Réseaux de renseignement de sécurité et protection contre les attaques ciblées

Transcription

1 LIVRE BLANC Réseaux de renseignement de sécurité et protection contre les attaques ciblées Sponsorisé par : Symantec Carla Arend Mars 2014 Andrew Buss UN ARTICLE IDC Les attaques ciblées, nouvelle frontière des professionnels de la sécurité, attestent de la sophistication croissante des cybercriminels. Ce terme désigne des attaques multicouches qui nécessitent de la part des cybercriminels un travail de recherche structuré sur leurs victimes potentielles, portant sur des éléments telsque leurs adresses , les titres et fonctions de leur poste, leurs centres d'intérêt, les sites Web fréquemment visités, les conférences auxquelles elles assistent, etc. Une fois les recherches effectuées, les cybercriminels identifient le chemin de moindre résistance et attaquent les employés de sociétés dont les systèmes de sécurité sont insuffisants. On observe de fait une augmentation des attaques subies par des employés de petites entreprises, faisant partie de la chaîne d'approvisionnement de plus grandes organisations et constituant donc des cibles généralement plus faciles à atteindre. Une fois qu'un employé a été infecté par un malware (logiciel malveillant), celui-ci commence à recueillir des données et prépare leur envoi vers l'extérieur du site. Le grand problème des attaques ciblées, c'est qu'elles sont très difficiles à découvrir et ne sont en général pas repérables par les systèmes de sécurité traditionnels. La plupart des attaques ciblées ne sont en fait découvertes que lorsque de grandes quantités de données ont déjà été envoyées à l'extérieur de l'organisation et qu'il est trop tard pour prévenir les dommages financiers et réputationnels causés à l'entreprise. Les moyens de défense doivent absolument gagner en sophistication pour garantir une protection efficace contre les attaques ciblées. Les services de renseignement de sécurité établissent des corrélations entre les informations issues de divers systèmes de sécurité et sont capables de détecter les plus petites anomalies sur le trafic réseau et le comportement des utilisateurs, qui seraient autrement passées inaperçues. Selon IDC, les services de renseignement de sécurité ont un rôle important à jouer dans la protection contre les nouvelles menaces telles que les attaques ciblées et l'évolution constante du paysage des menaces. CONTENU DE LA NOTE DE SYNTHÈSE Cette note de synthèse IDC analyse le paysage des menaces, son évolution et explique comment le recours aux services de renseignement de sécurité peut aider les entreprises à se prémunir contre les menaces persistantes sophistiquées et les attaques ciblées. Les défis des approches actuelles en matière de sécurité et les avantages du recours aux services de renseignement de sécurité actuellement proposés seront également abordés. Mars 2014, IDC #IDCWP08W

2 PROTÉGER UN ENVIRONNEMENT MÉTIER EN PLEINE ÉVOLUTION Le monde des affaires est de plus en plus concurrentiel et global, et les entreprises sont de plus en plus exigeantes vis-à-vis de leurs services informatiques, qui doivent les aider à s'adapter et survivre dans cet environnement en pleine mutation. Les DSI sont donc soumis à une forte pression et focalisent leur action sur la simplicité, l'agilité, l'innovation et la sécurité pour atteindre ces objectifs. L'informatique a beaucoup évolué au cours de ces dernières années et n'a jamais été autant sollicitée dans les entreprises pour améliorer le rendement et développer les avantages concurrentiels. Les nouvelles technologies telles que le cloud, la mobilité, le Big Data et les médias sociaux sont désormais bien établies, formant aujourd'hui ce qu'idc a appelé la «Troisième plateforme informatique». Une grande partie de cette transformation est alimentée par les entités opérationnelles des entreprises qui, selon une enquête récemment menée par IDC, représentent désormais en moyenne près des deux tiers des dépenses allouées aux nouveaux projets et environ 40 % du budget informatique global. Ce budget n'est pas contrôlé de manière centralisée, ce qui met fortement sous pression le département informatique qui doit veiller à ce que ses services soient intégrés, sécurisés et conformes. Dans le même temps, l'environnement réglementaire devient de plus en plus contraignant en Europe. Les clients, les employés et les citoyens expriment tous des inquiétudes quant à la confidentialité et la sécurité de leurs données les plus personnelles. L'informatique