Fidèle à son thème « La résilience cyber », notre conférence sur la cybersécurité a permis de disséquer l’évolution rapide du paysage des menaces grâce aux idées et aux informations fournies par un panel d’experts et de praticiens de la sécurité. Ils ont notamment mis en lumière les lacunes existantes et la nécessité d’une meilleure utilisation des renseignements sur les menaces (Threat Intelligence).

Voici les cinq points à retenir de cette journée consacrée à la cyber-résilience organisée à Breda en collaboration avec notre client CM.com et réunissant un panel d’experts en cybersécurité :

• Victor Acin, Responsable de la recherche sur les menaces chez Outpost24 ;
• Lennart Branderhorst, Responsable des renseignements sur les menaces chez DNB ;
• Francisco Dominguez, Recherche et innovation chez Hunt & Hackett ;
• Sandor Incze, RSSI chez CM.com.

Les traffers franchissent une nouvelle étape dans le vol de données d’identification

Le vol d’informations d’identification reste la principale méthode de cyber-attaque, mais la professionnalisation croissante des groupes cybercriminels, en particulier la montée en puissance des traffers, introduit une nouvelle dynamique dans l’écosystème du vol d’informations d’identification.

Les traffers sont des groupes cybercriminels très organisés. Ils diffusent différents types de familles de logiciels malveillants dans le but d’exfiltrer des informations d’identification à des fins lucratives. Leur structure, semblable à celle d’une entreprise, comprend une chaîne complexe de fournisseurs de produits et de services, afin de diffuser les logiciels malveillants aussi loin et aussi largement que possible, ainsi que la gestion d’un espace dédié à la vente d’informations d’identification volées.

Les KrakenLabs d’Outpost24 surveillent de près plusieurs groupes de traffers, en recueillant des informations sur les forums et les canaux Telegram, ainsi qu’en obtenant et en analysant des échantillons de logiciels malveillants provenant de différentes sources. Nous continuerons notre surveillance de ces groupes dans le cadre de notre solution de renseignement sur les cybermenaces, afin d’aider les organisations à améliorer leur posture de cybersécurité grâce à la détection des menaces en temps réel et à une remédiation plus rapide.

En savoir plus sur les tendances en matière de cybersécurité sur le dark web – La menace croissante que représentent les traffers par Victor

La plupart des entreprises n’ont pas encore compris comment utiliser les renseignements sur les menaces à bon escient

Alors que l’expression renseignement sur les menaces n’est plus à la mode, il n’existe toujours pas de norme commune pour exploiter efficacement le renseignement sur les menaces en temps réel. La plupart des entreprises sont submergées de données et peinent à en tirer des informations exploitables. On parle là d’un travail difficile, sachant que sans les bons processus et outils, il n’y aura pas de retour sur investissement. Avant de vous lancer dans l’achat d’une solution de veille sur les cybermenaces pleine de promesses, posez-vous les questions suivantes :

• Quels sont les besoins de mon entreprise et les cas d’utilisation de la veille sur les menaces ?
• Comment mesurer l’impact de la veille sur les menaces sur mon dispositif de sécurité ?
• Quel est le niveau de maturité de mon entreprise en matière de sécurité et de quel type d’informations sur les menaces ai-je besoin ?
• Ai-je mis en place les processus nécessaires et recruté les bons talents pour traiter les données relatives aux menaces ?
• Suis-je conscient des limites du renseignement sur les menaces et de ce qu’il peut m’apporter ?

En résumé, vous devez bien réfléchir à la valeur de la veille sur les menaces et à ce qu’elle peut apporter à votre organisation. De nombreuses solutions ne sont pas en réalité des solutions de type « as-a-service » et nécessitent que vous mobilisiez des compétences en interne. Si vous devez externaliser cette expertise, assurez-vous de vous adresser à un fournisseur ayant une expérience des services gérés ou à un MSSP capable de répondre aux besoins de votre organisation. Découvrez l’intervention de Francisco.

DORA, NIS2 et TIBER : les prochaines normes en matière de cyber-résilience en Europe

La pression autour de la cybersécurité et de la confidentialité des données est de plus en plus forte pour les industries réglementées. Sans parler de la nouvelle loi sur la résilience opérationnelle numérique (DORA) et de la directive sur la sécurité des réseaux et de l’information (NIS 2) qui entreront en vigueur d’ici la fin 2024, en parallèle du cadre pour le Threat Intelligence-based Ethical Red Teaming (TIBER). Au cours de la discussion de groupe, de nombreux participants ont exprimé leur inquiétude quant à la complexité et aux implications en termes de budget et de ressources nécessaires pour se conformer à ces nouvelles normes. La meilleure façon d’avancer est de bien comprendre ce qu’impliquent les nouvelles normes réglementaires et d’y préparer votre organisation étape par étape.

