Protéger la production contre les cyberattaques avec le XDR

L’industrie profite depuis longtemps du potentiel de la numérisation. Les chaînes de production fonctionnent en grande partie de façon automatisée et en réseau, la maintenance se fait de manière prédictive sur la base d‘analyses Big Data. Les données de production sont en général stockées dans le cloud, ce qui non seulement simplifie leur gestion, mais permet également un échange rapide et efficace avec les partenaires et fournisseurs externes. La numérisation fait cependant aussi le jeu des cybercriminels. Les pirates ne misent plus sur les seuls terminaux pour s’introduire dans les réseaux d’entreprise. Les attaques peuvent aujourd’hui se déployer en différents points, comme les commandes de machines et les capteurs utilisés dans la production. Les malware nécessaires se vendent désormais sur le Darknet, par exemple sous la forme de ransomware-as-a-service.

Ce n’est souvent qu’au moment où la production est arrêtée et qu‘une demande de rançon a été formulée que les utilisateurs se rendent compte qu’une Endpoint Detection & Response (EDR) aussi complète soit-elle ne suffit pas à se prémunir efficacement contre les attaques. Face à l’aggravation des menaces, il est en effet de plus en plus important de détecter les cyberattaques en amont dès leur apparition, d’identifier les systèmes concernés et de prendre des contre-mesures à temps.

Détecter les menaces – presque impossible avec l’EDR

Mais tout cela n’est pas aussi simple qu’il n’y paraît. En effet, et en particulier dans les entreprises industrielles, les systèmes informatiques et opérationnels – IT et OT – forment un ensemble extrêmement convergent et difficile à maîtriser. Il est presque impossible de savoir quels systèmes ont accès à Internet, dans quel état se trouvent les différents composants ou vers où ils communiquent. Vu cette complexité, il est difficile de détecter les attaques, voire de les comprendre. La vision centrale sur les menaces est en outre empêchée par les données d’analyse stockées dans autant de silos. Le filtrage des informations pertinentes – que ce soit au sein d’un SOC, d’un SIEM ou d’un SOAR – requiert un travail d’analyse long et fastidieux de la part des équipes sécurité.

Tout cela affaiblit considérablement la capacité de réaction des entreprises face aux menaces actuelles. L’Extended Detection and Response (XDR) permet d’y remédier. Ces solutions sont en mesure de filtrer les messages réellement critiques parmi les centaines qui arrivent chaque jour sur le réseau de l’entreprise et d’y détecter les menaces pertinentes.

XDR – Threat Intelligence et IA contre les hackers

Le concept XDR va bien au-delà de l’EDR et complète le SIEM, le SOC et le SOAR. La technologie rassemble les informations de tous les systèmes de sécurité connectés au réseau de l’entreprise dans un Data Lake. Ces données sont analysées de manière automatisée à l’aide d’intelligence artificielle. Le XDR crée de la transparence sur tous les vecteurs, des points finaux aux workloads dans le cloud, en passant par les réseaux, les serveurs et les systèmes de messagerie. Les données sont corrélées et les faux positifs sont éliminés. Alors que dans le cas du SIEM, la majeure partie du travail d’analyse est laissée à l’équipe de sécurité, le XDR est en mesure de filtrer en peu de temps parmi les milliers d’alertes celles qui sont vraiment pertinentes.

Grâce aux capteurs XDR installés aux points critiques du réseau, il est également possible d’appliquer la surveillance à des actifs sur lesquels aucune solution de sécurité moderne ne peut être installée (des systèmes industriels hérités, par exemple) ou n’est autorisée (pour des raisons de conformité ou de licence, par exemple). Alors que ce sont précisément des systèmes qui représentent un risque non négligeable dans les environnements industriels.

