logiciels vulnérables, attaques sans fichiers, ou comportements légitimes mais malveillants, l’arsenal des cyber criminels s’est largement étoffé. Quel est l'apport des solutions de MDR et XDR pour faire face à ces nouvelles techniques avancées ?
Benoît Grunemwald : Ces deux acronymes prennent la suite et complètent ce qu’on a initialement appelé l’EPP, ou plateforme de protection des terminaux. D’une part l’EDR « Endpoint Detection and Response » assure visibilité et contrôle étendu des ressources et d’autre part XDR correspond à eXtended Detection and Response. Pour ce dernier, il s’agit d’une agrégation de différentes solutions dotées de points de vue uniques et complémentaires sur les actifs de l’entreprise. Le XDR apporte une vue d’ensemble des activités du réseau et permet de réagir rapidement en cas d’alerte. L’objectif est de qualifier en incident ou en faux positif une alerte, le plus rapidement possible et de contenir une attaque naissante.
Deux portes d’entrées principales sont utilisées par les cybercriminels, les failles logicielles et l’ingénierie sociale. Vous qui chez ESET prônez la prévention, quels mécanismes préconisez-vous ?
Benoît Grunemwald : Nous recommandons de mettre en place un processus continu de découverte, d’évaluation et de correction des vulnérabilités. Pour cela nos outils de scan automatisés inventorient et détectent régulièrement les logiciels installés et leurs failles. A partir de ce constat, il devient possible de prioriser les correctifs selon leur criticité et déployer les patchs de sécurité de manière centralisée. Par ailleurs, nous recommandons de porter une attention particulière aux plateformes collaboratives, comme Microsoft 365 et Google Workspace. D’une part en activant l'authentification multi-facteurs et d’autre part en analysant les éléments hébergés ou partagés, en temps réel.
Quelles sont les limites de ces outils, sont-ils autonomes grâce à l’IA ?
Benoît Grunemwald : Tout ce que je viens de présenter n’a qu’un intérêt limité s’il n’y a pas une équipe humaine qui supervise et contrôle en temps réel toutes les informations qui sont remontées. C’est là que le MDR (Managed Detection and Response) intervient, puisque celui-ci désigne la délégation – partielle ou totale – de cette supervision à des professionnels. En accord avec les équipes du client, nos analystes, assistés par l’IA, réagissent aux alertes. Nous menons également des opérations, dites « threat hunting », c’est-à-dire d’aller traquer les menaces, parfois dormantes. Ces équipes très qualifiées ont une réelle plus-value, particulièrement quand on sait que de nombreuses attaques se manifestent tard le vendredi soir, lorsque les équipes locales ne sont déjà plus à leurs postes.
Analystes et outils s’appuient sur un élément essentiel, la cyber threat intelligence, c’est-à-dire la connaissance des attaquants et de leurs techniques. Quel est son apport au quotidien ?
Benoît Grunemwald : Depuis 35 ans nous qualifions et classifions des menaces et TTP (Tactiques Techniques et Procédures) au travers de nos treize laboratoires. Ceux-ci suivent à la fois des menaces grand public ainsi que de nombreux groupes avancés (APT). Cette connaissance nous permet de détecter des signaux faibles et de dessiner les tendances des menaces. Nous livrons ces renseignements au sein de rapports privés et de flux, qui sont utilisés par les équipes sécurité pour protéger leur SI. Nous publions également de nombreuses recherches en source ouverte sur notre blog, welivesecurity.com.
Pouvez-vous partager avec nous un cas client ?
Benoît Grunemwald : Nous sommes très fiers de la confiance que nous accorde la Gendarmerie Nationale française. Son parc, majoritairement Linux, est équipé avec les solutions ESET. Ils ont fait appel à notre technologie pour plusieurs raisons, dont principalement pour la qualité de notre détection et pour la robustesse globale de notre solution – c’est-à-dire sa simplicité de déploiement, sa facilité d’administration.