de la cybersécurité par les risques. Il n’existe toutefois pas de modèle standard applicable à tous pour une cybersécurité efficace. Il s’agit d’un processus d’amélioration continue s’articulant autour du bon mix entre technologies, processus et compétences.

Parmi les autres mesures mises en place au sein des entreprises, la moitié des répondants disposent en moyenne d’une vraie stratégie de sécurité du SI, ainsi que d’un RSSI, conduisent des opérations de threat intelligence et sensibilisent le personnel quel qu’il soit.

Afin de renforcer ces dispositifs en place et d’améliorer les temps de détection et de remédiation, PwC propose une offre complète de cybersécurité, visant à construire la confiance dans ce monde numérique qui nous entoure. Celle-ci repose sur 4 principaux piliers : évaluer, renforcer, gérer et réagir. Le groupe propose également dans ce cadre une méthodologie d’évaluation des SOC, basée sur l’évaluation d’un certain nombre d’entre eux. Celle-ci s’articule en grande partie autour de la simulation d’attaques externes et internes, par rapport à un certain nombre de scénarios prédéterminés. Assurer la bonne gestion d’un SOC est une mission très délicate, qui nécessite de nombreuses compétences et connaissances de son environnement, des menaces et de ses actifs sensibles.

En effet, il ne suffit pas seulement de disposer d’un SOC pour en garantir l’efficience, car d’un point de vue opérationnel l’efficacité du SOC reste toujours à prouver, et donc à évaluer. La question est aussi de déterminer si les technologies choisies sont adéquates ou non. On va donc venir évaluer le niveau de protection et de pertinence de la détection.

L’évaluation d’un SOC commence tout d’abord par une supervision de son activité. Celle-ci doit se faire en lien étroit avec les différentes directions concernées. Puis, vient la phase de réalisation et d’exécution des scénarios d’attaques, qui dure de 4 à 5 semaines en moyenne. Au cours de cette étape, différents malwares seront déployés sur quelques postes de travail de l’entreprise et certaines attaques exécutées sur le SI, l’objectif étant néanmoins de laisser la production de l’entreprise continuer. Il peut s’agir, par exemple, de la simulation d’une attaque APT. Durant cette période, les détections opérées par le SOC seront également analysées. L’appréciation repose également sur une méthodologie de notation des SOC.

Parmi les principales raisons de l’inefficacité d’un SOC, il souligne la méconnaissance de l’environnement supervisé, la couverture imparfaite du SI, le manque d’implication ou encore de compétences. Enfin, « notre expérience montre que la plupart des SOC sont encore à un niveau de maturité insuffisant pour pouvoir faire face aux menaces actuelles », conclut-il.

Ransomwares : de la détection à la remédiation

Les attaques sont aujourd’hui de plus en plus avancées, et même agrégées, constate David Brillant, Senior Manager de Sales Engineering chez Forcepoint. En effet, les criminels disposent actuellement d’outils beaucoup plus avancés qui permettent quasiment d’automatiser les attaques.

Locky, un ransomware apparu l’année dernière, en est un bon exemple. Ce malware va venir chiffrer toutes les données de l’entreprise en échange d’une rançon. Ce type d’attaque passe par différentes étapes, dont la reconnaissance, qui démontre la capacité des criminels à identifier le terrain, ou celle de l’appât, visant à s’assurer que l’utilisateur clique bel et bien sur le lien ou le fichier malveillant… Le but des attaquants est de récupérer le maximum d’informations possible, car la donnée a beaucoup de valeur aujourd’hui.

N’importe qui peut devenir victime de ce type d’attaque, cependant au sein des entreprises, les personnes travaillant au service « achat » seront des cibles de choix… d’autant qu’il est facile de faire croire à l’envoi d’une « facture »... Cette étape est d’ailleurs souvent facilitée par les différents formats de fichiers envoyés. En effet, souvent l’antivirus va venir analyser les fichiers word, pas les fichiers text… De plus, le chiffrement opéré par Locky n’est pas statique, mais dynamique. On observe ainsi en moyenne 6 changements de noms de domaines par jour. Forcepoint a pu comprendre le « dynamic changement » et donc bloquer l’attaque auprès de ses utilisateurs. Toutefois, s’il n’y a pas de méthode et de solution de détection, la contamination se fera. Sur le mois de février dernier, la rançon demandée était de 256 dollars en moyenne.

D’autres ransomwares ont fait leur apparition depuis, comme Dridex par exemple, qui repose sur un mode opératoire similaire, même si la somme demandée et la finalité s’avèrent différentes. Jaku est un autre exemple de malware qui sévit ces derniers temps. Même s’il vise principalement l’Asie et plus particulièrement la Malaisie, la Thaïlande et Singapour, il a déjà fait des victimes dans près de 134 pays à l’heure actuelle.

Néanmoins, on retrouve un certain nombre de caractéristiques communes relatives aux ransomwares d’aujourd’hui. En effet, ils sont devenus extrêmement dynamiques, mais aussi de plus en plus contextuels. Les campagnes sont, en outre, extrêmement courtes, il faut donc être capable d’anticiper ce type d’attaque en amont. La grande majorité des attaques se font désormais par le biais de l’envoi d’emails malveillants, il faut donc redoubler de vigilance et mettre un certain nombre de mesures en place.

Pour David Brillant, les responsables sécurité ont aujourd’hui beaucoup trop de solutions de sécurité à gérer, rendant par là même la remédiation et la corrélation de la détection des attaques et des incidents beaucoup plus complexes. C’est pourquoi Forcepoint propose aux entreprises une gamme complète de solutions de sécurité, basées sur des briques unifiées. L’entreprise vient d’ailleurs de renforcer son offre sur la partie firewall, avec le rachat de Stonesoft. L’objectif est de permettre aux entreprises d’assembler l’ensemble des événements de sécurité au sein d’un système unique, facilitant ainsi la remédiation.

Enfin, il recommande notamment aux entreprises d’évaluer dans un premier temps leur posture en matière de sécurité, d’identifier leurs données les plus critiques, ainsi que les vulnérabilités, de s’assurer de la santé de leur réseau et de reporter toutes les activités suspectes, d’accroître le monitoring et d’améliorer la communication. Les attaques sont en grande majorité plus évoluées qu’avant, et peuvent autant être d’origine interne qu’externe, une nouvelle approche de sécurité est donc aujourd’hui nécessaire, conclut-il.




Voir les articles précédents

    

Voir les articles suivants