Voici 5 points d’attention qui vous aideront à vous poser les bonnes questions lorsque vous évaluez les fournisseurs de solution de sécurité des points d’accès.
Nous ne vous apprendrons rien en vous disant que les cyber-menaces ne cessent de se multiplier. Face à l’augmentation continue des attaques sophistiquées, jamais la demande de solutions de sécurité efficaces n’a été aussi élevée. Le marché regorge de fournisseurs qui n’hésitent pas à faire des annonces fracassantes et à s’exprimer avec plus d’assurance encore dans des témoignages. Même les professionnels de la sécurité éprouvent des difficultés à faire la part des choses entre fiction et réalité. C’est la raison pour laquelle je souhaite partager ces 5 points d’attention avec vous.
1. Les virus ne sont pas la seule menace
Les maliciels évoluent bien plus que les virus informatiques classiques. Et pourtant, les noms de la plupart des solutions de sécurité comprennent toujours le mot "anti-virus", généralement révélateur de la capacité de ces solutions à faire face aux menaces modernes.
En réalité, les cyberattaques peuvent prendre de nombreuses formes différentes qui n’ont rien à voir avec un virus, ni même avec un fichier. Elles peuvent être très générales ou au contraire très ciblées et incluent le rançonnage (ransomware), le harponnage (spear phishing) et les attaques via des sites compromettants (drive-by attacks). Elles exploitent des failles logicielles ou matérielles et peuvent entraîner la perte de données clients et de données de l’entreprise.
Ne tombez pas dans le piège en pensant que votre société est trop petite pour être la cible d’une attaque. Les pirates ont recours à l’apprentissage machine pour accomplir des actions très ciblées de manière dimensionnée et à faible coût.
N’oubliez pas que la menace peut aussi venir de l’intérieur. Les employés mécontents connaissent mieux que personne les faiblesses de vos systèmes. Une bonne sécurité au niveau des points d’accès doit pouvoir détecter un comportement suspect, quelle qu’en soit la source.
2. Les maliciels ne sont qu’une partie du problème
Les logiciels de sécurité dépassés analysent les fichiers sur un ordinateur local pour déterminer s’ils sont malicieux ou non. Ils examinent notamment la réputation des caractéristiques des fichiers. Comme le terme ‘anti-virus’, il s’agit d’une méthode de protection totalement dépassée.
Au fil des ans, ces solutions ont été complétées de fonctions supplémentaires permettant par exemple de bloquer des sites web malicieux ou de détecter une utilisation excessive des ressources, afin de pouvoir lutter contre de nouvelles menaces. Une protection réellement efficace ne repose cependant pas sur une approche réactive de ce type ; elle doit être proactive, sans se fier de manière excessive à une protection basée sur la réputation.
Aujourd’hui, la grande majorité des attaques réussies se déroulent ‘sans fichier’. La contamination démarre sans l’intervention d’aucun fichier. Ces attaques modifient par exemple les paramètres DNS pour orienter votre trafic réseau de manière à injecter un code dans vos processus habituels. Une solution de sécurité dépassée centrée principalement sur l’analyse de fichiers malicieux ne parviendra pas à venir à bout de ces attaques d’un genre nouveau.
3. La confiance, point faible du système
Des logiciels peu fiables ne constituent pas le seul danger pour vos points d’accès. Même des logiciels de marques connues sont utilisés pour attaquer votre système. Bien que les attaques MS Office ne datent pas d’hier, des macro-attaques comme DDE peuvent exploiter des failles. De nombreuses solutions de sécurité ignorent ces attaques parce qu’elles semblent venir d’applications fiables. Parallèlement, la plupart des entreprises doivent pouvoir légitimer des opérations PowerShell, alors que les attaques basées sur PowerShell deviennent de plus en plus courantes.
Vous avez besoin d’une solution de sécurité suffisamment intelligente pour distinguer une activité PowerShell légitime d’un comportement malicieux.
Les maliciels modernes peuvent également agir sans être détectés par des solutions de sécurité classiques et en utilisant des autorisations au niveau du système. Ce type de maliciel exploite une faille qui permet d’abuser de droits ou applique d’autres méthodes de contamination. Et si cela est possible, c’est parce que de nombreuses solutions antivirus octroient les accès sur la base de l’identité, et non du comportement. Si la solution de sécurité utilise l’approche ‘liste blanche’, le point d’accès reste vulnérable aux attaques perpétrées via des fournisseurs et aux faux certificats.
4. Le pouvoir de la simplicité
Un logiciel de sécurité ne doit pas être difficile à utiliser et il ne faut pas être un expert en sécurité pour pouvoir le gérer efficacement. Malheureusement, de nombreux fournisseurs de logiciels de sécurité donnent l’impression que l’indéniable complexité qui se cache ‘sous le capot’ va inévitablement de pair avec un environnement de contrôle extrêmement complexe.
Pour le point d’accès, veillez à choisir une solution qui limite les opérations de maintenance au minimum, qui présente les tâches via une interface claire et facile à comprendre, et qui avec un clic sur le bouton restaure l'environnement à la situation avant l'attaque.
5. La sécurité n’est pas un produit : c’est une question de mentalité
Le principal leurre que l’on puisse avoir à propos des solutions de sécurité, c’est de croire qu’elles peuvent résoudre tous vos problèmes de sécurité en une fois. Les menaces peuvent adopter diverses formes : des attaques aléatoires avec réclamation d’une rançon (rangiciels) aux employés frustrés ou mécontents. Quel plan d’action prévoyez-vous quand (et non pas ‘si’) un menace se profile…? Comment allez-vous réagir ? L’absence de plan d’action peut entraîner des dommages considérables pour vos clients, vos données et votre réputation.
C’est la raison pour laquelle vous avez besoin d’une solution de sécurité des points d’accès, faisant partie de votre plan d’action global. Une solution indépendante de la plateforme, comme SentinelOne, offre une vue à 360° du statut de vos points d’accès, y compris du trafic crypté sur votre réseau ; elle rétablit l’état antérieur après une attaque et fait appel à un seul agent, facile à utiliser.
Eric van Sommeren est Director Sales Northern Europe chez SentinelOne. En tant que bloggeur invité d EASI, il partage sa passion pour les logiciels de sécurité des points d’accès.
