Laurent Oudot, CTO de TEHTRIS : les RSSI, doivent bien prioriser leur choix de solutions et d’en évaluer l’efficacité par des tests appropriés
janvier 2020 par Marc Jacob
Lors du FIC 2020, Tehtris va annoncer sa nouvelle suite de cyberdéfense intégrée : TEHTRIS XDR Platform. Laurent Oudot, CTO de TEHTRIS conseille aux RSSI, c’est de bien prioriser leur choix de solutions et d’en évaluer l’efficacité par des tests appropriés.
Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2020 ?
Laurent Oudot : Lors du FIC 2020, nous allons annoncer notre nouvelle suite de cyberdéfense intégrée : TEHTRIS XDR Platform.
Nous avons capitalisé sur des années de développement qui nous ont permis de bâtir l’ensemble des modules composant notre cyberarsenal défensif avec, au cœur de ce dispositif, l’EDR (Endpoint Detection & Response). Déployé sur l’intégralité des postes et des serveurs, cet agent permet, notamment, de neutraliser automatiquement et en temps réel les attaques sophistiquées, même inconnues. Les autres modules complètent l’arsenal, avec des fonctions de détection, mais aussi de mise en exergue des événements significatifs consolidés sur un portail dédié, complet et facile d’utilisation qui permet à des équipes de sécurité opérationnelle de réagir au plus vite en cas de situation suspecte.
Le X de XDR (X Detection and Response) représente l’inconnue que l’on doit contrer. L’idée consiste ainsi à compléter la réponse individuelle, apportée par l’EDR sur le système protégé, par une défense holistique, sur l’ensemble du SI, où chaque module vient coopérer à la réponse de manière automatisée. Cette orchestration est réalisée par un SOAR (Security Orchestration, Automation and Response) intégré, qui existait déjà mais de manière plus embryonnaire. Ainsi, par exemple, une IP malveillante détectée par un module pourra être automatiquement bloquée par le pare-feu de notre futur module EPP (EndPoint Protection) sur les systèmes protégés. Ou encore, l’introduction d’un code suspect dans le SI, détecté par un module pourra provoquer l’envoi de ce code vers l’EDR sans attendre son exécution et, s’il est malveillant, faire interdire automatiquement son exécution sur l’ensemble du SI.
La toute première version de TEHTRIS XDR Platform va être lancée fin janvier 2020 et son développement continuera dans les prochains mois pour apporter progressivement l’ensemble des fonctionnalités d’orchestration complémentaires.
Global Security Mag : Selon-vous, comment l’humain peut-il être acteur de la cybersécurité, alors qu’il est essentiellement regardé aujourd’hui comme victime ou comme auteur ?
Laurent Oudot : L’humain est faillible et, plutôt que de parler de victime ou d’auteur, il est plutôt vu par les attaquants comme une cible intermédiaire pour exploiter une défaillance et rebondir sur les systèmes auxquels il a accès.
C’est pour cela que certains voient l’humain comme le maillon faible. En réalité, il est un maillon clé de la cybersécurité. Une personne vigilante – et bien formée – peut détecter rapidement une situation anormale et la bloquer ou, au moins, la signaler. Pour l’exemple, rappelons que, lors de la tentative de cyber-braquage de la Banque centrale du Bangladesh, un virement SWIFT frauduleux de 20 millions d’euros a été stoppé par la vigilance d’un employé de la Deutsche Bank qui a détecté une faute de frappe sur l’intitulé du compte bénéficiaire (« fundation » au lieu de « foundation »). Aucun système ne l’aurait détecté, c’est là où l’humain représente la plus grande valeur ajoutée en tant que dernier rempart après tous les autres contrôles.
C’est pourquoi il est indispensable de continuer sans relâche à le former aux risques évolutifs auquel il peut être confronté.
Global Security Mag : Quels conseils pourriez-vous donner aux organisations pour qu’elles parviennent à impliquer les décideurs et sensibiliser leurs utilisateurs ?
Laurent Oudot : Nous voyons encore trop d’entreprises qui ont pour motivation « business first » et n’ont pas conscience des risques de cybermalveillance. Tant que les dirigeants ne sont pas convaincus que ce qui arrive aux autres entreprises peut aussi arriver à la leur, il sera très difficile aux équipes de sécurité internes de mettre en place les solutions appropriées avec la discipline indispensable qui y est associée.
