Une approche intégrée de la cybersécurité pour faire face aux APT
La transformation digitale ne cesse de compliquer l’équation de la cybersécurité. Non seulement les systèmes sont plus complexes, hétérogènes, décentralisés, et donc difficiles à protéger, mais leur valeur croissante aiguise l’intérêt de cybercriminels dont les moyens augmentent en conséquence. Seule une approche intégrée de la sécurité est désormais en mesure de contrer les nouvelles menaces telles que les APT.
Contrairement aux menaces traditionnelles telles que virus, phishing ou rootkit, les APT (menaces persistantes avancées) sont des cyberattaques dont la complexité sort des sentiers battus. Elles s’introduisent à l’insu de la DSI et peuvent rester inactives des mois durant avant de se déclencher. Une APT peut avoir de multiples objectifs : causer des dégâts insoupçonnés, voler des données sensibles, financières, métier (R&D) ou clients… C’est une menace polymorphe, composite, qui ne possède pas de signature numérique prévisible et dont la détection effective peut parfois prendre plus de six mois.
Identifier et neutraliser à temps ces nouvelles menaces nécessite une approche spécifique, qui allie des solutions SIEM (Security Information and Event Management) de nouvelle génération – sandbox, émulation, forensic… – à des équipes expérimentées et pluridisciplinaires, composées d’experts en sécurité des systèmes d’information, d’analystes, de data scientists…
Une telle approche intégrée permet de détecter en amont les cyberattaques pour les confiner, puis les neutraliser avec des solutions installées sur l’ensemble du système d’information. Les solutions et les compétences en matière de sécurité sont fédérées et centralisées de façon à corréler les évènements suspects, à identifier les tentatives d’intrusion et à disposer d’une vue globale des risques et de la parade appropriée.
À partir d’une analyse en temps réel des flux de messagerie, notamment les emails et les pièces jointes, et du trafic web (http et https), des solutions temps réel de détection et de neutralisation des attaques APT permettent d’intervenir au plus tôt et de limiter l’impact sur l’activité de l’entreprise. En cas d’attaque, les différents experts se mobilisent avec une solution forensic afin d’identifier l’origine, les mécanismes utilisés et les systèmes impactés. Ils sont équipés pour rapidement appliquer des mesures de contrôle afin de protéger le système d’information, mais aussi de renforcer la stratégie de sécurité de l’entreprise de manière à contrôler tout type de cyberattaques, aussi sophistiquées soient-elles.
« Ce type d’approche intégrée exige par-dessus tout une infrastructure de sécurité agile qui centralise les remontées des solutions de sécurité et technologiques pour disposer d’une vue holistique et consolidée de la posture de sécurité dans le temps. »
Une approche intégrée de la sécurité exige également un partage et un développement des savoirs, à l’image de la mise à jour permanente des connaissances qu’Atos a mis en place pour capitaliser sur l’expérience de ses huit SOC (Security Operation Centers) dans le monde et des ses équipes de réponses aux incidents (CSIRT, Computer Security Incident Response Team). L’expertise d’Atos bénéficie en particulier de l’expérience acquise sur les Jeux Olympiques, dont les systèmes sont confrontés à d’innombrables tentatives d’intrusions ou de dénis de services. Cette expérience permet à Atos de conserver une longueur d’avance pour ses clients, ce qui leur permet d’évoluer et d’échanger en toute confiance dans un monde toujours plus digital.
Partager