doit donc trouver le bon équilibre entre, d'une part, les impératifs de productivité des employés et la nécessité de leur permettre d'accéder aux données à partir d'une multiplicité d'appareils, où qu'ils se trouvent, et d'autre part la nécessité de se conformer aux règlements et de minimiser les risques de violation dans un cadre maîtrisé et gérable. Il n'a pas échappé aux professionnels européens de la sécurité informatique qu'ils doivent, s'ils veulent rester pertinents, intégrer et accompagner cette transformation de la plateforme métier. Dans une enquête pan-européenne menée par IDC auprès de 700 professionnels des TIC et de la sécurité, les répondants ont ainsi clairement indiqué que l'innovation de leur entreprise constituait leur première priorité, suivie de près par le renforcement de la sécurité informatique (cf. figure 1). La réduction des coûts informatiques ne figurait qu'au troisième rang, un changement majeur par rapport à l'enquête similaire menée seulement deux ans plus tôt et une indication claire que l'innovation et la transformation opérationnelle sont désormais considérées comme des facteurs de croissance principaux IDC #IDCWP08W 2

3 FIGURE 1 Changement des priorités informatiques Soutien à l'innovation métier Renforcement de la sécurité informatique Réduction du total des dépenses informatiques Amélioration du service auprès des utilisateurs Amélioration des processus informatiques (%) Source : Enquête IDC 2013 sur le secteur logiciel européen, N = 700 AGGRAVATION DES PROBLÈMES DE SÉCURITÉ Le paysage des menaces évolue constamment, mettant au défi des équipes de sécurité déjà extrêmement sollicitées par la gestion courante des problèmes opérationnels. Il leur est donc difficile de suivre de manière exhaustive l'évolution des problématiques de sécurité. Les menaces persistantes sophistiquées et les attaques ciblées sont la nouvelle frontière pour les professionnels de la sécurité et mettent les architectures de protection actuelles à rude épreuve. De manière typique, une entreprise répondra à l'émergence d'une nouvelle menace par l'achat d'un produit ponctuel spécifique. Cela pourra certes permettre de résoudre le problème à court terme, mais cela contribuera également, le plus souvent, à un cadre de sécurité hétérogène, constitué d'une multiplicité de produits ponctuels non coordonnés. Or cela empêche de parvenir à une vision globale des différents risques auxquels l'entreprise peut être confrontée, et rend laborieuse et complexe la gestion de l'infrastructure de sécurité conformément aux politiques de gouvernance en place. Un tel investissement de sécurité, quel qu'en soit le montant, ne saurait constituer une garantie de protection totale contre les violations, dans la mesure où les produits ponctuels et la fragmentation font eux-mêmes courir des risques d'erreur humaine et de non-détection des petites anomalies. La correction des infractions demande par ailleurs beaucoup de temps, les professionnels de la sécurité devant tout d'abord sélectionner le produit ponctuel le plus adapté, puis déterminer la meilleure façon de se prémunir contre de nouvelles violations. Le recours aux services de renseignement de sécurité pourra permettre d'apporter des réponses plus ciblées aux attaques ou violations. Au lieu de mobiliser l'ensemble des équipes dans une approche dispersée, l'identification des composants ou couches concernées pourra permettre de solliciter uniquement les équipes concernées pour les investigations, avec à la clé des gains importants en temps et ressources. Cela permettra en outre de limiter l'étendue des travaux de correction nécessaires, et de minimiser les risques de pertes par amendes ou restitutions consécutives à l'événement IDC #IDCWP08W 3

4 Cette approche réactive des investissements de sécurité posera également des difficultés au directeur financier, qui privilégiera en général un modèle d'investissement plus prévisible et mieux aligné sur les autres volets de l'infrastructure informatique. L'achat de produits ponctuels pour remédier à des failles de sécurité spécifiques ne fait qu'amplifier ce problème, alors qu'une approche plus globale de la sécurité permettrait d'améliorer la prévisibilité des dépenses. Si les menaces persistantes sophistiquées et les attaques ciblées font les gros titres de la presse informatique, en raison de l'impact des violations à grande échelle sur les organisations concernées, la réalité est que de nombreuses entreprises ne maîtrisent toujours pas les principes