Appuyez sur Entrée pour rechercher

Cybersécurité en 2020 : la vitesse comme nouvelle réalité

Author Avatar
Eric van Sommeren
Director Sales Noord-Europa voor SentinelOne

Les ransomware soulèvent des dilemmes : allez-vous payer une rançon ? Qu'en est-il de votre réputation ? Dans cet article, découvrez pourquoi la rapidité est à prendre en compte dans les discussions et mesures d’intervention.

Avec l'attention médiatique grandissante concernant les attaques par ransomware, la cybersécurité est une fois de plus au cœur des préoccupations. Les cyberattaques font désormais partie du débat public et ont un impact direct sur la réputation des organisations. La capacité des équipes de sécurité à faire face à la variété des menaces en termes de connaissances et d'effectifs a considérablement diminué ces dernières années. Il est donc grand temps pour l'industrie de prendre des mesures sérieuses dans ce sens et de trouver une solution aux problèmes communs par la collaboration.

Il existe de nombreuses façons d'aborder les cyberdéfis d'aujourd'hui, mais elles commencent toutes par une prise de conscience : il faut agir maintenant. Et si de nombreux problèmes de sécurité méritent notre attention, il est important de se concentrer sur le plus important : la vitesse à laquelle les nouvelles menaces s’opèrent exige de nous de réagir encore plus rapidement en matière de cybersécurité.

La vitesse, la carte maîtresse du cybercriminel

Des histoires circulent constamment sur des cybercriminels très sophistiqués, qui développent des attaques complexes qu'il est impossible de détecter à temps. Malheureusement, l'accent est surtout mis sur la manière dont un cybercriminel pourra pénétrer et sur le lieu où il le fera, mais guère sur la vitesse d'action du cybercriminel.

Bien sûr, les cybercriminels sont devenus de plus en plus rusés, mais les logiciels de rançon ne sont pas techniquement très différents des chevaux de Troie du passé. Ce qui constitue vraiment une nouvelle menace, c'est sa vitesse. J'entends par là la rapidité avec laquelle les criminels peuvent s’introduire afin de faire beaucoup de dégâts en un laps de temps très court. Cette menace est renforcée par notre attitude attentiste.

La plupart des cybercriminels utilisent des tactiques, techniques et procédures connues. Cependant, ils effectuent davantage d'attaques et sont devenus beaucoup plus rapides. Le temps que les organisations détectent et comprennent l’attaque qui leur tombe dessus, les cybercriminels sont déjà loin. Ils ont sans doute déjà contourné ou même pris en charge la sécurité, lancé des requêtes, téléchargé ou détruit des données, etc.

Même le cybercriminel le moins expérimenté est capable de faire beaucoup de dégâts lorsqu'une organisation est incapable de reconnaître et de désamorcer immédiatement une attaque.

La proactivité, une mentalité gagnante

En 2020, nous ne pouvons plus nous permettre de limiter nos actions à une analyse technique après coup pour « arrêter la menace la prochaine fois ». Non ! Il ne s’agit plus d’une question de minutes ou d’heures pour détecter une attaque. Désormais, quelques secondes suffisent pour vous mettre en dans le pétrin.

Parler de l'intérêt de réduire le "temps d'attente" (le nombre moyen de jours qu'un intrus peut rester dans les parages) n'a guère de sens si, dans le même temps, la vitesse d'action du cybercriminel augmente beaucoup plus vite.

Un RSSI peut souvent expliquer parfaitement pourquoi une cyberattaque est un succès et l'impact que cela a eu sur l'organisation. Ce serait tellement beau qu’un jour nous n’ayons plus besoin de conférences, plus besoin d’alerter sur cette menace car nous pourrions tous les neutraliser en temps réel.

Les rançons en 2020 (et au-delà)

Les récents développements dans le domaine des logiciels de rançon montrent que les cybercriminels utilisent désormais des moyens de plus en plus variés pour mettre en danger les organisations, au-delà du cryptage des données. Aujourd'hui, les fuites de données et autres menaces en font malheureusement partie.

