Les menaces avancées persistantes (advanced persistent threats, APT) ont récemment attiré l’attention, et ce à juste titre. La plupart des piratages se fondent sur de simples vecteurs d’attaque, tels que des portes dérobées ou des générateurs de mots de passe (password roulette). Les programmes malveillants complexes utilisés dans le cas des APT sont plus sinistres, car ils surveillent furtivement les systèmes informatiques et attendent le bon moment pour attaquer. Ils s’intéressent généralement aux actifs de grande valeur des infrastructures critiques, des secteurs de la défense et du gouvernement et relèvent souvent du domaine de l’espionnage. L’entreprise ordinaire ne devrait donc pas trop s’en soucier, n’est-ce pas ?
Les APT d’entreprise deviendront la nouvelle norme
Le statu quo de la cybersécurité est peut-être sur le point de changer. En 2011, un groupe parrainé par RSA du nom de Security for Business Innovation Council a publié un rapport prédisant l’augmentation à long terme des attaques de logiciels malveillants plus sophistiqués visant les entreprises.
La principale source auprès de laquelle je vérifie les cybertendances de ce type est le Rapport d’enquête sur les compromissions de données de Verizon (Data Breach Investigations Report, DBIR). Et en effet, une forte augmentation des attaques de logiciels malveillants a été repérée en 2011. Celles-ci ont été utilisées dans 69 % des incidents analysés, ce qui représente une hausse de près de 20 % par rapport à 2010. La relativement bonne nouvelle est que cette variante C2 (command and control) d’APT digne de la une des journaux est encore principalement l’apanage d’espions aux motivations généralement non financières.
Le DBIR note une augmentation des violations impliquant des variantes non C2 d’APT telles qu’enregistreurs de frappe, programmes de piratage mémoire (RAM scrapers) et programmes de piratage de données personnelles. Professionnels de l’informatique et de la sécurité en entreprise, prenez note : plutôt que des espions financés par des États, ce sont des pirates ordinaires qui se trouvent derrière ces attaques par APT. Et ils les lancent pour des raisons habituelles, à savoir pour de l’argent.
La technologie s’améliore pour tout le monde. Il n’y a donc aucune raison de supposer que les pirates d’entreprises n’utiliseront pas de techniques encore plus avancées dans les années à venir, y compris des C2. La principale question est de savoir comment les professionnels de la sécurité en entreprise doivent répondre.
Ne traitez pas votre système de fichiers comme une installation à sécurité maximale – trouvez un équilibre entre productivité et sécurité
Verrouiller vos données et traiter de grandes parties de votre informatique de manière « top secret » peut sans doute s’avérer efficace pour colmater toutes les fuites, mais finira par dévaloriser vos données. Après tout, votre système de fichiers constitue un véhicule de collaboration. Il vous faut l’encourager en permettant à un plus grand nombre d’employés d’accéder aux fichiers et de les partager au moyen de stratégies de permission critiques et si possible simples.
Retour au rapport de l’Innovation Council. Je vous conseille de tout lire, mais l’essentiel à retenir se résume à ceci : vous ne pourrez pas complètement vous prémunir contre les attaquants et les APT. Il est vain d’essayer d’installer des bouchons antifuite efficaces à 100 %. Vous avez davantage de chances de trouver une licorne. Vous devez donner accès à vos employés, et cela entraîne inévitablement des possibilités de violation.
Contre toute attente, vos données seront plus en sécurité si vous supposez que quelqu’un percera vos défenses. Ainsi, vous devez refléter le monde de la sécurité physique en installant l’équivalent numérique d’une caméra de surveillance et en formant votre personnel à la détection des comportements suspects.
Le nouvel objectif de la sécurité : connaissez vos données et prêtez attention à l’insolite
Tout comme un gardien vérifie les flux vidéo de surveillance, vos ressources de sécurité informatique doivent être axées sur la détection d’activités inhabituelles, ou selon le rapport « déceler [les APT et logiciels malveillants] au plus tôt et minimiser les dommages ».
La recommandation la plus importante du rapport (probablement familière aux lecteurs de l’ère des métadonnées) est de posséder une connaissance approfondie de vos données, y compris de l’emplacement de vos principaux actifs numériques, de savoir qui accède aux données et de définir un référentiel d’activité normale des utilisateurs.
Pour quelle raison ? Connaître vos données vous aide à évaluer le comportement moyen réel de votre système et de ses utilisateurs. Tout écart par rapport aux paramètres de fonctionnement standard indiquera probablement une attaque en progression.
Presque humaines : les analyses de garde en temps réel
Les administrateurs système doivent également ne pas s’efforcer d’effectuer le travail de supervision et de surveillance au moyen des méthodes standard (observation manuelle du système ou des journaux d’application et estimations empiriques). Les êtres humains ne peuvent tout simplement pas lire et traiter tous les journaux et toutes les métadonnées assez rapidement pour faire la différence.
C’est pourquoi le rapport de l’Innovation Council suggère une approche différente. Bien sûr, votre équipe informatique est devenue (ou devient) plus performante en ce qui concerne les tâches les plus simples : imposer les stratégies de mots de passe, fermer les portes dérobées et surveiller les dossiers accessibles à tous et présentant des fuites.
Mais le rapport indique qu’il vous faudra plus de ressources en silicium pour gérer les APT. Ainsi, un moteur d’analyse en temps réel permettra de déterminer les tendances d’activité des utilisateurs et du système en fonction de nombreux points de données, et d’émettre des alertes relatives aux anomalies.
Il est toujours tentant pour les spécialistes de la sécurité informatique de passer à l’offensive et de construire des murs encore plus élevés. Mais les tendances en matière d’APT vont dans le sens d’une approche complètement différente : il vous faudra en fait jouer au chat et à la souris avec des logiciels malveillants surveillant votre système. Vous devrez adapter votre réponse en prenant du recul et en laissant le moteur d’analyse suivre l’activité des fichiers et des utilisateurs, puis agir aussi vite que possible quand une APT apparaîtra.
The post Ne comptez pas sur des murs de données plus élevés pour tenir les menaces avancées persistantes à distance appeared first on Varonis Français.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