Dans un tel cas, la première action à prévoir serait de former les dirigeants aux risques cyber, par exemple, en réalisant des simulations d’attaques qui démontrent la fragilité de leur entreprise. Réaliser un test de phishing ciblant un dirigeant peut être très efficace mais pas forcément perçu positivement par ce dernier quand il a été piégé. Il sera plus aisé de faire mettre en évidence, à l’aide d’actions simples mais parlantes, les faiblesses réelles de l’entreprise lors d’une démonstration par des experts externes et reconnus (nul n’est prophète en son pays).
Quand les dirigeants sont sponsors de la cybersécurité, tous les métiers de l’entreprise se sentent concernés et le RSSI peut plus facilement faire accepter son plan d’actions de sécurisation. Les décideurs deviennent acteurs à part entière de la cybersécurité. Ainsi, un programme de sensibilisation, voire de formation, récurrente de l’ensemble de l’entreprise, et adapté selon les missions des équipes, obtiendra plus facilement son budget, sera mieux suivi et plus efficace.
Global Security Mag : Comment les technologies doivent-elles évoluer pour une sécurité au plus près de l’utilisateur ?
Laurent Oudot : On voit que, lors des tests de phishings qui sont réalisés au sein des entreprises, le taux de clics peut dépasser les 30% et ne descend que rarement en-dessous des 7 ou 8%. Et ce, quel que soit l’effort de formation qui peut être fait. Une vigilance accrue de l’utilisateur est absolument nécessaire mais, malheureusement, loin d’être suffisante.
C’est pourquoi la technologie doit impérativement venir compléter l’action de vigilance de l’utilisateur et rattraper les situations où il a pu faillir.
Les outils de détection et de réponse sont des atouts indispensables pour contrer des attaques où l’utilisateur a permis l’exécution de code malveillant en naviguant sur Internet ou en cliquant sur un lien ou une pièce jointe d’un message qu’il a reçu.
Rappelons que certaines attaques, notamment par déplacement latéral, peuvent être fulgurantes et que seules les solutions de cyberdéfense à réponse automatisée en temps réel sont en mesure de les contrer efficacement.
Il n’en reste pas moins qu’il est aussi très important de mettre en œuvre, en complément, les solutions de défense ad hoc en mesure de détecter et d’alerter les équipes de sécurité opérationnelle pour leur permettre de contrer une attaque qui n’aurait pas été remédiée.
C’est le principe d’une défense en profondeur qui ne considère pas une seule solution mais la combinaison de plusieurs éléments de défense complémentaires pour assurer une couverture la plus complète possible.
Il faut donc que les technologies évoluent toujours vers une amélioration de la réponse donnée aux attaques qui passent au travers des utilisateurs par des méthodes de plus en plus efficaces pour le faire cliquer.
Global Security Mag : Quelles actions les acteurs de la cybersécurité peuvent-ils mettre en place pour attirer de nouveaux talents ?
Laurent Oudot : Le marché de la cybersécurité est en perpétuelle expansion et les nouveaux talents sont sollicités de toute part. Il est difficile pour eux de trouver le meilleur choix comme il est difficile pour les entreprises de les attirer.
La notoriété de l’entreprise dans le monde de la cybersécurité est une première clé mais elle n’est pas toujours suffisante pour emporter la décision.
Il faut que l’entreprise leur propose des challenges innovants qui mettent leur expertise à contribution et les aident à progresser par les partages de connaissances avec les autres experts qui sont engagés dans le même projet ou des projets connexes.
Au-delà de l’intérêt spécifique du travail proposé, il faut aussi considérer l’ambiance dans l’entreprise et les activités annexes qui y sont offertes. Plus un salarié se sent bien dans une entreprise plus il aura tendance à donner le meilleur de lui-même et aura la volonté d’y entrer et, surtout, d’y rester.
Enfin, les entreprises classiques tendent à évoluer vers un modèle moins hiérarchisé qui laisse plus de liberté à leurs collaborateurs, favorise une organisation du travail plus souple, notamment avec le télétravail, et entrent plus dans un modèle de confiance que de contrôle systématique. Malgré cela, elles sont aujourd’hui encore trop souvent organisées avec des systèmes de progression liés à une fonction managériale. Repenser la valorisation des filières d’expertise sera un véritable atout dans le secteur de la cybersécurité.
