La détection des cybermenaces : outils et réglementation

Les cyberattaques se multiplient et pr&eacute;sentent un risque majeur pour toutes les organisations. Le contexte technologique est propice aux attaquants, qui disposent d&rsquo;un vaste arsenal d&rsquo;outils ind&eacute;tectables par les solutions classiques. Les m&eacute;thodes d&rsquo;attaques utilis&eacute;es &eacute;voluent sans cesse en s&rsquo;adaptant de mani&egrave;re sophistiqu&eacute;e. Les outils de d&eacute;fense d&eacute;ploy&eacute;s aujourd&rsquo;hui &ndash; firewall , proxy et sonde IPS [1] &ndash; peuvent &ecirc;tre contourn&eacute;s. Les sandbox [2] , pr&eacute;sent&eacute;es un temps comme infaillibles, ont vite &eacute;t&eacute; tromp&eacute;es par les techniques d&rsquo;&eacute;vasion et ne r&eacute;pondent plus aux contraintes de performance. Dans ce contexte, une nouvelle approche de la d&eacute;tection est devenue indispensable. Comme dans de nombreux secteurs, il existe tout un &eacute;cosyst&egrave;me d&rsquo;outils ayant pour objectif d'am&eacute;liorer la cybers&eacute;curit&eacute;. La tendance est aujourd&rsquo;hui &agrave; l&rsquo;interop&eacute;rabilit&eacute; de ces logiciels et solutions, afin d'accro&icirc;tre leur efficacit&eacute; et faire gagner du temps aux &eacute;quipes en charge de la s&eacute;curit&eacute; au sein des entreprises et organisations. Il convient de dresser un &eacute;tat des lieux des outils et de la r&eacute;glementation en mati&egrave;re de d&eacute;tection des cybermenaces. &Eacute;cosyst&egrave;me des outils de la cybers&eacute;curit&eacute; et interop&eacute;rabilit&eacute; Les sondes de d&eacute;tection : la d&eacute;tection des signaux faibles sur les r&eacute;seaux Les sondes de d&eacute;tection classiques, bas&eacute;es sur l&rsquo;analyse de trafic et la comparaison avec des signatures d&rsquo;attaques connues, sont peu efficaces lorsqu&rsquo;il s&rsquo;agit de d&eacute;tecter des menaces subtiles (APT [3] ) ou inconnues (0 days [4] ). Pour pallier ce probl&egrave;me, les sondes nouvelle g&eacute;n&eacute;ration int&egrave;grent des capacit&eacute;s de machine learning dans leur arsenal de d&eacute;tection. On distingue deux types d&rsquo;usage du machine learning : d'une part, l&rsquo;utilisation de ces algorithmes en mode supervis&eacute;, c&rsquo;est-&agrave;-dire avec un mod&egrave;le de normalit&eacute;. Une fois la sonde d&eacute;ploy&eacute;e, l&rsquo;ajustement des seuils de d&eacute;tection au contexte client est lui aussi bas&eacute; sur des algorithmes de machine learning . Ce mode de fonctionnement permet un d&eacute;ploiement rapide et une meilleure capacit&eacute; &agrave; d&eacute;tecter les attaques caract&eacute;ris&eacute;es pr&eacute;c&eacute;demment. En contrepartie, la d&eacute;tection des attaques non couvertes par le machine learning ou compl&egrave;tement inconnues reste difficile ; d'autre part, &agrave; l&rsquo;oppos&eacute; de cette approche, on retrouve l&rsquo;apprentissage non supervis&eacute; pour d&eacute;tecter les attaques. Pour cela, lors du d&eacute;ploiement, les sondes sont positionn&eacute;es sur le r&eacute;seau pour observer le trafic et apprendre elles-m&ecirc;mes &agrave; reconna&icirc;tre le trafic l&eacute;gitime. Une fois la phase d&rsquo;apprentissage termin&eacute;e, les sondes sont capables de d&eacute;tecter des anomalies, et donc de lever des alertes en cas de comportement suspect. Cette approche permet de d&eacute;tecter des attaques inconnues, mais n&eacute;cessite g&eacute;n&eacute;ralement une phase d&rsquo;apprentissage plus longue pour &ecirc;tre efficace et atteindre un taux de fausses alertes acceptable. Dans les deux cas, les &laquo; sondes machine learning &raquo; permettent de compl&eacute;ter l&rsquo;arsenal des Security Operations Centers (SOC), les