Gestion des menaces

Pourquoi la gestion des menaces est-elle importante?

Étant donné que les agresseurs adaptent leurs méthodes pour échapper aux défenses actuelles, la gestion et l’atténuation des menaces sont cruciales pour les entreprises. Les professionnels de la sécurité informatique ont besoin d’outils et de pratiques de gestion des menaces pour :

• protéger les données essentielles;
• préserver la confiance de la clientèle;
• protéger les activités;
• éviter les cyberattaques avancées et les menaces internes coûteuses.

Quels sont les défis de la gestion des menaces?

Parmi les défis courants de la gestion des menaces, mentionnons :

• le manque de visibilité des systèmes de sécurité sur le réseau;
• les observations et les rapports limités relatifs aux indicateurs de rendement clés (IRC);
• la pénurie de professionnels en cybersécurité compétents;
• les cybermenaces en évolution, comme les rançongiciels, l’hameçonnage et les attaques de déni de service distribué (DDoS);
• les menaces internes découlant d’une attaque ou d’une négligence.

Pourriez-vous donner des exemples des types de menaces courants?

Les principaux types de cybermenaces sont les suivants :

• les menaces intentionnelles, comme l’hameçonnage, les logiciels espions ou malveillants, les virus ou les attaques de déni de service (DoS) exécutées par des intervenants mal intentionnés;
• les menaces non intentionnelles, souvent attribuables à une erreur humaine, comme un clic sur un lien risqué ou l’omission de mettre à jour le logiciel de sécurité.

Pourriez-vous donner un exemple de gestion d’une menace?

La gestion unifiée des risques liés à la sécurité est une solution complète de gestion des cybermenaces qui protège un réseau et ses utilisateurs en combinant une multitude de services ou de fonctions de sécurité en une plateforme. Ces fonctions peuvent comprendre le contrôle des applications, la protection contre les logiciels malveillants, le filtrage des URL, les informations sur les menaces, et plus encore.

Quelle est la différence entre une menace, un risque et une vulnérabilité?

Menace

Le potentiel d’exploiter une vulnérabilité et de mettre en péril la confidentialité, l’intégrité ou la disponibilité des ressources est considéré comme une menace pour la cybersécurité. Une tentative d’attaque par hameçonnage en passant par un courriel ciblé est un exemple de menace intentionnelle. Toutefois, si un employé accède aux ressources internes à partir d’un réseau sans fil public et non protégé, cette situation est alors réputée une menace non intentionnelle.

Vulnérabilité

Une vulnérabilité s’entend d’une faiblesse dans un système, un logiciel, du matériel, une application ou une procédure que peut exploiter un agresseur. La gestion des vulnérabilités comprend l’application de correctifs sur les vulnérabilités avant que celles-ci puissent être exploitées. Une faille non corrigée peut laisser un intervenant mal intentionné accéder aux ressources, installer un logiciel malveillant, endommager les données ou exposer des renseignements sensibles au grand public.

Risque

Le risque, lorsqu’il est question de cybersécurité, est la probabilité qu’une menace exploite une vulnérabilité et le dommage potentiel qui pourrait en découler. Parce qu’il est impossible d’éliminer les risques, la gestion des risques vise à réduire les cyberrisques d’une entreprise à un niveau gérable. L’application proactive de correctifs aux vulnérabilités et la maîtrise des menaces sont des étapes cruciales de ce processus.

Explication de la gestion des menaces et des vulnérabilités

La réduction des risques de cyberattaques de votre entreprise commence par la gestion des menaces et des vulnérabilités. La gestion des menaces est axée sur la surveillance des menaces et sur la façon d’y réagir, tandis que la gestion des vulnérabilités aide à corriger les faiblesses d’un système avant qu’une menace puisse l’exploiter. Les deux stratégies sont critiques pour atténuer les cyberrisques dans un environnement informatique.

Pourriez-vous mentionner des façons efficaces de détecter les menaces?

Détection par signature

La détection par signature compte sur des signatures ou des tendances prédéfinies observées sur les menaces connues pour repérer les menaces et déclencher une alerte. Cette méthode peut s’avérer efficace au moment de reconnaître les menaces connues, mais le sera moins s’il s’agit de menaces inconnues ou évolutives qui n’ont pas de signature correspondante.

Auparavant, les logiciels antivirus comptaient sur les signatures pour repérer les virus, mais les auteurs de maliciels ont appris à faire en sorte que les virus ne correspondent pas aux signatures. Les solutions malveillantes de nouvelle génération emploient des technologies avancées, comme l’analyse comportementale, l’apprentissage automatique, la fonction de bac à sable et les informations sur les menaces, pour détecter et bloquer les menaces.

