Laurent Tombois, Bitdefender : La corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber-résilience
septembre 2021 par Marc Jacob
A l’occasion de sa nouvelle participation aux Assises de la Sécurité, Bitdefender abordera trois de ses axes de développement majeurs : l’XDR, l’eXtended Detection and Response, le service MDR (Managed Detection and Response) et sa solution GravityZone Security for Containers. Les risques de sécurité pour les PME et les plus grandes entreprises sont devenus plus visibles et plus diversifiés au cours des dernières années explique Laurent Tombois, Country Manager de Bitdefender. Pour lui, la corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber résilience.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Laurent Tombois : Les Assises de la Sécurité vont être l’occasion d’aborder trois de nos axes de développement majeurs :
• Tout d’abord ce qu’on appelle l’XDR, l’eXtended Detection and Response. Les cybercriminels ne cessant de s’améliorer et les attaques avancées d’aujourd’hui étant de plus en plus difficiles à détecter, les capacités de type XDR et de corrélation des évènements doivent aller au-delà d’un seul et unique endpoint, afin de permettre aux organisations de faire face plus efficacement aux cyberattaques complexes impliquant de multiples terminaux. Nous proposons l’XDR en tant que solution autonome complétant les solutions existantes de protection des endpoints ou en tant que plateforme complètement intégrée.
• Ensuite, pour résoudre les problématiques de pénurie de compétences en cybersécurité, de manque de ressources et de difficulté à détecter & répondre aux attaques avancées, nous proposons le service MDR (Managed Detection and Response). Celui-ci assure de manière externalisée les opérations de cybersécurité de nos clients 24h/24, 7j/7, et se base sur l’expertise en chasse aux menaces de notre SOC qui emploie exclusivement des analystes de sécurité recrutés auprès d’agences de renseignement du monde entier.
• Enfin, ce sera aussi l’occasion de présenter notre solutionGravityZone Security for Containers, qui protège les conteneurs et les charges de travail dans le cloud contre les attaques modernes visant Linux et les conteneurs, y compris Docker et Kubernetes.
GS Mag : Quel sera le thème de votre conférence cette année ?
Laurent Tombois : Lors de cette édition, notre client ESSCA, école de management, expliquera comment il a pu améliorer la détection des attaques et ses enquêtes, tout en réduisant ses coûts grâce au MDR (Managed Detection & Response). Sous forme de retour d’expérience, Anis ABDELMOUJIB, Administrateur Systèmes et Réseaux à l’ESSCA, abordera le passage au MDR, qui lui a permis de résoudre de nombreuses problématiques de cybersécurité : pénurie de personnel et de compétences, manque de visibilité sur les attaques, mauvaise détection des malwares avancés ou encore gestion quotidienne d’un trop grand nombre d’alertes.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?
Laurent Tombois : Les ransomwares et les attaques de la chaîne logistique ont dominé le paysage des cybermenaces en 2021, alors que dans le même temps le nombre de fuites de données n’a cessé d’augmenter. Nous pouvons désormais considérer les données personnelles comme quelque chose que les cybercriminels exploitent et utilisent de plus en plus rapidement, dès qu’ils y accèdent. Ce sont d’ailleurs des informations qu’ils peuvent échanger avec d’autres organisations cybercriminelles : les données personnelles sont donc de réelles marchandises. Elles ont un prix et les informations immuables, comme les dossiers médicaux, font partie des types de données les plus recherchés. La réutilisation des mots de passe (en particulier les mots faibles) est l’une des principales causes des violations massives de données. Elle permet en effet aux cybercriminels d’accéder à plusieurs comptes à la fois et de se livrer à des usurpations d’identité et des fraude financières – et même souvent les deux.
Un chapitre dédié pourrait être consacré aux dispositifs de l’IoT, qui constituent une autre menace croissante pour la vie privée des utilisateurs. En effet, la plupart des appareils connectés à Internet écoutent, enregistrent et collectent en continu des informations sur les utilisateurs.
GS Mag : Quid des besoins des entreprises ?
