Le recours à la chasse aux menaces est désormais inévitable pour faire face aux cyberattaques

Se définissant comme un ensemble de processus permettant de détecter le plus rapidement possible une activité malveillante au sein d'un système d'information, la chasse aux menaces ou " Threat Hunting " est, à l'heure actuelle, une réponse pertinente face à la multiplication des attaques.

En effet, si la majorité des entreprises ont adopté des outils standards comme un pare-feu, un antivirus voire un collaborateur dédié à la sécurité, ils ne sont pas nécessairement suffisants pour répondre aux menaces toujours plus nombreuses et sophistiquées. Mais comment mesurer l’efficacité du Threat Hunting ?

L’augmentation des menaces concerne toutes les entreprises

Si le nombre d’attaques s’est accru ces derniers mois, la majorité d’entre elles trouvent leur source dans l’ouverture d'une pièce jointe piégée incluse dans un mail semblant anodin, d’un phishing ou d’un accès distant. Comme l’a démontré l’attaque dont fut victime SolarWinds l’année précédente, la compromission de codes sources et de logiciels fournis par des tiers peut être un danger. C’est pour cela qu’implémenter une stratégie de Threat Hunting s’avère indispensable pour toute entreprise.

Les récentes cyberattaques médiatisées ont montré que la taille ou l’activité de l’entreprise n’étaient pas des critères importants pour les hackers. De ce fait, le système d’information doit aujourd’hui être résilient, afin d’assurer le bon fonctionnement de l’entreprise. Dans une réalité ou chaque victime est un « client » potentiel, il convient de prendre en compte la taille de l’entreprise et plus précisément le nombre de collaborateurs pour évaluer la nécessité d’entreprendre une démarche de Threat Hunting. Pour que cette chasse soit véritablement efficace, il est nécessaire de disposer de ressources appropriées (collaborateurs, budget, veille technologique …), notamment des collaborateurs en charge de la sécurité et possédant les connaissances requises telles que la culture d’entreprise, les méthodes de fonctionnement et les habitudes de travail.

Analyser, détecter, répondre : les 3 phases indispensables pour une démarche accomplie

Grâce au Threat Hunting, les entreprises ont à leur disposition une capacité d’analyse afin de détecter les flux de communication suspects, tels qu’une activité qui apparaîtrait de façon inexpliquée en dehors des heures de travail. Considérées comme des « anomalies », ces potentielles suspicions de compromission peuvent donner lieu à une enquête approfondie permettant ainsi de comprendre l’existence de cette activité et si nécessaire de la consigner dans les procédures d’exploitation. Ainsi, l’entreprise gagne en agilité et en capacité d’adaptation.

Afin de disposer d’une vision exhaustive du fonctionnement intrinsèque du système d’information, les entreprises peuvent recourir à l’analyse de celui-ci. L’information provenant d’outils disparates peut induire une saturation et ainsi rendre incompréhensible l’information qui est pourtant pertinente. De ce fait, l’analyse et la recherche nécessitent une certaine expérience, voire une expertise pour les outils de corrélation. L’ensemble de ces éléments donnent lieu à une modification des procédures d’exploitation. Cela permet à l’entreprise de répondre le plus vite possible aux questions « Qui ? Quand ? Quoi ? Comment ? » dès qu’un incident apparaît. C’est pour cela qu’une parfaite connaissance des habitudes de fonctionnement du SI est vitale pour déterminer rapidement s’il s’agit d’une activité malveillante, et ce avant d’envisager des investigations poussées en cas d’incident ou d’attaque.

Les recherches d’information publiques concernant une entreprise réalisée par les hackers sont un bon moyen de savoir si l’entreprise constitue une cible potentielle. Grâce à cette phase de reconnaissance, ils collectent des informations sur les habitudes de l’entreprise et peuvent ainsi forger des outils d’attaques spécifiques à l’exploitation des faiblesses découvertes lors de cette phase. D’autant que celle-ci est désormais grandement facilitée par la communication massive des entreprises, notamment à travers des forums techniques où les administrateurs réseau échangent. Il s’agit d’une véritable manne pour les pirates informatiques, puisqu’ils y trouvent souvent de précieux renseignements et peuvent ainsi ajuster leur stratégie d’attaque. L’attaque Kaseya est à ce titre un bon exemple, puisque si initialement ce sont plus de 70 fournisseurs MSP qui ont été impactés, les victimes ont été bien plus nombreuses dans un second temps, et réparties dans de nombreuses régions du monde : la plupart aux États-Unis, en Allemagne et au Canada ; mais également en Australie, au Royaume-Uni, ainsi que dans d’autres zones géographiques.

La proactivité est au cœur de cette démarche, car elle permet de proposer des réponses adaptées aux évènements préalablement détectés et analysés. En ce sens, les règles d’exploitation doivent refléter les besoins d’agilité, de dynamisme et d’évolution du système d’information et de ses usages, car considérer celles-ci de manière immuable serait une erreur. Si le facteur humain est également à prendre en compte, ces règles permettent de détecter et de répondre les plus rapidement possible à tout comportement classifier comme anormal.

Tant que la protection absolue n’existe pas, seul le Threat Hunting permettra d’établir un référentiel des pratiques d’exploitation, afin de consigner toute anomalie et d’apporter la réponse appropriée dans les meilleurs délais.