centres de supervision de la s&eacute;curit&eacute; informatique. Ces derniers sont aujourd&rsquo;hui majoritairement destin&eacute;s &agrave; d&eacute;tecter des attaques connues, par des capacit&eacute;s de d&eacute;tection capables de distinguer des attaques complexes, m&eacute;connues ou cr&eacute;&eacute;es pour contourner les dispositifs de s&eacute;curit&eacute; classiques. Selon les besoins du SOC, les alertes remont&eacute;es par ces sondes peuvent &ecirc;tre int&eacute;gr&eacute;es comme sources du SIEM [5] , qui agr&egrave;ge les alertes de s&eacute;curit&eacute;, ou disponibles directement depuis la console de management de la solution. Les EDR : s&eacute;curiser les terminaux Les solutions EDR [6] viennent compl&eacute;ter les capacit&eacute;s de d&eacute;tection et de r&eacute;action des SOC sur les terminaux (PC, serveurs&hellip;). Comme leur nom l&rsquo;indique, les EDR participent &agrave; la d&eacute;tection d&rsquo;attaques en comblant les faiblesses des antivirus, qui s&rsquo;appuient sur des signatures d&rsquo;attaques pr&eacute;cises et sont inadapt&eacute;s pour d&eacute;tecter certains types d&rsquo;attaques, notamment les APT. Les EDR se basent donc sur d&rsquo;autres m&eacute;thodes de d&eacute;tection. Parmi ces techniques, on trouve la d&eacute;tection d&rsquo;exploitation de vuln&eacute;rabilit&eacute;s connues ou de &laquo; patterns d&rsquo;attaque &raquo;, l&rsquo;analyse de fichiers par une sandbox et des approches comportementales bas&eacute;es sur du machine learning . Mais les fonctionnalit&eacute;s des EDR ne s&rsquo;arr&ecirc;tent pas aux &eacute;tapes de d&eacute;tection et d&rsquo;analyse. En effet, ces solutions permettent d&rsquo;effectuer des actions de rem&eacute;diation &agrave; distance, dont la complexit&eacute; d&eacute;pend des &eacute;diteurs : suppression ou mise en quarantaine de fichiers, arr&ecirc;t de processus, isolation d&rsquo;un r&eacute;seau de postes de travail infect&eacute;s, modification de cl&eacute;s de registre&hellip; La Cyber Threat Intelligence : mieux conna&icirc;tre les menaces et les attaquants La Cyber Threat Intelligence (CTI) a pour but la collecte et l&rsquo;organisation de toutes les informations li&eacute;es aux cybermenaces, afin de dresser un portrait des attaquants et d&rsquo;en d&eacute;gager des tendances (secteurs touch&eacute;s, m&eacute;thodes et techniques d&rsquo;exploitation&hellip;). Elle permet de conna&icirc;tre, de mieux se d&eacute;fendre et d'anticiper pour d&eacute;tecter les pr&eacute;mices d&rsquo;une attaque. Le terme &laquo; Threat Intelligence &raquo; est apparu d&eacute;but 2011, lorsque les premi&egrave;res APT ont &eacute;t&eacute; largement m&eacute;diatis&eacute;es, mais certaines organisations et entit&eacute;s &eacute;tatiques utilisent ce concept depuis plus longtemps encore. Les informations collect&eacute;es peuvent &ecirc;tre de diff&eacute;rentes natures : marqueurs, IOC (indicateurs de compromissions tels que les cl&eacute;s d&rsquo;identification des fichiers, des noms de domaines ou des adresses IP), historiques d&rsquo;attaques, r&eacute;utilisation d&rsquo;architecture ou de plate-forme ayant servi ant&eacute;rieurement, utilisation de services, techniques et m&eacute;thodes sp&eacute;cifiques (signatures communes). De nombreux moyens de collecte ont &eacute;t&eacute; d&eacute;velopp&eacute;s, notamment le renseignement open source ( Open Source Intelligence &ndash; OSINT), les flux de donn&eacute;es commerciaux et communautaires, la Social Media Intelligence (SMI ou SOCMINT), le renseignement d&rsquo;origine humaine et la capacit&eacute; d&rsquo;analyse et de corr&eacute;lation ( Human Intelligence &ndash; HUMINT), mais aussi les informations provenant du Deep et du Dark Web. Le SOAR : industrialiser et automatiser Les