Mieux identifier les menaces et réagir plus rapidement

Les entreprises du monde entier considèrent désormais les ­cyber- menaces comme le risque le plus important pour leur activité, selon le baromètre des risques d’Allianz de janvier 2022. La situation géopolitique actuelle laisse en outre présager une nouvelle aggravation de cette situation. En même temps, les entreprises ont de plus en plus de difficulté à se protéger. La numérisation allant croissant, la surface d’attaque grandit elle aussi. Les responsables sécurité sont confrontés à un environnement IT toujours plus complexe allant des systèmes on premise aux divers services cloud, en passant par les appareils connectés (IoT), sans oublier les nombreux postes de télétravail déployés durant la pandémie. Les exigences de sécurité des environnements IT augmentent, et avec elles l’infrastructure de sécurité, qui devient de plus en plus difficile à gérer. A cela s’ajoute que les équipes IT souffrent d’une pénurie persistante de personnel qualifié.

Les attaques modernes exigent de nouvelles ­approches

Avec un nombre réduit de collaborateurs chargés de la sécurité, confrontés à des défis toujours plus importants, il n’est plus possible d’assurer une sécurité suffisante. Comme le montre une étude d’ESG, 85% des entreprises affirment qu’il leur est de plus en plus difficile de détecter les menaces et de réagir rapidement. Or, c’est précisément ce qui est important pour assurer la continuité de l’activité. A cela s’ajoute que les stratégies de sécurité traditionnelles n’étant pas adaptées aux modèles d’attaque courants actuels, elles interviennent souvent de manière tardive et sommaire, quand les attaques se déroulent souvent par vagues et s’étendent sur de nombreux niveaux différents.

Il est donc impératif d’adopter une nouvelle approche permettant de détecter rapidement les incidents, même les plus complexes. C’est là qu’intervient la technologie XDR, pour Extended Detection & Response. Cette nouvelle technologie offre de la transparence sur les menaces dans l’ensemble de l’environnement IT et ­soutient les équipes sécurité grâce à l’intelligence artificielle (IA) et à l’automatisation. Selon Gartner, XDR est l’une des principales tendances en matière de sécurité et de gestion des risques.

Rompre les silos et soulager les équipes IT

Pour identifier les attaques à plusieurs niveaux, il est nécessaire de surveiller tous les vecteurs dans l’environnement informatique, de collecter des indices et de les réunir dans une image globale. Les logiciels malveillants modernes tentent en effet souvent de déjouer les systèmes de sécurité et de passer inaperçus. Et Ils peuvent en outre exécuter de nombreuses actions différentes. On a vu ainsi le cheval de Troie Emotet télécharger d’autres logiciels malveillants, notamment pour voler ou crypter des données. Grâce à sa double fonctionnalité de ver et de bot, il s’est propagé de manière automatisée dans le réseau et a reçu des ordres des attaquants via des serveurs Command-and-Control.

En face, la technologie XDR crée une transparence complète sur l’ensemble de l’environnement IT et tous les vecteurs: du courrier électronique aux workloads dans le cloud, en passant par les terminaux, les serveurs et les réseaux. Les informations de tous les systèmes de sécurité connectés convergent vers un Data Lake central. Elles y sont analysées à l’aide de l’IA, en utilisant le ­Machine Learning et la Threat Intelligence globale. XDR filtre ­automatiquement les informations pertinentes et établit des ­corrélations. Des milliers d’alertes sont ainsi transformées en quelques avertissements exploitables. Le nombre d’événements de sécurité peut ainsi être réduit jusqu’à 90%. Les équipes sécurité peuvent dès lors se concentrer sur les alertes vraiment importantes. Les spécialistes voient d’un coup d’œil sur la console centrale ce qui s’est passé et s’ils doivent intervenir. On économise un temps précieux et les entreprises peuvent réagir bien plus rapidement et de manière plus ciblée à un incident.