Détection basée sur les indicateurs

La détection basée sur les indicateurs indique si les fichiers ou les activités sont sécuritaires ou non en fonction d’indicateurs prédéfinis. Les indicateurs de compromission (IOC) sont des règles couramment utilisées pour la détection des menaces basée sur les indicateurs. Celles-ci agissent comme des indices numériques et indiquent toute activité malveillante. Les IOC sont plus efficaces s’ils sont jumelés à d’autres méthodes de détection.

Par exemple, les IOC sont des irrégularités constatées dans un emplacement, des anomalies dans les requêtes DNS (Domain Name System), un grand nombre de demandes pour un même fichier, et un comportement non humain du trafic Web.

Détection basée sur la modélisation

La modélisation définit un état normal dans des modèles mathématiques et détecte toute déviation au fil du temps. Un modèle au point peut être efficace lors de la détection des menaces inconnues, mais cette approche nécessite un réglage constant.

Par exemple, l’analyse du comportement des utilisateurs et des entités, ou UEBA, ainsi que la détection des anomalies comportementales sur le réseau (NBAD) sont des formes de détection des menaces qui emploient la modélisation.

Détection du comportement des menaces

La détection du comportement des menaces cible les tendances dans les comportements qui sont associés couramment à des mauvaises intentions. Elle codifie les techniques malveillantes de l’agresseur et va au-delà des indicateurs donnés pour signaler les actions qui s’alignent sur les tactiques, les techniques et les procédures des attaques (TTP). L’analyse comportementale des menaces peut saisir les tactiques des attaques, même pendant leur évolution.

Exemple : La tentative d’un agresseur d’obtenir des droits d’accès et de se déplacer latéralement dans un réseau correspond aux TTP courantes des attaques et déclenche une alerte en raison du comportement de la menace.

Renseignements sur les menaces

La vigie des cybermenaces mondiales rassemble et analyse en continu les données issues de diverses sources dans le monde pour repérer les menaces émergentes. Cette méthode permet de détecter les menaces en comparant l’activité réseau actuelle aux tendances mondiales et historiques, accélérant ainsi la reconnaissance des comportements anormaux ou les IOC.

Par exemple, en suivant les pics inhabituels dans le trafic réseau de plusieurs régions, cette approche peut mettre au jour des attaques DDoS coordonnées ou des attaques généralisées de logiciels malveillants.

Comment la gestion des menaces fonctionne-t-elle?

De nombreux systèmes complets de gestion des menaces suivent le cadre de cybersécurité (CSF) de l’Institut national des normes et de la technologie (NIST) afin de gérer de manière proactive les cybermenaces et de réduire les cyberrisques. Voici les principales fonctions : cibler les ressources, protéger les ressources, détecter les menaces, réagir aux événements, et reprendre les activités. Découvrez ci-dessous comment sont gérées les menaces à chaque étape.

Repérage

La première étape de la gestion des cybermenaces exige un inventaire complet des ressources essentielles de l’organisation. Cette fonction vous aide à comprendre votre environnement organisationnel, votre chaîne logistique, votre modèle de gouvernance et la gestion de vos ressources afin de déterminer les vulnérabilités, les menaces et les risques auxquels s’exposent vos ressources.

Protection

La fonction de protection concerne la mise en œuvre des outils, des processus et des solutions de sécurité pour protéger les renseignements sensibles et gérer les menaces et les vulnérabilités. Citons notamment les contrôles d’accès, la gestion de l’identité, la sauvegarde et la protection des données, la correction des vulnérabilités, et la formation des utilisateurs.

Détection

La fonction de détection utilise des outils de détection des menaces pour surveiller en continu les systèmes en quête de menaces potentielles. Ainsi, nous pourrons nous en occuper avant qu’un désastre survienne. Les informations sur les menaces, la recherche des menaces, l’analyse des utilisateurs et des comportements, la surveillance du réseau, et la surveillance des terminaux sont des exemples d’outils de détection des menaces qui permettent de repérer les menaces et de s’en occuper rapidement.

Intervention

Si un événement de sécurité est détecté, la fonction d’intervention aide les équipes à exécuter la bonne procédure. Il est important de créer un plan d’intervention en cas d’incident, de mettre à l’essai la procédure, de l’améliorer, et de communiquer avec les parties prenantes. Les solutions de détection des menaces et d’intervention peuvent optimiser le processus, par le repérage des menaces et par des interventions automatisées.

