SCC : Comment identifier les failles de sécurité ?

Comment les entreprises réagissent-elles face aux nombreux incidents. Face à la complexité du SI et à la transformation vers la digitalisation, vers la mobilité, vers le Cloud, certains RSSI verraient leur maîtrise diminuer. Eclairage avec Charles Gengembre, Responsable BU Sécurité et Réseaux chez SCC.

Respect des principes de base, garantie des normes, structuration, indicateurs de mesure de performances et de sécurité, sponsor pour les bonnes pratiques en interne, attaques médiatisées, les RSSI sont sous les feux de la rampe. Entre les DSI et les métiers qui veulent aller très vite et attaquer un marché toujours en mutation où la concurrence est féroce, comment imposer leurs décisions ?

Une nouvelle méthodologie d’attaque

Depuis maintenant plus de trois ans, « nous avons vu un réel changement dans la méthodologie d’attaque des entreprises » souligne d’emblée Charles Gengembre. D’un malware ou code malveillant diffusé à une partie du monde pour attaquer plusieurs organisations, soit une attaque de masse, on passe aujourd’hui à des attaques beaucoup plus ciblées, « avant une souche de malware touchait des millions de postes, maintenant un malware touche entre trois et dix postes ». Les hackers font en sorte que le malware, une fois détecté, mute pour passer au travers des systèmes de protection.

Aujourd’hui, on note une évolution de la dangerosité du code malveillant et de la complexité de bloquer ces menaces inconnues. Le marché devient mature, les menaces sont même pré-ciblées dans le but d’espionner certains clients. Envoi de malwares sur plusieurs boîtes aux lettres, ou clé USB pluggée lors d’une maintenance pour déposer un code dormant récupérant des informations pertinentes, avec l’objectif d’une menace plus sophistiquée, les initiatives sont évidemment multiples. « La difficulté pour les RSSI est bien d’aller chercher ces signaux faibles indétectables par les solutions actuelles, ces petits push réguliers permettent aux hackers de se consolider une cartographie du SI et de trouver des vecteurs d’infection ».

(((IMG8123)))

Repenser le design des architectures sécurité

Il y a urgence pour les entreprises de revoir tout le design de leurs architectures. Les nombreuses briques de sécurité traditionnelle (firewall, antispam, proxy) ne discutent pas entre elles. « Souvent après une attaque, face à l’inconnu et dans l’incompréhension, une cellule de crise se met en place, les cabinets font du forensic, ils recherchent des éléments factuels sur les menaces subies et sur les informations sorties » commente Charles Gengembre.

Après cette Task Force, la priorité devient donc le design et tout le process d’Incident Response pour être au plus réactif. Fini l’empilement des couches, une solution pour la mobilité, une solution collaborative, les entreprises doivent rationaliser les équipements, les éditeurs et augmenter la visibilité. « Il faut donc prendre une solution de bout en bout, dédiée à la fois messagerie, poste de travail, serveur, potentiellement du firewall et avoir derrière, un tableau de bord unique de pilotage » conseille Charles Gengembre.

Passer du préventif à la détection

S’il faut établir quelques recommandations, faire des audits indépendants réguliers, mettre en place des contrôles de vulnérabilité et de remédiation, et passer du mode préventif au mode détection sont les étapes à suivre. En effet, les commodités (antimalware, firewall, antispam..) bloquent 95% des menaces mais les solutions de détection de menaces inconnues deviennent essentielles pour aller chercher les signaux faibles, les comportements anormaux, les 5 % restants, et commencent à émerger « pour analyser dans une boîte noire le code malveillant ».