Qu’est-ce que l’analyse de cybersécurité ?

Une plateforme d’analyse de sécurité (SA), également appelée plateforme d’analyse du trafic réseau, est un outil qui fournit des fonctions de sécurité réseau proactives via des technologies de machine learning ou d’analyse comportementale. Les fonctions de sécurité englobent la détection, la supervision et l’analyse de divers événements de sécurité, d’attaques et de modèles de menaces. Toutes se conjuguent au sein d’une même application et utilisent les mêmes structures de données sous-jacentes. Les plateformes d’analyse de sécurité sont également évolutives et savent s’adapter à des réseaux et un nombre d’utilisateurs toujours plus vastes à mesure que l’entreprise se développe.

Si les palettes de fonctionnalités varient, de nombreuses plateformes d’analyse de sécurité offrent un tronc commun :

• Analyse du comportement des entités et des utilisateurs (UEBA)
• Analyse automatisée ou à la demande du trafic réseau
• Renseignements sur les menaces (Threat Intelligence)
• Accès aux applications et analyse
• Analyse DNS
• Analyse des e-mails
• Identités et personas sociaux
• Accès aux fichiers
• Géolocalisation, contexte IP

L’un des grands avantages d’une plateforme d’analyse de la sécurité est qu’elle permet aux administrateurs et aux analystes de personnaliser des modèles de menace existants ou de créer des modèles entièrement nouveaux en fonction de leur environnement de menace et des besoins spécifiques de leur entreprise. Les informations de sécurité pertinentes sont présentées sous forme graphique dans une interface accessible et conviviale qui fournit des renseignements exploitables et permet aux administrateurs de hiérarchiser les menaces les plus graves afin d’y répondre en premier.

L’analyse de sécurité unifiée est une approche qui intègre le machine learning, la détection des anomalies, l’évaluation prédictive des scores de risques et la science des données, afin d’identifier les comportements anormaux et les activités suspectes pouvant trahir la présence de menaces de sécurité. L’analyse de sécurité unifiée génère un score de risque dynamique consolidé pour chaque activité ou incident détecté. Les modèles sont préprogrammés pour prédire et détecter les menaces en fonction du cas d’utilisation, de la verticale de l’industrie, du framework de menaces et des exigences réglementaires en matière de conformité, entre autres critères. Comme ces alertes contextuelles hiérarchisent les risques et détectent les menaces au fur et à mesure qu’elles se produisent, l’analyse de sécurité unifiée peut neutraliser certaines des menaces de sécurité les plus graves avant que les cybercriminels n’infligent des dommages.

De nombreux outils d’analyse de sécurité sont actuellement disponibles sur le marché, et un grand nombre d’entre eux aident les entreprises à détecter et à hiérarchiser les menaces tout en créant des stratégies de réponse, en analysant les comportements conflictuels et en s’appuyant sur les attaques potentielles.

Voici les outils classiques de l’arsenal d’analyse de sécurité :

• Analyse comportementale : l’analyse comportementale examine les modèles et les tendances comportementales des utilisateurs, des applications et des appareils afin d’identifier les comportements anormaux et autres anomalies susceptibles d’indiquer une violation de sécurité ou une attaque.
• Renseignements externes sur les menaces : une entreprise de services de sécurité externe peut proposer des renseignements sur les menaces dans le cadre de son portefeuille d’offres. S’il ne s’agit pas d’analyses de sécurité en soi, les plateformes de TI complètent le processus analytique.
• Enquête forensique : les outils d’enquête forensique sont utilisés pour explorer les attaques passées ou en cours, déterminer comment les attaquants ont infiltré et compromis les systèmes, et identifier les cybermenaces et les vulnérabilités de sécurité exposant l’entreprise à une attaque future.
• Analyse et visibilité du réseau (NAV) : la NAV est un ensemble d’outils qui analysent le trafic des utilisateurs finaux et des applications lors de leur circulation sur le réseau.
• Gestion des événements et des informations de sécurité (SIEM) : la gestion des événements et des informations de sécurité combine une série d’outils pour fournir une analyse en temps réel des alertes de sécurité produites par des dispositifs et des applications réseau.
• Orchestration, automatisation et réponse de sécurité (SOAR) : le module Orchestration, automatisation et réponse de sécurité (SOAR) est le centre qui rassemble les fonctions de collecte des données, l’analyse et la réponse aux menaces.