de base à respecter pour sécuriser la plateforme opérationnelle dont elles ont besoin pour assurer leurs capacités d'innovation et leur agilité. Dans une enquête pan-européenne menée par IDC auprès des professionnels de l'informatique et de la sécurité, 93 % des répondants ont indiqué très clairement que la protection des employés et des dispositifs existants était leur première priorité en matière de sécurité (cf. figure 2). La sécurisation des utilisateurs mobiles était la deuxième priorité, en raison de l'adoption croissante des modèles BYOD en Europe, qui pose d'importants problèmes de gestion et de sécurité aux professionnels de la sécurité. Couplé avec le resserrement des réglementations européennes en matière de protection des données, cela constitue une source de préoccupation majeure pour les professionnels de la sécurité en Europe. La consolidation de l'infrastructure de sécurité informatique, souvent fragmentée, était citée comme une priorité par 73 % des répondants, du fait de la nécessité de gérer efficacement la sécurité informatique conformément aux politiques en place et pour l'ensemble de l'infrastructure IT. Les attaques ciblées et les menaces persistantes avancées soulignent la nécessité d'adopter une approche globale de la sécurité, couvrant les trois couches de l'architecture, à savoir les datacenters, les passerelles réseau et la nouvelle gamme de terminaux. FIGURE 2 Priorités des entreprises européennes en matière de sécurité Améliorer la sécurité pour les utilisateurs/périphériques existants Améliorer la sécurité pour les périphériques existants Améliorer la sécurité à des fins de conformité réglementaire Consolider l'infrastructure de sécurité Améliorer la sécurité en prévision de l'adoption d'un modèle cloud/saas (%) Source : Enquête IDC 2013 sur le secteur logiciel européen, N = IDC #IDCWP08W 4

5 Ce qui change également dans le paysage des menaces, c est que les entreprises de tous types sont désormais visées, et non plus seulement les plus grandes ou les plus «attractives» en termes de propriété intellectuelle ou de réserves financières. Les petites entreprises, dotées d'infrastructures de sécurité moins sophistiquées, sont aujourd'hui les maillons faibles des chaînes d'approvisionnement et sont souvent exploitées par les pirates informatiques pour percer les défenses plus robustes de leurs grands partenaires commerciaux. De nombreuses petites entreprises doivent aujourd'hui investir dans les technologies de sécurité les plus performantes ou pouvoir y accéder. Quelles aides pour répondre aux nouvelles réalités de la sécurité? L'approche actuellement adoptée par de nombreuses entreprises consiste à se concentrer sur la sécurisation des différentes parties individuelles de l'infrastructure informatique, telles que les serveurs, les équipements de stockage et de mise en réseau ou encore les applications individuelles. Pourtant, avec la généralisation de la numérisation et de l'informatisation des processus métier, la sécurisation des communications et des informations qui sous-tendent tout le travail de business intelligence et de prise de décision revêt une importance encore plus cruciale. Les informations doivent être sécurisées lorsqu'elles sont conservées au niveau du datacenter, lorsqu'elles sont en mouvement entre la passerelle réseau et les terminaux, et lorsqu'elles sont traitées et modifiées au fil des interactions entre les utilisateurs et les données. La mise en place d'une architecture de sécurité multicouche complète, performante et pouvant être mise à jour de façon efficace, est devenue un véritable casse-tête pour les professionnels de la sécurité. La distinction entre l'incertitude entourant les incidents de sécurité émergents et les menaces clairement établies pour une entreprise constitue, elle aussi, un défi. Dans une récente enquête menée par IDC auprès de quelque 300 DSI dans les pays nordiques, il est apparu que, bien que les menaces persistantes et les attaques ciblées soient relativement courantes et que leur impact soit élevé, on constate en fait que ce sont des actes liés à des activités internes et courantes, notamment des négligences d'employés et des pertes ou vols d'appareils, qui ont les impacts les plus importants en termes de sécurité. La capacité à trouver le juste équilibre entre des opérations de sécurité «normales» et la préparation contre des menaces émergentes inconnues, mais présentant potentiellement un risque élevé, est tout un art que les professionnels de la sécurité