Les différents événements sont ainsi mis en corrélation de manière fiable et en temps réel et les alertes importantes sont identifiées. Grâce à toutes ces fonctions, l’analyse des menaces est nettement plus rapide que ne le permettrait l’EDR. Les utilisateurs sont en mesure de réagir rapidement et efficacement à une attaque et de prendre à temps les mesures qui s’imposent. Mais le concept XDR offre encore un autre avantage: les cas d’usage y sont déjà intégrés sous forme de scénarios prédéfinis pour la sécurité des endpoints et de la messagerie – un autre facteur important pour une riposte rapide et efficace.

Plus de flexibilité grâce au service managé

Compléter un SIEM, un SOC et un SOAR avec l’Extended Detection and Response augmente considérablement la sécurité face aux cyberattaques. Un tel complément peut être obtenu très simplement en employant le XDR dans le cadre d’un service managé par un fournisseur qualifié. Ce dernier doit proposer un stack de sécurité de pointe et disposer d’une équipe importante et expérimentée de spécialistes SOC. Il doit également disposer d’une large base de clients, car l’accès à un grand volume de données lui permet de réaliser des analyses particulièrement pertinentes. L’achat de XDR dans le cadre d’un service géré permet en outre de réaliser des économies substantielles, le client bénéficiant d’un service complet, évolutif à tout moment et adaptable à ses besoins.

Ce service comprend l’expertise en matière de sécurité d’analystes SOC expérimentés qui gardent un œil sur les événements de la solution XDR 24 heures sur 24 et évaluent les alertes critiques. Pour rechercher des indicateurs et évaluer les menaces, ils utilisent aussi bien leurs propres valeurs empiriques que des bases de données mondiales sur les menaces. De cette manière, les attaques dangereuses sont transparentes dès le moment et quel que soit l’endroit où elles se produisent sur le réseau. En cas d’attaque, les utilisateurs reçoivent des instructions qualifiées et détaillées leur permettant de stopper efficacement l’attaque.

Une console centrale indique quels systèmes sont concernés et comment l’attaque s’est déroulée jusqu’à présent. Grâce à l’évaluation automatisée et intelligente réalisée par le XDR, les entreprises bénéficient d’une transparence nettement plus ­grande sur les mouvements des agresseurs et d’une bien meilleure ­capacité de réaction en cas d’urgence. Le concept XDR offre à ce titre une efficacité extrêmement élevée: grâce à des mécanismes d‘évaluation intelligents et automatiques, il réduit jusqu‘à 90% le nombre d‘événements de sécurité. Son volume de travail dépasse nettement la performance humaine, ce qui s’avère crucial dans un contexte de pénurie chronique de personnel qualifié. Selon le rapport ESG Research Insights, le XDR peut effectuer le travail de huit employés à temps plein, qui peuvent ainsi se consacrer à d’autres tâches importantes.

Une longueur d’avance sur les agresseurs grâce à une plus grande transparence

Face à une menace de plus en plus complexe, l’utilisation du XDR est aujourd’hui un must pour les entreprises. Gartner mentionne d’ailleurs le XDR comme l’une des principales tendances en ­matière de sécurité et de gestion des risques. Les entreprises ­devraient donc saisir les opportunités que leur offre le concept XDR. Celles-ci ne résident pas uniquement dans le transfert du travail d’analyse à des spécialistes externes et expérimentés par le biais de la gestion XDR. Elles résident également dans l’allègement de la charge de travail du service IT interne et dans une nette augmentation du savoir-faire en matière de sécurité. En effet, les fournisseurs de Managed XDR travaillent pour de nombreux clients dans le monde entier et connaissent les scénarios de menaces actuels. Autant de connaissances qu’ils transmettent dans leur communication avec le client. Les entreprises peuvent ainsi organiser de manière flexible la manière dont elles souhaitent utiliser le XDR et adapter la part du service managé à leurs ­exigences. Quelle que soit la manière dont elles utilisent le XDR, cette nouvelle technologie leur permet de garder une longueur d’avance sur les agresseurs.