![\"Comment](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-785530237-300x104.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Dans un jeu de chat et de souris en ligne, les cyber-criminels semblent toujours avoir une longueur d\u2019avance. Mais comment renverser le paradigme\u00a0? Pour mieux prot\u00e9ger, comment anticiper et d\u00e9tecter les cyberattaques de demain (et d'aujourd'hui)\u00a0? \u00c9l\u00e9ments de r\u00e9ponse.<\/strong><\/p>\n Les professionnels de la cybers\u00e9curit\u00e9 sont en permanence sur une ligne de cr\u00eate, \u00e0 cheval entre pr\u00e9sent et futur, r\u00e9action et anticipation. En parvenant \u00e0 se faire toujours plus innovants, les cyber-criminels anticipent donc les techniques de protection mises en \u0153uvre par les solutions de cybers\u00e9curit\u00e9 et parviennent parfois \u00e0 se jouer des syst\u00e8mes les plus performants. Plong\u00e9e dans les signaux forts et signaux faibles pour identifier comment d\u00e9tecter d\u00e8s aujourd\u2019hui les cyberattaques de demain.<\/p>\n <\/p>\n En mati\u00e8re de sophistication des attaques, les cyber-criminels ont toujours d\u00e9montr\u00e9 leur capacit\u00e9 \u00e0 d\u00e9velopper de nouvelles strat\u00e9gies pour acc\u00e9der \u00e0 leurs cibles finales<\/strong>. Vous connaissiez le phishing<\/a>,\u00a0cette technique d\u2019usurpation qui d\u00e9tourne la vigilance des utilisateurs pour d\u00e9rober par exemple des informations personnelles ; l\u2019attaque par spear-phishing<\/em>, un hame\u00e7onnage doubl\u00e9 d\u2019ing\u00e9nierie sociale\u00a0; le polymorphisme, la capacit\u00e9 \u00e0 duper les antivirus en multipliant les empreintes contradictoires ; ou encore le d\u00e9sormais classique ransomware accompagn\u00e9 de ses triples extorsions. Vous avez peut-\u00eatre entendu parler des fileless malwares<\/em><\/a>, des attaques ne s\u2019ex\u00e9cutant que dans la m\u00e9moire des syst\u00e8mes d\u2019information. Il vous faudra d\u00e9sormais \u00eatre en alerte sur des menaces comme par exemple le browser-in-the-browser attaque<\/em>, la cr\u00e9ation d\u2019une fausse fen\u00eatre pop-up destin\u00e9e \u00e0 tromper les utilisateurs pour r\u00e9cup\u00e9rer un maximum de donn\u00e9es personnelles.<\/p>\n Il faut dire que les surfaces d\u2019attaques des entreprises n\u2019ont cess\u00e9 d\u2019augmenter ces derni\u00e8res ann\u00e9es<\/strong>. Adoption massive du cloud et des appareils mobiles (connect\u00e9s ou non), d\u00e9veloppement d\u2019API sans consid\u00e9ration de s\u00e9curit\u00e9, convergence IT-OT dans l\u2019industrie et d\u00e9sormais environnements hybrides et multicloud, le monde de la cybers\u00e9curit\u00e9 assiste \u00e0 un enchev\u00eatrement progressif des syst\u00e8mes d\u2019information<\/strong>. De quoi susciter tous les jours de nouvelles failles dans leur s\u00e9curit\u00e9. Les professionnels de la cybers\u00e9curit\u00e9 passent \u00ab\u00a0beaucoup de temps \u00e0 auditer les syst\u00e8mes et les produits<\/em>\u00a0\u00bb, confirme Arnaud Pilon<\/strong>, responsable de l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incidents chez Synacktiv<\/a>. Un \u00e9tat de veille constant qui vise \u00e0 \u00ab\u00a0d\u00e9tecter les nouvelles vuln\u00e9rabilit\u00e9s, tout en ayant la capacit\u00e9, par effet miroir, d\u2019imaginer de nouveaux modes de d\u00e9tection<\/em>\u00a0\u00bb, et qui se traduit par la cr\u00e9ation dans les plus grandes entreprises d\u2019\u00e9quipes enti\u00e8res de Cyber Threat Intelligence<\/em> (CTI<\/a>). Mais toutes n\u2019ont pas le luxe d\u2019en b\u00e9n\u00e9ficier\u2026 \u00ab\u00a0Notre action consiste \u00e0 d\u00e9rouler le fil des \u00e9v\u00e9nements<\/em>, compl\u00e8te Arnaud Pilon. On recherche notamment la pr\u00e9sence d\u2019un acteur malveillant dans les syst\u00e8mes en d\u00e9roulant des sc\u00e9narios de d\u00e9tection<\/em>\u00a0\u00bb.<\/p>\n <\/p>\n Cette recherche s\u2019appuie sur l\u2019analyse de signaux faibles et de signaux forts.<\/strong> Plus difficile \u00e0 rep\u00e9rer, les signaux faibles comme un d\u00e9placement lat\u00e9ral dans le syst\u00e8me d\u2019information ou la pr\u00e9sence d\u2019obfuscation dans un fichier renvoient \u00e0 la possibilit\u00e9 d\u2019une cyberattaque qui doit \u00eatre confirm\u00e9e par un croisement fin des donn\u00e9es. Les signaux forts sont quant \u00e0 eux un indicateur fiable de la menace, sous la forme de \u00ab\u00a0marqueurs de codes malveillants ou bien de patterns, c\u2019est-\u00e0-dire des modes op\u00e9ratoires d\u00e9j\u00e0 identifi\u00e9s comme malveillants<\/em>\u00a0\u00bb, pr\u00e9cise Arnaud Pilon.