doivent absolument maîtriser. C'est précisément dans ce domaine que l'accès à des capacités de renseignement dédiées pourra réellement commencer à aider les spécialistes de la sécurité à répondre aux nouvelles menaces. Si certaines organisations, en particulier celles qui évoluent dans les secteurs fortement menacés et réglementés (services financiers, notamment), peuvent se permettre de déployer des équipes de sécurité conséquentes pour prendre en charge ces nouvelles menaces, cela n'est pas le cas de la plupart des entreprises. Il conviendra dans ce cas d'envisager une ressource partagée pour l'accès aux renseignements, qui permettra de cerner le plus tôt possible les changements survenus dans le paysage des menaces. De façon croissante, les fournisseurs de solutions de sécurité sollicitent leurs larges bases de clientèle pour collecter des informations et identifier les menaces émergentes, en leur demandant de communiquer un retour et des commentaires. Ces données doivent être collectées très rapidement, et offrir une diversité et une qualité suffisantes pour permettre la découverte des malwares et autres menaces et l'analyse de leurs tendances IDC #IDCWP08W 5

6 Ces informations sont ensuite analysées en quasi-temps réel, à la fois par des routines d'analyse automatisées et par de grandes équipes d'experts en sécurité, de façon à constituer ce que l'on appelle généralement un réseau ou une capacité de renseignement de sécurité sur les menaces récentes et émergentes. Les entreprises clientes n'ont ainsi plus besoin de demander à leurs équipes de sécurité internes de consacrer un temps précieux à l'analyse et à la surveillance des activités suspectes. De cette façon, dès qu'une nouvelle menace telle qu'une exploitation de vulnérabilité jour zéro devient active et est détectée par les réseaux de renseignement de sécurité, les abonnés du service peuvent recevoir des informations sur la menace et même voir leurs systèmes automatiquement configurés de façon à bloquer le vecteur avant que l'attaque ait la moindre chance d'être lancée. Le recours à un tel service pourra permettre de clarifier la confusion pouvant exister à propos de la «véritable» nature du paysage des menaces pour une entreprise. Lorsqu'une attaque est commise, la plupart des entreprises ne prennent pas conscience du problème avant un laps de temps significatif. Ce délai peut même être de plusieurs mois après l'événement ; l'entreprise ne remarquera peut-être l'incident que lorsque ses données critiques seront déjà largement disponibles sur Internet, auquel cas il sera déjà trop tard. Les réseaux de renseignements peuvent renforcer les architectures de sécurité multicouches Comme nous l'avons déjà indiqué, les professionnels de la sécurité doivent adopter une approche multicouche de la sécurité, couvrant l'ensemble des appareils et données sur toute l'architecture, du datacenter jusqu'aux terminaux, en passant par le réseau et les passerelles. Les technologies de sécurité faisant partie d'une approche globale en matière de sécurité incluront notamment : Renseignement de sécurité. L'un des plus grands défis à relever par les professionnels de la sécurité consiste à assurer une protection contre des menaces futures qui n'existent pas encore. Pour détecter des exploitations de vulnérabilité jour zéro, par exemple, une entreprise devra solliciter les services d'un prestataire capable de proposer un réseau de renseignement de sécurité complet et opérationnel. Cela pourra permettre d'avertir les clients dès qu'une nouvelle menace est détectée et de proposer des mesures de correction appropriées. L'un des avantages supplémentaires liés au choix d'un prestataire doté d'un réseau de renseignement de sécurité robuste est que ses produits seront constamment mis à jour de façon à intégrer de nouvelles fonctionnalités et à apporter des réponses aux menaces émergentes. Protection contre les attaques Web. Les attaques Web réussissent souvent parce que les entreprises et leurs employés n'ont pas installé les correctifs les plus récents permettant de protéger leurs systèmes dorsaux ou leurs terminaux. Les pirates informatiques infectent les sites Web grand public, précisément parce qu'ils sont jugés fiables, en insérant un code capable d'exploiter ces vulnérabilités. La protection contre les attaques Web est un élément important d'une stratégie de sécurité multicouche visant à protéger l'entreprise contre les attaques par ingénierie sociale et les attaques ciblées, et les services de renseignement de sécurité peuvent pour cela fournir des informations à jour sur les sites Web compromis. Protection des terminaux. La protection des terminaux ne consiste pas uniquement à sécuriser les appareils utilisés ; il s'agit aussi de sécuriser les données stockées et manipulées sur ces appareils. L'analyse de ces données, et le cas échéant leur blocage avant qu'elles n'atteignent effectivement l'appareil et ne commencent à exécuter un code malveillant, constitue un autre volet important d'une approche efficace de la sécurité IDC #IDCWP08W 6