Laurent Tombois : Les risques de sécurité pour les PME et les plus grandes entreprises sont devenus plus visibles et plus diversifiés au cours des dernières années. Voici quelques-uns des plus importants :
• Les ransomwares : les attaques par ransomware sont de plus en plus courantes avec la prolifération des ransomware-as-a-service. Des groupes de cybercriminels créent et commercialisent des ransomwares à des affiliés. Cette démocratisation de l’accès aux ransomwares a eu un impact important sur la sécurité et la confidentialité des données, car les attaquants exfiltrent également les informations dérobées comme mécanisme supplémentaire de chantage.
• Les violations de données : elles sont devenues la nouvelle norme, car les attaquants profitent d’accès illégaux pour voler des informations de clients, des éléments de propriété intellectuelle ou des secrets commerciaux qui seront vendus ou échangés sur des forums clandestins spécialisés. Les violations de données vont de pair avec les attaques par ransomware, qui constituent un vecteur secondaire d’extorsion.
• Phishing et vishing : ces techniques, utilisées depuis plusieurs décennies, exploitent l’élément humain pour accéder illégalement à des systèmes ou à des infrastructures. Les comptes de domaine peuvent être utilisés tels quels ou échangés (éventuellement vendus) sur des forums clandestins. Un type d’attaque spécifique, appelé Business Email Compromise, abuse de l’accès illégal ou de l’usurpation d’identité pour générer des fraudes financières et amener les décideurs à transférer de grandes quantités d’argent de leurs entreprises à des cybercriminels.
• Des périmètres de plus en plus flous entre vie personnelle et vie publique ou entre infrastructures privées et publiques. La généralisation du travail à domicile a obligé les entreprises à ouvrir l’accès à des zones de l’infrastructure auparavant privées. Que ce soit par l’adoption du cloud ou par des politiques d’accès plus souples, les entreprises permettent à leurs employés travaillant à l’extérieur d’interagir avec les données et les processus internes, ce qui peut avoir un impact négatif sur la sécurité et la confidentialité de l’organisation. Les utilisateurs travaillant à domicile sont souvent plus susceptibles de prendre la sécurité moins au sérieux et n’ont pas la vision de la sécurité au niveau du réseau. Associées à de nombreux appareils de l’IoT et à des équipements réseau mal configurés à domicile, les vulnérabilités du côté de l’employé peuvent entraîner des conséquences néfastes sur la sécurité et la sûreté de l’entreprise.
• En parlant de mauvaises configurations, un dernier point dans cette liste non exhaustive de risques est la diversification du périmètre et la mauvaise configuration inhérente aux équipements. Le contrôle des accès, les logiciels obsolètes ou les services mal exposés sur le réseau peuvent ouvrir de nouvelles voies d’attaque. L’analyse des risques liés aux endpoints et les audits de sécurité jouent un rôle essentiel dans l’identification des erreurs de configuration et dans le colmatage des brèches avant que les attaquants n’accèdent au réseau.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Laurent Tombois : Bitdefender a appliqué deux décennies d’expertise et d’innovation en matière de cybersécurité pour développer des solutions de pointe capables de protéger efficacement les utilisateurs qu’ils soient au travail, à domicile ou en déplacement. Par exemple, les technologies Bitdefender sont intégrées aux équipements de routeurs domestiques les plus populaires afin de protéger les appareils qui ne peuvent pas être adressés par des logiciels de sécurité traditionnels. De l’IoT aux datacenters, des terminaux aux infrastructures hybrides, Bitdefender joue un rôle de transformation dans la façon dont la sécurité est consommée, déployée et administrée. Nous nous efforçons de fournir des solutions et des services qui modifient radicalement l’expérience de nos clients avec la sécurité, en termes d’efficacité, de performance, de facilité d’utilisation et d’interopérabilité.
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Laurent Tombois : Le travail à distance est un aspect complexe qui requiert une attention et des outils supplémentaires pour fonctionner correctement et en toute sécurité. Le passage du bureau de l’entreprise au domicile met une forte pression sur les équipes informatiques qui sont désormais censées assurer la sécurité des données de l’entreprise, même si l’utilisateur travaille depuis son ordinateur portable personnel ou depuis un appareil fourni par l’entreprise et connecté à un environnement potentiellement hostile.
