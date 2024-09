Laurent Tombois, Bitdefender : la capacité d’adaptation et la résilience doivent être à la base de la stratégie de défense des RSSI

septembre 2024 par Marc Jacob

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises 2024 ?

Laurent Tombois : Nous sommes déjà sur la dernière partie de l’année 2024 et si nous regardons un peu en arrière, nous pouvons voir que l’actualité a été chargée ces derniers mois pour Bitdefender. En plus de nouvelles récompenses reçues pour la qualité de notre offre (« Visionnaire » selon Gartner ou encore « Leader » selon Forrester sur le MDR), diverses annonces fortes ont émaillé notre année. C’est le cas par exemple du lancement de nos offres de Pen Testing et de Red Teaming, mais aussi de notre produit Bitdefender EASM (External Attack Surface Monitoring). Ces nouveautés s’intègrent totalement à notre approche de cybersécurité de bout-en-bout, via une plateforme unique et centralisée. De la protection traditionnelle EPP jusqu’aux services de SOC managé 27x7 (MDR), en passant par l’EDR, l’XDR, la Threat Intelligence, le Red team ou encore le Pen Test, Bitdefender assure à la fois prédiction, prévention, protection, détection, réponse et investigation.

Lors des Assises de la Cybersécurité nous ferons un focus sur notre nouvelle offre CSPM+ (Cloud Security Posture Management), qui permet aux organisations d’avoir une visibilité totale sur la configuration de leurs clouds publics et identités, ainsi que de cibler leurs efforts en matière de conformité. Cette solution identifie en effet automatiquement les configurations qui ne respectent pas les cadres de conformité et les meilleures pratiques. De plus, elle détecte et cartographie les identités aux privilèges trop élevés grâce aux technologies CIEM (Cloud Infrastructure Entitlement Management). Ce sera d’ailleurs le sujet de notre atelier, avec la présence de Raphaël Peyret, VP of Product, Cloud Security chez Bitdefender.

GS Mag : Quel va être le thème de votre conférence cette année ?

Laurent Tombois : La thématique de notre atelier tournera cette année autour de la sécurité du cloud public, et notamment les solutions que l’on appelle « CSPM ». Plus précisément, le sujet de l’atelier sera : « Comment sécuriser le cloud public quand votre équipe ne le comprend pas ? » Les plus grands risques dans le cloud public ne sont pas forcément ceux que l’on pense et nous aborderons les approches pour les adresser, les risques perçus du cloud et pourquoi ils sont mal évalués (perte/fuite de données du côté du fournisseur cloud (CSP), les vulnérabilités du CSP qui fragilisent vos données, les risques concrets les plus importants (erreurs évitables, mauvaises configurations, identités inutilement sur-privilégiées). Cet atelier aura lieu le jeudi 10 octobre à 16h.

GS Mag : Quel bilan faites-vous de l’impact cyber de la Coupe d’Europe de Football et les Jeux Olympiques et Paralympiques ? Ont-ils suscité un regain d’attaques ?

Laurent Tombois : Les cybercriminels sont des opportunistes. Chaque fois qu’il y a des événements où ils peuvent créer des ouvertures pour le vol de données et la fraude, ils sautent sur l’occasion. Les récents événements sportifs en Europe, notamment l’EURO (Championnat d’Europe de football), les Jeux olympiques et les Jeux paralympiques, ont révélé plusieurs événements liés à la sécurité où les entités des pays hôtes et les supporters ont été ciblés par les cybercriminels. Je peux citer par exemple :

• La Pologne a été la cible privilégiée de plusieurs cyberattaques soupçonnées d’être commanditées par l’État russe. À l’approche de l’EURO, la Pologne a commencé à subir une augmentation des cyberattaques. La plupart des attaques étaient des campagnes de désinformation et d’espionnage émanant du groupe cybercriminel russe APT28. Ces attaques visaient à voler des données sensibles et à diffuser de la désinformation contre le gouvernement polonais. Le gouvernement a donc pris des mesures préventives et annoncé un investissement de 750 millions d’euros dans la cyberdéfense.

