DIGITAL SOLUTIONS

Cyber-sécurité : tout ce que révèle l’activité du réseau

Opérer une analyse de l’ensemble des flux au sein d’un réseau permet de plus rapidement détecter les anomalies et de réagir sans délai en cas de cyber-attaque.

June 21, 2016

didataOpérer une analyse de l’ensemble des flux au sein d’un réseau permet de plus rapidement détecter les anomalies et de réagir sans délai en cas de cyber-attaque.

Par Sébastien Lambotte

Lors de sa deuxième table ronde sur la sécurité, Dimension Data a invité les participants à partager leurs expériences sur les moyens de réagir rapidement en cas de compromission d’un système. « Entre l’émergence de nouvelles menaces et l’augmentation des vulnérabilités, due à la multiplicité des systèmes et des moyens de communication en présence, il faut appréhender la sécurité de diverses manières, a introduit Frédéric Lavend’Homme, IT Security Business Unit manager chez Dimension Data. Les cybercriminels orchestrent leurs attaques en utilisant de multiples vecteurs, afin de contourner les systèmes de protection mis en place. Il faut donc multiplier les approches afin de contrer leurs plans. »

Assurer la sécurité : une obligation légale

« Dans la plupart des cas de compromission, 60% des données ont été extraites en moins d’une heure. D’autre part, la plupart des compromissions ne sont pas décelées, et ce pendant plusieurs mois, précise Frédéric Lavend’Homme. Au-delà de la prévention des attaques et des outils de protection des systèmes, il y a lieu de pouvoir détecter des attaques ou des opérations suspectes le plus rapidement possible, afin de réagir sans délai. »

Les entreprises n’ont pas d’autre choix que de se protéger. A défaut de le faire de leur plein gré, tout prochainement, c’est la loi qui les contraindra à le faire.

« De nouvelles réglementations, que ce soit la directive sur la sécurité des réseaux ou le nouveau règlement relatif à la protection des données personnelles, obligeront les acteurs à communiquer sur les violations de leurs systèmes d’information ou encore de documenter chacune des attaques dont ils sont victimes », commentait Gérard Lommel, Commissaire du gouvernement à la protection des banques de données étatiques, invité de cette table ronde.

Les entreprises doivent donc se préparer pour répondre à ces enjeux réglementaires. Mais, au-delà des risques légaux, c’est de pertes financières et réputationnelles qu’elles doivent se prémunir. « Il y a lieu de mettre en place des programmes cohérents pour faire face à la menace, partage Michael Frippiat, CISO chez ‎Axa Luxembourg. Cela passe par une prise de conscience de l’existence de la menace qui ne doit pas laisser place à la panique. Il faut ensuite envisager les réponses à apporter au niveau technique et des processus internes. Il est nécessaire aussi de s’appuyer sur des partenaires de confiance, des acteurs qui dédient des ressources à la sécurité. En interne, il faut que les équipes aient la possibilité de monter en compétences dans ce domaine. Le must est de pouvoir s’appuyer sur une équipe dédiée à la sécurité. Ce qui, pour des petites sociétés, n’a rien d’évident. »

Aujourd’hui, trop souvent, la sécurité informatique est assurée par les équipes chargées de veiller au maintien des opérations et à la mise en place des solutions. « Dans de nombreux cas malheureusement, les personnes chargées de définir les règles sont aussi celles qui doivent les appliquer et assurer le contrôle. Il serait préférable de distinguer les fonctions, de séparer les rôles », commente Jürgen Blum, Security Officer chez J. Safra Sarasin.

Réagir vite

Au-delà de l’importance de disposer d’une juste ségrégation des rôles, il est essentiel de mettre en œuvre un plan d’actions, qui permet de prévenir toute compromission, mais aussi de réagir rapidement à toute attaque. « Il est essentiel de pouvoir identifier le plus rapidement possible qu’une machine a été compromise. Plus on réduit le temps de détection, mieux on peut réagir et éviter de s’exposer à des pertes importantes », commente Thibault Mean, Systems Engineer Sales chez Cisco. Pour des menaces connues, il est indispensable de se protéger en mettant en place des solutions classiques de type WAF ou IPS. Il est cependant plus compliqué de se préparer à contrer des menaces qui ne sont pas encore connues. Des solutions existent. De nouveaux outils, servant de nouvelles approches, peuvent être mis en place. Selon CISCO et Dimension Data, il existe différentes approches permettant de lutter contre des menaces nouvelles ou avancées.

Les deux acteurs en ont listé cinq :

– Network Traffic Analysis

– Network Forensics

– Payload Analysis

– Behavior Analysis

– Endpoint forensics

Analyser le réseau pour révéler les anomalies

« En mettant en œuvre deux de ces cinq approches, on accède déjà à un niveau de sécurisation élevé de ses systèmes », assure Frédéric Lavend’Homme. Les acteurs auront rapidement compris qu’une bonne analyse de l’activité sur le réseau est déterminante pour la détection rapide des attaques. « Il est en effet important de disposer d’une bonne visibilité sur ce qui transite par le réseau, confirme Thibault Mean. Se contenter de surveiller l’activité aux points d’entrée, c’est passer à côté de 80% de ce qui se passe sur le réseau. » CISCO préconise donc aux acteurs chargés d’assurer la sécurité de leurs systèmes de faire remonter des infos sur les flux d’information qui animent le réseau, afin de pouvoir les analyser. « La plupart des acteurs disposent déjà de super-plateformes qu’ils n’exploitent pas dans leur totalité, assure le responsable de CISCO. Aujourd’hui, les outils en place offrent la possibilité de faire remonter de l’information utile, qui doit permettre ces analyses. » Sur un réseau CISCO, cela implique simplement d’activer la fonction NetFlow, déjà intégrée. C’est elle qui permet de disposer de l’information.

« Ces données révèlent l’activité du réseau. En étant comparée à une utilisation normale du réseau, à des comportements d’utilisateurs ou de groupes d’utilisateurs considérés comme normaux, il est possible de détecter les anomalies. » L’analyse des données et la détection des anomalies en temps réel permettent de faire remonter des alertes ou d’activer des procédures automatisées de mise en quarantaine d’un élément infecté du système. « L’analyse en temps réel, combinée avec une politique de contrôle d’accès coordonnée au niveau d’une plateforme ISE, par exemple, permet de cette manière de sécuriser plus facilement le système d’information et d’éviter toute propagation de la menace », assure Thibault Mean.

[toggle title=”Tout savoir sur les autres tables rondes”]

[/toggle]

Watch video

In the same category