Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : investiguer en amont contre les menaces furtives

Publi-Rédactionnel Selon Cisco, il est nécessaire d’adopter une attitude de défense proactive pour se protéger des cyber-attaques qui passeraient sous les radars.  
Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : investiguer en amont contre les menaces furtives
Cybersécurité : investiguer en amont contre les menaces furtives

Les systèmes de sécurité ripostent aux attaques qui ont déclenché des alertes. Mais quid de celles qui n’ont pas été détectées ? Afin de découvrir les menaces « persistantes » qui restent dans les systèmes et se déclenchent furtivement, il est dans l’intérêt des entreprises de mettre en place des cellules d’investigation qui agiront de manière proactive.

 

Si le but est bien de déjouer les malveillances avant qu’il ne soit trop tard, une enquête n’a pas forcément besoin de dénicher des hackers pour prouver son utilité. À minima, elle permettra de faire la lumière sur les failles qui fragilisaient jusque-là l’informatique.

 

 

Cinq clés essentielles à une bonne investigation

 

Selon Cisco, cinq clés conditionnent une bonne investigation. La première est de dire aux équipes en charge de l’enquête pourquoi on la mène. Il s’agit en l’occurrence de réunir suffisamment de preuves de l’existence de menaces pour, au pire, simplement aiguiser les compétences et, au mieux, communiquer aux autorités suffisamment d’éléments pour qu’elles interviennent contre d’éventuels hackers avec des moyens légaux.

 

Il ne faut en effet pas perdre de vue que les grands groupes sont susceptibles d’être la cible de cyber-malfaiteurs très organisés, avec des velléités de guerre économique. L’erreur serait de contre-attaquer soi-même, par exemple en cherchant à pirater les pirates : paradoxalement, cette action serait pénalement répréhensible. 

 

Les deuxième et troisième clés sont les types indices et l’endroit où les chercher. La Pyramide de la douleur, une représentation imaginée par le chercheur en sécurité David Bianco, dresse une liste de six étapes sur la base d’indicateurs de menaces. Ils rangés des plus faciles – de simples signatures d’outils malveillants dans les fichiers - aux plus difficiles à trouver – les TTP, ou enchainements d’actions que mène généralement un hacker.

 

Reste que pour dénicher ces indices, l’équipe devra avoir les droits informatiques pour consulter les journaux de systèmes informatiques susceptibles d’être attaqués. Surtout, il faudra que l’équipe informatique ait songé à activer ces journaux, ce qui n’est pas nécessairement le cas car ils peuvent induire une surcharge de calculs dans leurs ordinateurs.

 

 

Être malin pour poser les pièges qui sonneront les bonnes alertes

 

La quatrième clé consiste à choisir des enquêteurs suffisamment créatifs pour élaborer des théories selon les premiers indices trouvés. Ce sont typiquement des personnes qui se tiennent au courant des derniers bulletins de sécurité dans le but de faire des croisements, ou dont l’esprit sera alerté par une activité anodine mais inhabituelle à un horaire donné.

 

La dernière est de planifier une enquête, avec ses étapes successives. Mieux vaut commencer de manière arbitraire dans le seul but de produire à une date donnée un nouveau guide des bonnes pratiques de sécurité, sur la base des failles découvertes, qu’attendre d’avoir été victime d’une attaque. Un tel guide est le meilleur moyen pour déployer des pièges qui sonneront de manière plus efficace des alarmes lors de la prochaine attaque.

 

Contenu proposé par CISCO

 

 
media