L'attaque "DopplePaymer" - qui a permis de réaliser plus de 2 000 activités malveillantes en moins de 7 secondes - sur une clinique cardiaque au Mexique a révélé que les criminels ont saisi des informations sensibles en plus du cryptage des données. Les criminels ont menacé de divulguer ou de vendre ces informations s'ils ne recevaient pas l'argent de la rançon.

Nous pouvons nous attendre à d'autres comportements criminels de ce type. Les cybercriminels n'ont peur de rien, même si cela met en danger la vie des patients. Ils n'ont aucun scrupule à divulguer des informations sensibles si la victime ne paie pas, et nous devons être prêts à faire face à d'autres menaces. Pensez d’ailleurs à la fuite de fichiers à caractère sexuel, comme cela s'est produit lors d'une précédente attaque. Les agresseurs ne se sont pas préoccupés du sentiment d'atteinte à la réputation personnelle des victimes.

Mais encore, la prise de contrôle de comptes de messagerie électronique est aussi utilisée pour vous atteindre. Ceux-ci sont utilisés pour envoyer du spam malveillant qui semble provenir de la victime. Toujours plus de possibilités de causer des dommages considérables.

Points sensibles

La plupart des organisations réalisent qu'elles sont victimes d'une attaque par rançon lorsque les premières machines sont cryptées. Mais à ce moment-là, la plupart des "chaînes de mise à mort" ont déjà été exécutées. Les attaquants se sont déjà installés, ont volé des identifications et des autorisations, ont téléchargé des données sensibles et se sont répandus dans le réseau de l'entreprise. La question est de savoir à quelle vitesse vous, en tant qu'organisation, pouvez intervenir - si ce n'est qu'après le premier cryptage, il est clairement trop tard.

Souvent, il est encore moins pertinent de savoir si les criminels ont pu ou non accéder aux données critiques de l'entreprise. Le fait que des données - quelles qu'elles soient - aient été volées a un impact immédiat sur la réputation de l'organisation. Souvent, les cybercriminels ne s'intéressent aux données actualisées comme preuve qu'ils ont réussi leur attaque.

De plus, la vitesse à laquelle les attaquants peuvent s'introduire dans les systèmes rend les anciens contrôles de sécurité et les analyses ultérieures de moins en moins efficaces. En outre, plus les ordinateurs sont rapides, plus les cybercriminels sont rapides également. Par conséquent, les attaques elles-mêmes ne doivent même pas être aussi avancées techniquement et le cybercriminel peut donc se concentrer sur la conception de nouveaux moyens de vous atteindre. Cela ne s'applique pas seulement aux terminaux tels que les stations de travail et les serveurs ; les environnements virtuels (VDI) et les applications cloud sont également sensibles. Afin de contrer ces menaces rapides, il faut déployer la technologie, le renseignement et la sécurité appropriés, tant dans le cloud que sur les points d’accès.

Prévention en temps réel

L'approche traditionnelle de la cybersécurité devient de plus en plus difficile, à supposer que la vitesse d'action des cybercriminels ne fasse qu'augmenter. Heureusement, de plus en plus d'organisations se rendent compte que la rapidité est la nouvelle réalité. Elles modifient leur stratégie, emploient les bons talents et adaptent leur sécurité informatique et leur gestion des risques en conséquence.

Il s'agit souvent d'entreprises qui ont déjà été victimes de logiciels de rançon. Les organisations ont toutefois la possibilité de prendre des mesures préventives dès à présent. Il est grand temps que le CISO se mette au travail aujourd'hui sur le thème "la vitesse comme nouvelle réalité" et qu'il protège en permanence l'organisation contre les conséquences potentiellement néfastes.

Cela est possible en mettant en place l'organisation de sécurité opérationnelle avec les bons outils, les bonnes connaissances et les bonnes procédures basées sur une action en temps réel. Il est important de mettre l'accent sur la sécurité des points d'accès avec une détection totalement indépendante des comportements suspects et de combiner cette détection avec une réponse automatisée. De cette manière, la vitesse de réaction de chacun pourrait devenir un atout dans la lutte contre la cybercriminalité.

Eric van Sommeren est directeur des ventes pour l'Europe du Nord chez SentinelOne. Il partage sa passion pour les logiciels de sécurité des points d'accès en tant que bloggeur pour EASI.