Réponse à incident : connaître la menace, un atout important

Yann Fareau, responsable Business Development EMEAR chez Cisco, le souligne : se préparer à répondre à des incidents de sécurité suppose de prévoir, à savoir « être capable d’élaborer un plan de réponse robuste aux incidents en cohérence avec les menaces actuelles qui ont le plus tendance à cibler le secteur d'activités de l’entreprise ». Et de citer en exemple le monde hospitalier face à la menace des rançongiciels.

Chez Verizon Enterprise Solutions, Laurance Dine, associé exécutif, ne dit pas autre chose : « connaître les menaces spécifiques à une industrie est la première étape vers les stratégies de cybersécurité les plus efficaces, mais également pour obtenir budgets prioritaires et formations du personnel de toute l’entreprise ».

Selon lui, l’analyse de plusieurs années de données relatives aux incidents de sécurité – pour mémoire, Verizon publie chaque année un rapport sur les brèches sur lesquelles il a été amené à intervenir – permet de distinguer des tendances marquées : « un pourcentage élevé d’incidents de sécurité peut être associé à neufs modes d’attaque de base qui varient d’une industrie à l’autre. Et chaque industrie est marquée par trois modes d’attaque spécifiques ». A chaque secteur d’activité, ses modus operandi propres, donc.

Et Laurance Dine de prendre en exemple le secteur des services financiers : « trois modes d’attaque comptent pour 88 % des attaques – déni de service, attaque sur les applications Web et crimeware ». Le secteur du commerce de détail apparaît de son côté faire principalement l’objet d’intrusions de systèmes de point de vente, de dénis de service ou encore d’attaques sur les applications Web. Ces trois modes opératoires comptant pour 90 % des incidents. Le secteur de la production manufacturière fait quant à lui majoritairement l’objet de dénis de service, d’opérations d’espionnage ou encore de menaces internes – malveillantes ou non.

En aval, la connaissance de la menace peut également permettre de réagir plus efficacement. Dans 82 % des cas sur lesquels Verizon a été amené à travailler, Laurance Dine indique que des indices « étaient clairement visibles dans les traces d’activité », les fameux logs. Mais encore fallait-il savoir quoi chercher dans ces derniers.

Laurance Dine souligne là les limites des seuls outils : « les systèmes de gestion des informations et des événements de sécurité (SIEM) peuvent peut-être détecter jusqu’à 15 % d’activités potentiellement malicieuses. Mais être proactive dans son examen, en chassant les comportements et les modes opératoires malveillants connus est de plus en plus utile pour prendre de vitesse les 85 % restants, représentant les opérations plus sophistiquées ».

Et pour familiariser ses équipes à ce travail d’enquêteur, il s’avère indispensable de leur fournir la connaissance des menaces susceptibles de concerner l’organisation.