Elit-Cyber

Cybersécurité : pourquoi et comment surveiller les signaux faibles ?

7 janvier 2022
Matéo Ceron

Déjà bien engagée, la numérisation de la société en général et des entreprises en particulier s’est accélérée avec la pandémie de Covid-19. Une part d’autant plus importante de l’économie repose donc sur les systèmes d’information (SI) des organisations. Plus que jamais, chaque entreprise est ainsi la cible potentielle d’une cyberattaque. Espionnage, sabotage, extorsion… les motivations sont multiples. Peut-être considérez-vous que vous n’avez pas d’ennemi et que vous êtes à l’abri d’une attaque ciblée. Si ce n’est pour d’éventuels concurrents malveillants, vos données sont très précieuses pour au moins une partie : vous !

 

L’ensemble de vos systèmes informatiques bloqués

Le SI de n’importe quelle entreprise est donc, a minima, la cible potentielle d’une attaque par ransomware (rançongiciel). N’importe quel hacker peut vous cibler par hasard, s’introduire dans votre SI, paralyser votre entreprise en chiffrant vos données ou en parvenant à bloquer l’ensemble de vos systèmes informatiques, et réclamer une rançon en échange de l’antidote.

Il convient donc dans tous les cas de soigner sa cybersécurité. Certes, un firewall et des antivirus empêchent les attaques les plus grossières. Mais certains hackers savent très bien comment les détourner, et ainsi tromper leur vigilance pour passer inaperçu. Dans ce contexte, une seule solution : guetter les signaux faibles.

 

Exploiter une vulnérabilité « zéro-day »

Antivirus et pare-feu détectent et bloquent facilement des signaux forts tels que le téléchargement d’un malware par un collaborateur ou une attaque par force brute (bruteforce). Mais en réussissant à exploiter une vulnérabilité, a fortiori inconnue (zero-day), ou via le vol des identifiants d’un collaborateur, un hacker peut infiltrer discrètement un réseau d’entreprise. Puis une fois à l’intérieur, il peut tenter d’infiltrer d’autres équipements sans éveiller de soupçons.

 

Collecter pour corréler

Pour détecter l’accès initial et le déplacement latéral dans ces conditions, il faut guetter les signaux faibles. Le téléchargement d’un fichier un jour, une session RDP (bureau à distance) le lendemain, le démarrage d’un nouveau service sur un serveur une semaine plus tard… Pris séparément, tous ces événements peuvent sembler anodins et n’éveiller aucun soupçon.

 

Remonter le fil des événements

Mais des techniques modernes permettent aujourd’hui de centraliser les journaux (logs) de tout le SI d’une entreprise et de faire des corrélations entre des événements éloignés dans le temps ou dans l’espace, voire avec des attaques similaires subies par d’autres entreprises, via une mise en commun des outils. On parle de SIEM (Security Information Event Management), littéralement une solution de gestion de l’information et des événements de sécurité. En outre, des capacités d’analyse rétrospective permettent de remonter le fil des événements afin de déterminer si un comportement légèrement suspect est un faux positif ou bel et bien une attaque déguisée en activité légitime.

 

Procéder à la remédiation complète de l’attaque

Elit Technologies, fournisseur de services managés, propose à cet effet la mise en place d’un SOC (Security Operations Center), qui mettra en œuvre le SIEM le mieux adapté à votre entreprise. Surtout, en cas de tentative avérée, les experts en sécurité du SOC sont en mesure, grâce à la vue d’ensemble fournie par le SIEM, de remonter à la source afin de procéder à la remédiation complète de l’attaque.

 

 

Attaques par ransomware : +150% sur un an

La cybersécurité est la plus grande menace à laquelle les entreprises font face. C’est la conclusion de l’enquête Risk In Focus 2022, publiée par l’Institut français de l’audit et du contrôle internes (IFACI) et douze de ses homologues européens.

82% des 738 directeurs de l’audit interne interrogés ont effectivement répondu que la cybersécurité et la sécurité des données figurent dans leur top 5 des risques, en hausse par rapport à l’année précédente, et loin devant d’autres risques comme les changements législatifs, la transformation numérique ou les ressources humaines.

Selon l’étude « Ransomware Uncovered 2020-2021 » du fournisseur de cybersécurité Group-IB, le nombre d’attaques ransomware a augmenté de plus de 150% en 2020, les cybercriminels profitant de l’essor du télétravail. Le montant moyen des rançons payées a également augmenté, de 171%, pour atteindre 312 493 $ (près de 277 millions d’euros), selon Palo Alto Networks.