7 Celui-ci pourra être renforcé par les informations et corrélations d'un réseau de renseignement de sécurité, capable de fournir des informations de réputation à jour qui permettront de bloquer l'exécution des fichiers malveillants. Protection des passerelles. La protection des passerelles permet d'éliminer le contenu malveillant avant qu'il n'atteigne sa cible finale, par exemple quand les s et pièces jointes sont scannés avant d atteindre leur destinataire pour détecter un éventuel code exécutable. La navigation Web peut également être rendue plus sûre par l'utilisation de produits dédiés à la protection des passerelles. Des synergies pourront par ailleurs naître si les produits déployés pour la sécurité des passerelles et des terminaux sont issus d'un même fournisseur. Celles-ci pourront bénéficier de l'apport de réseaux de renseignement de sécurité capables de configurer automatiquement les appareils pour bloquer les menaces émergentes dès leur détection. Protection des datacenters. Les données les plus précieuses d'une entreprise sont généralement conservées dans le datacenter. C'est d'ailleurs la raison pour laquelle cette infrastructure est une cible privilégiée pour les attaques. La virtualisation a ajouté une nouvelle couche à l'architecture, qui doit être renforcée. De façon croissante, les technologies de sécurité de datacenter nécessitent de bloquer les accès des utilisateurs privilégiés pour toutes les couches de l'infrastructure, de telle sorte que seuls les accès «normaux» puissent se produire. Les services de renseignement de sécurité peuvent aider à définir les modes d'accès de référence et ainsi à détecter les comportements inhabituels, à bloquer les accès non autorisés et à donner l'alerte et faire remonter les informations en cas de problème. Approche «Best of need» La consolidation de la sécurité passe nécessairement par l'abandon des approches fragmentées dites «best of breed», au profit d'une approche privilégiant les suites intégrées, capables de faire beaucoup de choses de manière très compétente. Cela permettra de mettre en place un système informatique évolutif et dynamique, notamment dans les domaines de la sécurité et des opérations. Le choix d'un fournisseur disposant d'un large portefeuille de produits, dont le développement est servi par de grandes capacités de renseignement, permettra à l'entreprise de passer d'une infrastructure de sécurité fragmentée à une architecture de protection plus complète et plus efficace. Meilleures pratiques émergentes pour une protection efficace contre les attaques ciblées Compte tenu de la complexité et de l'évolution constante du paysage des menaces, il est important de sélectionner un fournisseur capable de fournir les renseignements de sécurité les plus complets possibles, fondés sur un large réseau de télémétrie, de capteurs et autres intrants. L'échelle est importante dans la détection des comportements suspects et des nouvelles menaces, et l'analyse des anomalies nécessite le concours d'experts en sécurité hautement qualifiés. Seules les grandes entreprises peuvent en général se permettre d'employer de tels experts. Il pourra donc être difficile de suivre au plus près l'évolution du paysage de la sécurité ; c'est pourquoi IDC recommande de confier de telles tâches à un prestataire spécialisé. Il est important de concevoir une sécurité cohérente, protégeant la fois les données et l'infrastructure sous-jacente. L'achat de plusieurs produits issus d'un fournisseur unique permettra de limiter le caractère fragmenté du cadre de protection et d'instaurer un environnement plus cohérent pour la gestion de la sécurité basée sur des règles. Il faut pouvoir obtenir automatiquement les nouvelles fonctionnalités et les correctifs protégeant contre les menaces émergentes à partir du réseau de renseignement de 2014 IDC #IDCWP08W 7

