Pour la deuxième fois en quelques semaines, de nombreuses entreprises ont constaté que leur infrastructure de sécurité n’était pas en mesure de faire face aux attaques modernes de type ransomware. WannaCry et (Not)Petya exploitent les failles des systèmes qui n’ont pas été mis à jour, révélant aux entreprises une vulnérabilité interne : les outils de protection existants ne sont efficaces que s’ils sont parfaitement à jour. En cas d’attaque, il est impératif de pouvoir analyser et gérer rapidement la situation. Alors que la seconde vague d’attaques reflue, les entreprises doivent examiner comment renforcer la protection de leur SI.

Avant tout, elles doivent se demander si une protection robuste de l’environnement du data center est encore adaptée. Les responsables de la sécurité doivent commencer par définir le périmètre de l’entreprise. Dans un monde centré sur le Cloud, dans lequel les employés sont de plus en plus mobiles et où l’Internet des Objets gagne du terrain, chaque appareil doit avoir son propre périmètre de sécurité lorsqu’il est connecté à Internet. L’infrastructure réseau traditionnelle est donc largement affaiblie. Aujourd’hui, chaque filiale et chaque employé, indépendamment de son lieu de travail à l’intérieur ou à l’extérieur de l’entreprise, doit s’assurer que les règles de sécurité les plus récentes sont appliquées uniformément et en temps réel lors de l’accès à des applications sur le réseau ou dans le Cloud.

Pour moderniser leur infrastructure de sécurité, les entreprises doivent mettre en place une solution de sécurité en mesure de s’adapter à l’évolution rapide des menaces, car les vecteurs et le déroulement des attaques évoluent constamment. Même si une protection fiable à 100 % relève de l’impossible, les entreprises se doivent de mettre en place la solution de sécurité la plus performante possible.

Dans cette optique, elles doivent s’appuyer sur des dispositifs automatiques pour affronter ces menaces.

  • Le personnel, les infrastructures et les données doivent être mieux protégés par des technologies de sécurité modernes pour réduire le nombre d’attaques réussies
  • Les attaques, et les infections qui en découlent, doivent être identifiées le plus rapidement possible par une analyse en temps réel
  • Leur propagation doit être empêchée tout aussi rapidement par l’application de règles en temps réel.

Élever le niveau de protection et rétablir la capacité de réaction

WannaCry et (Not)Petya montrent qu’il existe plusieurs approches pour renforcer la sécurité. Les entreprises savent que tous les systèmes, les serveurs, les navigateurs, les plugins de navigateur, les systèmes d’exploitation, etc. doivent être le plus à jour possible, mais que la gestion des correctifs reste à la traîne. Bien souvent, cette dernière sur de nombreux objets connectés n’est tout simplement pas possible. Une approche traditionnelle de la sécurité reposant sur des technologies avancées de différents fournisseurs est compliquée à gérer. Les serveurs proxy, les pare-feu, les sandbox, les antivirus, les systèmes de prévention des pertes de données et les systèmes SIEM[i] des fournisseurs les plus divers doivent être tenus à jour pour protéger complètement et efficacement les systèmes et les utilisateurs, sur tous les sites. Les attaques de ces derniers mois ont exploité des failles qui ont démontré que l’infrastructure de sécurité n’était pas parfaitement à jour sur tous les sites.

Pour détecter les attaques et les infections qu’elles propagent dans les plus brefs délais, il est judicieux de mettre en œuvre une plate-forme de sécurité hautement intégrée. Ce type de plate-forme, qui englobe des modules pour la sécurité Web, un pare-feu de nouvelle génération, une sandbox et un système de prévention des pertes de données, entre autres, permet l’exploitation rapide et en direct des logs d’activité. La sandbox, en particulier, fournit des informations cruciales sur l’état de la sécurité par une analyse comportementale en temps réel. Si le trafic de données est analysé en direct, il est possible de bloquer le logiciel malveillant et d’empêcher le code de s’exécuter.

Ainsi, les entreprises bénéficient d’un gain de temps non négligeable, car si les attaques ne peuvent pas être évitées, il est essentiel de les identifier rapidement afin d’empêcher leur propagation. Dès que les informations relatives à une attaque sont disponibles, il est possible de bloquer sa propagation. Les informations en temps réel permettent de réagir rapidement en cas d’infection par un logiciel malveillant.

Bien préparé face aux ransomwares et pour le Règlement Général sur la Protection des Données (RGPD)

Les fonctionnalités de reporting offertes par une plate-forme de sécurité dans le Cloud sont également essentielles pour les futurs changements juridiques qui découlent de ce règlement. En effet, pour pouvoir remplir leur obligation de signaler les violations de données dans un délai de 72 heures, les entreprises doivent mieux connaître leurs flux de données et disposer d’une vue d’ensemble des menaces actuelles. À cela s’ajoute la nécessité de plans d’urgence dans le cas d’une violation qui doit d’abord être déclarée.

Les menaces sont en pleine évolution et les entreprises doivent adapter leur stratégie de sécurité pour opposer de nouvelles approches aux nouvelles formes d’attaque. À l’ère du Cloud, en particulier, les alertes et l’application de règles en temps réel sont vitales pour les entreprises.

 [1] Le principe du security information and event management) (SIEM) est de gérer les évènements du système d’information

___________
Yogi Chandiramani est Directeur Technique EMEA chez Zscaler