SOAR [7] sont des plates-formes d&rsquo;aide et d&rsquo;automatisation de la r&eacute;action aux incidents de s&eacute;curit&eacute;. Ils sont issus de la combinaison de trois outils du SOC : les SIRP ( Security Incident Response Plateform ) ; les SOA ( Security Orchestration &amp; Automation , solutions d&rsquo;industrialisation et d&rsquo;automatisation) ; et une partie des fonctionnalit&eacute;s de plates-formes de Threat Intelligence. L&rsquo;objectif des SOAR est clair : faciliter la t&acirc;che des &eacute;quipes en charge de l&rsquo;analyse et de la r&eacute;action, en les aidant &agrave; d&eacute;finir des processus et en automatisant les t&acirc;ches au maximum. M&ecirc;me si les SOAR sont tr&egrave;s adaptables et peuvent donc aider &agrave; r&eacute;pondre &agrave; tout type d&rsquo;attaque, ils sont performants pour automatiser le traitement des attaques courantes (de type ransomware , phishing &hellip;), tr&egrave;s r&eacute;p&eacute;titives et mobilisant les efforts des &eacute;quipes de r&eacute;action. Une fois ces t&acirc;ches automatis&eacute;es, les &eacute;quipes s&eacute;curit&eacute; en charge de la r&eacute;action peuvent se concentrer sur les alertes plus complexes, o&ugrave; leurs connaissances apportent une v&eacute;ritable valeur ajout&eacute;e. Les obligations des OIV et des OSE en mati&egrave;re de d&eacute;tection Dans un objectif de consolidation des capacit&eacute;s nationales de cybers&eacute;curit&eacute;, la Loi de programmation militaire (LPM) vot&eacute;e en 2013 pour 2014-2019 encourage les entreprises, administrations et industries fran&ccedil;aises sensibles, qualifi&eacute;es d&rsquo;&laquo; Op&eacute;rateurs d&rsquo;importance vitale &raquo; (OIV), &agrave; investir dans les outils de cyberd&eacute;fense et notamment &agrave; se doter de moyens de d&eacute;tection d&rsquo;intrusion. La transposition de la directive NIS [8] en France, assur&eacute;e par l'ANSSI [9] , a &eacute;galement pour but de renforcer la s&eacute;curit&eacute; des Op&eacute;rateurs de service essentiels (OSE) au fonctionnement de l&rsquo;&eacute;conomie et de la soci&eacute;t&eacute;. La d&eacute;tection de cyberattaques appliqu&eacute;e aux OIV Le renforcement de la s&eacute;curisation des OIV, r&eacute;gi par l&rsquo;article 22 de la LPM 2014-2019, impose l&rsquo;am&eacute;lioration de leurs syst&egrave;mes d&rsquo;information, appel&eacute;s Syst&egrave;mes d&rsquo;information d&rsquo;importance vitale (SIIV). Ce texte oblige les 250 OIV, r&eacute;partis dans douze secteurs dits &laquo; sensibles &raquo; (nucl&eacute;aire, transport, t&eacute;l&eacute;coms, finances, etc.), &agrave; mieux se prot&eacute;ger contre les cybermenaces. L&rsquo;une des premi&egrave;res obligations est de prendre des mesures pr&eacute;ventives, d&rsquo;ordre technique et organisationnel, visant &agrave; d&eacute;tecter et g&eacute;rer les risques mena&ccedil;ant la s&eacute;curit&eacute; de leurs R&eacute;seaux et syst&egrave;mes informatiques (RSI). Ainsi, les OIV doivent mettre en œuvre des syst&egrave;mes qualifi&eacute;s de d&eacute;tection des &eacute;v&eacute;nements susceptibles d&rsquo;affecter la s&eacute;curit&eacute; de leurs SI. Le d&eacute;cret de mars 2015 a pr&eacute;cis&eacute; la proc&eacute;dure de qualification des outils de d&eacute;tection (sondes) et des prestataires proposant ces syst&egrave;mes. Concernant la d&eacute;tection des incidents, les journaux d&rsquo;&eacute;v&eacute;nements cl&eacute;s doivent &ecirc;tre activ&eacute;s, centralis&eacute;s et archiv&eacute;s, puis corr&eacute;l&eacute;s et analys&eacute;s sur une infrastructure d&eacute;di&eacute;e en s&rsquo;appuyant sur le r&eacute;f&eacute;rentiel PDIS [10] . D&eacute;fini par l&rsquo;ANSSI, ce r&eacute;f&eacute;rentiel d&eacute;termine les conditions