Les entreprises doivent faire leur choix parmi un éventail d’équipements matériels, de logiciels et d’appliances virtuelles, qui devront également compléter leur infrastructure existante et s’y intégrer. Certains fournisseurs d’analyse de sécurité se spécialisent dans des types spécifiques de menaces, comme les attaques persistantes avancées. D’autres s’adressent à des secteurs verticaux spécifiques, tels que les services de santé ou les services financiers, dans lesquels les violations d’audit de conformité réglementaire, au RGPD par exemple, peuvent constituer un grave problème.

Pour trouver le bon outil d’analyse de la sécurité, les entreprises doivent prendre en compte le type de déploiement et les fonctionnalités dont elles ont besoin, les types de menaces qui pèsent sur leurs activités ou leur secteur, et leurs contraintes budgétaires.

La « surface d’attaque » d’une entreprise intègre à la fois les points d’exposition publics et privés (appelés « vecteurs d’attaque ») entre les données d’une entreprise, et les interfaces qui créent des points d’accès humains à ces données. Un « vecteur d’attaque » décrit la voie qu’un adversaire ou un programme malveillant peut emprunter pour infiltrer un réseau ou un système dans le but de voler ou compromettre des données.

Il existe de nombreuses façons pour des adversaires d’entrer dans le réseau d’une organisation à des fins malveillantes. Voici quelques-unes des surfaces d’attaque en expansion qui présentent les plus grandes opportunités pour les pirates informatiques :

• IoT et périphériques connectés : souvent, les périphériques IoT non gérés ne disposent pas des politiques de sécurité et des contrôles de point de terminaison adéquats, et en sont même parfois entièrement dépourvus. Il est donc extrêmement difficile pour les professionnels de la sécurité de comprendre comment ces périphériques communiquent avec le réseau, et ces zones d’ombre les rendent vulnérables aux attaques.
• Serveurs cloud mal configurés : si les erreurs de configuration des serveurs cloud proviennent souvent d’une simple erreur commise lors du déploiement des ressources cloud, elles peuvent facilement ouvrir la porte aux intrus sur le réseau et rendre l’intégralité des données d’une entreprise vulnérable aux attaques. En adoptant de plus en plus les services cloud sans ajouter les mesures de sécurité appropriées, les entreprises s’exposent à un risque plus élevé de violations de données liées à des serveurs mal configurés.
• Appareils mobiles vulnérables : les vulnérabilités des applications mobiles, ainsi qu’un nombre croissant de menaces mobiles, exposent les entreprises à des pertes de données et des usurpations d’identité lorsque des adversaires entrent sur le réseau via des ordinateurs portables, des tablettes et des smartphones. Pour éviter ce type d’attaques, les entreprises doivent évaluer minutieusement leurs applications mobiles et leur infrastructure afin de détecter les failles de sécurité et de confidentialité.

Lorsque les données sont réparties dans un environnement multicloud hybride, les équipes de sécurité doivent disposer d’informations pertinentes qui vont les aider à détecter et à hiérarchiser les menaces internes et externes, et à déterminer le niveau de risque au sein de l’entreprise. Cependant, un environnement hautement distribué et des groupes de données cloisonnés peuvent empêcher les équipes de sécurité d’acquérir une vision d’ensemble de leur environnement de sécurité ou de recueillir les informations nécessaires pour créer des défenses adéquates.

