Cisco : « avant, pendant et après l’attaque »

Les entreprises ont saisi l’opportunité d’utiliser la transformation numérique comme levier de croissance et l’actualité s’emparant régulièrement des dernières grosses attaques qui touchent tous les secteurs, la protection informatique est, dès lors, une priorité pour les entreprises de toutes tailles. Alors que le marché des cyberattaques est estimé au total entre 450 et 1000 milliards de dollars, les entreprises cherchent à protéger la ressource la plus précieuse : les données.

Pour Christophe Jolly, il y a trois phases à prendre en compte dans sa stratégie sécuritaire pour contrer une attaque « avant, pendant et après ». L’ « avant » consiste à prendre connaissance de l’ensemble de son périmètre, « on ne protège que ce que l’on connait », de le protéger avec des solutions de sécurité basiques et avancées mais aussi avec des audits réguliers pour faire ressortir les vulnérabilités et ainsi réduire le périmètre. Le « pendant », c’est le fait de mettre des outils de détection pour pouvoir rapidement arrêter l’hémorragie.

L’ « après », c’est la phase de réaction où les équipes IT doivent reconstruire et consolider le périmètre, vérifier que tout est bien en ordre et surtout qu’aucune menace n’est encore présente. Pour se faire, il insiste sur la nécessité d’enregistrer tout ce qui se passe dans le système afin de pouvoir après coup, observer les irrégularités et surtout comprendre comment le hacker s’est introduit.

Connaître l’ennemi

Ivan Berlinson explique qu’« en trois ans, 750 millions d’individus ont eu leurs données personnelles volées ». Avec un passif de 20 ans dans la sécurité informatique, il connaît bien l’évolution des méthodes et types d’attaques. Pour lui, « le malware est l’arme ultime pour compromettre, il est de plus en plus perfectionné, efface ses traces, se rend indétectable… ». De plus, la cible, depuis plusieurs années, change, il est « plus facile de sélectionner un utilisateur plutôt qu’un système ou un serveur qui aura fait l’objet d’une protection appuyée ».

Pour bien comprendre ces attaques, saisir qui se cache derrière les quelques lignes de code qui composent l’attaque est indispensable. Les hackers, leurs moyens et leurs méthodes ont bien changé. Sur plusieurs mois, ils vont chercher et agréger un maximum d’informations sur leur cible avec toujours comme objectif premier, d’exfiltrer des données et ce, sans se faire détecter pour pouvoir valoriser ces données. « Toutes les informations relatives à l’entreprise vont être un atout, l’OS, MAJ sur les apps, la hiérarchie, les employés, les partenaires… » développe Ivan Berlinson.

Il est bon de préciser que certains de ces sombres informaticiens sont payés quelques millions pour parvenir à leurs fins et n’auront aucun scrupule à acheter du matériel pour y trouver les plus petites faiblesses… DNS Hijacking, Sandbox Evasion, Encodage ou encore polymorphing sont autant d’armes que les hackers utilisent pour « créer leur légende » et personnaliser leurs modus operandi.

Une fois cette préparation terminée, l’attaque est lancée. Pendant cette dernière, le hacker n’est pas vraiment actif mais, il va chercher à maintenir opérationnels ses agissements en sous-marin et à propager au maximum son attaque.

Nouveaux produits

Comme l’explique Ivan Berlinson : « Même si 99% des menaces sont détectées, il ne suffit que d’1 % pour que le système soit compromis. Il faut accepter que quoique l’on fasse, on puisse être compromis ». C’est dans cette optique que Cisco propose tout un choix de produits pour parer aux mieux les attaques dans leurs différentes phases « après, avant et pendant ».

Trois nouvelles technologies particulièrement mises en lumière s’appuyant sur d’autres déjà disponibles dans la gamme de solutions de sécurité de Cisco. Ainsi, les entreprises vont pouvoir bénéficier d’AnyConnect (basé sur Advanced Malware Protection for Endpoints) pour leur permettre de déployer et d’élargir leur protection aux postes reliés par VPN afinqu’ils soient protégés de manière continu et rétrospective contre les malwares avancés. Les services FirePOWER sont intégrés aux routeurs Cisco pour délivrer l’IPS de dernière génération et AMP aux sites reliés au réseau de l’entreprise. Pour finir, Cisco lance une plateforme de sécurité multi-services nommée Cisco Firepower 9300 Integrated Security Platform à l’intention des opérateurs pour qu’ils puissent adapter leur protection en fonction des flux de données.