n&eacute;cessaires pour op&eacute;rer des services de d&eacute;tection dans des conditions de s&eacute;curit&eacute; optimale. Des sondes r&eacute;seaux qualifi&eacute;es doivent &ecirc;tre mises en place entre le SIIV et les r&eacute;seaux tiers &agrave; ceux de l&rsquo;OIV. Une proc&eacute;dure de gestion de crise doit pouvoir &ecirc;tre d&eacute;clench&eacute;e par le Premier Ministre afin d&rsquo;assurer la cyber-r&eacute;silience des SIIV et du SI de l&rsquo;OIV. La s&eacute;curisation des OSE Les OSE sont quant &agrave; eux r&eacute;gis par la directive europ&eacute;enne NIS de 2016. Ils sont eux aussi soumis &agrave; des obligations en termes de cybers&eacute;curit&eacute; de leurs SI, appel&eacute;s &laquo; Syst&egrave;mes d&rsquo;information essentiels &raquo; (SIE). Transpos&eacute;e au droit fran&ccedil;ais en 2018, cette directive est appliqu&eacute;e en France par l&rsquo;ANSSI. Les obligations d&rsquo;un OSE sont de trois ordres : appliquer les 23 r&egrave;gles de s&eacute;curit&eacute; aux SIE identifi&eacute;s par l&rsquo;OSE ; notifier des incidents de s&eacute;curit&eacute; survenus sur les SIE aupr&egrave;s de l&rsquo;ANSSI ; enfin, permettre un contr&ocirc;le de l&rsquo;OSE par l&rsquo;ANSSI ou d&rsquo;un prestataire d&rsquo;audit qualifi&eacute; par l&rsquo;ANSSI. Les 23 r&egrave;gles de la directive NIS sont semblables aux obligations inscrites dans la LPM. Toutefois, quelques diff&eacute;rences sont &agrave; noter, comme l&rsquo;utilisation de sondes qui ne doivent pas &ecirc;tre obligatoirement qualifi&eacute;es, mais conformes au r&eacute;f&eacute;rentiel PDIS. 1 Intrusion Prevention System. 2 M&eacute;canisme de s&eacute;curit&eacute; permettant d'ouvrir des applications et de t&eacute;l&eacute;charger des fichiers dans un environnement virtuel, s&eacute;curis&eacute; et isol&eacute; du reste de l'ordinateur. 3 Advanced Persistent Threats, en fran&ccedil;ais &laquo; attaques discr&egrave;tes et persistantes &raquo;. 4 Attaque bas&eacute;e sur l&rsquo;usage de technologie ou vuln&eacute;rabilit&eacute; inconnues. 5 Security Informations and Event Management. 6 Endpoint Detection and Response. 7 Security Orchestration, Automation &amp; Response. 8 Network and Information System Security. 9 Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d'information. 10 Prestataires de d&eacute;tection d&rsquo;incidents de s&eacute;curit&eacute;.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Sécurité informatique

La détection des cybermenaces : outils et réglementation

Étape importante de la lutte contre les cyberattaques, leur détection nécessite des outils spécifiques et le recours au machine learning. Gatewatcher évoque l’écosystème de ces outils, qui aident à répondre à des obligations réglementaires.

À retrouver dans la revue

Comptabilité/Trésorerie

Les enjeux de l’open finance : quelles opportunités pour le cash management ?

Métiers

Le potentiel de hausse des MNI
reste limité en 2024

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Sécurité informatique

La détection des cybermenaces : outils et réglementation

Étape importante de la lutte contre les cyberattaques, leur détection nécessite des outils spécifiques et le recours au machine learning. Gatewatcher évoque l’écosystème de ces outils, qui aident à répondre à des obligations réglementaires.

À retrouver dans la revue

Comptabilité/Trésorerie

Les enjeux de l’open finance : quelles opportunités pour le cash management ?

Métiers

Le potentiel de hausse des MNI reste limité en 2024

Dette et déficit publics : comment éviter le précipice

Capital-investissement

« Plus de 35 milliards d’euros seront investis dans les fonds labellisés non cotés »

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Le potentiel de hausse des MNI
reste limité en 2024