Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ? Quel sera le thème de votre conférence cette année ?

Riad Nassou : Aux Assises, mon collègue Franck Trognée et moi-même animerons un atelier le jeudi 14 octobre sur le thème de « l’importance de la post-compromission pour éviter le pire ». L’augmentation des cyberattaques est claire. Les entreprises doivent être prêtes à détecter et à répondre aux menaces avancées telles que les ransomwares à double extorsion et les attaques de la supply chain, notamment face à une surface d’attaque croissante et complexe. Nous explorerons les tendances actuelles en matière de cybersécurité et détaillerons comment les entreprises peuvent détecter et répondre à ces menaces avancées avant qu’elles ne compromettent leur activité.

ExtraHop a pour mission d’aider les entreprises à détecter et à répondre aux menaces avancées. Une partie de cette mission se concentre sur l’analyse forensique et la réponse, en fournissant aux équipes les informations nécessaires pour une analyse approfondie post-compromission. Nous voulons nous assurer que les entreprises tirent les leçons des attaques précédentes et atténuent le risque ou la vulnérabilité afin de ne pas devenir une victime récurrente.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Riad Nassou : Les hackers privilégient de plus en plus les supply chain. En les attaquants, ils peuvent faire des ravages. Suite l’attaque ciblant le fournisseur de logiciels informatiques Kaseya, ce sont plus de 1 500 entreprises qui ont été touchées dans le monde. Celle de Colonial Pipeline, le plus grand oléoduc d’hydrocarbures raffinés d’Amérique du Nord, a anéanti 45% de l’approvisionnement en carburant de la côte Est des États-Unis. Cette montée en puissance des menaces avancées se poursuivra en 2022 et les infrastructures critiques quant à elles devront être identifiées comme à risque.

Les périphériques IoT représentent également une menace majeure pour les entreprises. Ils créent une nouvelle surface d’attaque de grande envergure rendant les utilisateurs finaux et les entreprises vulnérables à des risques totalement nouveaux. Les équipes de sécurité déploient souvent des technologies Endpoint ou de journalisation pour surveiller les activités suspectes. Cependant, ces outils ne peuvent être déployés avec les appareils IoT. Cela crée une énorme lacune en matière de surveillance empêchant d’avoir une visibilité globale du réseau, faisant ainsi des appareils IoT des proies de choix pour les attaques des hackers.

Nous en avons déjà eu la preuve avec les hackers ayant exploité les vulnérabilités de la plateforme cloud IoT Kalay de ThroughTek. Ils ont pu accéder aux flux audio et vidéo en direct des consommateurs et potentiellement aux systèmes de sécurité et de surveillance de l’entreprise. Toute industrie utilisant des dispositifs IoT devrait considérer l’exploitation de la vulnérabilité Kalay comme un signal d’alarme.

GS Mag : Quid des besoins des entreprises ?

