Security Intelligence, l’arme ultime contre les hackers ?

Les risques et menaces informatiques ne cessent de croitre. La remise à plat des politiques de sécurité IT devient plus que jamais nécessaire autour des notions de sécurité adaptative et analytique.

Les entreprises doivent aujourd’hui faire face à la multiplication des risques et des menaces, un constat que le cabinet de conseil PwC confirme avec les résultats d'une étude* menée au niveau international. En effet, le nombre d’incidents en matière de sécurité informatique et de piratages a augmenté de 48% à travers le monde en 2014. L’enquête révèle également que 71% des cyberattaques ne sont pas décelées, notamment du fait de leur sophistication grandissante.

Dans un contexte où les hackers sont de plus en plus expérimentés, les entreprises peuvent rapidement se sentir dépassées quant à la protection de leurs ressources et de leurs données face à ces risques croissants. Elles ont en effet tendance à privilégier l’utilisation de solutions de sécurité fonctionnelles, c’est-à-dire qui se concentrent sur une seule fonction, tels que les antivirus par exemple. Elles estiment pour la plupart que ces outils traditionnels suffisent pour détecter et empêcher les attaques. Cela peut être le cas pour les menaces les plus basiques mais en fonction du degré d’intérêt des données de l’entreprise, il y a fort à parier que les hackers passeront très facilement au travers ces systèmes de sécurité si les organisations négligent l’adoption de solutions complémentaires, comme c’est le cas pour un certain nombre d’entre elles.

Pour être en mesure de détecter les menaces sophistiquées actuelles, alors que les entreprises doivent s’attendre à être inévitablement dans la ligne de mire de hackers un jour ou l’autre, il est nécessaire qu’elles mettent en place une stratégie globale de sécurité. Cela implique d’une part l’adoption d’outils de sécurité traditionnels, et d’autre part le déploiement de solutions dites de Security Intelligence capables de comprendre ce qui se passe sur le système d’information, en continu et en temps réel. Il s’agit notamment de l’un des principaux atouts du SIEM (Security Information Event Management), qui offre une visibilité complète de l’activité sur le réseau. Cet outil permet en effet de collecter, d’analyser et de corréler efficacement la totalité des traces (logs) et des journaux d’activités générés par les équipements et les applications du système d’information. Doté d’un moteur d’analyse très puissant, le SIEM est ainsi en mesure de corréler des volumes massifs de données, même lorsqu’elles atteignent plusieurs millions voire milliards par jour et proviennent de nombreuses sources.

Le succès de cette technique consiste à établir des modèles de comportements « normaux » d’utilisation des ressources du réseau et du système d’information afin de détecter tout changement de comportement ou anomalie. Des tableaux de bord de suivi ainsi que des rapports d’activité peuvent être générés plusieurs fois par jour pour donner une vision globale de l’état des systèmes. Dès qu’un événement critique se produit, une alerte basée sur la corrélation des informations et des règles de sécurité préétablies est envoyée aux responsables de la sécurité. Ils peuvent dès lors contrôler le système et procéder à la remédiation nécessaire en cas d’attaque ou d’intrusion suspecte.

En combinant la surveillance des réseaux et des utilisateurs, les entreprises peuvent ainsi bénéficier d’une visibilité accrue et en temps réel des menaces pour être en mesure de les détecter et de réagir rapidement. Aussi, cette approche de détection automatisée et en temps réel est associée à la Security Intelligence, un concept qui tend vers les solutions dotées d’intelligence artificielle. Face à la multiplication et à la sophistication croissante des cyberattaques, la combinaison de la sécurité adaptative et analytique est indispensable pour assurer la protection des données et des ressources des organisations.

Les entreprises ont aujourd’hui toutes les cartes en main pour se mettre à l’abri des cyberattaques. Elles seront probablement tôt ou tard la cible de hackers mais elles peuvent anticiper et protéger leurs données si elles adoptent les bonnes pratiques et des solutions de sécurité suffisamment puissantes pour détecter les attaques dès qu’elles se produisent, et pas une fois qu’il est trop tard et qu’elles ont causé des dommages durables.

*Etude mondiale de PwC, CIO et CSO réalisée en ligne du 27 mars 2014 au 25 mai 2014. Les résultats mentionnés sont fondés sur les réponses de plus de 9700 CEO, CFO, CIO, RSSI, les OSC, les vice-présidents et des directeurs de l'information et des pratiques de sécurité de plus de 154 pays.