Utiliser les renseignements sur les cybermenaces et la télémétrie pour détecter les attaques potentielles avant même qu’elles n’atteignent leurs cibles. C’est la nouvelle stratégie de défense que les entreprises envisagent face à l’augmentation exponentielle de la cybercriminalité. Une attaque par ransomware, par exemple, ne se produit pas rapidement : les pirates ont besoin de temps pour pénétrer dans le réseau de l’entreprise, trouver les bases de données et vérifier celles qui contiennent des informations précieuses : ce n’est qu’après ces étapes qu’ils peuvent tenter d’exfiltrer les données et éventuellement distribuer le ransomware au sein du réseau.
Voici donc quelques conseils de Cisco Talos – la plus grande organisation privée de renseignement au monde dédiée à la cybersécurité – pour mettre en place une stratégie de défense active : non seulement pour prévenir une attaque, mais aussi pour intervenir en profitant du temps qu’il faut aux pirates pour mener à bien une attaque.
S’entraîner
Effectuer régulièrement des exercices de « chasse » aux cybermenaces augmente les chances de détection. Ainsi, il sera possible de savoir où se trouvent les points faibles du réseau, d’avoir plus de visibilité sur ce qui se passe et de découvrir des données potentiellement stratégiques qui ne sont pas suffisamment protégées. Il n’y a pas de formule magique, mais la répétition périodique de ces processus permet d’améliorer l’environnement informatique et d’accroître la sensibilisation.
Surveillance des requêtes DNS
La surveillance des requêtes DNS (Domain Name System) fournit une vision claire de ce qui se passe dans le réseau. L’analyse des enregistrements DNS et l’identification des systèmes qui ont résolu des domaines constituent un bon point de départ. En outre, l’analyse des domaines malveillants connus doit également être effectuée, de manière à fournir une visibilité sur l’efficacité de la cyberdéfense. Enfin, si une compromission a eu lieu, les journaux peuvent constituer une bonne source d’informations sur les actions des cybercriminels et l’étendue de leurs activités malveillantes sur le réseau.
Créer des alertes de haute priorité
La définition d’alertes de haute priorité aidera les professionnels de la sécurité à se concentrer sur les événements critiques. Ce type d’alerte sert à signaler rapidement un comportement anormal, comme une tentative d’établir une connexion non autorisée au réseau, ou un changement non autorisé des privilèges ou du mot de passe d’un compte administratif. Il est également conseillé de mettre en place des alertes de sécurité sur tous les systèmes critiques de l’entreprise afin de détecter les activités malveillantes à un stade précoce.
Analyser les causes d’une attaque
La question la plus importante à laquelle il faut tenter de répondre est la suivante : qu’est-ce qui a mal fonctionné dans notre système de défense ?
Un dispositif de cybersécurité doit permettre de réaliser une analyse de la cause d’une attaque afin de déterminer les failles de notre système et de fournir des informations précieuses pour améliorer les défenses de l’entreprise.
Améliorer la visibilité
Avoir une bonne visibilité sur ce qui se passe dans l’environnement informatique est la première étape pour contrer une cybermenace et découvrir les faiblesses du réseau. Cependant, les entreprises n’ont souvent pas les moyens de mettre en place un système de détection complet sur l’ensemble de l’environnement informatique. Cela ne signifie pas pour autant qu’aucune vérification ne doit être effectuée. Les fichiers journaux, par exemple, peuvent être extrêmement utiles pendant la phase de récupération d’une compromission pour savoir quand et comment une attaque a eu lieu.
Utiliser des comptes à plusieurs niveaux
Il est conseillé de mettre en place des comptes d’administration qui ne sont utilisés que sur des systèmes spécifiques, et non pour accéder à toutes les applications de l’entreprise, surtout s’il s’agit de comptes à privilèges élevés. Ces types de comptes peuvent avoir les mêmes privilèges, mais ils doivent être divisés en fonction de leurs fonctions : cela permettra de mettre en place des alertes à haute priorité qui se déclenchent lorsqu’un comportement anormal est détecté.
