La pandémie, voie d’accès royale pour les menaces persistantes avancées et sophistiquées
Pendant la pandémie, les organisations ont dû faire face à des défis inédits : répondre aux besoins en télétravail de façon massive et précipitée, tout en réorganisant leurs politiques et en décalant les projets informatiques internes moins critiques. Si cette transition a incontestablement permis d’accélérer les processus de transformation digitale - selon une récente étude Futjitsu, pour 70% des DSI, la Covid-19 a radicalement révolutionné leurs stratégies de transformation numérique - les entreprises ont dû cependant faire des concessions sur leurs politiques de sécurité internes, augmentant les vecteurs d'attaque et les risques pour leurs données critiques.
Avec l’élargissement des périmètres pour intégrer davantage d’employés sur les sites distants, le recours au BYOD et à des terminaux non sécurisés, le manque de sensibilisation à la sécurité des télétravailleurs qui ne séparent pas toujours les activités web personnelles des flux professionnels, … l’environnement de travail est devenu plus exposé et le risque humain s’est encore plus fragilisé. Face à cela, les cybercriminels ont redoublé leurs efforts pour exploiter les vulnérabilités liées à ces changements d’usages, ainsi que les surfaces d'attaques étendues des organisations, entérinées bien avant la crise sanitaire par l’élargissement du périmètre du système d’information, le recours au Cloud, à la mobilité et à l’augmentation exponentielle du nombre d’applications et d’infrastructures utilisées.
Des données de sécurité silotées
Les trois catégories de cyberattaques les plus rencontrées pendant la pandémie selon IBM Security, ont été : les ransomware (23 % des attaques), le vol de données (10% des attaques, augmentation de 160 % depuis 2019), les accès non autorisés au serveur d'une victime (augmentation de 233 % depuis 2019).
79% des entreprises victimes de ransomwares et 61% des victimes de violation de données ont été le résultat d’une vulnérabilité et d’une mauvaise configuration du Cloud, selon la dernière publication du cabinet IDC sur la Cybersécurité 2020. Sophistiquées, invisibles et faites pour durer, les menaces APT sont capables de contourner les meilleures défenses. Leur objectif est de rester dans le système informatique le plus longtemps possible en tentant de passer sur d’autres machines via des techniques de mouvement latéral pour localiser les systèmes ciblés et en prendre le contrôle. Lorsque le cybercriminel est déjà dans la place, la capacité à corréler les données dans l’ensemble de l’environnement est cruciale pour connecter les différentes couches de sécurité et éliminer la menace avant qu’elle ne puisse mettre en œuvre ses dernières étapes. Avec moins de 20% de violations détectées en interne selon le Gartner, la rapidité des temps de détection et de remédiation s’impose désormais comme un enjeu fondamental des DSI. En outre, la plupart des entreprises utilisent des couches de sécurité distinctes : les RSSI et leurs équipes informatiques exploitent des data silotées provenant de solutions qui ne sont pas capables d’interagir, manipulent des dizaines de logiciels et d’interfaces et sont confrontés à une surcharge d’alertes tout en étant dans l’obligation de se conformer aux réglementations en vigueur en matière de protection des données. Avec le développement des conteneurs et des micro-services, le rôle des DSI s’est encore plus complexifié au regard de la surveillance et du management du Cloud.
Dans ce monde numérique ultra connecté, la mise en place d’un SIEM évolutif offrant une surveillance en temps réel et une détection plus efficace des incidents de sécurité sur tous les systèmes de l’entreprise est devenue une nécessité pour la prise de mesures défensives rapides et une meilleure gouvernance de la sécurité.
Le SIEM, surveiller et comprendre la posture de sécurité de l’entreprise et bien plus encore
Le SIEM (Security Information and Events Management) est un logiciel de suivi de l’état de sécurité du système d’information et des solutions informatiques utilisées par l’entreprise. Le SIEM centralise les évènements et permet de détecter les menaces connues et inconnues en temps réel via du Machine Learning, de l’intelligence de sécurité et de l’analyse comportementale des utilisateurs et des entités (UEBA). Le SIEM surveille les accès non autorisés en corrélant de multiples événements pour déclencher une alerte. Pour permettre aux équipes sécurité d’agir plus rapidement et efficacement, les alertes sont ensuite hiérarchisées en fonction de leur degré de criticité.
