Site Logo

Le problème du temps d’arrêt : pourquoi les organisations ont besoin d’une meilleure réponse aux incidents

Thèmes:
21 juil. 2022
|
Phil Muncaster

Le champ des menaces continue d’évoluer à un rythme effréné. C’est une mauvaise nouvelle pour les défenseurs du réseau qui ne peuvent ou ne veulent pas s’adapter alors que le monde change autour d’eux. Les dernières études suggèrent que l’avantage est encore aux groupes d’attaquants. Après toutes les perturbations et le chaos qui ont marqué la première année de la pandémie, il semblerait que les acteurs malveillants se soient encore améliorés dans l’exploitation des entreprises mal préparées.

La solution miracle pour remédier à cette situation n’existe pas. Mais la détection efficace des incidents et la réponse qui s’ensuit doivent faire partie de la stratégie de sécurité de toutes les PME. Sans cela, les durées d’exposition seront de plus en plus longues et avec elles, l’impact plus conséquent sur les finances et la réputation des entreprises victimes.

Pourquoi faut-il tenir compte des durées d’exposition ?


En bref, la durée d’exposition est la durée pendant laquelle les intrus peuvent subsister au sein des réseaux victimes avant d’être détectés puis expulsés. Évidemment, plus cette durée est longue, plus les dégâts peuvent être conséquents et plus les opérations de nettoyage coûteront cher. Fait inquiétant, la durée d’exposition médiane est passée de 11 jours à 15 jours entre 2020 et 2021.

Bien qu’une autre étude réalisée en avril indique que cette tendance irait plutôt dans l'autre sens (passant de 24 à 21 jours), cette durée était bien plus élevée dans la région EMEA l’année dernière (48 jours). Il est évident que la plupart des organisations réactives ont dû être informées de l’intrusion par un tiers et n’ont pas découvert les incidents par elles-mêmes.

Que pouvons-nous dire d’autre sur le fonctionnement des cybercriminels aujourd’hui ?

  • Les exploitations de vulnérabilités sont parmi les vecteurs d’accès les plus populaires.

  • Les Initial Access Brokers (IAB ou courtiers en accès initial) sont partout. La spécialité de ces cybercriminels : après avoir compromis leurs victimes, ils vendent cet accès à d’autres acteurs, ce qui augmente la probabilité d’une faille de sécurité.

  • Le protocole RDP a été moins utilisé en 2021 pour un accès initial, mais c’est encore un outil précieux pour se déplacer latéralement sur un réseau. Les entreprises ont souvent mal configuré ces points de terminaison, par exemple, en oubliant de définir des mots de passe uniques et complexes.


Comment réduire la durée d’exposition


Les ransomwares restent une menace. Étant donné que certaines charges utiles de ransomware peuvent chiffrer 100 000 fichiers en seulement quatre minutes, les entreprises ont le plus de chance d’atténuer la menace en empêchant totalement toute violation ou en les détectant plus tôt dans la chaîne de destruction. Pour cela, un certain nombre de bonnes pratiques peuvent être utilisées :

Cependant, la prévention n’est jamais efficace à 100 %. C’est particulièrement vrai aujourd’hui, après une période de pandémie caractérisée par de fortes dépenses dans le numérique, qui ont multiplié la surface d’attaque des entreprises. Un pirate déterminé trouvera toujours le moyen de s’infiltrer, que ce soit à l’aide d’identifiants dérobés ou d’une attaque par force brute, en exploitant des vulnérabilités non corrigées ou en exploitant un autre vecteur.

La puissance de la réponse aux incidents


C’est là qu’intervient la réponse aux incidents. Idéalement, les entreprises devraient compléter leurs bonnes pratiques en matière de cyberhygiène et leurs contrôles de prévention par des outils de surveillance au niveau des e-mails, du réseau, des points de terminaison et du cloud. En effet, ces outils recherchent des indices comportementaux plutôt que la présence de malwares et peuvent ainsi détecter des techniques discrètes de « Living off the Land » (utilisation d’outils légitimes du système à des fins malveillantes) que les acteurs malveillants utilisent généralement pour échapper à la détection des anciens outils.

Plus important encore, ces outils de détection et de réponse signaleront clairement (avec un indice de confiance élevé) lorsque quelque chose ne semble pas normal, le but étant d’optimiser le temps des équipes informatiques, qui sans cela seraient submergées de faux positifs et qui manquent souvent de ressources. Ensuite, il s’agit de passer à l’enquête, à la remédiation et à la réponse : éliminer les acteurs malveillants, corriger tout problème et renforcer la résilience en prévision de la prochaine attaque.

Il va sans dire que de tels outils doivent être déployés dans le cadre d’une stratégie de réponse aux incidents bien planifiée et régulièrement mise en pratique. Cela peut paraître exagéré. Mais une planification bien pensée peut réduire la durée d’exposition et l’impact global d’une faille, et permettre à votre entreprise de poursuivre ses activités.

Réagissez plus vite aux attaques par e-mail

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Secured.22 : faire face au risque de piratage de compte
Secured.22 : faire face au risque de piratage de compte
 Security awareness computer based training could save your business
Security awareness computer based training could save your business
Threat Spotlight: Document-Based Malware
Threat Spotlight: Document-Based Malware
Threat Spotlight: Sextortion
Threat Spotlight: Sextortion