Tribune de Charles Rami, Responsable Technique Proofpoint France – Selon le Directeur du renseignement national des États-Unis, James Clapper, les cyberattaques se placent en tête des menaces dirigées contre son pays*.
Le nombre élevé de failles signalées atteste des grandes difficultés rencontrées par les équipes informatiques pour détecter et endiguer les attaques. Malgré les efforts fournis pour s’adapter à leur accroissement, ainsi qu’à leur complexité. aucune entreprise n’est totalement prémunie contre ces nouvelles attaques, et ce quelles que soient sa taille et les ressources dont elle dispose.
Alors comment est-il possible que tant de victimes ne parviennent pas à se protéger, malgré l’application d’un large éventail de mesures préventives ? Le temps est souvent la clé du problème.
Une course contre la montre
Alors qu’un nombre bien trop élevé de considérations entrent en jeu, il est impossible d’estimer exactement la durée s’écoulant entre la période d’’infection et le moment où les données sont subtilisées. Malheureusement, dans la plupart des cas, ces dernières le sont seulement quelques minutes après le déclenchement de l’infection. Dans les situations les moins critiques, les menaces sont étudiées et éradiquées dès leur détection.
Le rapport Data Breach Investigations, publié en 2014 par Verizon, nous apprend que presque 90% des attaques perpétrées ont permis de subtiliser des données en quelques minutes ou secondes. En outre, l’endiguement de ces incidents via des applications Web a nécessité la plupart du temps plusieurs jours. Le fait de ne pas pouvoir réagir immédiatement dans de telles circonstances entraîne une perte d’informations, ainsi qu’une réduction des recettes et de la clientèle. Il est certain qu’agir rapidement s’avère capital en cas d’attaque. Nos entretiens avec des responsables informatiques ont révélé que les procédés mis en place à cette fin, par les entreprises de taille importante, pouvaient nécessiter jusqu’à 14 jours avant d’être opérationnels.
Un tel retard est dû aux nombreuses actions à entreprendre. Celles-ci induisent diverses opérations effectuées manuellement, ou pouvant nécessiter une vérification par un tiers, notamment lorsqu’il s’agit de l’analyse des données système et des données ciblées. Ces mêmes opérations comprennent également l’envoi de notifications de sécurité et le rassemblement centralisé d’informations (par exemple, sur l’utilisateur et le système affectés), le contrôle des domaines, antivirus et autres systèmes de détection, l’examen des alternatives envisageables et enfin, l’action finale à entreprendre. Il peut en outre être question de génération de tickets, de contrôle des modifications et de négociations entre les divers services applicables.
Les procédures adoptées par les entreprises de taille importante dépendent également du décalage horaire potentiel entre les différents bureaux, de la disponibilité du personnel et de l’infrastructure (applications de messagerie, pare-feu, etc.). Si ces sociétés, bénéficiant du temps et des ressources nécessaires à l’application de mesures, rencontrent de telles difficultés, on imagine aisément que la situation est encore plus préoccupante pour les petites organisations qui, elles, ne peuvent investir suffisamment dans des solutions de protection appropriées. Il n’est pas étonnant que certaines des attaques les plus récentes aient été perpétrées contre des partenaires plus modestes, en termes de taille, que les entreprises directement ciblées. Les cybercriminels ont ainsi pu infiltrer le réseau avant de se consacrer à l’objectif final. La plupart des organisations se rendent compte de l’infection de leurs réseaux uniquement après qu’un représentant de la loi leur en ait fait part. Dans une telle situation, le traitement de cette même infection nécessite plus d’un mois. De plus, d’après le Ponemon Institute, la durée nécessaire à l’éradication d’une menace est de 45 jours*.
Le fait d’interrompre la protection des réseaux pendant une durée prolongée, afin de remédier aux problèmes dus aux attaques, constitue une alternative loin d’être idéale. Elle peut se révéler particulièrement dangereuse. Prenons par exemple le cas de Sony ; avant même que le PlayStation Network ne soit lui-même l’objet d’une attaque, les données personnelles de 25 millions de comptes d’utilisateurs ont été dérobées. D’après le Global Cyber Security Center (GCSEC), cela s’explique par l’inefficacité des stratégies appliquées, en matière de réponse aux incidents et de protection. En effet, une durée bien trop longue s’est écoulée entre la détection de l’attaque et la mise au jour du vol de millions de données*.
En quoi est-il si compliqué pour les entreprises de contrecarrer les menaces ?
L’ampleur, la complexité et la sophistication des menaces, toujours plus évoluées, est au cœur du problème. En effet, le nombre de nouveaux logiciels malveillants augmente si rapidement chaque année que les mesures de protection ne sont plus appliquées suffisamment vite, la faute à un personnel qualifié souvent en sous-effectif. Pour a plupart des organisations, prendre en charge efficacement ces menaces nécessite de consacrer trop de temps et de ressources, c’est pourquoi les équipes sont si peu nombreuses et équipées.
Et quand ces dernières sont adoptées, elles induisent des défis et coûts mal évalués au départ. En résumé, même si elles dépensaient des milliers, voire des millions, afin d’acquérir de nouvelles techniques de détection, les entreprises resteraient la cible des logiciels malveillants, tout comme 70 à 95% des autres réseaux professionnels autour du globe, qui eux n’ont pas investi de telles sommes.
Ceci ne signifie pas pour autant que la prévention et la détection n’ont aucun intérêt. L’utilisation d’outils de chiffrement, le blocage des menaces connues et la sensibilisation des employés (notamment aux courriers électroniques de phishing) permettent de réduire la probabilité d’une attaque menée avec succès. Cependant, de telles mesures doivent être appliquées constamment – 24 h/24 et 7 j/7, en s’informant de l’évolution des menaces, ce qui est quasi-impossible à faire si les procédés liés sont appliqués manuellement, ou si les ressources sont limitées en interne.
Des solutions tierces de détection avancée, ou certains logiciels SIEM, ont permis l’identification et la gestion des menaces inédites. Malgré cela, on ne parle pas non plus de panacée pour les équipes informatiques, dans la mesure où celles-ci doivent maîtriser des codes et fonctionnalités qui ne sont pas toujours facilement intégrables à l’environnement existant. Certaines entreprises ont indiqué avoir défini jusqu’à 500 règles afin d’optimiser leur processus de sécurité, mais le résultat obtenu n’a pas été si probant que cela.
Une veille décisionnelle automatisée et intégrée, le remède ?
Même si tous les systèmes de détection et de prévention employés par une entreprise fonctionnent correctement, qu’ils sont mis à niveau lorsque nécessaire et qu’ils sont exploités au mieux, des failles persistent. De nombreux rapports indiquent que certaines attaques seront toujours perpétrées avec succès, même si les solutions de protection les plus puissantes sont adoptées. Certains PDG pensent probablement que l’acquisition de divers systèmes de détection coûteux suffit à prémunir leur entreprise de ces menaces. Cependant, même les notifications d’alerte les plus élaborées se révèlent de piètres indicateurs si elles ne permettent pas aux équipes informatiques de se prévenir des futures infections.
Afin que le niveau de protection soit le plus optimal, il est donc nécessaire d’exploiter divers systèmes, au sein de son réseau. En profitant des technologies de gestion des menaces qui tirent parti des données provenant de tous les outils de détection, on obtient automatiquement des informations condensées utiles. Ce n’est qu’en optant aujourd’hui pour des solutions combinant détection en temps réel, vérification et protection que les organisations pourront réellement faire face aux menaces.