Selon l’ENISA, la part des budgets IT allouée à la cybersécurité par les organisations européennes a été réduite d’un point de pourcentage entre 2020 et 2021, passant de 10,4 millions d’euros en moyenne en 2020 à seulement 4 millions l’année suivante. Or, un niveau d’investissement moins élevé peut vite coûter cher dans ce secteur. En effet, la détection des compromissions reste une faiblesse dans beaucoup d’entreprises, avec des intrusions qui demeurent indétectées pendant plusieurs mois, avant d’être découvertes. Pourtant, l’architecture numérique doit impérativement être considérée comme un emplacement à sécuriser. Prévention et détection sont les deux piliers de la protection.
La protection physique d’un bâtiment repose sur deux approches principales de défense : la prévention qui vise à empêcher les intrus de pénétrer sur la propriété sans permission, et le cas échéant la détection qui permet de les repérer.
Bien qu’en général il est préférable d’empêcher toute intrusion, un adversaire déterminé parvient toujours à ses fins, s’il dispose de suffisamment de temps et de ressources. Dans ce scénario, la détection devient alors la seule alternative.
Ce qui vaut pour le bâtiment s’applique également à la protection des actifs numériques. La protection optimale et la limitation des conséquences dépendent principalement des délais dans lesquels l’acte malveillant est détecté. En résumé, le plus tôt sera le mieux !
Faute de prévention, la détection
Si les outils et procédures adéquats facilitent la détection rapide des attaques lorsqu’elles se produisent, la plupart des entreprises n’en sont toujours pas équipées. Ainsi, des jours, des semaines, voire des mois sont nécessaires avant qu’une attaque ne soit identifiée : on appelle cet écart de temps entre la violation et la découverte, le délai d’attente.
Selon IBM, ce dernier est estimé à plus de 200 jours dans la plupart des cas et peut s’étendre jusqu’à 280 jours. Alors que prendre conscience d’une attaque en cours requiert autant de temps, en déterminer la cause profonde peut par conséquent s’avérer impossible sans une quantité suffisante de données historiques à examiner.
C’est pourquoi il est tout aussi important pour une entreprise d’investir pour augmenter sa capacité de détection d’une intrusion passée que de déterminer lorsqu’elle est en cours. Cela lui permet également de voir que des règles spécifiques de pare-feu (FW) ou de système de détection d’intrusion (IDS) ont activement empêché une attaque.
De nouvelles campagnes ont lieu en permanence, et les cybercriminels trouvent constamment de nouveaux moyens d’infiltrer le réseau. En somme, un hacker s’introduire tôt ou tard dans l’infrastructure. Dans de telles circonstances, il est donc capital de disposer d’une visibilité réseau complète afin d’être en mesure de voir et gérer d’une attaque instantanément. Sans cela, l’intrusion pourrait être découverte des semaines ou des mois après les faits, auquel cas, les données doivent rester disponibles afin de repérer les causes des incidents et être en mesure de trouver des solutions pour y remédier.
Le rôle de la donnée est donc clé dans la protection des réseaux. Une entreprise qui dispose de plusieurs mois de données de sécurité peut remonter l’historique des activités du réseau et déterminer la compromission initiale. Ce niveau de visibilité est d’autant plus efficace s’il est combiné à un outil avancé de détection et de réponse aux réseaux (NDR), lequel permet de disposer des données cruciales pour la compréhension des compromissions.
Si la détection est essentielle pour les entreprises afin de protéger leurs infrastructures numériques comprendre la nécessité de tirer parti à la fois des capacités de prévention et de détection est crucial. De ce fait, les organisations doivent disposer d’un espace de stockage suffisant leur permettant de mener une enquête approfondie suite à une attaque. L’ensemble des données recueillies permettra ainsi d’identifier les causes des incidents et de comprendre quels aspects privilégier dans la sécurité, afin de limiter les risques de compromission et éviter de reproduire les failles passées.
___________________
Par Philippe Alcoy, spécialiste de la cybersécurité chez NETSCOUT
puis