Produits et Services PRODUITS & SERVICES

Optimisation de la prévention des violations : stoppez-les avant qu’elles n’accèdent à vos systèmes

La prévention comprend la réduction de votre surface d'attaque et votre capacité à empêcher que des attaques ne soient lancées.

Dans le sport, il y a un dicton qui dit que si l’adversaire ne peut pas marquer, il ne peut pas gagner. Ce dicton est valable aussi pour la cybersécurité : si l’attaquant ne peut pas pénétrer dans votre entreprise, il ne pourra pas la compromettre.

En poussant le raisonnement un peu plus loin, le moyen le plus efficace pour éliminer la possibilité qu’une faille ne débouche sur une attaque menaçant votre entreprise est de la stopper avant qu’elle ne commence à agir : ainsi, réduisez votre surface d’attaque le plus possible afin de pouvoir identifier un incident potentiel avant qu’il n’ait lieu au sein de votre environnement et éliminez-le.

Optimiser la prévention

Aujourd’hui, les utilisateurs et les données peuvent se trouver n’importe où. Les utilisateurs peuvent travailler depuis le bureau, l’aéroport, un café ou à leur domicile. Les données peuvent être dans le Cloud, sur le réseau d’un partenaire commercial ou bien sur l’appareil mobile d’un employé. Ces facteurs, et bien d’autres, modifient votre surface d’attaque. Le volume de violations potentielles et réussies augmente à mesure que les attaquants tirent parti de l’automatisation, de l’intelligence artificielle (IA) et des plateformes de diffusion de malwares pour lancer leurs attaques.

Voici quelques résultats intéressants issus de l’enquête menée par Sophos auprès de 5 400 professionnels IT et de la sécurité : 61 % des responsables IT signalent une augmentation des attaques contre leur entreprise au cours de l’année écoulée. De plus, la complexité des attaques augmente. Les adversaires utilisent de plus en plus des Tactiques, Techniques et Procédures (TTP) sophistiquées dans leurs attaques. Environ 54 % des responsables IT déclarent que les attaques sont désormais trop avancées pour que l’équipe IT ne puisse les gérer seule.

C’est pourquoi l’optimisation de la prévention des violations est un élément essentiel de la stratégie de protection endpoint de Sophos.

prevention des violations

Dans cet exemple d’attaque de ransomware, les technologies Sophos stoppent la menace à plusieurs points de la chaîne d’attaque.

Ne dit-on pas qu’il vaut mieux prévenir que guérir. Dans le monde de la cybersécurité, empêcher une seule attaque de ransomware pourrait se traduire par une économie de quelques millions d’euros simplement en stoppant la menace avant même qu’elle n’ait une chance de pénétrer au sein de votre entreprise.

Tout d’abord, vous devez réduire la surface d’attaque, en supprimant les opportunités pour les attaquants de pénétrer dans votre entreprise. Voici quelques exemples illustrant la manière avec laquelle Sophos y parvient :

  • Blocage des applications potentiellement indésirables.
  • Blocage des sites Web malveillants ou suspects en fonction de l’évaluation du contenu ou de l’URL.
  • Contrôle des applications autorisées à s’exécuter dans l’entreprise.
  • Contrôle des appareils qui sont autorisés sur le réseau de l’entreprise ou capables d’accéder aux ressources Cloud.
  • Verrouillage des configurations de serveur en un seul clic.

L’étape suivante consiste à empêcher les attaques de s’exécuter, en utilisant des technologies de protection multicouche pour stopper à la fois les menaces et les tactiques utilisées par les attaquants, notamment :

  • La prévention des comportements basée sur l’intelligence artificielle (IA) qui bloque les éléments inconnus en fonction des techniques, comportements et anomalies.
  • La technologie anti-ransomware basée sur le comportement.
  • La prévention contre les exploits qui stoppe les techniques utilisées par les attaquants, protégeant ainsi contre les attaques qui exploitent les vulnérabilités jusque-là inconnues.

L’attaque Kaseya de l’année passée est un excellent exemple de l’importance de la prévention : en effet, au moment où l’attaque a été détectée, il était déjà trop tard et les fichiers avaient déjà été chiffrés. Cependant, pas un seul client Sophos avec notre protection endpoint Next-Gen, correctement déployée, n’a eu ses fichiers chiffrés lors de cette attaque.

Les capacités de prévention de la protection endpoint Sophos Intercept X bloquent 99,98 % des menaces (score moyen AV-TEST de janvier à novembre 2021). Les défenseurs sont alors en mesure de mieux se concentrer sur les signaux suspects qui nécessitent une intervention humaine.

Minimiser le temps de détection et de réponse

Les attaquants sophistiqués actuels exploitent souvent des outils IT légitimes et des failles de sécurité pour pénétrer au sein du réseau de leur victime. Chaque seconde compte lorsqu’un adversaire se trouve dans votre environnement. Pourtant, trop souvent, les défenseurs sont ralentis par un volume beaucoup trop important d’alertes, une visibilité limitée, un manque de connaissances et des processus manuels lents.

En optimisant la prévention des violations, Sophos permet aux défenseurs de se concentrer sur des détections moins nombreuses et plus précises et de rationaliser le processus d’investigation et de réponse.

Pour illustrer ce point, j’aimerais partager avec vous des données fournies par Sophos Managed Threat Response (MTR), notre service MDR (Managed Detection and Response) managé 24h/24, 7j/7 et 365 jours/an. Le temps moyen de détection (MTTD) de l’attaque est inférieur à une minute. Les techniques d’investigation enrichies se traduisent par un temps moyen d’investigation (MTTI) de 25 minutes et un temps moyen de résolution (MTTR) de 12 minutes. Il en résulte un temps total entre la détection de la menace et sa résolution de 38 minutes.

Il est important de mettre ces 38 minutes en perspective. En effet, selon le cabinet d’études Statista, la durée moyenne d’interruption des activités et d’indisponibilité de l’entreprise après une attaque de ransomware est de 22 jours. Et cela s’ajoute aux coûts de récupération sans cesse croissants, qui ont plus que doublé au cours de l’année passée.

Stopper plus de menaces, plus rapidement

Dans un environnement de cybersécurité difficile, l’optimisation de la prévention des violations et la réduction du temps de détection et de réponse permettent de traiter beaucoup plus rapidement les menaces. En fin de compte, cette approche vous permet d’obtenir de meilleurs résultats en matière de sécurité.

Pour en savoir plus et pouvoir échanger avec nous sur la manière avec laquelle nous pouvons vous aider à relever vos défis en matière de sécurité, rendez-vous sur notre site Web et contactez un membre de l’équipe.

Billet inspiré de Optimizing Breach Prevention: Stop Them Before They Get In, sur le Blog Sophos.