La crise sanitaire a mis en avant un besoin rapide de transformation numérique de la majorité de nos entreprises sous couvert d’une sécurité optimale ! Néanmoins, au vu des tendances évoquées dans les médias, il semblerait que la sécurité en soit, elle aussi, remise aux mains de l’automatisation. Attention cependant au tout automatique qui peut s’avérer être un rempart infime face à des cyber attaquants chevronnés ! Si ces solutions sont efficaces, elles doivent être enrichies de la présence de professionnels capables de penser comme des hackers. Les Threat Hunters, sont les nouveaux gendarmes du cyber espace.
Threat Hunting. Quiconque s’intéresse peu ou prou aux cyberattaques a entendu parlé ou lu ce terme qui, traduit dans la langue de Molière, signifie «Chasse aux menaces ». Mais que veut-il dire exactement ? Le Threat Hunting est une technique dont l’objectif est d’enrichir les solutions de cyberdéfense automatisées, type firewalls, anti-malware, obfuscation ou autres, par la présence de professionnels qui, grâce à leur expertise et leur intuition, se glissent dans la peau des pirates et sont donc capables de déjouer leurs pièges. Car, comme disait Albert Einstein « Agir intelligemment dans les affaires humaines n’est possible que si l’on essaie de comprendre les pensées, les motifs et l’appréhension de son adversaire de telle manière que l’on puisse voir le monde à travers ses yeux ». Une citation qui illustre bien la démarche du Threat Hunting.
Threat Hunter : être conscient de ses faiblesses pour mieux bâtir sa défense
Contrairement à ce que l’on pourrait croire, les Threat Hunters ne se désintéressent pas des outils d’automatisation de cyber défense. Au contraire, ils vont repérer leurs lacunes pour les combler afin d’éviter que les hackers ne cherchent à en tirer profit. Les Threat Hunters ne remplacent pas les process automatiques de détection des intrusions mais sont là pour en identifier les failles et y apporter des réponses.
Les actions des Threat Hunters doivent être continues car les hackers ne baissent jamais pavillon, toujours à l’affût de nouvelles techniques de piratage. Certains peuvent passer des mois, voire des années à chercher les failles d’un système d’une entreprise ou d’un organisme qu’ils ont identifié comme très lucratif ou pouvant servir leurs causes ou leurs idées politiques.
Les hackers redoublant d’ingéniosité pour se glisser dans les failles de sécurité des systèmes des entreprises, la qualité d’un Threat Hunter se mesure à sa créativité. En quête du moindre indice, le Threat Hunter étudie de manière proactive les réseaux pour comprendre comment des hackers peuvent les pirater. Il cherche aussi à déterminer comment évoluent les cybermenaces, et à comprendre comment les attaques sont influencées par le contexte technologique, politique, économique et même culturel. Il développe des hypothèses, simule des attaques, élabore des stratégies de détection et de réponse.
Enquêter, analyser et contenir la menace
Car après l’attaque, vient la réponse. Se défendre contre des cyberattaques sophistiquées exige de répondre de façon immédiate pour contenir les pirates informatiques. Cette réponse repose sur trois volets. Le premier : avoir des experts capables d’enquêter sur les activités suspectes pour déterminer s’il s’agit bien de comportements malveillants. Ces spécialistes doivent procéder en recueillant les indices nécessaires et en les analysant. Il est essentiel de se faire une idée de l’attaque pendant que l’intrusion a lieu, et non pas après.
Le deuxième : contenir le pirate informatique jusqu’à ce qu’un plan de remédiation complet ait été élaboré et approuvé. Ainsi, comme le Covid 19, il est essentiel de confiner le hacker et d’entraver sa progression afin de minimiser l’impact sur l’entreprise. Troisième volet : exclure le pirate informatique des systèmes et supprimer les mécanismes de persistance utilisés et en l’empêchant de s’implanter à nouveau sur le réseau.
Le rôle indispensable du Threat hunter
Nous l’avons vu les stratégies des cyber attaquants reposent bien souvent sur la notion de temps. Ils peuvent vivre et s’infiltrer dans vos systèmes pendant plusieurs années sans que vous ne vous en aperceviez jusqu’au jour J. C’est pourquoi le threat hunting ne peut être une opération ponctuelle ! Pour être efficace, elle doit être réalisée en continu et par un groupe humain. Une opération de threat hunting automatisée par de l’Intelligence Artificielle, par exemple, conduira à un échec car sa valeur ajoutée réside dans l’humain. Comme nous l’expliquions plus haut le threat hunter pense comme le pirate ce qui exige une certaine créativité dont l’IA n’est pas encore dotée. De même tout fournisseur de solutions MDR couplera son action d’une opération de threat hunting parallèle afin de garantir la pérennité de ses outils de détection.
En conclusion, un Threat Hunting efficace repose sur plusieurs principes-clés : adopter le point de vue du pirate informatique, donner aux équipes le temps de réfléchir, leur donner accès aux outils et aux données dont elles ont besoin pour comprendre, analyser et repérer l’intrusion, et enfin, réagir rapidement avec une réponse adaptée.
___________________
Par Guillaume Gamelin, Regional Vice-President chez F-Secure.