Une approche d’analyse de la sécurité peut surmonter les défis de visibilité et de données créés par un environnement hybride multicloud de plusieurs façons :

• Connexion des silos de données : une approche d’analyse de la sécurité donne aux administrateurs la possibilité d’exécuter des requêtes et des recherches complètes ou personnalisées dans différents formats de données, afin de relier des informations cloisonnées, disparates ou hautement distribuées pour générer des renseignements de sécurité pertinents. Quand elles ont accès à l’intégralité de leurs données, les équipes de sécurité peuvent prendre des décisions plus éclairées et basées sur les risques, qui protégeront et avantageront leur entreprise.
• Automatisation de la réponse aux incidents : dans un environnement cloud hybride, il est essentiel d’automatiser les tâches fastidieuses, reproductibles et triviales en utilisant des fonctions d’orchestration pour identifier les menaces et les anomalies. L’automatisation des tâches de routine permet également de rationaliser les processus de sécurité connus afin que les administrateurs puissent se concentrer sur les missions prioritaires telles que la recherche de menaces et les enquêtes forensiques.
• Accès à une interface unifiée : les équipes de sécurité sont souvent inondées d’outils et de technologies de sécurité, ce qui complexifie la gestion, la maintenance et la création de rapports sur les résultats de sécurité. Une approche d’analyse de la sécurité s’appuie généralement sur une interface commune qui permet aux administrateurs d’identifier facilement ce qui doit être fait, puis de passer d’une tâche à une autre. Cette interface unique accroît la vitesse et l’agilité des réponses, et libère du temps pour traiter les problèmes plus urgents.

De nombreuses entreprises multiplient rapidement les outils de sécurité dans leur environnement, souvent pour satisfaire à des réglementations de conformité de plus en plus rigoureuses, comme le Règlement général de protection des données (RGPD) de l’Union européenne, la Loi californienne sur la protection de la vie privée des consommateurs et d’autres législations du même ordre.

Mais au lieu d’aider les équipes à réaliser des analyses de sécurité, cette multiplication des solutions et des services de sécurité observée au cours des dernières années a accru la complexité de ces environnements, créant des obstacles et des angles morts, qui retardent l’identification des menaces de sécurité et leur prise en charge. En outre, avec l’explosion de solutions ponctuelles disparates et déconnectées, les responsables de la sécurité des systèmes d’information (RSSI) sont confrontés à des difficultés nouvelles quand ils doivent démontrer le retour sur investissement (ROI) de leurs acquisitions, ce qui met en péril les futurs investissements en sécurité.

Beaucoup d’entreprises choisissent donc de simplifier leurs environnements de sécurité : cette évolution rationalise les opérations, accélère l’identification des risques et la prise en charge des menaces, et augmente globalement le retour sur investissement en matière de sécurité.

De nombreuses menaces de sécurité exposent les données d’une entreprise à des risques de compromission ou d’attaque. Bien que cette liste soit loin d’être exhaustive, voici une sélection des menaces les plus importantes que peuvent rencontrer les entreprises.

