Des outils qui conviennent à la tâche Des outils qui conviennent à la tâche Des outils qui conviennent à la tâche

Depuis des années, les sociétés surveillent leur propre environnement numérique et gèrent leur propre détection et analyse des alertes, activités et incidents informatiques. Toutefois, à mesure que les cyberattaques se peaufinent et que les systèmes se complexifient, les organisations doivent se demander si elles sont vraiment à la hauteur de cette tâche.

Les défis d'une prévention et d'une intervention optimales sont complexes. Vous pouvez prendre tous les bogues et les notifications de détection et d'intervention au réseau (NDR) et aux points terminaux (EDR), puis essayer de les relier à des indicateurs de compromission pour déchiffrer les signes d'une infiltration criminelle. Vous pouvez aussi assembler des outils pour surveiller à la fois les réseaux et les points terminaux. Mais pouvez-vous vraiment vous assurer d'être à la fois à jour et d'utiliser toutes les connaissances disponibles?

Je travaille aux côtés d'Amir Roknifard, architecte de solutions de cybersécurité chez KPMG. Selon lui, « ce dont les organisations ont besoin, c'est d'un service géré de détection et d'intervention (MDR), qui vous permet d'engager non seulement des experts qui ont accès à l'information mondiale, mais aussi une ressource capable de transformer ces connaissances en outils de détection ».

Je suis tout à fait d'accord avec mon collègue.

Quel type de détection faut-il privilégier, celle au réseau ou celle aux points terminaux?
Comme son nom l'indique, la détection aux points terminaux (EDR) met l'accent sur les appareils ou le matériel qui font office de points terminaux (comme les serveurs, les ordinateurs portables et les postes de travail), ou tout type d'appareil mobile ou de tablette. Mais voilà : les cyberattaques ne ciblent pas toujours les points terminaux. Parfois, les attaques visent les données qui flottent sur le réseau. C'est pour cela que les équipes doivent déployer un système de détection au réseau (NDR), qui surveille le trafic continu et les comportements suspects dans un environnement numérique.

Amir l'explique ainsi : « On utilise les solutions NDR et EDR à des fins de prévention, de détection et d'intervention. Elles assurent toutes deux une forme de sécurité, mais à des points différents. » Les deux tentent donc d'empêcher les mouvements latéraux dans l'environnement de la victime. Ainsi, en les combinant, l'organisation se protège des deux façons.

Une approche proactive de la détection et de l'analyse
La plupart des sociétés ouvertes comptent sur des fournisseurs privés pour assurer leur sécurité et pourraient ne pas allouer un budget adéquat à la cybersécurité. Lorsqu'on songe à investir dans les outils de détection et d'analyse, il est important que les équipes de direction tiennent compte du coût potentiel d'une attaque. Compte tenu des milliards de dollars de rançons potentielles en jeu, sans parler des données précieuses des clients, il me semble que d'assurer soi-même sa cybersécurité soit, pour le moins, peu judicieux.

Trop souvent, les organisations ressentent l'effet d'une attaque avant de prendre conscience de la gravité de la situation. En général, les victimes d'une attaque en cours prennent plus de sept mois (en anglais) avant de se rendre compte de la brèche et de tenter de contenir toute fuite de données. Le Canada est une cible de choix pour les attaquants, car trois éléments les y attirent : l'argent, le vandalisme et la politique – et nos secteurs d'extraction des ressources naturelles en particulier présentent ces trois éléments.

C'est là la différence entre les organisations réactives et proactives. Les organisations qui subissent une attaque cherchent des réponses aux questions suivantes :

• La sécurité de combien d'appareils est compromise?
• Quelles sont les données qui fuient?
• À quelle vitesse pouvons-nous arrêter la fuite?

Les organisations proactives, quant à elles, se demandent plutôt comment savoir quand leurs données ne sont plus protégées et dans quelles mesures elles ne le sont plus.

Le service géré de détection et d'intervention est le plan d'action le plus astucieux à adopter, car en rassemblant l'information provenant de systèmes disparates, ce service facilite des interventions rapides, efficaces et fermes. Pour ce faire, il est essentiel de savoir différencier une attaque de ce qui ne l'est pas.

Même avec les meilleurs outils et talents, il peut être quasi impossible de savoir ce qu'il se passe dans un environnement. La « visibilité totale » n'existe pas. Sous toutes les interfaces, au niveau de la mémoire des appareils, des acteurs hostiles peuvent s'infiltrer. Même si l'on procède à une analyse rétrospective, il n'est pas toujours possible de déterminer exactement ce qu'il s'est passé, puisque les attaques deviennent de plus en plus sophistiquées.

Toutefois, avec un service géré de détection et d'intervention, il peut être plus facile de reconnaître les tendances au fil du temps et les liens entre l'activité suspecte signalée et d'autres activités.

Évaluer ses options
La meilleure stratégie de défense consiste à reconnaître que les cybercriminels en savent déjà plus que ce que vous croyez. Retenir les services gérés de détection et d'intervention d'un fournisseur de renom offre un soutien considérable. En outre, si ce fournisseur est aussi votre prestataire de services d'intervention en cas d'incident, il y a le potentiel d'une forte synergie qui aidera à mieux contenir et résoudre les brèches.

Je mettrais toutefois en garde contre l'erreur de penser que les bons outils feront tout le travail pour vous, car ceux-ci ne sont pas assez intelligents pour comprendre et évaluer toutes les données. Après tout, un outil est aussi bon que son utilisateur, sans plus. Les enquêtes automatisées nécessitent encore que les humains interprètent l'information et prennent des décisions à des moments importants. Et puis, il faut encore construire, gérer, former, tester et mettre à jour. La plupart des solutions technologiques ne couvrent pas tout : il se peut qu'elles ne prennent en charge que certains systèmes d'exploitation, alors que d'autres pourraient couvrir des aspects différents, avec certains chevauchements.

Donc, à moins d'avoir quelques milliards de dollars à perdre, et d'être prêt à voir votre réputation professionnelle partir en fumée avec votre argent, mieux vaut prévenir que guérir.