Global Security Mag : Selon vous, à quoi pouvons-nous nous attendre en termes d’attaques et de défense pour 2020 ?
Laurent Oudot : La prospective n’est pas toujours évidente tant les attaquants sont inventifs.
Nous pouvons cependant partager quelques tendances qui se dégagent comme l’évolution des ransomwares qui, en plus de chiffrer les données, les volent. Les attaquants s’appuient ensuite sur un chantage au RGPD pour menacer les entreprises qui ne paient pas de divulguer aux autorités de contrôles, telles que la CNIL, le vol des données réalisé voire de les diffuser sur Internet.
L’IA commence à faire son apparition dans certaines attaques, notamment de phishing au travers de l’exploitation des réseaux sociaux. En rendant les messages frauduleux plus crédibles, il devient très difficile pour un utilisateur de discerner une supercherie.
Un des risques qui reste toujours très important concerne les objets connectés qui sont mal sécurisés et pourraient être utilisés pour réaliser des attaques massives en les utilisant comme botnet. La bande passante potentielle qu’elle permet de générer, par exemple en déni de service, est telle qu’aucune solution anti-DDOS ne pourrait la contrer.
Enfin, l’arrivée de la 5G, pour laquelle certaines failles structurelles ont déjà été signalées par des experts, risque d’être un nouveau vecteur d’attaque qui commencera à se développer en 2020. Avec la digitalisation à outrance, les équipements mobiles sont de plus en plus utilisés et pourraient devenir les nouvelles cibles des attaquants qui viseraient les applications, telles que les applications bancaires par exemple.
L’évolution de la cyberdéfense se fait de plus en plus à l’aide de l’IA, pas toujours de manière très transparente ni maîtrisée. Il faut rester vigilant car un usage intensif de l’IA sans toujours maîtriser l’arbre de décision peut être une opportunité pour un attaquant de retourner l’outil contre l’entreprise, en alimentant le moteur de décision avec des flux de données malveillants en cas de compromission.
La cybercriminalité, à l’instar des grandes entreprises, se développe en suivant un modèle économique et se structure de même. Les outils d’attaques se fabriquent et se vendent sur Internet pour permettre d’exploiter les failles selon les besoins de ce marché spécial. On y retrouve donc son lot d’innovations imprévisibles. Dans ce cas, lorsque les outils de sécurité existants sont contournés, la cyberdéfense doit les adapter ou en créer d’autres. C’est une course sans fin.
Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?
Laurent Oudot : Parmi l’offre pléthorique de solutions de cybersécurité, il arrive que les RSSI ne sachent pas lesquelles choisir, d’autant que le marketing qui y est associé est souvent très percutant.
La mise en œuvre d’une politique de sécurité complète avec les outils adaptés prend du temps, c’est pourquoi il est important de définir une priorisation pour l’installation des outils en privilégiant les plus efficaces en fonction du niveau de protection que l’on souhaite obtenir.
Même si les solutions de protection classiques doivent toujours faire partie d’un système de défense en profondeur, notre expérience montre qu’elles ont aussi atteint leurs limites en matière d’efficacité contre les attaques modernes qui sont toujours plus sophistiquées et souvent inconnues.
C’est pourquoi nous considérons qu’il est aujourd’hui indispensable d’installer prioritairement des solutions de cyberdéfense permettant une remédiation automatisée en temps réel pour éviter une catastrophe si une attaque latérale venait à se propager dans l’entreprise. Et ce, d’autant plus si les phishings dopés à l’IA s’avèrent plus efficaces pour introduire le logiciel malveillant.
Même si une forte pression est exercée sur les RSSI par l’évolution des réglementations, la conformité doit passer après la protection de l’entreprise si celle-ci est insuffisante.
Notre conseil aux RSSI, c’est de bien prioriser leur choix de solutions et d’en évaluer l’efficacité par des tests appropriés (par exemple, un exercice de « red team » pour vérifier si toutes les attaques sont bien contrées) plutôt que de faire une confiance aveugle aux plaquettes des produits et aux discours des commerciaux.