• Pendant l’EURO, des cybercriminels ont lancé une attaque DDoS (attaque par déni de service) contre le site Web de la chaîne de télévision publique polonaise TVP, qui diffusait le match d’ouverture de l’équipe nationale polonaise contre les Pays-Bas.

• L’UEFA (Union des associations européennes de football) et ses clients ont également été les cibles privilégiées des cyberattaques. Des applications mobiles usurpant l’identité de l’application officielle de l’UEFA ont été publiquement mises à disposition pour être téléchargées sur de nombreux stores d’applications tiers. Ces applications sont conçues pour voler des identifiants et des informations sensibles, comme des données de cartes de crédit. Des milliers d’informations d’identification de clients de l’UEFA ont ainsi été retrouvées sur des places de marché du Dark Web.

• De faux cadeaux pour l’EURO et les Jeux olympiques ont fait leur apparition sur Internet, promettant aux victimes potentielles des billets gratuits pour ces événements en demandant simplement leurs informations personnelles. Les cybercriminels utilisent ensuite ces informations pour cibler les victimes dans le cadre de programmes d’hameçonnage et de fraude plus sophistiqués.

Le Comité olympique de Paris 2024 et l’UEFA ont tous deux pris d’importantes mesures préventives pour assurer une perturbation minimale des événements et protéger les supporters. Leurs efforts n’ont donné lieu à aucun incident majeur en matière de cybersécurité, même si l’impact total d’une éventuelle cyberattaque ne sera pas connu avant un certain temps.

GS Mag : Comment allez-vous aider les entreprises à se mettre en conformité avec NIS2 ?

Laurent Tombois : Bitdefender propose plusieurs technologies et services qui aident les organisations à répondre aux exigences définies par la réglementation NIS2 de l’Union européenne pour renforcer la cybersécurité dans différents secteurs. L’une des principales exigences de NIS2 est la gestion globale des risques. Cela implique plusieurs composantes différentes allant de l’identification des systèmes et des actifs critiques à l’évaluation des vulnérabilités, en passant par la gestion des risques de la chaîne d’approvisionnement, la réponse aux incidents et bien d’autres choses encore. Bitdefender apporte des solutions à bon nombre de ces conditions :

• Bitdefender GravityZone Risk Management, composant central de notre protection des endpoints, est un outil d’évaluation des risques complet qui aide les organisations à identifier les risques de sécurité à travers les systèmes d’exploitation, les applications et le comportement des utilisateurs. Il fournit des actions de remédiation pour résoudre ces risques directement à partir de la console GravityZone grâce à l’intégration avec la gestion des correctifs. De plus, l’outil de gestion des risques GravityZone s’intègre à notre plateforme EDR/XDR pour identifier les vulnérabilités associées aux événements de sécurité.

• Bitdefender EASM (External Attack Surface Monitoring) permet aux organisations de découvrir automatiquement tous les actifs, services et vulnérabilités potentielles en lien avec le Web. Cette visibilité sur les risques de sécurité potentiels est une arme proactive puissante contre les failles de sécurité potentielles.

• En plus de notre technologie qui aide à la gestion des risques, Bitdefender MDR (Managed Detection and Response) comprend un processus d’intégration complet qui aide les organisations à identifier les systèmes critiques.

• La modélisation personnalisée des menaces fournie par notre service MDR Plus permet de surveiller un paysage de menaces spécifique à une organisation, y compris les menaces associées à sa chaîne d’approvisionnement, ce qui contribue à répondre à une autre exigence de NIS2.

