Sous le titre “Qui est le vainqueur ? Le palmarès, basé sur la matrice MITRE, des meilleures technologies de protection”, une récente tribune de Jean-Nicolas Piostrowski a fait grand bruit.
Le CEO de iTrust a publié sur son blog une étude que son équipe a réalisée, sur la base de MITRE, une plateforme qui répertorie et classe les attaques (lire cet excellent article de ESET pour comprendre ce qu’est MITRE).
Ces conclusions font trembler la planète cyber, ou en tout cas les experts qui décryptent des notions très techniques. En effet: « Les outils traditionnels antivirus et Firewalls ne sont plus suffisants pour se protéger des attaques modernes (…). » assène le dirigeant d’iTrust.
Quelles solutions alors ? Un SOC (Security Operation Center), équipé d’un SIEM UEBA, complété par un EDR et un antiphishing, propose-t-il. Ce qui correspond à la maxime “Ceinture et bretelles” principe de base de la sécurité…
Nous reproduisons ci-dessous une partie de cet article de blog, sans les tableaux, que vous pourrez lire sur le site iTrust.
La méthode utilisée par iTrust
L’étude est simple. Nous avons étudié chacune des techniques d’attaque utilisée par des hackers, malwares, insiders, personne malveillante et nous avons évalué si la méthode d’attaque était détectée et parée par différentes technologies : Est ce qu’un antivirus détecte une élévation de privilège, est ce qu’un firewall détecte un C&C utilisé par Emotet, etc …
Pour davantage de réalisme nous avons étudié 2 études bien faites par RedCanary et Darkreading qui évaluent les techniques d’attaques les plus utilisées lors des attaques récentes en 2020.
Ces conclusions sont ensuite rapprochées de notre expérience terrain. Nous avons identifié les techniques d’attaques que ITrust retrouvent chez ses clients ou dans son réseau lors des attaques les plus importantes ou qui ont le plus d’impacts pour l’entreprise.
Nous avons réalisé la même chose pour des technologies Anti virus, Firewall, SIM ….Selon chaque type de technologie de protection nous avons affiché son pourcentage de couvertures des différentes techniques d’attaque MITRE. Sur les colonnes suivantes nous avons identifié leur couverture selon leur capacité à détecter les 10 et 3 techniques les plus utilisées actuellement par les pirates et les malwares. Enfin dans la dernière colonne nous identifions leur taux de couverture selon les attaques les plus dangereuses (APT, ransomware, …) évaluées par les équipes redteam et Threat Hunting d’ITrust.
Quel est le dispositif le plus efficace pour se protéger ?
Les recommandations de iTrust sont les suivantes :
Au regard des expériences des ingénieurs d’ITrust, la solution préconisée pour tout type de société pour se protéger est la suivante :
– une analyse de risque simple (AR Ebios simplifiée)
– une PSSI adaptée (Politique de sécurité), revue régulièrement, et améliorer en cycle qualité
– un RSSI (Responsable cybersécurité)
– un SOC managé incluant un SIEM UEBA TH incluant un scanner de vulnérabilités en continu et une solution d’anti phishing,
constitue un pack de protection qui permettra de protéger une entreprise à un niveau très important (estimé à 100%. Ce 100% est un chiffre dangereux car l’on sait bien que le niveau n’est jamais garanti. Je dirai donc plutot 99%)
Il convient régulièrement de mener des audits d’intrusion, des formations de sensibilisation, de cloisonner son système d’information selon l’analyse de risque réalisée, d’utiliser des outils de cybersécurité européens et un hébergement des données sensibles sur des cloud providers européens utilisant des outils et logiciels européens. Surveiller le darknet ou l’actualité des failles de Cybersec et faire appel à un CERT est intéressant et complète la protection de manière intéressante.
Les pièges à éviter
iTrust met en garde sur ce les « pièges classiques » qui sont selon eux les suivants.
Attention à ne pas tomber dans les pièges classiques : un SIM n’est pas un SIEM, un anti virus de nouvelle génération n’est pas un EDR (il se contente de détecter des pattern connus contrairement à un EDR), un XDR n’est pas un SOC, …
Attention, 70% des SOC actuels ne détectent pas les nouvelles menaces notamment pour les raisons évoquées ici mais aussi en raison d’un défaut d’implémentation d’un bon process de surveillance, d’escalade et de communication entre les équipes. De bons process représentent 50% de la réussite selon les experts itrust.
Quel budget l’entreprise doit-elle consacrer à la cybersécurité?
iTrust est formel, sur le plan de dépenses minima :
Pour mémoire un budget normal en cybersécurité correspond à 7% à 13 % du budget informatique. (selon le type d’entreprise et selon le secteur). Avec un budget inférieur, impossible de garantir quoi que ce soit.
Lire le blog d’iTrust et ses tableaux
Joel Pascal