Cet article est la première partie de la synthèse du Micro-Forum de la Cybersécurité. Découvrez la deuxième partie ici.
Depuis quelques mois, les hackers ont démontré tout leur savoir-faire et leur capacité de nuisance, avec des attaques de plus en plus nombreuses et sophistiquées. Mais, la balle est aussi à la défense, avec une large diversité de solutions innovantes parmi les tendances cybersécurité 2021.
Lors du dernier Micro-Forum de la Cybersécurité, Bertrand Blond, responsable du Bureau Capacitaire et Innovation du ComCyber et ancien DSI Mentor d’Atout DSI a fait le point sur les innovations intéressantes pour permettre à chaque organisation de construire une stratégie d’équipement Cyber « best of breed ».
« Il est aujourd’hui utopique de penser sa protection selon une logique périmétrique. Il faut accepter que l’on sera obligatoirement attaqué et essayer de diminuer l’impact de l’attaque sur ses systèmes, en combinant les meilleures solutions pour chaque besoin opérationnel. »
Tendance Cybersécurité 2021 N°1 autour la gestion des vulnérabilités
« 60 % des attaques réussies en 2020 reposent sur l’exploitation de vulnérabilités connues mais non corrigées, selon Gartner.
Afin de construire une politique efficace de gestion des correctifs (patch management), il faut non seulement détecter les vulnérabilités mais aussi et surtout choisir celles qui devront être corrigées en priorité. La gestion des vulnérabilités basée sur le risque (lorsque chaque vulnérabilité est traitée en fonction du risque qu’elle représente pour chaque organisation) constitue une grande avancée pour les RSSI. Il s’agit donc de pouvoir connaitre la menace dans l’environnement de l’entreprise, l’impact business en cas d’arrêt d’un système et également le niveau d’exposition du système d’information.
Parmi les solutions susceptibles de répondre à ce besoin d’identification et d’évaluation des vulnérabilités : Cyberwatch, Hackuity...
Tendance Cybersécurité 2021 N°2 autour de la détection des menaces
L’enseignement principal que 2020 a pu nous apporter est l’hyper-personnalisation des Cyber Attaques. Il ne s’agit donc plus simplement de diffuser les indices de compromissions d’une attaque passée pour prévenir de futures victimes. »
Par conséquent, il est important d’assurer l’identification, la connaissance et la documentation des modes opératoires (TTPs*, matrice MITRE ATTACK**) pour adapter son système de défense.
Ceci nécessite des outils pour repérer les signatures mais aussi pour identifier les comportements.
- Les terminaux utilisateurs sont des composants clé dans une stratégie de défense car extrêmement vulnérables (accès à Internet, courrier électronique…). Il s’agit donc de compléter les outils traditionnels tels que les antivirus qui seuls ne sont plus suffisants pour se protéger (2% des menaces modernes sont détectés par des antivirus traditionnels) : Ils peuvent par exemple être couplés à des EDR***, voire des XDR (on trouve par exemple des solutions comme Harfang Lab, Tehtris, etc….). Ce type de solutions se doit d’être dans l’arsenal Cyberprotection de tout DSI en 2021, mais n’est bien évidemment pas le seul. L’EDR représente un outil indispensable afin de disposer d’une vision du comportement du SI et d’agir automatiquement en cas de besoin face à une cinématique d’attaque détectée (ex : isoler une machine du réseau avant compromission)
- Pour la supervision réseau, outre les firewalls, le contrôle du trafic ou encore les IDS, 2021 voit la forte montée en puissance de nouvelles solutions de filtrage DNS de type « DNS Firewalls » qui permettent d’identifier et de filtrer très en amont les domaines déposés avec un but malveillant. A noter la solution Française Bfore.ai, en pointe sur ces technologies, est notamment très bien placée pour répondre à ce besoin.
Sur le même sujet, la détection d’adresses IP malveillantes, avec des solutions comme celle de Crowdsec, permet d’identifier dès l’initiation de la connexion, un large faisceau d’IP à risque et de limiter ainsi la capacité d’agir de l’attaquant en bloquant toutes connexions d’un poste utilisateur vers l’IP de destination.