Dans le cadre des exigences de NIS2 relatives aux mesures de sécurité, les organisations doivent mettre en œuvre des contrôles techniques pour protéger les systèmes et les données. Bitdefender propose des solutions de sécurité primées pour la protection des terminaux, la surveillance de l’intégrité de l’ensemble du système, le chiffrement intégral des disques, un pare-feu, les défenses réseau basés sur l’hôte, l’atténuation des ransomwares à l’épreuve des manipulations, la protection des charges de travail dans le cloud, la sécurité des messageries électroniques et la sécurité des appareils mobiles.

NIS2 a des exigences très spécifiques concernant le reporting des incidents de sécurité. Avec GravityZone EDR/XDR, les organisations peuvent non seulement surveiller et remédier aux incidents de sécurité, mais elles disposent également de toutes les données et de tous les rapports nécessaires pour déterminer le qui, le quoi, le quand et le comment d’une cyberattaque. GravityZone Incident Advisor fournit des informations sur les systèmes et les comptes utilisateurs affectés par un incident de sécurité, les actions de remédiation qui ont été prises et devraient être prises pour empêcher la menace de se propager, et identifie si des systèmes, des applications ou des comptes utilisateurs vulnérables ont été impliqués dans la violation potentielle. GravityZone fournit également des recherches historiques et en direct pour les indicateurs de compromission, et les équipes de sécurité ont la possibilité de créer des règles personnalisées pour détecter et contrecarrer les activités suspectes à travers leur réseau.Ces instruments constituent un élément essentiel de la capacité d’une organisation à renforcer son dispositif de sécurité contre les attaques futures.

GS Mag : Comment va évoluer votre offre pour 2024/2025 ?

Laurent Tombois : Bitdefender a toujours été un pionnier dans le domaine de la cybersécurité. Alors que d’autres fournisseurs se concentraient sur la détection basée sur les signatures ; en 2008 nous avons été les premiers à développer des modèles d’apprentissage automatique (Machine Learning) pour la détection des menaces. En tant que spécialistes, nous sommes conscients des tendances en matière de cybersécurité et nous nous efforçons de garder une longueur d’avance sur les pirates. Par exemple, nous avons remarqué que si la destruction et le chiffrement des données sont toujours d’actualité, les cybercriminels se concentrent davantage sur l’exfiltration des de celles-ci. En volant les informations d’identification des personnes ayant des accès critiques au sein d’une organisation, ils peuvent mettre au point des cyberattaques plus préjudiciables et plus rentables. Pour aider à déjouer ces attaques, nous continuerons à innover en utilisant des technologies émergentes pour améliorer notre détection des anomalies sur toutes les plateformes - cela aidera les organisations à identifier un comportement inhabituel qui pourrait provenir d’un compte compromis avec un accès élevé.

Ces dernières années, la détection et la réponse ont fait l’objet d’un grand battage médiatique, et nous y avons répondu avec notre produit GravityZone XDR, qui couvre une plus grande surface d’attaque que la plupart des autres fournisseurs dans ce domaine. Aujourd’hui, nous constatons que l’attention se déplace vers les organisations qui ont besoin d’une meilleure prévention et Bitdefender est une fois de plus bien en avance sur la concurrence avec des solutions comme notre produit EASM (External Attack Surface Management) récemment lancé. Nous continuerons à faire ce que nous avons toujours fait, c’est-à-dire innover, travailler avec les forces de l’ordre dans le monde entier pour démanteler les groupes de cybercriminels et étendre nos efforts pour éduquer le public sur les cybermenaces et les défenses émergentes.

GS Mag : Quelle sera votre stratégie globale pour 2024/2025 ?

Laurent Tombois : À l’horizon 2025, notre stratégie consiste à continuer à stimuler l’innovation en matière de cybersécurité, en tirant parti des progrès réalisés dans le domaine des réseaux neuronaux et de l’intelligence artificielle. La capacité de l’IA à analyser rapidement de grandes quantités de données, à identifier des modèles et à prendre des décisions rapides et précises est essentielle pour améliorer l’efficacité des professionnels de la sécurité. Cela est d’autant plus vital que les entreprises de tous les secteurs sont confrontées à une surface d’attaque en constante expansion - alimentée par des facteurs tels que le travail à distance, l’IoT et les environnements multiclouds - tout en luttant contre une pénurie d’expertise de haut niveau en matière de sécurité. En augmentant les capacités humaines, l’IA joue un rôle central pour relever ces défis complexes.