Voici quelques-unes des menaces les plus importantes pour le travail à domicile :
• L’augmentation des emails frauduleux qui incitent les victimes à divulguer des informations d’identification de l’entreprise (hameçonnage/phishing) ou à ouvrir des pièces jointes contenant des ransomwares. Lorsque l’on travaille sur un ordinateur personnel, ces risques sont particulièrement importants car l’équipe informatique n’a aucun contrôle sur la solution de sécurité, la façon dont elle est configurée ou le niveau de correctifs de sécurité du système d’exploitation utilisé.
• Les risques de conformité. Au travail, les données des clients et de l’entreprise sont stockées en toute sécurité, conformément à la législation locale ou internationale. Le chiffrement des données, la gestion des appareils et d’autres contrôles de sécurité ne sont pas nécessairement disponibles sur les ordinateurs personnels, ce qui peut faciliter le vol ou la divulgation non autorisée d’informations sur les clients ou l’entreprise.
• L’environnement réseau hostile. Contrairement aux configurations de réseaux d’entreprise, les réseaux domestiques sont un amalgame d’appareils qui se connectent souvent à un routeur obsolète et vulnérable. Les cybercriminels en ont profité et ont commencé à sonder les connexions domestiques à la recherche d’équipements réseau vulnérables qu’ils pourraient compromettre. Les appareils de l’IoT sont une autre préoccupation majeure qui pourrait jouer un rôle crucial dans le vol de données.
Ces risques peuvent être atténués grâce à des défenses appropriées, tant au niveau des terminaux qu’au niveau du réseau. Technologiquement, l’automatisation et la prise de décision sont de plus en plus confiées aux machines. L’intelligence artificielle et l’analyse des risques humains ne sont que quelques-unes des technologies qui se sont révélées extrêmement efficaces contre les menaces visant les utilisateurs distants. Toutefois, bien qu’extrêmement importante, la technologie doit aller de pair avec une formation et la sensibilisation à la cybersécurité et des procédures bien définies. Les employés devraient se soumettre formellement à ces procédures au moins une fois par an et répondre à un questionnaire pour valider leurs connaissances en matière de cybersécurité.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Laurent Tombois : Les solutions de sécurité doivent évoluer au même rythme que le paysage des cybermenaces. Dans un monde où les attaquants utilisent de plus en plus de malwares de type "Zero-day" et de nouvelles charges utiles, la détection basée sur le comportement et la surveillance des anomalies devient la seule défense viable pour tenir les menaces à distance.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Laurent Tombois : Les organisations de toutes tailles et de tous secteurs sont dans la ligne de mire des APT et des groupes de cybercriminels spécialisés. Chaque application, email, vulnérabilité non corrigée, relation avec un partenaire ou service tiers représente un point d’entrée potentiel pour un incident de sécurité dramatique. À mesure que les adversaires développent des techniques pour contourner les défenses et se déplacer dans les environnements sans être détectés, la corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber résilience.
Articles connexes:
- Laurent Cayatte, Metsys : les RSSI et DSI ont besoin d’être accompagnés sur les phases d’audit et en gestion de crise
- David Grout, Fireeye Mandiant : Les RSSI doivent capable de se mesurer, de comparer leurs capacités à la menace réelle sur leur activité
- Stéphane Ankaoua, Oodrive : Avant de céder aux sirènes des technologies Il faut s’assurer que les fondamentaux de la sécurité de son organisation sont solides !
