Au cours de ces dernières années, les cyber-attaques sont devenues de plus en plus fréquentes et difficiles à détecter en raison de leur sophistication grandissante et de la professionnalisation des hackers. Selon une étude menée par Ponemon Institute, près d’un tiers des failles ne sont détectées par les organisations que des mois voire des années après qu’elles aient eu lieu, et seules 2% le sont immédiatement. Et il n’est pas rare que ces vulnérabilités soient découvertes par des prestataires extérieurs ou des clients et non par les entreprises elles-mêmes. Dans ces cas-là, l’impact sur la réputation de l’entreprise est encore plus important car elle peut être soupçonnée d’avoir voulu passer l’incident sous silence sans en avertir les cibles potentielles, et les rumeurs sur l’origine et l’ampleur des conséquences sont dès lors susceptibles de se répandre comme une trainée de poudre. En outre, le temps nécessaire à la remédiation d’une cyber-attaque – des mois dans 43% des organisations – augmente en corrélation avec le temps de détection car les pirates informatiques sont souvent déjà bien implantés dans le réseau.
Nous assistons aujourd’hui à la formation d’un nombre croissant de groupes de hackers dont le but est de mener des cyber-attaques de haut niveau grâce à des méthodes ainsi qu’à des actions de plus en plus perfectionnées et insidieuses. De ce fait, de nombreuses organisations ont encore plus de difficultés à détecter et réagir rapidement aux menaces internes et externes. Pour les pirates informatiques, il ne s’agit plus simplement de voler les informations d’une carte bancaire pour dépenser des sommes faramineuses. Bien que l’argent reste certainement l’une des premières motivations d’une attaque, nuire à la réputation fait désormais partie des principales motivations dans le cadre d’une attaque. Et il y a fort à parier que ce type de menace continue de progresser et qu’elles puissent être aussi bien menées par des cyberactivistes que par des entreprises concurrentes, des gouvernements dans le cadre d’une mission d’espionnage ou des employés.
Pour relever le défi de la protection de leurs données et leurs ressources, les entreprises doivent être en mesure de détecter et de réagir rapidement aux incidents et aux menaces à haut pouvoir d’impact. Tant qu’une faille n’est pas identifiée, les réseaux sont exposés à un risque important de cyber-attaque. Il est donc primordial que le temps moyen de détection (MTTD), qui se compte aujourd’hui en semaines voire en mois dans la plupart des cas, soit réduit à quelques jours et heures, et, dans l’idéal, à seulement une poignée d’heures et de minutes. Au-delà de la protection du système d’information, la capacité à réduire le temps de détection fait diminuer les coûts liés à l’attaque ainsi que la difficulté pour y remédier. En mesure d’identifier elles-mêmes et de manière autonome les incidents, les entreprises peuvent également réduire le temps moyen de réaction (MTTR), un enjeu majeur pour neutraliser toute cyber-attaque avant que des dommages durables et irréversibles ne soient causés.
La détection et la remédiation efficace des menaces impliquent pour les organisations d’avoir une visibilité complète et en temps réel de leur activité réseau ainsi que la connaissance des événements potentiellement dangereux dès qu’ils se produisent. Cela passe notamment par l’adoption de solutions globales de sécurité en marge des outils traditionnels de prévention. Tout comme la Business Intelligence a permis aux organisations d’analyser l’ensemble des données et de saisir des opportunités jusque-là inconnues, les solutions de Security Intelligence jouent le même rôle avec les informations relatives aux vulnérabilités.
Ces outils de sécurité dits intelligents sont en effet capables de comprendre tout ce qui se passe sur le système d’information, d’offrir une surveillance complète de l’activité sur le réseau, en continu et en temps réel, et ainsi de détecter les événements et les comportements anormaux dès qu’ils se produisent. La présence d’un moteur d’analyse extrêmement puissant permet également de gérer et de corréler les volumes massifs de logs générés par l’activité de l’entreprise, même lorsqu’ils atteignent des millions voire des milliards. Grâce à cette approche de détection automatisée et intelligente, les responsables de la sécurité sont en mesure de prioriser et d’éliminer plus rapidement les menaces en prenant des décisions plus avisées.
La complexité et la sophistication grandissantes des cyber-attaques associées à un volume de données toujours plus conséquent, et contenant de plus en plus d’indicateurs de menaces cachés, impliquent une approche mieux coordonnée et plus efficace pour détecter les vulnérabilités et y remédier. La Security Intelligence offre la capacité à identifier et à réagir aux menaces dès qu’elles se produisent, et ainsi de limiter les conséquences qui s’y rapportent pour l’entreprise avant que celle-ci ne fasse la Une des journaux. Partir du principe qu’elles seront tôt ou tard la cible de hackers, ne plus se contenter de solutions de sécurité préventives et faire de la détection un impératif est la clé pour que les organisations assurent la protection de leurs données et de leurs ressources, mais aussi celles de leurs clients ainsi que de tous les acteurs avec lesquels elles interagissent.
_____________
Jean-Pierre Carlin est Directeur Europe du Sud chez LogRhythm