Face à l'évolution des menaces et l'apparition de nouvelles techniques d'attaques les entreprises doivent se conformer à une nouvelle référence pour optimiser leur protection.
Ces temps-ci, les cyberattaques font régulièrement les gros titres de la presse. Dernier cas en date, le producteur d'aluminium norvégien Norsk Hydro, victime d'une cyberattaque qui a également touché des sites allemands. Les exploitants d'infrastructures critiques et les pouvoirs publics sont ciblés de façon croissante par des cyberattaques toujours plus sophistiquées. De leur côté, les organisations cybercriminelles travaillent en équipe et développent des logiciels malveillants qu'il est de plus en plus difficile à contrer.
À titre d'exemple, certaines fonctionnalités récemment dévoilées par le cheval de Troie TrickBot laissent entendre que les groupes Lunar Spider (BokBot) et Wizard Spider (TrickBot) sont de mèche, TrickBot utilisant de façon claire et nette un module proxy jusqu'alors exclusivement utilisé par BokBot. Cette évidente coopération montre que les pirates informatiques font œuvre commune pour élargir leurs cibles. Conclusion, chaque entreprise doit à présent se considérer comme une cible potentielle. Mais comment peuvent-elles se protéger face à de telles menaces ? Comment peuvent-elles mesurer et optimiser le niveau de leurs moyens de sécurité ?
Indicateur clé pour la cybersécurité : le « temps de déclenchement »
Les entreprises doivent comprendre que la vitesse avec laquelle elles lancent leurs contre-mesures est un critère décisif dans le domaine de la cybersécurité, car pour l'emporter dans le cyberespace, il faut être plus rapide que l'adversaire. C'est la seule et unique façon de s'imposer. Depuis 2018, CrowdStrike intègre l'indicateur « Temps de propagation » à son Global Threat Report : celui-ci montre que les entreprises ne disposent en moyenne que d'1 heure et 58 minutes pour détecter un intrus et l'éliminer du système avant qu'il n'infecte les autres systèmes informatiques en partant de son point d'accès initial et ne sème la panique à tous les niveaux de l'entreprise. Le Temps de propagation se décompose en trois éléments qui permettent d'évaluer les moyens de défense de l'entreprise :
- le délai nécessaire pour détecter une intrusion ;
- le délai nécessaire pour enquêter sur un incident, comprendre la gravité et l'étendue de l'attaque, et définir les contre-mesures requises ;
- le délai nécessaire pour réagir à l'intrusion, éliminer l'adversaire et prendre les mesures appropriées pour éviter tout préjudice.
La nouvelle stratégie du 1-10-60
Une fois les éléments d'évaluation du Temps de propagation définis, il était important d'y associer la chronologie de référence pour détecter, explorer et contrer une attaque de manière efficace. En s'appuyant sur les capacités offertes par les technologies les plus récentes, comme les plateformes EDR (Détection et Réponses sur les Endpoints) les experts de CrowdStrike ont établi une nouvelle règle de trois dénommée le 1-10-60, qui doit devenir la référence en matière de cybersécurité. Grâce aux solutions EDR de nouvelle génération de CrowdStrike, les entreprises bénéficient désormais d'une très grande vélocité qui leur permet de détecter une intrusion en moins d'une minute (1), d'effectuer une enquête complète en moins de dix minutes (10) et d'expulser un ennemi du système en moins d'une heure (60). Les grands comptes et les entreprises qui l'appliquent pourront repousser un adversaire avant qu'il ne quitte son point d'entrée initial et ne commence à se déplacer latéralement vers sa véritable cible à l'intérieur de leur réseau.
Cette approche permet de réduire considérablement les dommages et empêche la menace de progresser dans l'entreprise. Il est essentiel de créer une certaine transparence au sein du réseau pour pouvoir détecter plus rapidement les menaces potentielles, connues et inconnues, alors que de nombreux attaquants se comportent de façon naturelle, comme s'ils faisaient partie intégrante du réseau. Cependant, des technologies à la pointe de l'innovation et la combinaison de solutions articulées autour de l'apprentissage automatique (Machine Learning), de la détection des points de connexion (endpoints) et d'antivirus de nouvelle génération permettent par exemple de détecter rapidement les attaquants clandestins pour les combattre efficacement.
Se mettre à la place de l'attaquant
Afin d'internaliser cette nouvelle règle et de bien en comprendre le sens, il est important que les managers sachent comment s'y prendre face aux dangers qui pèsent sur leur entreprise et anticiper les motivations adverses. Quels sont les objectifs des hackers ? Quels points faibles peuvent-ils exploiter ? Quels sont les actifs numériques qui peuvent les intéresser ? Comment peuvent-ils procéder ? De nombreux cybercriminels ciblent des actifs, mais prennent également le contrôle de systèmes critiques, faisant même des détours jusqu'à des chiffres, des applications et des enregistrements clés qui, bien que distants, peuvent leur donner la possibilité d'accéder à d'autres systèmes critiques en plusieurs étapes. Il ne faut pas oublier que les attaquants persistants mettent régulièrement en danger les ordinateurs individuels en exploitant des vulnérabilités connues ou inconnues, ou par le simple biais de l'ingénierie sociale.
Dans un tel contexte, la formation approfondie, ainsi que la sensibilisation des spécialistes et des responsables, représentent des éléments essentiels de toute stratégie de cybersécurité. La principale incertitude est — et demeure — liée au facteur humain. Il existera toujours des employés pour ouvrir des courriels suspects, cliquer sur des liens aléatoires ou saisir des données sensibles sur des sites Web douteux. La formation peut aider, mais il est impossible d'éliminer l'erreur humaine.
Point clé : le temps de réactivité
La question importante n'est donc pas de savoir s'il est possible d'empêcher une cyberattaque qui aura lieu tôt ou tard, sous une forme ou une autre. La vraie question est : combien de temps faut-il à un attaquant pour accéder à une ressource sensible ? Dès que l'agresseur est en mesure de parvenir à ses fins, ce qui n'aurait été initialement qu'un incident bénin va se transformer en une cyberattaque majeure qui requiert une réaction complexe. D'où la nécessité de stopper les attaquants avant qu'ils n'atteignent leur cible.
C'est pourquoi la rapidité joue un rôle extrêmement important dans la protection efficace de tous les points d'accès, ainsi que dans la surveillance continue du système. La règle du 1-10-60 de CrowdStrike permet de mesurer l'aptitude à se défendre et le niveau général du système de sécurité, permettant aux managers, peu au fait des technologies informatiques, de comprendre et d'évaluer les performances de leur service de sécurité. Et même si un grand compte ou une entreprise ne peut, dans un premier temps, atteindre des temps de réponse aussi brefs, la règle du 1-10-60 doit lui servir d'étalon pour vérifier si la direction suivie est la bonne — par exemple sur une base mensuelle ou trimestrielle. Désormais utilisés par CrowdStrike, la règle du 1-10-60 et le Temps de propagation constituent deux repères qui mesurent clairement la capacité d'une entreprise à résister à des cybermenaces grandissantes.