EBRC, s’appuyant sur la technologie et l’expertise mondialement reconnue de Guidance Software, présente un nouveau service dans le domaine de la cybersécurité et plus précisément de la DFIR (Digital Forensic Incident Response). Avec les solutions de la suite EnCase®, les entreprises se donnent les moyens de détecter toute attaque en temps réel pour y répondre avec une réactivité et une pertinence accrues. Elles disposent d’une visibilité vérifiée au plus profond de tous les systèmes d’exploitation de leurs endpoints (ring 0) ainsi que de leur environnement bureautique et de production. Elles acquièrent de réelles capacités d’investigation à valeur probatoire pour mieux faire valoir leurs droits. – Par Sébastien Lambotte

 

Personne n’est à l’abri d’une attaque cybercriminelle, qu’il s’agisse d’une intrusion dormante, d’une fuite, d’une compromission, d’une falsification ou d’une destruction de données… La menace et le mode opératoire évoluent sans cesse et sont de plus en plus difficiles à appréhender. Dans un environnement de plus en plus réglementé, contrôlé et judiciarisé, les acteurs doivent se donner les moyens de faire valoir leurs droits et de justifier leur bonne foi par la mise en œuvre de mesures pertinentes face à l’inévitable. « Les entreprises doivent répondre à un nombre croissant d’exigences, pour se protéger, mais aussi pour comprendre les origines d’une brèche suite à une attaque et être à même d’imputer – ou non – les responsabilités légales à partir d’éléments digitaux probatoires vérifiés, qualifiant un acte délictuel ou un simple accident» explique Fortunato Guarino, Solution Consultant EMEA, Cybercrime & Data Protection Advisor, au sein de Guidance Software. Afin de soutenir les organisations face à de nouveaux risques, internes ou externes, nous mettons à leur service notre expertise acquise dans le domaine de l’investigation et de la collecte d’éléments avec valeur légale. »

 

Un outil intégré au SOC d’EBRC

Guidance Software accompagne depuis 20 ans les forces de l’ordre et les autorités administratives indépendantes à pouvoir judiciaire à travers le monde dans la lutte contre les crimes et délits perpétrés par l’informatique. L’entreprise a développé et a su faire évoluer au monde de l’entreprise des solutions d’investigation répondant aux attaques perpétrées par les criminels qui mettent à mal la cybersécurité la plus évoluée des entreprises.

EnCase Investigator® et EnCase Endpoint Security® sont deux de ces outils, basés sur la même technologie. « Il s’agit d’un agent, d’1 Mo seulement, installé en ring 0 au cœur même du système d’exploitation. Il permet de s’assurer de la préservation d’un état en tant que preuve numérique, précise Fortunato Guarino. Il est capable, à la suite de l’identification d’une fuite ou d’un indice de compromission (IoC), de retracer les variations de l’état du système compromis, aussi bien au niveau des écritures disques qu’en usage de la mémoire vive. On peut dès lors reconstituer la manière exacte dont a opéré un virus, depuis combien de temps et comment l’attaque a été orchestrée. Les éléments recueillis par EnCase® garantissent 100% de fiabilité et ont valeur de preuve devant les cours et tribunaux. »

En juillet, EBRC présentait EnCase® aux professionnels de la cybersécurité de la Place. La solution est désormais proposée par l’acteur luxembourgeois, spécialiste de la gestion et de la sécurité de la donnée sensible avec ses activités de conseil et son Security Operations Centre (SOC), pour garantir la meilleure des protections à l’ensemble de ses clients.

 

Visibilité accrue

Installée au cœur du système, en ring 0 avant les drivers (ring 1 & 2) et les applications (ring 3), la solution développée par Guidance Software observe, identifie et relève toute variation à tous les niveaux du système. Elle est ainsi capable de récupérer des informations stockées dans les stacks non alloués d’un disque, de reconstruire un fichier détruit à partir des fichiers bribes encore disponibles, mais aussi de recouvrir les e-mails, le trafic web, le contenu visualisé à partir de modules d’anonymisation de navigateur sur TOR, jusqu’aux processus opérationnels. « Quand beaucoup de solutions de cybersécurité opèrent essentiellement en surface, se fiant à l’état visible remonté par un système, notre solution EDR (Endpoint Detection & Response) fonctionne depuis le noyau et qualifie la véracité de l’information utilisée, remontée et relayée par un système d’alerte aussi bon et pertinent soit-il, mais abusé par l’attaquant qui l’aura préalablement identifié pour mieux l’abuser. Elle permet d’opérer une surveillance d’ensemble à la recherche et à la découverte de la vérité,  héritage de notre ADN judiciaire, poursuit Fortunato Guarino. EnCase® permet une détection plus rapide de la menace, connue ou non, externe ou interne, pour une réponse juste, proportionnée et sans délais. »

Pour toute déviance constatée, des procédures automatisées peuvent être mises en place, pour réduire les risques de propagation de la menace, d’exfiltration, de modification ou de suppression volontaire des données. Dès qu’une anomalie est détectée, les connexions peuvent par exemple être automatiquement coupées, les processus en mémoire killés, les registres mémoire purgés, tout en préservant les éléments pathogènes en quarantaine dans un container sécurisé sur l’endpoint ou sur un legal hold tiers dédié pour le traitement judicaire et/ou au niveau des cyberassurances. Une alerte peut être lancée, une confirmation ou une requalification d’une alerte provenant d’un SIEM validée instantanément au niveau endpoint grâce à nos connecteurs développés pour Splunk, LogRythm, QRadar, ArcSight, FireEye, Palo Alto, BlueCoat, Sourcefire, ThreatQuotient… EnCase® supporte désormais certains OS en temps réel et vise ainsi de porter sa capacité réactive d’analyse sur les systèmes SCADA et ICS, vecteurs d’infection. Par ailleurs, Guidance Software réfléchit déjà au futur du forensique sur les IoT.

 

Permettre à l’entreprise de se protéger

Surtout, EnCase® permet de mieux répondre aux exigences réglementaires (GDPR : cartographie des données personnelles disponibles sur le SI, réponse sous 72h en cas de brèche…) mais aussi de plus facilement régler des litiges en entreprise. ” En se dotant d’une réelle capacité d’investigation, l’entreprise peut mieux se protéger face aux risques, tant matériels que réglementaires. En remontant l’état de la donnée suite à une attaque, elle peut mieux expliquer le mode opératoire d’une attaque, justifier le respect des règles de conformité, justifier d’un préjudice face à un assureur ou bien encore devant une cour de justice. L’entreprise , en pouvant collecter les éléments probants, se donne aussi la capacité de constituer une plainte à l’égard d’un cybercriminel extérieur ou bien encore d’un employé indélicat qui aurait décidé d’exfiltrer des données protégées ou qui exercerait des activités déviantes sur le Darknet, par exemple.”  Mieux, la recherche et la découverte de la vérité permet de passer d’une approche classique du risque cyber par la présomption de culpabilité à une approche par la présomption d’innocence grâce à la levée de doute, renforçant la quiétude d’exécution des tâches des équipes opérationnelles, de la sécurité et, par extension, de l’ensemble des salariés.

 

Face au succès de la matinale de juillet, EBRC et Guidance Software proposent de nouvelles sessions d’études de cas concrets et de démonstrations sont en cours d’organisation.

Suivez le lien pour vous inscrire !