• Ingénierie sociale (social engineering) : les données quittent régulièrement les entreprises quand des adversaires manipulent des employés pour les pousser à communiquer leurs identifiants de connexion, ou qu’ils installent des programmes malveillants qui enregistrent les saisies au clavier. Les attaques par hameçonnage et les escroqueries reposant sur l’ingénierie sociale ont une apparence de plus en plus authentique. Les entreprises doivent donc investir davantage dans les défenses de sécurité et la formation des employés pour éviter qu’un manque de jugement momentané ne fasse tomber un réseau.
• Menaces internes : certaines des cybermenaces les plus importantes sont le fait d’initiés qui disposent déjà d’un accès au réseau et d’une connaissance intime de la propriété intellectuelle, des modèles, des données précieuses et autres ressources de l’entreprise. Les entreprises doivent donc accorder une attention particulière à toute personne ayant accès à ses données commerciales, notamment les employés, partenaires et fournisseurs tiers, qui ont potentiellement les moyens d’utiliser un accès privilégié à mauvais escient et de perturber les opérations.
• APT et programmes malveillants avancés : les auteurs de programmes malveillants font constamment évoluer leurs techniques, qui incluent désormais de nouvelles formes de rançongiciels, de menaces persistantes avancées (APT), d’attaques de programmes malveillants sans filtre et de « stalkerware » (logiciel pisteur). Pour protéger leurs réseaux, les entreprises devront investir dans de nouveaux moyens d’anticiper de manière proactive les comportements des programmes malveillants, d’isoler les attaques et de détecter les menaces évasives qui dissimulent leur présence.
• Attaques par déni de service distribué (DDoS) : les attaques DDoS, qui bombardent l’ordinateur ou le réseau d’une victime avec un pic de trafic factice, peuvent empêcher les organisations d’accéder à leurs données, ralentir leurs réseaux ou faire tomber entièrement leurs ressources web. Pour éviter de subir des dommages importants, les entreprises doivent investir dans l’analyse avancée du trafic réseau tout en créant des stratégies pour optimiser les défenses et assurer la continuité des opérations en cas d’attaque.
• Vulnérabilités non corrigées : les programmes qui ne sont pas régulièrement mis à jour sont un terreau fertile pour les cybercriminels qui cherchent à exploiter des vulnérabilités non corrigées ou inconnues. Ces menaces comptent pourtant parmi les plus faciles à prévenir si elles sont détectées et prises en charge rapidement.
• Identifiants compromis ou faibles : l’un des principaux vecteurs d’attaque reste la compromission d’identifiants, en particulier lorsque les utilisateurs réutilisent les mêmes mots de passe pour plusieurs comptes. Des outils de défense tels que l’authentification multifacteur, les gestionnaires de mots de passe et une formation complète des utilisateurs aux bonnes pratiques de gestion de l’identité peuvent minimiser les intrusions via ce vecteur d’attaque.
• Attaques contre l’IoT : les appareils connectés de l’Internet des objets (IoT) (routeurs, webcams, équipements portables, appareils médicaux, équipements de fabrication ou automobiles) ne se contentent pas d’étendre considérablement la surface d’attaque : ils manquent souvent de mesures de sécurité adéquates, ce qui ouvre la porte à des cyberattaques destructrices. Une fois contrôlés par les pirates informatiques, les périphériques IoT peuvent faire des ravages sur les systèmes en surchargeant les réseaux ou en verrouillant une infrastructure critique. De plus en plus, les entreprises qui exploitent des technologies connectées vont devoir investir dans des outils qui supervisent les vulnérabilités de l’infrastructure qui les exposent.

Une approche proactive de la cybersécurité cherche à identifier et corriger de manière préventive les menaces et les vulnérabilités de sécurité, avant qu’une attaque ne se produise. Cette approche peut inclure des frameworks établis, tels que la Cyber Kill Chain ou MITRE ATT&CK, qui aident les professionnels de la sécurité à garder une longueur d’avance sur les menaces en anticipant leurs comportements dans une grande variété de contextes.

La Cyber Kill Chain est une série d’étapes ordonnées qui décrivent les différentes phases d’une cyberattaque de la reconnaissance à l’exfiltration des données. Elle aide ainsi les analystes et les professionnels de la sécurité à comprendre les comportements des pirates et les schémas de menace. Conçue au départ comme un mécanisme de défense militaire par le fabricant d’armes Lockheed Martin, la Cyber Kill Chain est devenue un moyen d’anticiper et d’identifier un large éventail de menaces de sécurité telles que les programmes malveillants, l’ingénierie sociale, les APT, les rançongiciels et les attaques d’initiés.

La Cyber Kill Chain comprend huit étapes fondamentales qui suivent la chronologie spécifique des activités d’une cyberattaque :

• Reconnaissance
• Intrusion
• Exploitation
• Acquisition de privilèges
• Déplacement latéral
• Dissimulation/contre-mesures
• Déni de service
• Exfiltration

Le framework MITRE ATT&CK une base de connaissances accessible à l’échelle mondiale qui offre une représentation complète des comportements d’attaque basée sur des observations réelles. Le framework MITRE ATT&CK a été créé en 2013 par la MITRE Corporation, un organisme à but non lucratif qui travaille avec des organismes gouvernementaux et des institutions industrielles et universitaires. ATT&CK, qui signifie Tactiques adverses, techniques et connaissances communes, documente les tactiques, techniques et procédures couramment employées par les cybercriminels lorsqu’ils attaquent des réseaux, mais n’indique pas de schéma d’attaque ni de mode opératoire spécifique.

