Les cybermenaces sont entrées dans nos quotidiens avec une multiplication particulièrement remarquable en 2021 : 37% d’augmentation d’intrusions sévères selon l’ANSSI. A quelques jours des élections présidentielles, qui sont les moments privilégiés d’attaques phishing et spread phishing d’envergure, viennent s’ajouter les tensions géopolitiques actuelles. Dans ce contexte, quels types de menaces les organisations françaises doivent-elles appréhender ? et comment s’en prémunir ?
A cette occasion, Gigamon rappelle que les outils d’observabilité des réseaux sont particulièrement pertinents dans la lutte contre la cybercriminalité.
Les ransomwares les plus courants contre les entreprises
Parmi les plus courants, le ransomware Locker verrouille les ordinateurs contre paiement, souvent via une adresse de crypto-monnaie anonyme. Le leakware vole les informations sensibles voire personnelles et menace de les divulguer aux concurrents, au réseau professionnel ou personnel. Les scarewares, ces faux logiciels de sécurité finissent par rendre les ordinateurs inutilisables. Et les RaaS (ransomware as-a-service), sont devenus un modèle populaire parmi les cybercriminels qui peuvent acheter à un développeur malveillant des “produits” de ransomware tel qu’un code pour chiffrer les fichiers d’une cible. En 2020, deux tiers des attaques par ransomware ont été perpétrées par des cybercriminels utilisant un modèle RaaS (source RTF).
Observer pour détecter et empêcher les intrusions à des stades précoces
Les responsables sécurité des entreprises doivent se concentrer sur la manière de détecter et d’atténuer les intrusions le plus tôt et le plus régulièrement possible.
Cette « chasse » aux menaces consiste à rechercher de manière proactive les anomalies qui se cachent dans un réseau, d’en identifier les signaux faibles. Cette démarche préventive est très complémentaire du processus standard de détection, de réponse et de résolution des incidents. Alors que les technologies de sécurité analysent les données brutes pour générer des alertes, le mode préventif fonctionne en parallèle, en utilisant des requêtes et l’automatisation, pour extraire des pistes d’attention à partir des mêmes données.
Une prévention efficace des ransomwares nécessite une observabilité complète du réseau associée à une capacité de détection des menaces et de réponse aux incidents.
Pour ce faire, Gigamon préconise une solution d’observabilité qui collecte et agrège toutes les données en mouvement et le décryptage TLS/SSL centralisé pour exposer les menaces cachées et dormantes des flux cryptés.
