Par Christophe Jolly, Directeur Europe du Sud chez Vectra AI
Lorsqu'il s'agit de détecter des menaces et des attaques, l'élément clé de savoir ce qui se passe à l’instant présent dans vos infrastructures Cloud et Réseaux. Grâce à la technologie, aux équipes et aux process, il est important pour les entreprises de maximiser la visibilité sur l'ensemble de leur écosystème : des postes de travail aux serveurs, des réseaux aux fournisseurs cloud, et bien entendu aux serveurs d'applications web.
Les organisations sont souvent incapables de suivre les cybercriminels et ne peuvent détecter une attaque que lorsque l’attaque est arrivée à son objectif. Par exemple par l’exfiltration de données révélées sur le darkweb ou l’activation d’un ransomware. À ce stade, il est bien entendu trop tard. Pour sûr, une meilleure visibilité aurait permis d'arrêter l'attaquant avant d’en arriver là. Il faut savoir que le malveillant aura généralement mis plusieurs jours, voire plusieurs semaines entre son entrée réussie dans l’infrastructure et la réalisation complète de son méfait.
Les cyber-analystes ont besoin d'une technologie, en temps réel, et capable de fournir immédiatement des renseignements exploitables sur l'activité malveillante dans leurs infrastructures. Pour cela l’Intelligence Artificielle est du plus grand support !
En effet, Il est essentiel de disposer d'une grande quantité de données, et de disposer d’outils d’analyse capable de retrouver les signaux les plus furtifs et les plus faibles, afin de retrouver les mouvements des cybercriminels. A l’échelle des réseaux actuels, aucun humain, aucune équipe d’experts ne peuvent rivaliser, être efficace et être aussi rapide qu’un algorithme correctement entrainé et installé sur une machine à très haute performance.
Ainsi, la machine permet de disposer de bons renseignements et permet donc de gagner en visibilité et cela peut aider à détecter les signes précurseurs d'une attaque, ce qui est le meilleur moyen de renforcer la cyber-résilience.
Par ailleurs, il est également essentiel de changer d'état d'esprit en matière de sécurité, en dépassant une approche basée uniquement sur la prévention : accepter l'idée que, malgré toutes les précautions, une cyberattaque peut se produire permet de la détecter plus rapidement le cas échéant. C'est ce qui peut faire la différence entre des dommages mineurs et une véritable attaque informatique.
Évaluer les coûts au regard de la valeur des solutions
En termes de budget, les organisations devraient peser davantage les couts préventifs versus les couts de détection. Assurer une sécurité solide n'est pas nécessairement un processus complexe ou coûteux. En effet, ne pas disposer d’une grande équipe de sécurité n’est pas forcément un problème dès l’instant qu’on dispose des outils d’alerting efficaces. On peut aujourd’hui s’appuyer sur des services de détection et de réponse externes et managés et sur des équipes dédiées disponibles 24 heures sur 24.
A l’instar de ce qui existe dans le monde de la protection des maisons et des bâtiments. Vous pouvez disposer de la meilleure porte blindée, il vous faut quand même des détecteurs d’intrusion. Si quelqu’un a réussi à rentrer chez vous, vous serez immédiatement prévenu et les premières actions seront automatiquement prises.
Tout miser sur la prévention et limiter les ressources consacrées à la détection et la visibilité n’est donc pas la bonne stratégie. L’exemple montre que les organisations se retrouvent le plus souvent à devoir débourser plus d'argent pour se remettre des attaques qu'elles n’ont pas vu venir et qui ont simplement contournés les obstacles posés par les outils de prévention.
Que faire après un vol de données ?
En cas de vol de données, les règles veulent que l’entreprise doit adopter une stratégie de gestion de crise en communiquant clairement la nature de l'incident, à la fois en interne à ses collaborateurs et en externe aux autorités de régulation, aux clients et aux partenaires.
La transparence devient alors le cœur de la démarche et rend souvent l’opération douloureuse et introspective.
L'essentiel est d'adopter une approche positive face à l'échec et de trouver le bon équilibre entre le partage régulier de mises à jour importantes avec les parties prenantes et la sur communication. Il est préférable de ne pas fournir trop d'informations tant que l'incident est en cours et d’attendre que toutes les réponses soient disponibles pour communiquer. La direction doit également envisager d'organiser des exercices de réponse aux cyberattaques dans l'ensemble de l'organisation. En organisant régulièrement ces exercices, les équipes auront les bons réflexes si jamais les choses tournent mal.
Par ailleurs, il est essentiel d'adopter une culture d'entreprise proactive en matière de cybersécurité : les collaborateurs doivent être encouragés à signaler tout signe d'activité suspecte aussi minime soit-il ceci afin d’améliorer la réactivité des équipes de sécurité en cas de problème. Une attaque informatique prend du temps pour un attaquant, l’arrêter à ses prémisses en fait un « non-évènement ».