• Accès initial
• Exécution
• Persistance
• Acquisition de privilèges
• Évitement des mécanismes de défense
• Accès aux identifiants
• Découverte
• Déplacement latéral
• Collecte
• Exfiltration
• Commande et contrôle

Les outils et technologies d’analyse de la sécurité peuvent accélérer la détection et la réponse en raison de leur capacité à analyser un large éventail de données provenant de nombreuses sources distribuées, ce qui permet aux entreprises de faire facilement le lien entre divers incidents de sécurité et anomalies pour reconnaître un comportement nuisible.

Une plateforme d’analyse de sécurité offre plusieurs avantages :

• Meilleure intégration des données pertinentes de sources nombreuses et plus variées
• Meilleure visibilité sur une infrastructure informatique de plus en plus complexe et un paysage de menaces en évolution rapide
• Capacités renforcées de détection et d’enquête
• Capacité renforcée à hiérarchiser et neutraliser les menaces les plus critiques
• Visibilité accrue et meilleure supervision du réseau interne
• Meilleure visibilité sur votre environnement de conformité réglementaire (HIPAA, PCI DSS, RGPD, etc.)
• Meilleur respect des règlements de conformité, des normes de l’industrie et des évolutions de politiques

L’analyse de sécurité a de nombreux usages, allant de l’amélioration de la visibilité du réseau à la supervision des employés, en passant par la détection des menaces. Voici quelques scénarios d’utilisation parmi les plus courants :

• Recherche des menaces : pour garder une longueur d’avance sur les pirates informatiques, les équipes de sécurité doivent rechercher de manière proactive les indicateurs de violation potentiels et d’autres menaces qui émergent dans l’infrastructure IT. L’analyse de sécurité peut automatiser ces efforts tout en identifiant des types spécifiques de programmes malveillants difficiles à repérer.
• Détection des menaces internes : les initiés ayant souvent accès aux données et aux systèmes sensibles, ils peuvent représenter une menace plus importante encore que les acteurs externes pour les entreprises. L’analyse de sécurité vous permet de devancer les initiés malveillants en détectant les temps de connexion inhabituels, les requêtes de base de données non autorisées, l’utilisation anormale des e-mails et d’autres comportements suspects, tout en recherchant des indicateurs de vol de données.
• Accès non autorisé aux données : tout mouvement non autorisé de données à destination ou en provenance de votre réseau peut indiquer une perte ou un vol de données. L’analyse de sécurité contribue à empêcher les données de quitter votre entreprise, une activité qui peut souvent échapper aux solutions traditionnelles de prévention des pertes de données. Elle peut même détecter les pertes de données dans des communications chiffrées.
• Supervision de la sécurité du cloud : si le cloud accélère les efforts de transformation numérique et rationalise les opérations, il crée également de nouveaux défis en matière de cybersécurité en élargissant rapidement la surface d’attaque et en laissant la place à une foule de nouvelles vulnérabilités. L’analyse de la sécurité effectue une supervision des applications cloud, recherche les menaces et protège les données stockées dans une infrastructure cloud.
• Analyse de trafic réseau : le trafic réseau est à la fois très volumineux et dynamique, et les analystes de sécurité peinent à maintenir une visibilité sur chaque communication et chaque transaction. L’analyse de la sécurité ouvre une fenêtre sur l’ensemble de votre trafic : elle vous permet ainsi d’analyser et de détecter les anomalies du réseau, tout en collaborant avec les outils de supervision de la sécurité du cloud pour détecter les menaces dans votre environnement cloud.

Avec l’élargissement des surfaces d’attaque et la complexité croissante de l’environnement de menaces, les entreprises sont inévitablement confrontées à de nouveaux obstacles dans la gestion de leurs données, permettant aux pirates et aux menaces d’infiltrer le réseau sans être détectés. L’analyse de sécurité apporte une réponse à ce problème. En agrégeant, en corrélant et en analysant l’intégralité de vos données, l’analyse de sécurité vous offre une visibilité totale sur votre environnement de menaces, pour vous permettre de voir et d’empêcher les attaques émergentes bien avant qu’elles ne compromettent vos données et nuisent à votre entreprise.