Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Laurent Tombois, Bitdefender : La corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber-résilience

septembre 2021 par Marc Jacob

A l’occasion de sa nouvelle participation aux Assises de la Sécurité, Bitdefender abordera trois de ses axes de développement majeurs : l’XDR, l’eXtended Detection and Response, le service MDR (Managed Detection and Response) et sa solution GravityZone Security for Containers. Les risques de sécurité pour les PME et les plus grandes entreprises sont devenus plus visibles et plus diversifiés au cours des dernières années explique Laurent Tombois, Country Manager de Bitdefender. Pour lui, la corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber résilience.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Laurent Tombois : Les Assises de la Sécurité vont être l’occasion d’aborder trois de nos axes de développement majeurs :
• Tout d’abord ce qu’on appelle l’XDR, l’eXtended Detection and Response. Les cybercriminels ne cessant de s’améliorer et les attaques avancées d’aujourd’hui étant de plus en plus difficiles à détecter, les capacités de type XDR et de corrélation des évènements doivent aller au-delà d’un seul et unique endpoint, afin de permettre aux organisations de faire face plus efficacement aux cyberattaques complexes impliquant de multiples terminaux. Nous proposons l’XDR en tant que solution autonome complétant les solutions existantes de protection des endpoints ou en tant que plateforme complètement intégrée.
• Ensuite, pour résoudre les problématiques de pénurie de compétences en cybersécurité, de manque de ressources et de difficulté à détecter & répondre aux attaques avancées, nous proposons le service MDR (Managed Detection and Response). Celui-ci assure de manière externalisée les opérations de cybersécurité de nos clients 24h/24, 7j/7, et se base sur l’expertise en chasse aux menaces de notre SOC qui emploie exclusivement des analystes de sécurité recrutés auprès d’agences de renseignement du monde entier.
• Enfin, ce sera aussi l’occasion de présenter notre solutionGravityZone Security for Containers, qui protège les conteneurs et les charges de travail dans le cloud contre les attaques modernes visant Linux et les conteneurs, y compris Docker et Kubernetes.

GS Mag : Quel sera le thème de votre conférence cette année ?

Laurent Tombois : Lors de cette édition, notre client ESSCA, école de management, expliquera comment il a pu améliorer la détection des attaques et ses enquêtes, tout en réduisant ses coûts grâce au MDR (Managed Detection & Response). Sous forme de retour d’expérience, Anis ABDELMOUJIB, Administrateur Systèmes et Réseaux à l’ESSCA, abordera le passage au MDR, qui lui a permis de résoudre de nombreuses problématiques de cybersécurité : pénurie de personnel et de compétences, manque de visibilité sur les attaques, mauvaise détection des malwares avancés ou encore gestion quotidienne d’un trop grand nombre d’alertes.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Laurent Tombois : Les ransomwares et les attaques de la chaîne logistique ont dominé le paysage des cybermenaces en 2021, alors que dans le même temps le nombre de fuites de données n’a cessé d’augmenter. Nous pouvons désormais considérer les données personnelles comme quelque chose que les cybercriminels exploitent et utilisent de plus en plus rapidement, dès qu’ils y accèdent. Ce sont d’ailleurs des informations qu’ils peuvent échanger avec d’autres organisations cybercriminelles : les données personnelles sont donc de réelles marchandises. Elles ont un prix et les informations immuables, comme les dossiers médicaux, font partie des types de données les plus recherchés. La réutilisation des mots de passe (en particulier les mots faibles) est l’une des principales causes des violations massives de données. Elle permet en effet aux cybercriminels d’accéder à plusieurs comptes à la fois et de se livrer à des usurpations d’identité et des fraude financières – et même souvent les deux.

Un chapitre dédié pourrait être consacré aux dispositifs de l’IoT, qui constituent une autre menace croissante pour la vie privée des utilisateurs. En effet, la plupart des appareils connectés à Internet écoutent, enregistrent et collectent en continu des informations sur les utilisateurs.

GS Mag : Quid des besoins des entreprises ?