<\/p>\n C'est en fait un ensemble presque infini de logs que vont remonter les diff\u00e9rents \u00e9quipements de surveillance des entreprises<\/strong>, entre la galaxie des solutions de protection endpoint d'un c\u00f4t\u00e9 et leurs \u00e9quivalents r\u00e9seaux de l'autre. Pour analyser toutes ces donn\u00e9es, les entreprises syst\u00e9matisent le recours \u00e0 des syst\u00e8mes centralis\u00e9s de gestion des \u00e9v\u00e9nements et des informations de s\u00e9curit\u00e9 tels que des SIEM<\/a> (Security Information & Event Management<\/em>). Les \u00e9quipes de SOC (Security Operation Center<\/em><\/strong>, ou centre op\u00e9rationnel de s\u00e9curit\u00e9 en fran\u00e7ais) diss\u00e8quent alors toutes ces donn\u00e9es pour identifier signaux forts et faibles de cyberattaques. Et pour les aider, certaines solutions SIEM sont capables d'apprentissage automatique et d'analyse comportementale pour identifier des pratiques suspectes, compiler des rapports contextuels et m\u00eame placer en quarantaine certains terminaux. L\u2019efficacit\u00e9 est par contre souvent tr\u00e8s variable selon les types d\u2019attaques, et comporte un risque plus ou moins important de faux positifs. \u00ab\u00a0Les syst\u00e8mes de machine learning ou de statistiques avanc\u00e9es fonctionnent sur des cas d\u2019usage particuliers, le phishing par exemple, mais cette m\u00e9thode ne peut pas \u00eatre appliqu\u00e9e de mani\u00e8re universelle<\/em>\u00a0\u00bb, compl\u00e8te Arnaud Pilon. Ceci oblige une intervention humaine compl\u00e9mentaire, surtout pour \u00e9tudier des signaux plus faibles comme des comportements inhabituels.<\/p>\n Une m\u00e9thode qui comporte toutefois des limites. Quel analyste n\u2019a pas eu l\u2019impression de, chaque jour, remonter le rocher de Sisyphe face au volume sans cesse croissant de logs \u00e0 traiter\u00a0? Surmenage, lassitude, baisse d\u2019efficacit\u00e9 et, par analogie, augmentation des taux de faux positifs sont des probl\u00e9matiques additionnelles \u00e0 un corps de m\u00e9tier qui n\u2019en a pas besoin. Pour optimiser les ressources et hi\u00e9rarchiser les activit\u00e9s, les plateformes SOAR<\/a> (Security Orchestration, Automation and Response<\/em>) aident d\u00e9sormais les \u00e9quipes d\u2019analystes avec leur capacit\u00e9 de triage et d'actions de s\u00e9curit\u00e9 automatis\u00e9es.<\/p>\n <\/p>\n Dans ce jeu de chat et de souris en ligne, les cyber-criminels cherchent donc continuellement \u00e0 supplanter la technologie et \u00e0 cibler les angles morts de l\u2019arsenal de d\u00e9tection et de protection. En cons\u00e9quence, bien anticiper la menace de demain ne revient pas seulement \u00e0 s\u2019appuyer sur des outils et algorithmes, mais oblige \u00e0 d\u00e9velopper une m\u00e9thodologie de contr\u00f4le et de protection qui s\u2019adapte aux environnements de travail. L\u2019\u00e9quation comprend en amont un m\u00e9lange entre audit syst\u00e9matique, remont\u00e9e et compr\u00e9hension fine de la donn\u00e9e, partage en interne en s\u2019appuyant sur les principes de l\u2019intelligence collective<\/strong>. C\u00f4t\u00e9 aval, l\u2019association syst\u00e9matique entre connaissance de l\u2019attaquant, Threat Hunting<\/em> et syst\u00e9matisation des SOC constitue un socle solide.<\/p>\n La cybers\u00e9curit\u00e9 se doit \u00e9galement d\u2019\u00eatre proactive.<\/strong> Par exemple en s\u2019appuyant sur le Cyber Threat Hunting,<\/em> la recherche active de menaces et comportements encore inconnus, pour rechercher sans cesse les modes op\u00e9ratoires de demain. Pour les \u00e9diteurs, avoir une \u00e9quipe de Cyber Threat Intelligence<\/em> para\u00eet incontournable afin d\u2019adapter en continu ses moteurs de protection, ses r\u00e8gles et de pouvoir mettre \u00e0 disposition de ses clients des flux de donn\u00e9es en temps r\u00e9el pour prot\u00e9ger contre les menaces identifi\u00e9es. En se basant sur les tactiques, techniques et proc\u00e9dures (TTP<\/a>), les indicateurs d\u2019attaque (IoA) et de compromission (IoC) de cyberattaques ayant touch\u00e9 des environnements semblables, ces \u00e9quipes peuvent identifier de mani\u00e8re ind\u00e9pendante des pistes de compromission ou de nouveaux malwares, sans \u00eatre influenc\u00e9es par les alertes d\u00e9clench\u00e9es par le SOC. Le recrutement de hunters<\/em> n\u2019est cependant pas chose ais\u00e9e en ces temps de tension sur le march\u00e9 du travail, c\u2019est surtout un luxe que la plupart des entreprises ne peut se payer.<\/p>\nCyberattaque, une activit\u00e9 en constante \u00e9volution<\/h2>\n
La difficile analyse entre signaux forts et signaux faibles<\/h2>\n
Comment anticiper aujourd'hui les cyberattaques de demain\u00a0?<\/h2>\n