- Cyril Gollain, Brainwave : Les technologies d’Identity Analytics pour répondre aux enjeux de cybersécurité de façon transverse
- Giuseppe Brizio, Qualys Technologies SA : La consolidation des solutions verticales permet une analyse exhaustive de la surface d’attaque
- Valentin Jangwa et Nicolas Liard Bitglass : les entreprises doivent adopter un modèle « Zero-Trust » pour limiter les risques
- Théodore-Michel Vrangos, I-TRACING Group : Face aux crises, le RSSI est en première ligne il doit s’entourer d’experts en cybersécurité
- Hervé Liotaud, SailPoint : l’identité doit être au centre de toute stratégie de sécurité
- Olivier Spielmann, Kudelski Security : une préparation et une planification rigoureuses sont primordiales pour aborder une crise
- Thomas Briend, Vade : l’humain, l’ultime rempart pour limiter les risques
- Loïc Guézo, Proofpoint : la formation régulière, pierre angulaire d’une défense réussie
- Fabrice Clerc, C.E.O. de 6cure : Face aux cybercriminels, la disponibilité est désormais un enjeu majeur !
- Daniel Rezlan et Daniel Benabou, IDECSI : impliquez vos collaborateurs dans la protection de leurs données
- Rémi Fournier, DG de SYNETIS : Il est indispensable de travailler avec l’ensemble des collaborateurs pour limiter les cyber-risque
- Benjamin Leroux, Advens : Il faut que les RSSI et les professionnelles de la cybersécurité se protègent du stress important lié à la nature de ce métier
- Jacques de la Rivière, Gatewatcher : Les RSSI souhaitent interconnecter tous leurs outils de sécurité pour avoir une réponse globale et rapide
- Philippe Humeau, Président de CrowdSec : Notre approche est que l’on est fort tous ensemble
- Frédéric Grelot, GLIMPS : Les entreprises doivent porter leurs efforts sur la détection, la caractérisation et la réponse à incident
- Maxime Alay-Eddine, Cyberwatch : Les RSSI doivent étudier de près les solutions du groupement Hexatrust
- Blandine Delaporte, SentinelOne : les technologies d’IA et d’analyse comportementale dans les solutions de cybersécurité sont une aide essentielle pour les RSSI
- Nicolas Berchoux, APIXIT : De la sécurité opérationnelle à la sécurité Pro-active
- Nicolas Arpagian, Trend Micro : L’importance des cybermenaces justifie d’investir dans les moyens de détection au plus près des équipements
- Florent Embarek, BlackBerry : Nous encourageons nos clients à penser au-delà des solutions traditionnelles, à réduire la complexité et à limiter le coût de la sécurité
- Hervé Ysnel, CGI Business Consulting : Le « secure by design » doit suivre des règles et des process solides et supportés par des solutions de sécurité
- Olivier Perroquin, inWebo : L’authentification forte est un rempart efficace contre les intrusions
- Gérôme Billois, Wavestone : La professionnalisation de la filière et une gouvernance efficace deviennent des enjeux incontournables
- Frédéric Benichou, Armis : Les entreprises ne doivent pas continuer à ignorer les zones d’ombre des infrastructures
- Ghaleb Zekri, VMware : La course à l’adoption du Cloud a offert aux dirigeants d’entreprises l’occasion de revoir leurs approches en matière de cybersécurité
- Franck Zerbib, Google Cloud : Nous souhaitons favoriser une approche en confiance du cloud
- Roxanne Deslandes, Citalid Cybersécurité : Les RSSI et les acteurs de la filière de l’assurance doivent travailler de concert
- Abdel El Bachtany, Ivanti : Tant que des pirates sophistiqués continueront à attaquer les organisations, nous continuerons à renforcer nos fonctions de sécurité !
- Eric Fries, Allentis : Les équipes de sécurité ont besoin d’accompagnement de tous les instants pour faire face aux contraintes
- Nicolas Groh, Rubrik : Notre plateforme réconcilie les DSI et les RSSI autour de la question de la sécurité et de la sauvegarde des données
- Stéphane Hauray, Tufin Technologies : face au cyber-risques, l’automatisation des process est un must
- Mark Arena, Intel 471 : Le renseignement devrait être le moteur dans un programme de sécurité de l’information
- Boris Lecoeur, Cloudflare France : le RSSI doit réduire ses charges de travail opérationnelles pour se concentrer sur la stratégie de sa cybersécurité
- Dagobert Levy, Tanium : Les équipes informatiques auront une plus grande responsabilité en matière de prévention