Laurent Tombois : Les risques de sécurité pour les PME et les plus grandes entreprises sont devenus plus visibles et plus diversifiés au cours des dernières années. Voici quelques-uns des plus importants :
• Les ransomwares : les attaques par ransomware sont de plus en plus courantes avec la prolifération des ransomware-as-a-service. Des groupes de cybercriminels créent et commercialisent des ransomwares à des affiliés. Cette démocratisation de l’accès aux ransomwares a eu un impact important sur la sécurité et la confidentialité des données, car les attaquants exfiltrent également les informations dérobées comme mécanisme supplémentaire de chantage.
• Les violations de données : elles sont devenues la nouvelle norme, car les attaquants profitent d’accès illégaux pour voler des informations de clients, des éléments de propriété intellectuelle ou des secrets commerciaux qui seront vendus ou échangés sur des forums clandestins spécialisés. Les violations de données vont de pair avec les attaques par ransomware, qui constituent un vecteur secondaire d’extorsion.
• Phishing et vishing : ces techniques, utilisées depuis plusieurs décennies, exploitent l’élément humain pour accéder illégalement à des systèmes ou à des infrastructures. Les comptes de domaine peuvent être utilisés tels quels ou échangés (éventuellement vendus) sur des forums clandestins. Un type d’attaque spécifique, appelé Business Email Compromise, abuse de l’accès illégal ou de l’usurpation d’identité pour générer des fraudes financières et amener les décideurs à transférer de grandes quantités d’argent de leurs entreprises à des cybercriminels.
• Des périmètres de plus en plus flous entre vie personnelle et vie publique ou entre infrastructures privées et publiques. La généralisation du travail à domicile a obligé les entreprises à ouvrir l’accès à des zones de l’infrastructure auparavant privées. Que ce soit par l’adoption du cloud ou par des politiques d’accès plus souples, les entreprises permettent à leurs employés travaillant à l’extérieur d’interagir avec les données et les processus internes, ce qui peut avoir un impact négatif sur la sécurité et la confidentialité de l’organisation. Les utilisateurs travaillant à domicile sont souvent plus susceptibles de prendre la sécurité moins au sérieux et n’ont pas la vision de la sécurité au niveau du réseau. Associées à de nombreux appareils de l’IoT et à des équipements réseau mal configurés à domicile, les vulnérabilités du côté de l’employé peuvent entraîner des conséquences néfastes sur la sécurité et la sûreté de l’entreprise.
• En parlant de mauvaises configurations, un dernier point dans cette liste non exhaustive de risques est la diversification du périmètre et la mauvaise configuration inhérente aux équipements. Le contrôle des accès, les logiciels obsolètes ou les services mal exposés sur le réseau peuvent ouvrir de nouvelles voies d’attaque. L’analyse des risques liés aux endpoints et les audits de sécurité jouent un rôle essentiel dans l’identification des erreurs de configuration et dans le colmatage des brèches avant que les attaquants n’accèdent au réseau.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Laurent Tombois : Bitdefender a appliqué deux décennies d’expertise et d’innovation en matière de cybersécurité pour développer des solutions de pointe capables de protéger efficacement les utilisateurs qu’ils soient au travail, à domicile ou en déplacement. Par exemple, les technologies Bitdefender sont intégrées aux équipements de routeurs domestiques les plus populaires afin de protéger les appareils qui ne peuvent pas être adressés par des logiciels de sécurité traditionnels. De l’IoT aux datacenters, des terminaux aux infrastructures hybrides, Bitdefender joue un rôle de transformation dans la façon dont la sécurité est consommée, déployée et administrée. Nous nous efforçons de fournir des solutions et des services qui modifient radicalement l’expérience de nos clients avec la sécurité, en termes d’efficacité, de performance, de facilité d’utilisation et d’interopérabilité.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Laurent Tombois : Le travail à distance est un aspect complexe qui requiert une attention et des outils supplémentaires pour fonctionner correctement et en toute sécurité. Le passage du bureau de l’entreprise au domicile met une forte pression sur les équipes informatiques qui sont désormais censées assurer la sécurité des données de l’entreprise, même si l’utilisateur travaille depuis son ordinateur portable personnel ou depuis un appareil fourni par l’entreprise et connecté à un environnement potentiellement hostile.

Voici quelques-unes des menaces les plus importantes pour le travail à domicile :
• L’augmentation des emails frauduleux qui incitent les victimes à divulguer des informations d’identification de l’entreprise (hameçonnage/phishing) ou à ouvrir des pièces jointes contenant des ransomwares. Lorsque l’on travaille sur un ordinateur personnel, ces risques sont particulièrement importants car l’équipe informatique n’a aucun contrôle sur la solution de sécurité, la façon dont elle est configurée ou le niveau de correctifs de sécurité du système d’exploitation utilisé.
• Les risques de conformité. Au travail, les données des clients et de l’entreprise sont stockées en toute sécurité, conformément à la législation locale ou internationale. Le chiffrement des données, la gestion des appareils et d’autres contrôles de sécurité ne sont pas nécessairement disponibles sur les ordinateurs personnels, ce qui peut faciliter le vol ou la divulgation non autorisée d’informations sur les clients ou l’entreprise.
• L’environnement réseau hostile. Contrairement aux configurations de réseaux d’entreprise, les réseaux domestiques sont un amalgame d’appareils qui se connectent souvent à un routeur obsolète et vulnérable. Les cybercriminels en ont profité et ont commencé à sonder les connexions domestiques à la recherche d’équipements réseau vulnérables qu’ils pourraient compromettre. Les appareils de l’IoT sont une autre préoccupation majeure qui pourrait jouer un rôle crucial dans le vol de données.

Ces risques peuvent être atténués grâce à des défenses appropriées, tant au niveau des terminaux qu’au niveau du réseau. Technologiquement, l’automatisation et la prise de décision sont de plus en plus confiées aux machines. L’intelligence artificielle et l’analyse des risques humains ne sont que quelques-unes des technologies qui se sont révélées extrêmement efficaces contre les menaces visant les utilisateurs distants. Toutefois, bien qu’extrêmement importante, la technologie doit aller de pair avec une formation et la sensibilisation à la cybersécurité et des procédures bien définies. Les employés devraient se soumettre formellement à ces procédures au moins une fois par an et répondre à un questionnaire pour valider leurs connaissances en matière de cybersécurité.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Laurent Tombois : Les solutions de sécurité doivent évoluer au même rythme que le paysage des cybermenaces. Dans un monde où les attaquants utilisent de plus en plus de malwares de type "Zero-day" et de nouvelles charges utiles, la détection basée sur le comportement et la surveillance des anomalies devient la seule défense viable pour tenir les menaces à distance.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Laurent Tombois : Les organisations de toutes tailles et de tous secteurs sont dans la ligne de mire des APT et des groupes de cybercriminels spécialisés. Chaque application, email, vulnérabilité non corrigée, relation avec un partenaire ou service tiers représente un point d’entrée potentiel pour un incident de sécurité dramatique. À mesure que les adversaires développent des techniques pour contourner les défenses et se déplacer dans les environnements sans être détectés, la corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber résilience.

Pour en savoir plus


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants