Lors que l\u2019on parle de strat\u00e9gie de s\u00e9curit\u00e9 informatique, les entreprises n\u2019ont qu\u2019une question \u00e0 la bouche\u00a0: quelles mesures sont suffisantes ? Longtemps, la sagesse populaire jugeait qu\u2019une strat\u00e9gie passive (prot\u00e9ger le p\u00e9rim\u00e8tre r\u00e9seau et les stations de travail) suffisait. Mais alors que de plus en plus d\u2019entreprises sont victimes d\u2019attaques avanc\u00e9es et cibl\u00e9es, il est d\u00e9sormais clair que la protection demande de nouvelles m\u00e9thodes comme l\u2019EDR (Endpoint Detection and Response).<\/p>\n
Les strat\u00e9gies passives fonctionnent bien contre les menaces massives : les e-mails qui contiennent des chevaux de Troie, le phishing, les vuln\u00e9rabilit\u00e9s bien connues, etc. En d\u2019autres mots, ces strat\u00e9gies sont efficaces quand les attaquants jettent un grand filet en esp\u00e9rant attraper et profiter de tous ceux qu\u2019ils pourront arriver \u00e0 pi\u00e9ger. Leurs activit\u00e9s sont ill\u00e9gales, mais elles ressemblent tout de m\u00eame aux pratiques d\u2019entreprise en recherchant un bon \u00e9quilibre (dans ce cas, l\u2019\u00e9quilibre entre la complexit\u00e9 de l\u2019attaque et son co\u00fbt et le profit attendu).<\/p>\n
Cependant, si votre entreprise devient une cible int\u00e9ressante (et si c\u2019est une entreprise, vous pouvez \u00eatre s\u00fbre qu\u2019elle suscite de l\u2019int\u00e9r\u00eat), elle pourrait devenir une cible sp\u00e9cifique. Ceux qui visent les entreprises peuvent \u00eatre int\u00e9ress\u00e9s par des choses totalement diff\u00e9rentes comme des transactions financi\u00e8res, des secrets d\u2019affaires, ou encore les donn\u00e9es de vos clients. Leur objectif peut aussi tout simplement \u00eatre un sabotage pour aider vos concurrents. Certains peuvent juste penser qu\u2019il est rentable d\u2019attaquer une soci\u00e9t\u00e9 de votre domaine d\u2019activit\u00e9.<\/p>\n
C\u2019est l\u00e0 que les criminels investissent dans des attaques cibl\u00e9es et complexes. Ils recherchent le logiciel que votre soci\u00e9t\u00e9 utilise en cherchant des vuln\u00e9rabilit\u00e9s encore inconnues sur le march\u00e9 et en d\u00e9veloppant des exploits uniques. Ils peuvent chercher des moyens de vous atteindre par le biais de partenaires et de fournisseurs et acheter d\u2019anciens employ\u00e9s. Ils peuvent trouver des employ\u00e9s m\u00e9contents et essayer d\u2019organiser une attaque de l\u2019int\u00e9rieur. Dans ce cas, les criminels peuvent proc\u00e9der sans aucun malware en se fiant exclusivement aux outils l\u00e9gitimes qu\u2019une solution de s\u00e9curit\u00e9 traditionnelle ne verra pas comme des menaces.<\/p>\n
Il est possible que les syst\u00e8mes passifs d\u00e9tectent une attaque cibl\u00e9e ou une activit\u00e9 li\u00e9e \u00e0 celle-ci. Cependant, m\u00eame s\u2019ils le font, les syst\u00e8mes ne d\u00e9tecteront la plupart du temps que l\u2019incident lui-m\u00eame et ne vous aideront pas \u00e0 d\u00e9terminer rapidement ce qui s\u2019est r\u00e9ellement pass\u00e9, quelles informations ont \u00e9t\u00e9 affect\u00e9es par l\u2019incident, comment y mettre un terme et comment emp\u00eacher qu\u2019il ne se reproduise.<\/p>\n
Si votre soci\u00e9t\u00e9 utilise des outils de s\u00e9curit\u00e9 d\u2019endpoint traditionnels, les employ\u00e9s du service de s\u00e9curit\u00e9 ne seront pas toujours capables de r\u00e9pondre \u00e0 une attaque \u00e0 temps. Ils ont les mains li\u00e9es pendant qu\u2019ils attendent qu\u2019un cyberincident ait lieu ; ce n\u2019est qu\u2019apr\u00e8s qu\u2019ils peuvent commencer une investigation. De plus, ils peuvent rater un incident prioritaire parmi les centaines de petits incidents qui font partie du quotidien des affaires.<\/p>\n
Les analystes obtiennent g\u00e9n\u00e9ralement ces donn\u00e9es bien plus tard. Ce n\u2019est qu\u2019apr\u00e8s une enqu\u00eate soigneuse qui comprend normalement du travail manuel fastidieux que l\u2019incident sera signal\u00e9 aux experts en r\u00e9ponse et r\u00e9cup\u00e9ration. M\u00eame dans les grandes entreprises avec des centres de r\u00e9ponse s\u00e9rieux, les trois r\u00f4les (sp\u00e9cialiste en s\u00e9curit\u00e9, analyste et expert de r\u00e9ponse) sont souvent tenus par la m\u00eame personne.<\/p>\n
Selon nos statistiques, il s\u2019\u00e9coule en moyenne 214 jours entre l\u2019entr\u00e9e initiale dans le syst\u00e8me et le moment o\u00f9 une grande entreprise d\u00e9tecte une menace complexe. Dans le meilleur des cas, le sp\u00e9cialiste en s\u00e9curit\u00e9 informatique r\u00e9ussit \u00e0 identifier des traces d\u2019une attaque \u00e0 la derni\u00e8re \u00e9tape d\u2019une cha\u00eene d\u2019abattage. Le plus souvent, il ne lui reste plus qu\u2019\u00e0 calculer les pertes et \u00e0 s\u2019occuper de la r\u00e9cup\u00e9ration des syst\u00e8mes apr\u00e8s les faits.<\/p>\n
Une nouvelle approche adaptative est requise pour prot\u00e9ger la propri\u00e9t\u00e9 intellectuelle, la r\u00e9putation et d\u2019autres atouts cl\u00e9s des organisations. Les strat\u00e9gies de p\u00e9rim\u00e8tre r\u00e9seau et de protection de la station de travail doivent \u00eatre ajust\u00e9es et renforc\u00e9es par des outils de recherche actifs et une enqu\u00eate et une r\u00e9ponse unifi\u00e9es en r\u00e9ponse aux menaces de cybers\u00e9curit\u00e9.<\/p>\n
Une strat\u00e9gie de True Cybersecurity comprend souvent l\u2019utilisation d\u2019un concept de recherche actif connu comme la chasse de menaces. C\u2019est une t\u00e2che plut\u00f4t difficile, mais l\u2019utilisation d\u2019outils sp\u00e9cialis\u00e9s peut la simplifier consid\u00e9rablement. L\u2019EDR ou endpoint detection and response fait partie de ces outils. Cela donne \u00e0 l\u2019\u00e9quipe de s\u00e9curit\u00e9 informatique la capacit\u00e9 d\u2019identifier des menaces sur des stations de travail rapidement en utilisant une interface unifi\u00e9e et pour rassembler des informations automatiquement et neutraliser une attaque. Les syst\u00e8mes EDR utilisent des informations de renseignement sur les menaces que de nombreuses soci\u00e9t\u00e9s acqui\u00e8rent de diff\u00e9rentes sources pour contr\u00f4ler les processus dans leurs r\u00e9seaux d\u2019entreprise.<\/p>\n
En th\u00e9orie, la chasse des menaces peut avoir lieu sans EDR ; cependant, la chasse des menaces purement manuelle est significativement plus ch\u00e8re et moins efficace. Mais il y a plus encore : cela peut affecter n\u00e9gativement les processus d\u2019entreprise dans la mesure o\u00f9 cela demande aux analystes d\u2019interf\u00e9rer directement avec un grand nombre de stations de travail.<\/p>\n
Dans l\u2019essence, l\u2019EDR donne aux experts du centre des op\u00e9rations de s\u00e9curit\u00e9 la capacit\u00e9 \u00e0 collecter rapidement toutes les informations dont ils ont besoin (automatiquement et manuellement), \u00e0 prendre des d\u00e9cisions et \u00e0 effacer tout fichier ou malware par le biais de l\u2019interface de contr\u00f4le unifier, \u00e0 placer des objets en quarantaine et \u00e0 lancer des processus requis pour la r\u00e9cup\u00e9ration \u2013 tout cela sans que les utilisateurs ne remarquent rien parce qu\u2019aucun acc\u00e8s physique \u00e0 la station de travail n\u2019est requis, pas plus qu\u2019une interruption des op\u00e9rations d\u2019affaires.<\/p>\n