Selon un rapport commandé par l’entreprise de sécurité Rapid7, 62% des entreprises déclarent qu’elles ont trop d'alertes à gérer, et que leurs systèmes de gestion de l'information et des événements de sécurité (SIEM) n’arrivent pas à suivre. La majorité des répondants, soit 54% des entreprises de sécurité interrogées, ont déclaré que leurs équipes pouvaient enquêter au plus sur une dizaine d'alertes chaque jour, parce que, de façon générale, les investigations prenaient beaucoup de temps.
« La plupart des processus de gestion des flux d'incidents ont été développés il y a longtemps. Ils n’ont pas été mis à jour ou ne sont pas en mesure de s’adapter aux volumes toujours plus importants, alors que dans le même temps elles ont introduit de nombreux outils d’alerte dans leur écosystème », a expliqué Matt Hathaway, directeur senior de la plateforme de développement de Rapid7. « Les entreprises de sécurité s’équipent de nouveaux systèmes d’alerte pour compléter les systèmes existants, mais leurs équipes d’analystes ne sont pas renforcées aussi rapidement, et cela devient ingérable. »
Des attaques très souvent indétectables
Selon le rapport, 90% des entreprises répondantes se disent préoccupées par les attaques utilisant des informations d'identification volées, et 60% reconnaissent qu'elles ne peuvent pas détecter ce type d'attaques. « Depuis plus d'une décennie maintenant, la détection d'intrusions s’est essentiellement focalisée sur les logiciels malveillants », explique Matt Hathaway. « Cette méthode d'attaque a perduré pendant longtemps », a-t-il ajouté. Mais les attaquants ont modifié leurs stratégies et ils utilisent désormais des identifiants volés à certaines étapes de l'attaque. « Or, pendant ce temps, nos systèmes de détection n'ont pas beaucoup évolué », a-t-il déclaré.
Une solution consiste à analyser le comportement de l'utilisateur pour repérer un usage inhabituel des informations d'identification et détecter une éventuelle compromission. Parmi les 40% de répondants qui ont assuré pouvoir détecter les attaques utilisant des identifiants volés, 27% ont déclaré qu’ils avaient mis en place un système d’analyse du comportement. « Les autres pensent qu'ils arrivent à détecter ces intrusions par d'autres moyens », a déclaré le directeur senior de la plateforme de développement de Rapid7. Enfin, seulement 21% des répondants ont déclaré qu'ils surveillaient l’usage des services cloud avec leurs systèmes de gestion de l'information et des événements de sécurité (SIEM), et 33% seulement ont déclaré avoir une visibilité sur les services cloud.
Les services cloud non approuvés à la porte de l’entreprise
Par ailleurs, 79% des répondants ont déclaré que leurs entreprises utilisaient des services cloud, et 60% d’entre eux ont répondu qu’ils n’autorisaient que les services cloud approuvés. Cependant, ces réponses ne reflètent pas nécessairement l’usage réel des services cloud par les entreprises. En effet, les chiffres de la Cloud Security Alliance montrent qu’en général, elles sous-estiment l’usage des services cloud d’un facteur huit. Selon le rapport, les équipes de sécurité doivent faire face à plusieurs défis : tracer les services cloud utilisés par les employés, gérer les identifiants de sécurité, tracer les connexions et être capables de réagir de façon appropriée. Par exemple, si un employé se connecte au réseau de l’entreprise avec ses identifiants depuis son bureau, et si, quelques minutes plus tard, il se reconnecte avec ces mêmes identifiants en passant par un service cloud comme Office 365 depuis un ordinateur localisé en Asie, il y a peut être un problème. « Ce type de cas est souvent évoqué par notre base d'utilisateurs », a déclaré Matt Hathaway. « Très souvent également, les gens ne comprennent pas la nature du risque introduit par certains individus qui utilisent des services cloud qui ne sont pas gérés par l'entreprise elle-même ».
Commentaire