Pour la détection de la menace, la variété des solutions disponibles pose évidemment la question du budget Cybersécurité et de la capacité de l’entreprise à superviser ces outils. Les offres de SOC managés clés en main commencent à arriver sur le marché et peuvent permettre d’apporter une réponse aux besoins des ETI comme des plus grandes organisations afin de piloter ce pivot essentiel de la chaine de défense.
Bien évidemment, la réponse unique en outils de détection n’existe pas, l’analyse en amont des risques et leur identification ainsi que la mise en place d’une organisation adaptée (RSSI, DPO, PSSI), est nécessaire pour choisir un faisceau de technologies correspondant au fonctionnement de la structure.
Tendance Cybersécurité 2021 N°3 avec l’automatisation de l’analyse de code
« La menace vient également de plus en plus de l’extérieur et la cybersécurité doit reposer sur une approche ouverte sur l’écosystème de l’entreprise. Une relation de confiance doit se mettre en place avec la chaine de sous-traitance afin d’identifier au plus tôt les risques éventuels et limiter l’attaque par la Supply Chain. »
Dans des systèmes par essence ouverts, il faut également être en capacité d’analyser une application, un binaire, un morceau de code avant son implémentation émanant d’un tiers afin de s’assurer de la non-présence de vulnérabilités exploitables. Il existe désormais des alternatives aux audits de code traditionnels, souvent très lourds à implémenter :
- les outils d’automatisation de retroengineering, comme Moabi
- les outils d’analyse de binaire comme Glimps ou CyberDetect
- les outils pour l’analyse de code source Web comme Yagaan.
Ces solutions permettent à la fois de sécuriser les livraisons en analysant rapidement du code mais également de rentrer dans une démarche vertueuse afin de pouvoir accompagner ses sous-traitants pour améliorer globalement la chaine de défense.
Pour en savoir plus sur le fonctionnement du ComCyber autour de l’innovation et retrouver tout le témoignage de Bertrand Blond, écoutez la première partie du replay du Microforum de la Cybersécurité. Le Commandement de la cyberdéfense (COMCYBER), placé sous l'autorité du Chef d'État-Major des armées, rassemble l'ensemble des forces de cyberdéfense des armées françaises, par délégation des responsabilités de l’ANSSI sur ce périmètre. Il opère à la fois une mission de protection et de défense, une mission offensive et une mission plus récente d’homologation de la sécurité des programmes inter-armées. Comme pour une entreprise, la mission centrale du ComCyber est d’abord de s’assurer de la continuité des opérations. Son périmètre couvre à la fois les systèmes d’information et de communication, les systèmes industriels (comme le service de santé des armées, le service de carburant des armées) et les systèmes d’arme, de plus en plus digitalisés et interconnectés. L’innovation est au cœur de la réussite du ComCyber. Afin d’identifier et de tester les nouvelles solutions, Bertrand Blond s’appuie sur un système de veille et d’évaluation en France et à l’international. La Cyberdéfense Factory inaugurée à Rennes en 2019 permet de tester rapidement des solutions au plus proche des opérationnels et de soutenir les entreprises françaises développant des produits innovants. |
Cet article est la première partie de la synthèse du Micro-Forum de la Cybersécurité. Découvrez la deuxième partie ici.
* La tactique, les techniques et les procédures (TTPs) a pour rôle d'identifier les modèles de comportement individuels d'une attaque particulière ou d’un attaquant particulier, d'examiner et de catégoriser les tactiques et les moyens utilisés. Source (s) : NIST SP 800-150
** MITRE ATT & CK ® est une base de connaissances mondiale sur les tactiques et techniques de l'adversaire basées sur des observations du monde réel. Elle est utilisée pour le développement de modèles et de méthodologies de menaces spécifiques.
*** EDR : Endpoint detection and response. Les plates-formes d’EDR surveillent les terminaux (et non le réseau) afin d’y détecter des activités suspectes : ordinateurs et appareils mobiles.
XDR : Extended detection and response. Cette technologie émergente centralise, normalise et corrèle les données de sécurité provenant de sources multiples et notamment y associer les flux réseaux.
Commentaires0
Vous n'avez pas les droits pour lire ou ajouter un commentaire.
Articles suggérés