Pour en savoir plus :
Site web : https://tehtris.com/
Linkedin : https://fr.linkedin.com/company/tehtris
Twitter : https://twitter.com/tehtris?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor
Articles connexes:
- Maxime Alay-Eddine, Cyberwatch : « Cyberscore » pour mieux appréhender les risques liés aux vulnérabilités
- Romain Quinat, Nomios : Commencez à implémenter de l’automatisation de réponses à incidents
- Régis Fattori, Bertin IT : Pensez prévention et pas seulement détection
- Arnaud Laprévote, PDG de LYBERO.NET : Faites des backups ! Chiffrez ! Formez !
- Michel Gérard, CEO de Conscio Technologies : La sensibilisation n’est pas un projet, c’est un processus
- AlgoSecure : le RSSI doit être un éducateur des bonnes pratiques SSI et un intermédiaire entre la direction et les prestataires en cybersécurité
- Yann LE BAIL, BYSTAMP : Donnez à l’utilisateur les moyens de se protéger et de protéger ses données en toute transparence et simplicité
- François Feugeas, Oxibox : Il est temps de se pencher sur la résilience de votre SI !
- Sébastien Gest, Vade Secure : il faut appréhender la sécurité du point de vue de la remédiation
- Roland Atoui, Red Alert Labs : les RSSI doivent instaurer des cadres de sécurités adaptés aux contraintes techniques et commerciales de l’IoT
- Axelle Saim, SANS Institute EMEA : la formation est la cheville ouvrière qui permet aux équipes SSI de mieux se prémunir contre les menaces
- Benoit Grunemwald, ESET France : La cybersécurité est enfin un sujet de comité de direction !
- Marco Rottigni, Qualys : La conformité est là pour aider. Adoptez-la !
- Florian Malecki, StorageCraft : n’oubliez pas de déployer des solutions de de protection et de restauration des données et des systèmes
- Lionel MOURER, ATEXIO : Les échanges avec les pairs et la sensibilisation des équipes sont primordiaux
- Fabrice CLERC, 6cure : Pensez « défense globale », et méfiez-vous de l’illusion d’être protégés !
- Benjamin Leroux, Advens : les RSSI doivent proposer une sécurité à valeur ajoutée pour que leur organisation tire profit de la révolution numérique !
- Arnaud Pilon, IMS Networks : La clé du succès en matière d’incident et de crise cyber a toujours pour dénominateur commun l’humain
- Frédéric Bénichou, SentinelOne : il est primordial que les entreprises consacrent leurs efforts à la protection du Endpoint
- Antoine Coutant - SYNETIS : La sensibilisation à la SSI est une des pierres angulaires de la cybersécurité
- Hani Attalah, iViFlo : les RSSI doivent projeter d’avantage leur mission dans les préoccupations et les objectifs du COMEX
- Fabrice Tusseau, APIXIT : nous nous efforçons de protéger votre capital « Data » mais aussi votre empreinte numérique
- Luc d’Urso, Atempo.Wooxo Group : Les RSSI doivent privilégier les solutions souveraines
- Renaud GHIA, TIXEO : Pour envisager un avenir serein, la cybersécurité doit être pensée au quotidien par tous, pour tous et s’intégrer dans la culture commune
- Hervé Schauer, Président d’HS2 : Les acteurs de la sécurité doivent poursuivre leur effort de communication
- Sylvain Stahl, SonicWall : L’utilisateur n’étant pas un expert en cybersécurité, la technologie doit donc faire ce travail à sa place
- Florent Fortuné, Forcepoint : Comprendre le comportement est la clé de la cybersécurité moderne
- Théodore-Michel Vrangos, I-TRACING : les ressources Shadow IT dans le viseur des attaquants
- Renaud Bidou, Trend Micro : pensez toujours à la cohérence des solutions de sécurité déployées !
- Bastien Legras, Google Cloud : Soyez objectifs, appuyez vous sur des faits, des réalités et non sur des suppositions ou des fantasmes
- Alexandre Pierin-Neron, Cybereason : les RSSI doivent devenir des évangélistes sécurité pour faire comprendre les enjeux de la cyber
- Alexandre Souille, Olfeo : il faut privilégier les solutions expertes pour mieux protéger son organisation
- Jean-Christophe Vitu, CyberArk : les RSSI doivent aligner leur stratégie de sécurité avec les nouvelles pratiques technologiques
- Norman Girard, de Varonis : En gagnant en visibilité sur les données, les RSSI pourront démontrer que les informations sensibles de l’entreprise sont conservées en toute sécurité
- Jérôme Notin, Cybermalveillance.gouv.fr : Usez et abusez de notre kit de sensibilisation !
