Gestion des incidents : quand est-il trop tard ?

Le nombre élevé de failles signalées témoigne des grandes difficultés rencontrées par les équipes IT pour détecter et endiguer les attaques, et ce malgré les efforts fournis pour s'adapter à leur accroissement, ainsi qu'à leur complexité.

Le Directeur du renseignement national des États-Unis, James Clapper, a  récemment indiqué que les cyberattaques se placent en tête des menaces dirigées contre son pays. [1] Le nombre élevé de failles signalées témoigne des grandes difficultés rencontrées par les équipes informatiques pour détecter et endiguer les attaques, et ce malgré les efforts fournis pour s'adapter à leur accroissement, ainsi qu'à leur complexité. Aucune entreprise n'est totalement prémunie contre cela, et ce quelles que soient sa taille et les ressources dont elle dispose.

Alors comment est-il possible que tant de victimes ne parviennent pas à se protéger, malgré l'application d'un large éventail de mesures préventives ? Le temps est souvent la clé du problème.

Une course contre le temps

Un nombre bien trop élevé de considérations entrant en jeu, il est impossible de procéder à une estimation exacte de la durée s'écoulant entre l'infection et le moment où les données sont subtilisées. Malheureusement, dans la plupart des cas, ces dernières le sont seulement quelques minutes après le déclenchement de l'infection. Dans les situations les moins critiques, les menaces sont étudiées et éradiquées dès leur détection.

D'après le rapport Data Breach Investigations, publié en 2014 par Verizon, presque 90 % des attaques perpétrées ont permis de subtiliser des données en quelques minutes ou secondes. De plus, l'endiguement de ces incidents  via des applications Web a nécessité la plupart du temps plusieurs jours... Le fait de ne pas pouvoir réagir immédiatement dans de telles circonstances induit une perte d'informations, ainsi qu'une réduction des recettes et de la clientèle. Il est clair que la prise rapide de mesures doit constituer une priorité élevée, bien que les organisations ne le puissent pas toujours. Nos entretiens avec des responsables informatiques ont révélé que les procédés mis en place à cette fin, par les entreprises de taille importante, pouvaient nécessiter jusqu’à 14 jours pour être opérationnels.

Un tel retard est dû aux nombreuses actions à entreprendre. Celles-ci induisent diverses opérations effectuées manuellement, et pouvant nécessiter une vérification par un tiers, notamment lorsqu'il s'agit de l'analyse des données système et des données ciblées. Ces mêmes opérations comprennent également l'envoi de notifications de sécurité et le rassemblement centralisé d'informations (par exemple, sur l'utilisateur et le système affectés), le contrôle des domaines, antivirus et autres systèmes de détection, l'examen des alternatives envisageables et enfin, l'action finale à entreprendre. Il peut en outre être question de génération de tickets, de contrôle des modifications et de négociations entre les divers services applicables.

Les procédures adoptées par les entreprises de taille importante dépendent également du décalage horaire potentiel entre les divers bureaux, de la disponibilité du personnel et de l'infrastructure (applications de messagerie, pare-feu, etc.). Si ces sociétés, bénéficiant du temps et des ressources nécessaires à l'application de mesures, rencontrent de telles difficultés, on imagine aisément que la situation est encore plus préoccupante pour les petites organisations qui, elles, ne peuvent investir suffisamment dans des solutions de protection appropriées. Il n'est pas étonnant que certaines des attaques les plus récentes aient été perpétrées contre des partenaires plus modestes, en termes de taille, que les entreprises directement ciblées, ce qui a permis aux cybercriminels d'infiltrer le réseau avant de se consacrer à l'objectif final. La plupart des organisations se rendent compte de l'infection de leurs réseaux uniquement après qu'un représentant de la loi leur en ait fait part. Dans une telle situation, le traitement de cette même infection nécessite plus d'un mois. De plus, d'après le Ponemon Institute, la durée nécessaire à l'éradication d'une menace est de 45 jours.[2]