8 sécurité, de manière à éviter les dépenses liées à une approche réactive de la sécurité et le développement d'un «patchwork» hétérogène de produits ponctuels. Il est important de choisir un fournisseur dynamique et réactif, qui ajoute constamment et rapidement de nouvelles protections et fonctionnalités, conçues sur la base de renseignements de sécurité collectés dans le monde entier pour renforcer la protection contre les attaques émergentes. Avantages d'une approche globale de la sécurité La consolidation des produits et fournisseurs de sécurité présente d'importants avantages pour les entreprises : Gestion des fournisseurs simplifiée. La réduction du nombre de fournisseurs de sécurité simplifie le processus d'achat et de négociation et renforce la responsabilisation des prestataires retenus. Le traitement des demandes d'assistance et l identification des problèmes seront aussi facilités si les fournisseurs concernés sont moins nombreux. Amélioration de la prévisibilité du budget de sécurité. Lorsque l'entreprise travaille avec des fournisseurs moins nombreux et en intégrant de manière proactive leur architecture et leur cadre de mise à jour, ses investissements de sécurité deviennent plus prévisibles. Son service informatique peut ainsi réduire les investissements de sécurité imprévisibles effectués en réaction à des incidents. Efficacité opérationnelle. La réduction du nombre de fournisseurs de sécurité permet également des gains significatifs en termes d'efficacité opérationnelle, dans la mesure où cela permet de renforcer la compatibilité entre les interfaces et les processus de gestion. Atténuation des risques émergents. En travaillant avec un fournisseur capable de proposer un service de renseignement avancé en matière de sécurité, l'entreprise se donne les moyens d'être automatiquement et efficacement protégée contre les menaces émergentes. Elle n'aura pas besoin d'investir pour constituer en interne des équipes importantes et coûteuses dédiées aux renseignements de sécurité et chargées d analyser les tendances ou répondre aux attaques. POINTS CLÉS À RETENIR Nombreuses sont les entreprises qui procèdent actuellement à la refonte de leur plateforme opérationnelle et adoptent de nouvelles méthodes de travail et d'acquisition de solutions informatiques, avec la montée en puissance des services cloud, des périphériques mobiles intelligents, des plateformes de réseaux sociaux et du Big Data. Dans le même temps, le paysage des menaces ne cesse d'évoluer, et les attaques ciblées sont la nouvelle frontière pour les spécialistes. Le choix d'un fournisseur capable de proposer un réseau de renseignement vaste et efficace constituera le socle d'une approche globale de la sécurité, permettant de découvrir les nouvelles menaces dès leur apparition et de déployer immédiatement des mesures de correction, sans avoir à acheter des produits ponctuels sur un mode réactif, après chaque incident. IDC recommande d'assurer la protection à la fois de l'infrastructure et des données, ainsi que des différentes couches de l'architecture (terminaux, passerelles et datacenters) pour mettre en place une approche de la sécurité globale et cohérente IDC #IDCWP08W 8

9 A propos d'idc IDC est un acteur majeur de la Recherche, du Conseil et de l Évènementiel sur les marchés des Technologies de l Information, des Télécommunications et des Technologies Grand Public. IDC aide les professionnels évoluant sur les marchés IT et les investisseurs à prendre des décisions stratégiques basées sur des données factuelles. Plus de 1000 analystes proposent leur expertise globale, régionale et locale sur les opportunités et les tendances technologies dans plus de 110 pays à travers le monde. Depuis plus de 48 ans, IDC propose des analyses stratégiques pour aider ses clients à atteindre leurs objectifs clés. IDC est une filiale de la société IDG, leader mondial du marché de l information dédiée aux technologies de l information. Global Headquarters 5 Speen Street Framingham, MA USA idc-insights-community.com Copyright This IDC research document was published as part of an IDC continuous intelligence service, providing written research, analyst interactions, telebriefings, and conferences. Visit to learn more about IDC subscription and consulting services. To view a list of IDC offices worldwide, visit Please contact the IDC Hotline at , ext (or ) or sales@idc.com for information on applying the price of this document toward the purchase of an IDC service or for information on additional copies or Web rights. Copyright 2014 IDC. Reproduction is forbidden unless authorized. All rights reserved.