Reprise

La dernière étape de la gestion des menaces est le retour à la normale des systèmes après une attaque, une violation ou tout autre événement de cybersécurité. Le plan d’intervention en cas d’incident devrait comprendre des étapes pour rétablir rapidement les données, les systèmes et les opérations pour assurer la continuité des activités. Toute leçon apprise peut servir à mettre à jour le plan d’intervention en cas d’incident et à améliorer la gestion des menaces et la résilience de la sécurité.

Quels sont les différents types de gestion des menaces?

Gestion unifiée des risques liés à la sécurité (UTM)

La sécurité de l’UTM combine plusieurs services et fonctions de sécurité du réseau en une plateforme unifiée ou en un appareil pouvant être géré sur site ou à partir du nuage. Les fonctions de cybersécurité de l’UTM varient selon le fournisseur, mais souvent comprennent un VPN, le contrôle et la visibilité des applications, la protection contre les logiciels malveillants, le filtrage du contenu et des URL, les informations sur les menaces, et les systèmes de prévention des intrusions (IPS).

Cisco Managed Detection and Response (MDR)

Cisco MDR est un service de gestion des menaces dirigé par une équipe d’experts en sécurité compétents qui surveillent les données de sécurité 24 heures sur 24, 7 jours sur 7, afin de détecter les menaces et de s’en occuper rapidement. Cette solution tire profit des enquêtes humaines et des outils sophistiqués d’informations sur les menaces pour repérer les menaces qui ciblent les organisations et les contenir rapidement.

Cisco Extended detection and response (XDR)

La solution Cisco XDR offre une visibilité aux données sur les réseaux, les nuages, les terminaux et les applications. Elle utilise l’analyse et l’automatisation pour détecter, analyser, rechercher et corriger les menaces immédiates et potentielles.

Gestionnaire d’informations et d’événements de sécurité (SIEM)

SIEM est un outil de sécurité qui regroupe les données des événements et des journaux, les informations sur les menaces et les alertes de sécurité. Les logiciels de cybersécurité du SIEM appliquent des règles personnalisées pour hiérarchiser les alertes en cas de menaces, ce qui aide les professionnels en sécurité à mieux interpréter les données et à intervenir plus rapidement aux événements.

Orchestration, automatisation et intervention de sécurité (SOAR)

La pile technologique SOAR simplifie la gestion des menaces. Elle automatise les processus, orchestre les outils de sécurité et facilite les interventions en cas d’incidents. SOAR améliore l’efficacité en réduisant les tâches manuelles, en accélérant la résolution des incidents et en renforçant la collaboration entre les équipes responsables de la sécurité.

Gestion des vulnérabilités

La gestion des vulnérabilités est un élément proactif de la gestion des menaces, qui vise à réduire le risque d’exploitation. Les solutions de gestion des vulnérabilités favorisent le repérage, le suivi, la hiérarchisation et la correction des lacunes et des failles de sécurité dans les systèmes informatiques et les logiciels, afin de réduire le risque d’exploitation, les fuites de données et les cyberattaques.

Système de prévention des intrusions de nouvelle génération (NGIPS)

Le NGIPS offre une défense poussée contre les menaces en analysant les utilisateurs, les applications, les appareils et les vulnérabilités dans l’ensemble du réseau, pour les appareils sur site, l’infrastructure en nuage et les hyperviseurs courants. Le NGIPS soutient la segmentation du réseau, active la sécurité en nuage, et hiérarchise les vulnérabilités pour l’application des correctifs.

Protection avancée contre les logiciels malveillants (AMP)

L’AMP est un logiciel antivirus qui protège contre les menaces des logiciels malveillants sophistiqués. Ce logiciel protège les systèmes informatiques en repérant et en bloquant de manière proactive les virus logiciels dangereux, comme les vers, les rançongiciels, les chevaux de Troie, les logiciels espions et les logiciels publicitaires.

Pare-feu de nouvelle génération (NGFW)

Un NGFW est un dispositif de sécurité réseau qui applique les politiques de sécurité sur le trafic réseau pour autoriser le trafic ou bloquer les menaces modernes comme les attaques de la couche applicative et les logiciels malveillants sophistiqués. Un NGFW axé sur les menaces rehausse la connaissance du contexte, les mesures correctives dynamiques, et la corrélation des événements du réseau et du terminal qui affaiblissent la détection et par conséquent le temps de reprise.