En outre, nous continuerons à promouvoir la formation sur l’évolution des cybermenaces afin d’aider les particuliers et les organisations de toutes tailles à se protéger contre les cybercriminels. Nous ferons des annonces passionnantes dans les mois à venir.

GS Mag : Quel est votre message aux RSSI ?

Laurent Tombois : Alors que nous sortirons bientôt de 2024 et que nous nous tournons vers l’avenir, le paysage des cybermenaces évolue à un rythme sans précédent. Les innovations en matière d’intelligence artificielle ont fourni aux acteurs de la menace et aux défenseurs de nouveaux appareils avec lesquels travailler, ce qui a entraîné une escalade de la cyberguerre. Notre message aux RSSI chargés de protéger l’infrastructure numérique de l’organisation est clair : la capacité d’adaptation et la résilience doivent être à la base de votre stratégie de défense. Il y a plusieurs domaines clés sur lesquels il faut se concentrer :

– Gardez un œil sur votre chaîne d’approvisionnement. Les services tiers étant de plus en plus interconnectés, la sécurisation de votre organisation passe par la sécurisation de chaque maillon de votre chaîne d’approvisionnement. Les pirates exploitent ces relations pour infiltrer même les organisations les plus sûres.

– Soyez conscient(e) de l’évolution des ransomwares. Les opérations de ransomware en tant que service (RaaS) se développent. Les groupes de cybercriminels sont bien financés et utilisent des techniques d’extorsion doubles et triples plus sophistiquées qui comprennent non seulement le chiffrement et la destruction des données, mais aussi leur exfiltration. Les conflits mondiaux ont également accru les motivations des attaques parrainées par des États. Mettez en place des contrôles d’accès stricts au sein de votre organisation, segmentez votre réseau afin de réduire la possibilité de mouvements latéraux vers les systèmes critiques, et utilisez des outils de détection et de réponse qui couvrent la plus grande surface d’attaque, tels que ceux que l’on trouve dans GravityZone XDR.

– En ce qui concerne la surface d’attaque, il ne faut pas négliger les risques liés à la sécurité de l’informatique dématérialisée. Comme le rapportent les analystes, d’ici 2025, 90 % des entreprises qui négligent le contrôle des clouds publics risquent d’exposer des données sensibles. Disposer de l’expertise adéquate pour sécuriser votre charge de travail dans le cloud est un élément crucial de la prévention des violations.

– Les technologies émergentes alimentées par l’IA peuvent être une arme à double tranchant. Des nouveautés telles que le Deepfake et les technologies de clonage vocal vont transformer nos concepts de ransomware et il est important d’être conscient des moyens qui émergent pour détecter l’utilisation de ces technologies. Les chatbots alimentés par l’IA peuvent être des outils puissants entre de bonnes mains. Lorsque vous les intégrez à votre pile de sécurité, soyez conscient de leurs limites, notamment en ce qui concerne leur capacité à « halluciner ». Si ces outils peuvent être utiles à vos équipes de sécurité, il peut être risqué de trop s’y fier.

– Renforcer la résilience par la collaboration. La sécurité n’est plus une entreprise solitaire. Engagez-vous dans une collaboration avec d’autres leaders du secteur, des organismes gouvernementaux et des experts en cybersécurité. Partagez les informations sur les menaces et les points de vue pour renforcer les défenses collectives. Les menaces évoluent à l’échelle mondiale et notre réponse doit l’être également.

Bitdefender est prêt à vous accompagner dans cette démarche, en vous fournissant les solutions et l’expertise nécessaires pour prospérer dans le paysage de la cyber-guerre moderne.