• Assurez-vous que l’hygiène cybernétique de votre organisation est en ordre grâce à :
  • Une évaluation régulière ou continue de la vulnérabilité ;
  • Un contrôle d’accès vérifié ;
  • Un accès limité aux privilèges ;
  • Le maintien des systèmes et les logiciels à jour ;
  • Un contrôle, une analyse et un audit les journaux ;
  • Un renforcement des mots de passe ;
  • Une gestion proactive des risques.
• Commencez par les exercices ART (Advanced Red Teaming). TIBER deviendra une norme non seulement dans les secteurs de la finance et de l’assurance, mais aussi dans les secteurs réglementés tels que la santé et l’administration publique. ART est une version allégée de TIBER qui permettra aux organisations de tester leurs protections, procédures et réponses à un niveau supérieur avant de passer à la version plus contraignante de TIBER.
• Identifiez vos fournisseurs essentiels et parlez avec eux de leurs politiques de sécurité. Depuis les attaques de SolarWind, Kaseya et Mimecast, il est plus important que jamais de protéger la chaîne d’approvisionnement et de s’assurer que les entreprises avec lesquelles vous travaillez sont aussi engagées que vous en matière de cybersécurité.

Comment cela fonctionne-t-il dans la vie réelle ? Dans le secteur financier, les tests TIBER sont déjà effectués à des degrés divers. Lennart, du programme pionnier TIBER-NL, coordonné par la Cyber Unit de la NederlandscheBank (DNB), partage son expérience de première main sur les défis des tests TIBER : il peut être assez difficile d’arriver à exploiter les renseignements sur les menaces lors des phases de tests et dans un système qui met en place des tests récurrents, on peut trouver les données sur les menaces répétitives, rassemblées à de longs rapports, ce qui complique encore davantage la tâche d’en tirer des conclusions significatives. Cette norme émergente qui doit encore être affinée.

Plus d’informations sur « Le bon, la brute et le truand des tests TIBER » de Lennart

L’achat d’outils de sécurité supplémentaires ne rendra pas votre organisation plus sûre

Les entreprises ont à leur disposition plus d’outils de sécurité que jamais. Pour autant, cela ne les rend pas plus sûres. Sandor, CISO de CM.com, explique que les entreprises sont souvent trop aveuglées par les nouvelles technologies et en oublient les principes fondamentaux. Il donne un aperçu des principaux éléments constitutifs du programme de cybersécurité d’une entreprise publique.

• Assurer l’essentiel : une hygiène de base en matière de sécurité protège encore contre 98 % des attaques. CM.com prend son hygiène de sécurité très au sérieux et utilise différents outils et méthodes de tests de sécurité afin d’identifier les risques en permanence et de renforcer son dispositif de sécurité.
• Surveillance proactive des menaces : en tant que société cotée en bourse et partenaire technologique clé du Grand Prix de Formule 1 aux Pays-Bas, son risque de cyberattaque n’a jamais été aussi élevé. En parallèle des meilleures pratiques en matière de cyberhygiène, CM.com exploite également les renseignements sur les menaces pour surveiller de manière proactive les menaces externes (menaces persistantes avancées, mentions indésirables dans les forums du dark web et infections potentielles par des logiciels malveillants) qui pourraient présenter un risque pour ses activités.

Plus d’informations sur le programme de sécurité sur CM.com avec Sandor.

Construisez votre programme de sécurité en fonction du niveau de maturité de votre organisation

En conclusion, il n’existe pas de solution miracle en matière de cybersécurité, pas plus que de solution unique. Les organisations doivent examiner leur niveau actuel de maturité et déterminer comment elles peuvent intégrer le renseignement sur les menaces dans leur programme de tests de sécurité.

Les étapes importantes pour accroître le niveau de maturité sont les suivantes :

• Obtenir une bonne vue d’ensemble des tech-stack et des actifs numériques ;
• Définir les politiques et les procédures de sécurité ;
• S’assurer de l’existence d’un bon processus de gestion des risques de la chaîne d’approvisionnement ;
• Déterminer son goût du risque et procéder à une analyse de l’impact sur l’entreprise ;
• Créer des programmes de sensibilisation des utilisateurs ;
• Définir le rôle du RSSI ;
• Obtenir l’adhésion de la direction/du conseil d’administration et se mettre d’accord sur les indicateurs de performance clés (KPI) ;
• Planifier la continuité des activités ;
• Planifier des essais de cas de crise ;
• Sur le plan technique, la mise en œuvre de :
  • CMDB et classification des actifs ;
  • Systèmes de sauvegarde et de récupération ;
  • Segmentation du réseau ;
  • Gestion de l’identité et de l’accès ;
  • Gestion des correctifs et des vulnérabilités ;
  • Journalisation et surveillance ;
  • Utilisation d’outils de découverte pour déterminer la surface d’attaque ;
  • Tests de pénétration continus ;
  • Un service SOC (géré).

Les services financiers, la santé, le commerce de détail et les administrations publiques restent les plus vulnérables aux cyberattaques. Le modèle de maturité des tests de sécurité ci-dessus fournit des clés pour déterminer leur niveau de maturité actuel et son évolution, afin de prévenir les incidents préjudiciables qui pourraient compromettre votre sécurité et vos opérations commerciales dans leur ensemble.

En tant qu’expert en tests de cybersécurité et en gestion des risques, Outpost24 propose une gamme de solutions de tests de sécurité automatisés et manuels pour une évaluation proactive des risques et des tests de conformité. Abordons ensemble la question de votre pentesting et l’étendue de l’évaluation Red Team afin d’améliorer votre maturité en matière de sécurité.