Le fait d'interrompre la protection des réseaux pendant une durée prolongée, afin de remédier aux problèmes dus aux attaques, constitue une alternative loin d'être idéale, et pouvant se révéler particulièrement dangereuse. Prenons le cas de Sony, par exemple. Avant même que le PlayStation Network ne soit lui-même l'objet d'une attaque, les données personnelles de 25 millions de comptes d'utilisateurs ont été dérobées. D'après le Global Cyber Security Center (GCSEC), ceci a été rendu possible du fait de l'inefficacité des stratégies appliquées, en matière de réponse aux incidents et de protection. En effet, une durée bien trop longue s'est écoulée entre la détection de l'attaque et la mise au jour du vol de millions de données.[3]

Pourquoi est-il si difficile pour les entreprises de contrecarrer les menaces ?
L'ampleur, la complexité et la sophistication des menaces, toujours plus évoluées, est au cœur du problème. En effet, le nombre de nouveaux logiciels malveillants augmente si rapidement chaque année que les mesures de protection  ne sont plus appliquées suffisamment vite, la faute à un personnel qualifié souvent en sous-effectif. Pour a plupart des organisations,  prendre en charge efficacement  ces menaces nécessite de consacrer trop de temps et de ressources, c’est pourquoi les équipes sont si peu nombreuses et équipées..

Et quand ces dernières sont adoptées, elles induisent des défis et coûts insoupçonnés au départ. En résumé, même si elles dépensent des milliers, voire des millions, afin d'acquérir de nouvelles techniques de détection, les entreprises restent la cible des logiciels malveillants, tout comme 70 à 95% des autres réseaux professionnels autour du globe, qui eux n'ont pas investi de telles sommes.

Ceci ne signifie pas pour autant que la prévention et la détection n'ont aucun intérêt. L'utilisation d'outils de chiffrement, le blocage des menaces connues et la sensibilisation des employés (notamment aux courriers électroniques de phishing) permettent de réduire la probabilité d'une attaque menée avec succès. Cependant, de telles mesures doivent être appliquées constamment - 24 h/24 et 7 j/7, en s’informant de l’évolution des menaces, ce qui est quasi-impossible à faire si les procédés liés sont appliqués manuellement, ou si les ressources sont limitées en interne.

Des solutions tierces de détection avancée, ou certains logiciels SIEM, ont permis l'identification et la gestion des menaces inédites. Malgré cela, on ne parle pas non plus de panacée pour les équipes informatiques, dans la mesure où celles-ci doivent maîtriser des codes et fonctionnalités qui ne sont pas toujours facilement intégrables à l'environnement existant. Certaines entreprises ont indiqué avoir défini jusqu'à 500 règles afin d'optimiser leur processus de sécurité, mais le résultat obtenu n'a pas été si probant que cela.

Le remède : une veille décisionnelle automatisée et intégrée
Même si tous les systèmes de détection et de prévention employés par une entreprise fonctionnent correctement, qu’ils sont mis à niveau lorsque nécessaire et qu’ils sont exploités au mieux, des failles persistent. De nombreux rapports indiquent que certaines attaques seront toujours perpétrées avec succès, même si les solutions de protection les plus puissantes sont adoptées. Certains PDG pensent probablement que l'acquisition de divers systèmes de détection coûteux suffit à prémunir leur entreprise de ce menaces. Cependant, même les notifications d'alerte les plus élaborées se révèlent de piètres indicateurs si elles ne permettent pas  aux équipes informatiques de se prévenir des futures infections.

Afin que le niveau de protection soit le plus optimal, il est donc nécessaire d’exploiter divers systèmes, au sein de son réseau. Profiter de technologies de gestion des menaces qui tirent parti des données provenant de tous les outils de détection, afin de fournir automatiquement des informations condensées utiles. En résumé, une organisation qui souhaite faire face aux menaces d'aujourd'hui doit opter pour des solutions combinant détection en temps réel, vérification et protection.

Autour du même sujet