- Sébastien Jardin, IBM Security France : La cybersécurité est un moyen de réduire le risque digital
- Arnaud Lemaire, F5 Networks : les RSSI doivent mettre un accent particulier sur la sécurisation des API
- Pierre-Louis Lussan, Netwrix : le RGPD, doit être perçu par les RSSI comme une opportunité d’obtenir des investissements en cybersécurité
- Fabien Pereira Vaz, Paessler AG : PRTG Network permet de superviser le bon fonctionnement des solutions de sécurité
- Eric Heddeland, Barracuda Networks : Soyez vigilants à chaque instant et prêts à de nouvelles attaques
- Christophe Auberger, Fortinet : Les RSSI doivent commencer à regarder très sérieusement les technologies disruptives, comme la Deception
- Frédéric Rousseau, Hiscox : l’assurance des cyber-risques à cet avantage : c’est un produit construit sur les besoins clients
- Edouard Camoin, 3DS OUTSCALE : Recherches et partage sont les clés du monde de demain
- Diane Rambaldini, ISSA FRANCE SECURITY TUESDAY : Soyez positifs, même si ce n’est pas drôle tous les jours
- Guillaume Charon, Genetec : Le meilleur fournisseur est celui qui place la cybersécurité avant tout
- Christophe Jolly, Vectra : Les équipes de sécurité doivent considérer l’approche comportementale pour la détection et la réponse aux menaces
- Eric Antibi, Palo Alto Networks : Les RSSI doivent penser à la cybersécurité de façon globale
- Bertrand Augé, Kleverware : L’humain est au cœur de la cybersécurité
- Jean-Dominique Quien, inWebo : Nous souhaitons aider les RSSI à sécuriser les accès aux ressources qu’ils ont la mission de protéger
- Paul Tolmer, Mailinblack : Il est temps de miser sur un acteur Made in France !
- Olivier Hamon, Citalid : Face à une menace de plus en plus présente et protéiforme, Citalid est le GPS pour vous guider dans vos choix
- Coralie Héritier, Directrice d’IDnomic et Spécialiste des Identités Numériques chez Atos : l’Europe a pris la mesure des enjeux et la nécessité de coopérer pour avoir un positionnement fort dans le monde numérique
- Hervé Rousseau, CEO d’OPENMINDED : Le pragmatisme du RSSI est une des clés pour permettre d’adapter une posture de sécurité pertinente
- Adrien Petit, Weakspot : RSSI, changez de posture, pensez attaquant !
- Dagobert Levy, Tanium : Il est essentiel que l’humain soit partie prenante du dispositif de sécurité de l’entreprise
- Stéphanie Ledoux, ALCYCONIE : Nombreuses sont les entreprises qui ressortent grandies d’une crise, parce qu’elles ont su la gérer avec pertinence !
- Gérôme Billois, Wavestone : mettez-vous dans les yeux de l’attaquant !
- Vincent Meysonnet, Bitdefender : minimiser les conséquences d’une violation de données peut déjà faire la différence
- Xavier Lefaucheux, WALLIX Group : Nos solutions réduisent les risques de sécurité par la mise en place d’une approche « Zero Trust »
- Eric Fries, ALLENTIS : le social engineering contourne les protections techniques
- Dalila Ben Attia, Terranova Security : les actions de sensibilisation peuvent faire la différence pour lutter contre le phishing
- Alain SCHNEIDER, Cogiceo : Notre mission a toujours été de mettre son expertise technique au service de la sécurité de ses clients
- Bernard Debauche Systancia : Les RSSI sont des facilitateurs de business et doivent être perçus comme tels au sein des instances dirigeantes de leurs organisations
- Nabil Bousselham, Veracode : Un bon RSSI doit toujours avoir une vue d’ensemble de toutes les infrastructures informatiques de l’entreprise
- Cyrille Badeau, ThreatQuotient : Le risque Cyber nécessite d’avoir recours au Cyber Renseignement !