Riad Nassou : Les besoins des entreprises ont évolué dans la nouvelle ère du travail à distance. Elles doivent soutenir les utilisateurs, quel que soit leurs lieux de travail ou l’appareil qu’ils apportent au bureau. Les cybercriminels tirent parti de cette diffusion des appareils et de l’absence de périmètre. Dans cette optique, les entreprises doivent faire évoluer les stratégies de cybersécurité afin de disposer d’une visibilité complète de leur réseau. Vous ne pouvez pas protéger ce que vous ne pouvez voir. Les entreprises ont besoin d’outils qui offrent une visibilité sur les appareils, les utilisateurs et l’activité nord/sud et est/ouest.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Riad Nassou : Notre stratégie est guidée par notre mission : mettre fin aux menaces avancées grâce à une sécurité qui ne peut être ni affaiblie, ni déjouée, ni compromise. Nous nous efforçons constamment de permettre aux entreprises de détecter plus rapidement les menaces avancées et de les doter d’un outil d’analyse et de réponse. Les équipes de réponse aux incidents ont besoin d’une meilleure efficacité en matière de détection et de réponse aux menaces, en particulier lorsqu’il s’agit de menaces avancées qui peuvent se déplacer horizontalement sur un réseau pendant une période prolongée. Les hackers déploient de plus en plus de tactiques furtives et attendent maintenant la bonne occasion pour lancer leurs attaques. Notre stratégie vise à les éliminer avant qu’ils n’aient la possibilité de provoquer des dommages.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Riad Nassou : Chez ExtraHop, nous sommes spécialisés dans la détection et la réponse réseau pour doter les équipes de cybersécurité d’outils dont elles ont besoin pour se défendre contre les menaces avancées. Notre plateforme Reveal(x) 360, reposant sur une intelligence artificielle à l’échelle du cloud, déchiffre et analyse en toute discrétion l’ensemble du trafic cloud et réseau en temps réel afin d’éliminer les angles morts et de détecter les menaces qui échappent à d’autres outils. Des modèles élaborés de Machine Learning sont appliqués à des pétaoctets de données télémétriques collectées en continu, aidant ainsi les clients d’ExtraHop à identifier les comportements suspects et à sécuriser plus de 15 millions d’actifs informatiques. Elles disposent ainsi d’une visibilité complète sur leur réseau pour identifier rapidement les comportements malveillants, rechercher les menaces avancées et investiguer sur les incidents ou en dehors de toute alerte et ce en toute confiance.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Riad Nassou : Pour limiter les risques, les entreprises doivent s’assurer qu’elles éliminent les angles morts de leur réseau et qu’elles disposent d’une visibilité complète et continue du réseau sur tous les appareils et tous workloads. Pour cela, il est essentiel de pouvoir surveiller l’activité est-ouest et nord-sud. Les hackers ont adopté une stratégie d’infiltration et de détournement au sein des entreprises. Le suivi des mouvements est-ouest révèle des signes précurseurs de comportements malveillants et anormaux.

Il est important de pouvoir appliquer des modèles prédictifs et des renseignements sur les menaces pour s’assurer que tout modèle malveillant antérieur peut être rapidement détecté. Cela permet aux équipes de sécurité d’identifier et d’éliminer plus facilement les menaces. Les entreprises peuvent ainsi se concentrer sur leurs systèmes critiques. Elles savent désormais quelles sont les priorités face à une constante augmentation des workloads au sein de leur DCs ou de leur Cloud.

Enfin, les entreprises doivent être en mesure d’analyser rapidement les menaces - en s’assurant qu’elles peuvent valider, trier et établir la cause profonde de l’activité en quelques minutes, plutôt qu’en quelques jours. Grâce à des intégrations intelligentes et à l’automatisation des flux, les entreprises peuvent défendre solidement leur système qu’il soit sur site, dans le cloud ou dans un environnement hybride.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Riad Nassou : Mon principal message aux RSSI serait de s’assurer que la sécurité est une priorité et qu’elle ne concerne pas seulement les équipes de sécurité, mais aussi l’équipe des opérations informatiques et DevOps. En outre, les employés qui ne font pas partie des équipes informatiques doivent adopter des pratiques qui les aideront à se protéger et à protéger l’entreprise contre la vulnérabilité. Les hackers s’améliorent notamment en phishing ; par exemple, les e-mails ne contiennent plus de fautes d’orthographe évidentes et de formatage atypique, mais apparaissent souvent très sophistiqués et effroyablement proches du formatage d’une entreprise.

Il est également important que les RSSI n’oublient pas les pratiques d’hygiène de sécurité de base. C’est souvent la première chose qui échappe aux équipes lorsqu’elles sont occupées. Il suffit d’un rien pour que les entreprises soient sécurisées et que les cyberattaquants y trouvent facilement leur compte. ExtraHop a récemment constaté que, malgré les ravages causés par certains protocoles non sécurisés bien connus, ils étaient encore très présents dans les environnements informatiques. Il s’agit notamment de SMBv1, le protocole non sécurisé à l’origine des attaques notoires et paralysantes WannaCry et NotPetya, qui était encore présent au sein de 67 % des entreprises.

– Pour tout contact riadn@extrahop.com