Au début du mois d’octobre, la banque JP Morgan Chase annonçait que le piratage dont elle avait été victime fin août avait touché 76 millions de ménages et 7 millions de PME. Une attaque comparable à celle de la chaîne de magasins Home Depot, aux États-Unis et au Canada en septembre. Vicent Bieri, Chief Product & Evangelist & Co-Founder chez Nexthink, réagit.
Les cyber-attaques font les titres de la presse presque tous les jours et il semble que personne ne soit à l'abri – Home Depot, Adobe, eBay et JP Morgan inclus. Le point commun entre ces attaques est qu’elles sont découvertes des mois après avoir été lancées! Ces cas nous donnent le sentiment que les DSI et RSSI se battent contre les cybercriminels avec les yeux fermés et les mains attachées dans le dos. Que se passe-t-il? N’y-a-t-il pas une alternative?
Il est choquant de lire les analystes et de constater que parmi les organisations avec plus de 5000 ordinateurs, plus de 90% sont compromises à un moment donné, et que dans presque 9 cas sur 10 elles ne le découvriront pas par elles-mêmes! On peut dire, qu’aujourd’hui, il existe deux type d’entreprises: celles qui savent qu’elles sont compromises et celles qui ne le savent pas encore ! Il y a clairement un manque de visibilité et de moyen d’anticipation.
Il est temps pour les DSI et RSSI de commencer à se concentrer sur la détection de menace en cours et l’atténuation des dégâts plutôt que de compter uniquement sur des moyens de protection qui sont sensés empêcher leur exécution. On constate clairement aujourd’hui que la prévention ne suffit plus, les cas reportés quasiment chaque jour montre qu’il est facile pour un adversaire de prendre le contrôle d’un ou plusieurs systèmes internes et de là, silencieusement, parfois durant des mois, rechercher et exfiltrer les informations qui finiront chez un concurrent, exposées sur Internet, ou comme moyen de négocier une rançon. Des impacts financiers, d’image et légaux sont ici en jeu. Une préoccupation qui doit aller au-delà du DSI et du RSSI dans l’entreprise. Mais que peut proposer le DSI et le RSSI à leur direction générale et à leur conseil d’administration?
Survivre à une attaque de requin est assez simple: tant que vous nagez plus vite que la personne à côté de vous, vos chances sont bonnes ! Il n'y a pas si longtemps, tant que votre entreprise avait une meilleure protection que la moyenne, vous étiez probablement à l'abri parce que quelqu'un d'autre serait touché en premier étant une cible plus facile. Aujourd’hui, bien que des attaques simples et de masse existent encore, les méthodes sont spécifiques et ciblées. Si vos données ont un intérêt, l'adversaire va créer une méthode d’attaque dédiée à votre environnement.
La plupart des dommages se passent bien après l’intrusion initiale. Dans un scénario typique, cette première phase ne prend que quelques minutes à quelques heures, le vrai dommage, cependant, se produit après que les pirates obtiennent plus de droits et d’accès une fois à l'intérieur de la cible. C'est comme découvrir une mine d'or, les pirates étudient le réseau interne de leur victime, compromettent d’autres systèmes pour étendre leur exploration et obtenir des données précieuses, pendant des mois voire des années avant d'être détecté, ou pas! Se concentrer sur cette première phase et avoir plus de visibilité et de moyen de réagir à ce moment-là donneraient un avantage au DSI et RSSI qu’ils n’ont pas aujourd’hui. Avec un système documentant et alertant une telle activité anormale, ils seraient capables d’empêcher la propagation et les dommages liés aux attaques aujourd’hui invisibles à leurs yeux.
Tous ces facteurs soulignent la nécessité d’une détection de violation robuste pour fournir une nouvelle ligne de défense contre les attaques modernes en apportant une vraie visibilité en temps-réel sur ce qui se passe dans l’entreprise avec, en appui, une analyse intelligente des informations pour révéler automatiquement des facteurs de risque, des signaux d’intrusion et des activités d’exfiltration de données. Ceci au lieu de se concentrer uniquement sur le blocage de l'intrusion à l’exécution du code malicieux initial (type anti-virus). Sans compter que dans bien des cas, ce sont des applications et des comptes utilisateurs valides qui sont utilisés pour compromettre des données, il n’y a donc même pas de code malicieux impliqué. Bien que la détection après-coup ne soit pas un nouveau concept, l'ancienne génération de systèmes de détection d'intrusion (IDS) s’appuie sur des règles et des signatures prédéfinies pour détecter les infractions et manque cruellement de visibilité sur le contexte utilisateur car placé au niveau du périmètre. Le résultat est que dans un monde d'attaques sur mesure, ces solutions sont inefficaces car ne détectent pas ce qui devrait l’être et vous inonde des centaines, voire des milliers d'alertes par jour sans moyen de lever le doute ou valider et documenter rapidement le risque en cours pour y répondre dans les meilleurs délais. Il n'est pas surprenant que les entreprises citées en introduction, comme beaucoup d'autres, ont raté les signes avant-coureurs de leurs attaques. Il n’est pas facile de chercher une aiguille spécifique dans une botte de foin remplie d’aiguilles!
La détection de violation passe par analyser une grande variété de données à volume élevé et à grande vitesse, afin de déterminer les violations potentielles. Plus important encore, les outils doivent être précis; trop de faux positifs et de leurs rapports vont rapidement être ignorés, tout comme le garçon qui criait au loup! Plutôt que de s'appuyer sur la détection de signatures connues, il s’agit de marier les techniques de big data, d’auto-apprentisage et d’expertise cybersécurité en mode collaboratif généralement dans le cloud. Il s’agit de comprendre les habitudes des utilisateurs et le comportement des machines et des applications à travers les réseaux internes et externes, ce qui leur permet de détecter des attaques ciblées et complexes, par analyse des effets post-intrusion plutôt que des méthodes d’intrusion. Et pour éviter aux professionnels de la sécurité d’être inondés dans une mer d'alertes inutiles, il faut réduire au minimum le nombre d'alertes et de fournir des interfaces utilisateur riches qui permettent l'exploration interactive d’investigations approfondies.
Un attaquant laisse inévitablement derrière lui des traces à chaque étape de l'attaque, il génère des connexions réseau, par exemple. Il se déplace à travers l'organisation d'une manière un tant soit peu différente de ce qui est normal; il va accéder à du code propriétaire sur les serveurs de développement utilisant la connexion d'un directeur des ventes, ce qui est un contexte jamais vu. Etre capable de détecter tous ces mouvements et changements, puis reconstituer les pièces du puzzle en temps réel pour agir avant que plus de dégâts importants n’aient lieu est ce qui va changer la situation actuelle des DSI et RSSI, et leur redonner la vue et délier leurs mains face au cyber-attaques pour ne plus faire les titres avec des attaques en cours depuis des mois ou des années !