Le SIEM contribue au respect des protocoles de conformité en conservant les différents formats de logs au sein d’une base de données pour faciliter les investigations post-attaques et ainsi aider à l’identification de responsabilités légales dans le cas d’une violation de données. Face à la recrudescence et à la virulence des menaces, il est important de mettre en œuvre un SIEM capable d’évoluer en fonction des nouvelles exigences sécuritaires et des défis technologiques impactant les entreprises.
Pour se prémunir contre de futures attaques, le SIEM répond au besoin d'une visibilité de bout-en-bout sur l’ensemble des environnements - endpoints, applications, utilisateurs et identités, outils de sécurité, données cloud produites par les fournisseurs IaaS ou SaaS, paquets réseau, et autres composants de la nouvelle main-d'œuvre distante.
En outre, la prolifération des faux positifs et l’avalanche de notifications est un autre enjeu pour le SIEM qu’il faudra prendre en compte pour ne pas épuiser les équipes en charge de la surveillance, en appliquant une meilleure hiérarchisation des alarmes et une contextualisation poussée de l’attaque et de son auteur. L’implémentation d’une brique SOAR complémentaire (Security Orchestration, Automation and Response) permettra de piloter l’orchestration du traitement des alertes et de proposer ainsi une réponse automatisée pour chaque type d’incident. Le SIEM devra également mettre en œuvre une gestion des alertes basée sur les risques pour donner aux équipes une plus grande visibilité sur leur attribution afin de réduire le volume des alertes et faciliter les investigations des menaces plus sophistiquées et complexes, qui passent souvent sous les radars. Cette démarche permettra également de s’aligner sur les standards cyber sécurité du marché tels que MITRE ATT&CK, un cadre de référence pour l’interprétation des modes opératoires des cyber assaillants qui propose un langage commun pour décrire les comportements des groupes de menaces.
Enfin, le SIEM devra être déployable facilement et à grande échelle sur site, Cloud et en mode hybride, en y intégrant les appareils physiques et virtuels, les conteneurs et les déploiements Cloud privé ou public (Amazon Web Services, Google, Azure et IBM Cloud) ainsi que des outils tiers. Proposant des modes de facturations indexés, il devra être flexible et proposé en mode Cloud ou Software-as-a-Service (SaaS).
SOC et SIEM : ne pas négliger le rôle de l’analyse humaine
Si l’utilisation de technologies de surveillance et de processus est primordiale, l’analyse en profondeur des data issues du SIEM se fait surtout par des analystes experts rassemblés au sein d’un Security Operation Center (SOC)/ Cyber SOC souvent mutualisé et qui assurent la surveillance des infrastructures 24h/7j. Le service SOC apporte au SIEM une couche organisationnelle en intégrant des processus de gestion d’incidents et une valeur ajoutée humaine avec une équipe d’experts en cybersécurité capables de réaliser des investigations numériques ou forensics et de mettre en place des plans de réponse à incidents, le tout en parfaite conformité règlementaire (RGPD, NIS, …).
Si le SIEM fonctionne en se basant sur de l’analyse comportementale via l’intelligence artificielle et le Machine Learning, les équipes apportent elles, une expertise qui va bien au-delà du logiciel. Les analystes SOC (Security Operation Center) vont analyser les incidents en profondeur (analyse du signal remonté par le SIEM et de la technique exploitée par l’attaquant), appliquer des méthodes d’analyse syntaxiques dites de parsing, développer des règles et des use cases spécifiques à chaque métier puis préconiser des pistes d’amélioration. Leur connaissance des menaces est constamment enrichie par les incidents pris en compte pour les autres clients en France et à l’International lorsque le SOC est mutualisé, donnant plus de pertinence aux analyses et préconisations mais aussi par l’apport d’une cellule CTI (Cyber Threat Intelligence) qui apporte des informations à valeur ajoutée issues de la communauté mondiale de la cybersécurité.
Des processus mutualisés et éprouvés qui permettront, en complément du SIEM, de renforcer la gouvernance sécuritaire de l’organisation. Mais pour cela il est nécessaire que les entreprises soient capables de modéliser les risques.
Pour aller plus loin
Pour aller plus loin
LIVRE BLANC
Pour aller plus loin, téléchargez ce livre blanc gratuit sur les étapes clés pour la mise en place d’une détection efficace et une réponse appropriée aux cyberattaques.
Cloud hybride : 3 éléments essentiels pour réussir la mise en place d’une détection efficace et une réponse appropriée aux cyberattaques
A VOIR AUSSI : pourquoi mettre en place un SOC : 3 conseils d'expert en vidéo
Cliquez ici pour obtenir tous les conseils en vidéo
Renforcez la sécurité de votre organisation, découvrez notre expertise SOC
