Conseils pratiques pour une détection efficace de l'exposition aux cybermenaces sur le Web visible et le Web clandestin – Enterprise Security Tech

Cet article a été initialement publié sur Enterprise Security Tech.

Une contribution de Mark McDonald.

Entre le Web visible et le Web clandestin, organiser la détection des cybermenaces peut sembler décourageant. L'internet est vaste. Par où faut-il commencer? Heureusement, il existe quelques mesures de base que les entreprises, indépendamment de leur taille et de leur maturité en matière de cybersécurité, peuvent prendre pour assurer une gestion efficace de l'exposition aux cybermenaces.

Définir les besoins prioritaires en renseignement (PIR)

« La sagesse consiste à savoir ce que l'on ne connaît pas. » (Socrates, traduction libre)

Les besoins prioritaires en renseignement (PIR), concept de nature militaire, sont essentiels à la cybersécurité et à la gestion des risques numériques. Ils répondent à une question fondamentale : « Qu'avons-nous besoin de savoir ? » Il est surprenant de constater que de nombreuses entreprises n'ont pas encore pris la peine d'en définir. La mise en place de PIR est cruciale, malgré le fait que leur élaboration puisse être intimidante pour les équipes de cybersécurité qui n'ont pas d'opérations de sécurité particulièrement développées ou de renseignement sur les cybermenaces. De nombreux PIR contiennent des renseignements techniques tels que des indices de compromission (IoCs), les TTP de MITRE ATT&CK ou des profils de cybercriminels. Cette démarche permet d'identifier clairement les types de cybermenaces à rechercher sur le Web visible et sur le Web clandestin.

Par exemple, un hôpital doit surveiller tout signe de fuite de données de patients sur le Web visible ou sur le Web clandestin. Aux États-Unis, c'est une violation des lois sur la santé telles que la Health Insurance Portability and Accountability Act (HIPAA). Voici un exemple simple de PIR pour un hôpital : « Nous devons être informés chaque fois que les données de nos patients sont délibérément ou accidentellement exposées sur le Web visible ou le Web clandestin. » La surveillance de sources sur le Web clandestin, comme les blogues sur les fuites de données rançongicielles, est un bon point de départ. Les données des patients sont susceptibles d'y être diffusées. Il est également prudent de balayer le Web visible à la recherche de documents produits par le centre hospitalier.

En ce qui concerne la protection de la marque, une grande marque de vente au détail comme Adidas ou Pepsi peut avoir des PIR différents. Avec des investissements massifs dans d'importants événements sportifs tels que l'Euro 2024 et les Jeux olympiques de Paris, ces entreprises doivent surveiller la contrefaçon de produits ou les sites Web frauduleux et imposteurs. À l'approche d'événements mondiaux, la probabilité de tels risques augmente. Les distributeurs doivent surveiller les conversations et les activités en ligne qui indiquent des risques potentiels sur la réputation de leur marque.

Pour établir des besoins prioritaires en renseignement (PIR), il n'est pas nécessaire de trop réfléchir ou de se préparer à outrance. Une entreprise peut commencer avec une simple liste - dix choses importantes à savoir en matière de cybersécurité - et développer ensuite à partir de ces critères.

Surveiller en priorité les expositions aux risques par vol d’identifiants

« Aujourd'hui, la tendance est à l'authentification plutôt qu'au piratage. » – Rapport sur les cybermenaces d'IBM X-Force

Il faut considérer la quantité de données hébergées dans les suites de logiciels-services d'entreprise tels que Microsoft 365, Google Workspace, Salesforce ou Atlassian. En termes pratiques, la seule chose qui s'interpose entre un cybercriminel et ces données, ce sont les contrôles d'identité.

Pour la majorité des entreprises, prioriser la détection des expositions aux risques par vol d’identifiants - telles que les fuites de données d'identification ou la compromission de profils utilisateurs (<i>stealer logs</i>) - obéit à la règle des 80/20 qui préconise de se concentrer sur les tâches qui génèrent le plus de résultats. Selon Verizon, sur l'ensemble des fuites en 2023, l'utilisation malveillante de données d'identification est l'action la plus observée. La surveillance et l'atténuation des expositions aux risques par vol d’identifiants sont susceptibles d'apporter les avantages les plus significatifs.

Comprendre les différents niveaux d'exposition aux risques par vol d’identifiants

Il est essentiel de comprendre que toutes les expositions aux risques par vol d’identifiants ne sont pas équivalentes. À un niveau élevé, il existe trois degrés d’exposition, chacun ayant des probabilités variables d'exploitation.

  • Premier degré : fuites d'identifiants facilement accessibles Ces identifiants sont souvent obsolètes ou largement diffusés, ce qui réduit le risque d'exploitation.
  • Deuxième degré : brèches récentes (nom d'utilisateur + mot de passe) Les brèches plus récentes avec des identifiants à jour représentent un risque modéré.
  • Troisième degré: compromission de profils utilisateurs (stealer logs) Le risque le plus élevé comprenant les noms d'utilisateur, les mots de passe, les témoins de connexion, l'historique du navigateur, etc. Ces données sont très faciles à exploiter, se vendent souvent rapidement, et ont été à l'origine des récentes brèches qui ont touché Ticketmaster et Santander Finance.

Utiliser l'automatisation pour la détection et la réponse aux risques par vol d’identifiants

La détection et la réponse à l'exposition aux risques par vol d’identifiants peuvent être considérablement améliorées grâce à l'automatisation. L'intégration de systèmes de gestion des informations et des événements de sécurité (SIEM), d'orchestration, d'automatisation et de réponse aux incidents de cybersécurité (SOAR), de détection étendue et de réponse (XDR) et/ou de services répertoires infonuagiques, peut optimiser le processus et accélérer les temps de réponse aux incidents.

Quelle serait la prochaine étape pour une entreprise?

Commencer par comprendre les lacunes de l'organisation et définir les PIR, c'est poser les bases d'une détection efficace des cybermenaces. Surveiller en priorité l'exposition aux risques par vol d'identifiants - en particulier les fuites de données d'identification - aura un impact considérable sur plusieurs programmes de cybersécurité. Une fois que ces éléments sont en place, élargir le champ de détection de l'exposition aux cybermenaces pour inclure des éléments tels que les blogues sur les fuites de données rançongicielles, les mentions de marques sur le Web clandestin, les fuites de données de services infonuagiques, etc.

Partager cet article

Rubriques connexes