Toutes les entreprises, sans exception, ont des interactions avec des sites web qui hébergent des malwares. La propagation de malwares via des sites web légitimes est une technique parmi d’autres, mais elle illustre bien l’étendue des vecteurs de propagation dont disposent les cybercriminels et l’ampleur de la zone à défendre pour les entreprises autour de leur réseau.

Même si aujourd’hui la plupart des entreprises comprennent qu’elles font face à des risques de sécurité réels, beaucoup ne réalisent pas encore combien le risque est devenu important.

95 % des grandes entreprises sont ciblées par des trafics malveillants

Les cybercriminels exploitent des vecteurs d’attaques variés pour trouver un chemin leur permettant d’accéder au réseau de l’entreprise. Celui-ci a d’ailleurs fortement évolué et ne se limite plus aux murs d’un bureau ou d’une entreprise. Il inclut désormais les filiales, les data centers, les applications cloud ou encore les fournisseurs. Autant de nouveaux vecteurs dont tirent profit les cybercriminels. A titre d’exemple, 85 % des entreprises ont été affectées par des extensions malicieuses contenues dans leurs navigateurs. Les smartphones et les tablettes sont également de plus en plus ciblés.

Les malwares avancés, très prisés par les cybercriminels

Organisés et disposant de moyens toujours plus importants pour parvenir à leurs fins. Il existe aujourd’hui des centaines de milliers de variétés de malwares, et les cybercriminels veillent à les utiliser très peu pour s’assurer de franchir les radars de détection. Preuve en est, 99,8 % de ces malwares ne sont pas utilisés plus de 10 fois. De plus, les kits d’exploit, tels que Angler, facilitent le travail des cybercriminels, puisque cela leur permet de tirer avantage de sites de confiance pour diffuser leurs malwares.

Vers une approche plus globale de la sécurité, capable d’agir avant, pendant et après l’attaque 

La première étape vers une approche plus globale de la sécurité est de considérer les actions avant, pendant et après une attaque. Beaucoup d’entreprises continuent de privilégier la prévention, et n’ont pas de processus solides si le pire se produit. Même si les logiciels antivirus et les pare-feu restent extrêmement importants, plusieurs autres outils complémentaires peuvent venir renforcer la sécurité de l’entreprise face aux menaces avancées actuelles.

En moyenne, il faut entre 100 et 200 jours pour détecter une attaque. Ce délai peut descendre à moins de 24 heures pour les entreprises ayant mis en place une protection contre les menaces avancées.

Les cybercriminels étudient les défenses des entreprises et savent pertinemment que celles-ci ont des systèmes de sécurité à l’entrée, dont la mission est de scanner les fichiers lorsqu’ils entrent pour la première fois dans le réseau afin de déterminer s’ils sont malicieux ou non. Sachant cela, ils développent de nouvelles menaces parfaitement adaptées aux réseaux qu’ils ciblent. Les malwares avancés utilisés se comportent initialement comme des fichiers normaux, afin de franchir le premier point de détection, pour ensuite exécuter leur vraie mission malveillante une fois le scan initial franchi. C’est à ce niveau qu’une sécurité active en continue doit faire la différence.

Les deux axes clés, qui doivent devenir les principales mesures de sécurité de l’entreprise, sont la réduction du temps de détection et du temps de réponse.

Contrairement à une couche de sécurité dont le but est d’analyser un fichier à un moment donné, à la recherche d’une faille connue ; un modèle de sécurité continue surveille le réseau et les habitudes de celui-ci. Cela permet de remonter des alertes et de mener des actions de sécurité complémentaires, ou de déclencher des actions de réponses automatiques. Prenons un exemple : un fichier qui réalise des activités suspectes doit être envoyé dans un sandbox pour que des tests complémentaires soient réalisés dans un environnement sécurisé. Si les tests démontrent que ce fichier ne présente aucun danger, alors il peut être délivré normalement. De même, les fichiers qui ont déjà été autorisés à pénétrer à l’intérieur du réseau, vont continuer à être surveillés. Cette approche vise clairement à réduire le temps de détection.

Autre étape importante dans la protection contre les menaces avancées : la remédiation. Dès lors qu’une menace ou qu’une faille est détectée, combien de temps cela prend-il à l’entreprise pour remédier aux dommages causés ? Quels sont les process à suivre en cas d’attaque ? Est-ce qu’il est possible de déterminer l’étendue des dommages ?

La connaissance de la menace est cruciale, et il est important d’avoir accès aux dernières informations sur les menaces, tout comme il est important d’agir sur le flux d’informations disponibles. Le nombre croissant de nouvelles variétés de malwares rend de plus en plus difficile le fait de garder des traces des menaces connues. De plus, dans la plupart des cas, même si une solution existe en interne, elle n’a pas été utilisée. Ainsi, 92 % des terminaux fonctionnent avec des logiciels contenant des vulnérabilités connues. Un problème qui pourrait être réglé simplement par la mise en place d’updates et de patchs réguliers.

Alors que la digitalisation se poursuit rapidement dans les entreprises, et que l’Internet des objets devient de plus en plus mature, le périmètre du réseau va continuer à s’étendre. Il est donc important que les entreprises gagnent en visibilité afin d’être capables de détecter et de stopper les menaces, avant qu’elles ne génèrent des dégâts trop importants. Elles doivent également se concentrer sur l’optimisation du temps de remédiation de toutes les menaces qu’elles ne seront pas capables de prévenir.

_________
Christophe Jolly est Directeur Sécurité Cisco France