EDR, XDR, SIEM, SOAR... les solutions qui permettent de détecter les événements de sécurité facilitent l'automatisation d’un très grand nombre d’opérations, la collecte de données, et la mise en place d’alertes au plus proche de la menace.
Néanmoins, et ce malgré l’intégration de l’Intelligence Artificielle, le rôle des analystes reste capital pour investiguer et remonter à la source d’un incident afin de le qualifier et agir.
La connaissance des risques cyber se trouve définitivement chez les experts (RSSI, SOC, etc.)
Les motivations d’une attaque peuvent être multiples et varient selon les secteurs : déstabilisation, menace, sabotage, vol de données, rançon...
Les cyberattaquants peuvent se classer en 3 catégories :
- les hacktivistes qui défendent leurs causes,
- les États qui peuvent chercher à déstabiliser des gouvernements ou des pays,
- et les cybercriminels qui ont des motivations purement financières.
Ainsi, selon le statut d’une organisation (établissement public, institution, grand groupe, PME / TPE...), les modèles de menace sont radicalement différents, et ils définissent les moyens à déployer pour y faire face.
Concrètement, un établissement de santé a davantage de risques d’être la cible d’une demande de rançon en échange de la remise en service d’un SI infiltré et contraint à une interruption, alors qu’une structure commerciale est plus à même d'être victime de mesures de représailles via une attaque DDoS pour rendre indisponible son site marchand.
Autre cas : les structures publiques ou privées détentrices d’informations sensibles peuvent être convoitées à des fins de revente sur le darknet.
Dans l'absolu, pour une organisation quelle qu’elle soit, outre la maîtrise du contexte cyber, la capacité de détection d’un incident le plus en amont possible contribue à endiguer le risque de façon optimale. Ainsi, ce qui est détecté et à quel moment est déterminant pour que les analystes puissent mener leur travail d’investigation - et l’EDR est évidemment l’une des pierres angulaires de ce processus.
Événement de sécurité : comprendre ce qui est détecté, et à quel moment
Le point d’entrée d’un attaquant oriente les informations à analyser.
Si un utilisateur signale une activité douteuse sur son poste de travail, un certain nombre de questions se posent :
- A-t-il ouvert une pièce-jointe envoyée par e-mail ?
- Quand ?
- De qui venait l’e-mail ?
- Ou a-t-il ouvert un document partagé sur un serveur commun ?
- Lequel ?
- Quand ce fichier a-t-il été déposé ?
- Par qui ?
Dans le cas où un outil de détection génère une alerte, il faut en premier lieu pouvoir la catégoriser : quelle est l’action ou le fichier qui éveille les soupçons ? Quand est survenu l’incident ? Sur quel fichier ou quel espace du SI ? Qui a réalisé cette action le cas échéant ?
Par exemple, si une alerte est générée à la suite de l’ouverture d’un fichier malveillant, c’est a priori le début de l’attaque, et l’isolation peut être rapide.
En revanche, si un comportement inhabituel est détecté sur le SI, comme un compte administrateur qui exécute des actions suspectes, c’est probablement le signe que l’attaquant a déjà avancé, et l’investigation peut être plus longue pour remonter son parcours.
Pour une investigation côté réseau, il est possible de déployer des sondes qui identifient les flux suspects. Par exemple, si un poste qui dialogue avec un site douteux : quel est le poste source ? Quelle est la destination du flux ? Ce site est-il déjà classé comme malveillant ? Depuis quand ?
Enfin, mentionnons le cas des attaques sophistiquées qui consistent à s’introduire dans un SI pour subtiliser des données furtivement, et donc parfois sans que personne ne s’en rende compte avant une longue période. Dans cette situation, l’analyste va devoir réussir à identifier des traces qui ont été masquées, comprendre depuis quand, trouver les moyens de détecter une compromission alors que les outils de détection ont été désactivés, à quel moment... ?
Dans tous les cas, l'agrégation et la corrélation des informations permettent de mener l’enquête et tirer les fils façon NCIS, Dr House ou Columbo (selon les générations). Et comme évoqué, plus la menace est détectée tôt, mieux elle peut être contenue.
Le rôle des outils de détection, et surtout des experts cyber
Face à la menace, les outils de détection et de remédiation sont essentiels, et l’expertise humaine est cruciale pour en tirer le meilleur. En effet, le rôle des experts cyber reste :
- d'identifier les solutions les mieux adaptées pour prévenir les risques,
- de configurer les règles de détection,
- d’opérer et superviser les outils,
- de créer et maintenir les whitelists,
- d’analyser les alertes et les contextualiser en vue d’intervenir si nécessaire (investiguer, bloquer, isoler, remédier...).
Conclusion : les outils facilitent le travail des experts qui restent irremplaçables
Vous l’aurez compris, les outils facilitent le travail des analystes, mais ils n’ont pas vocation à les remplacer. La connaissance et la compréhension du contexte, et les interactions avec les parties prenantes d’une organisation restent leur domaine.
Même avec le développement de l’IA ? Eh oui, plus que jamais ! L’IA facilite la remontée d’informations, mais ces informations ont toujours besoin d’être analysées à la lumière des connaissances métier. L’IA va pouvoir soutenir le travail des analystes pour :
- contextualiser des éléments disparates et identifier les signaux faibles ;
- contextualiser l’analyse en relevant automatiquement des corrélations, soit entre attaques similaires, soit entre comportements ;
- faire face à l’évolution de la menace grâce au ré-entraînement ;
- ajouter de nouvelles méthodes en complément de celles basées sur des heuristiques de détection.
En somme, si la détection peut être automatisée, l’humain reste détenteur de la connaissance métier, et de capacités qu’une machine ne pourra jamais égaler, telles que :
- analyser et préciser le contexte d’une alerte ;
- constituer des cellules de crise (décisionnaires, métier, techniques) pour prendre les décisions qui s'imposent en vue de gérer une crise ;
- définir les actions à entreprendre et mettre en place l’organisation interne et externe en cas d'attaque ;
- comprendre l’impact d’une attaque sur l’organisation et ainsi choisir d’isoler tout ou partie du SI ;
- corréler des idées et des informations pour mener l’enquête, et avoir des épiphanies qui poussent à explorer des pistes inédites ou inattendues !
En pratique, que fait notre IA ?
Entrez dans les coulisses :