----------

XDR transforme des milliers de messages en un nombre gérable d’alertes utiles

Les solutions Extended Detection & Response (XDR) collectent et étbalissent des correspondances sur l’ensemble des informations de sécurité des entreprises. Michael Unterschweiger, directeur régional pour la Suisse et l’Autriche chez Trend Micro, explique pourquoi XDR est également intéressant pour les entreprises misant déjà sur un SIEM et un SOAR. Interview: Coen Kaat

De plus en plus d’outils promettent d’aider à la gestion de la sécurité. Il y a d’abord eu le SIEM, puis le SOAR et maintenant le XDR. Qu’est-ce qui les distingue?

En fait, de nombreuses entreprises utilisent déjà un système de gestion des informations et des événements de sécurité (SIEM) pour collecter et examiner les informations de différents systèmes de sécurité et détecter les menaces. Les analystes sécurité utilisent souvent ces solutions pour surveiller les systèmes liés à la sécurité, évaluer les alertes et examiner les anomalies. Si les experts découvrent un cyberincident, ils prennent les contre-mesures appropriées. C’est dans ce contexte que les solutions SOAR (Security Orchestration, Automation and Response) sont de plus en plus utilisées. A l’instar d’un SIEM, le SOAR collecte des informations de sécurité provenant de différentes sources et les évalue. La technologie va toutefois encore plus loin et peut même déclencher des mesures automatisées, sans intervention humaine.

Alors pourquoi a-t-on en plus besoin d’un XDR?

Dans la pratique, la plupart des utilisateurs rapportent que leur SIEM les aide certes à examiner les menaces, mais que ces solutions peinent souvent à corréler efficacement les événements. Une grande partie du travail reste donc à faire pour les analystes sécurité – et ces experts sont malheureusement souvent rares en ces temps de pénurie de personnel qualifié. Selon une étude d’ESG, 57% des entreprises estiment que leur SIEM émet trop de messages et qu’il faut trop de personnel pour l’utiliser efficacement. Et la collecte et l’intégration des données posent un autre problème complexe. Par ailleurs, près de la moitié des entreprises fait face à des données redondantes dans ses systèmes. Vu que les licences SIEM sont généralement tarifées en fonction des événements par seconde, les données superflues font grimper les coûts. Le XDR résout bon nombre de ces défis. A l’instar d’un SIEM, le XDR collecte les informations sur les menaces des systèmes connectés. L’analyse s’appuie en revanche sur l’intelligence artificielle à partir des données globales sur les menaces. La mise en corrélation des alertes est ainsi beaucoup plus précise. A partir de milliers de messages, on obtient au final un nombre raisonnable d’alertes exploitables. Le nombre d’alertes de sécurité est ainsi réduit jusqu’à 90%.

Un XDR peut-il remplacer un SIEM?

Le XDR n’a pas pour objet de remplacer les systèmes de sécurité existants, mais d’y ajouter de précieuses fonctions d’automatisation et d’en augmenter l’efficacité. Ainsi, une solution XDR peut collaborer avec un SIEM en servant de source centrale de logs. Des données déjà corrélées alimentent alors le SIEM. Les avantages sont nombreux: d’une part, cela augmente la vitesse d’analyse et donc la vitesse de réaction aux attaques. Une corrélation de données, pour laquelle un SIEM a besoin de plusieurs minutes, s’effectue en quelques secondes avec un XDR. D’autre part, le nombre d’événements par seconde servant à dimensionner la licence SIEM est réduit et le besoin de stockage diminue – deux facteurs qui permettent de réduire les coûts. En outre, le XDR dispose déjà d’un rensei-gnement global sur la menace (Threat Intelligence), dont les analystes sécurité ont besoin pour évaluer les alertes et établir des corrélations. De nombreuses entreprises achètent ces informations auprès de fournisseurs externes. Des coûts qui s’ajoutent à ceux d’un SIEM, mais qui sont évités avec un XDR.