Cette entreprise manufacturière mondiale fournit des emballages de protection à l'international à de multiples secteurs d'activité, afin que les marchandises précieuses de ses clients restent sûres et intactes pendant le transport.
À propos du client
- Fournisseur mondial d'emballages de transport avec un chiffre d'affaires de plus de 2 milliards de dollars
- Près de 10 000 employés répartis sur six continents et 100 établissements
- Nous servons des clients dans des secteurs tels que la métallurgie, l'industrie pharmaceutique, l'agroalimentaire, la construction, le commerce électronique et l'ingénierie.
Défi : Manque de visibilité sur les menaces externes, notamment celles provenant de tiers
L'équipe de cybersécurité de l'entreprise avait mis en place une infrastructure solide, comprenant la protection des terminaux, des pare-feu et une gestion des menaces basée sur l'identité. Cependant, lors d'un examen approfondi de leur modèle de menaces suite à la prise de fonction du responsable du SOC, une lacune critique est apparue : ils manquaient de visibilité sur les menaces externes, l'activité du dark web et les identifiants divulgués susceptibles de servir de points d'entrée aux acteurs malveillants.
L'équipe de sécurité disposait de capacités limitées en matière de renseignement sur les menaces externes. Bien qu'elle possédât des outils de gestion des risques fournisseurs permettant d'identifier les compromissions chez les fournisseurs, ces solutions présentaient des limitations importantes :
- Détection inexacte des domaines similaires : Les alertes concernant les domaines suspects arrivaient souvent trop tard, les domaines étant déjà inactifs au moment où l'équipe pouvait enquêter.
- Aucune surveillance du dark web : Aucune visibilité sur les fuites d'identifiants, les fuites de données de Rançongiciels ou les discussions sur le marché clandestin ciblant leur organisation
- Évaluation fragmentée des fournisseurs : Difficulté à établir un lien entre les incidents de sécurité des fournisseurs et les risques potentiels pour leur propre environnement
- Posture réactive : Je constate des échecs de connexion dans les journaux, mais je ne comprends pas pourquoi les identifiants étaient ciblés.
L'équipe savait qu'elle avait besoin d'une solution capable de fournir une gestion complète de l'exposition aux menaces et une surveillance du dark web afin de perfectionner davantage son programme de sécurité.
Mise en œuvre : Des résultats impressionnants dès le premier jour
L'équipe a évalué plusieurs solutions et a finalement choisi Flare pour sa transparence, ses options de personnalisation et son approche pragmatique. Contrairement aux plateformes concurrentes qui s'appuyaient sur des notifications par e-mail et des processus opaques, Flare offrait un accès direct aux données grâce à un tableau de bord intuitif et une intégration API robuste.
Preuve de concept : découverte immédiate de la valeur
Au cours de cette phase de validation de concept de 30 jours, l'équipe a mis au jour des problèmes de sécurité critiques qui étaient pourtant évidents :
- Échecs de connexion mystérieux : Établir des liens entre les alertes d'échec de connexion et les identifiants divulgués, et comprendre pourquoi certains comptes étaient ciblés.
- Pratiques de mots de passe faibles : Les utilisateurs ayant incrémenté leurs mots de passe (motdepasse1, motdepasse2, motdepasse3) ont été identifiés, puis une politique de changement de mot de passe plus stricte et une formation proactive de sensibilisation à la sécurité ont été mises en place.
- Infrastructure inconnue : Découverte d'anciens portails de connexion sans protection MFA, oubliés par les équipes informatiques
- Visibilité sur GitHub : Découverte d'un dépôt GitHub contenant des informations sensibles accessibles publiquement.
- Risques liés aux fournisseurs : Nous avons constaté qu'un important fournisseur disposait d'appareils vulnérables au protocole RDP avant l'annonce de sa fuite de données, ce qui a permis d'engager des discussions proactives avec les fournisseurs concernant l'évaluation de leurs pratiques.
- Domaines similaires : Nous avons identifié des domaines usurpant l'identité de l'entreprise et avons même trouvé un domaine légitime dont personne ne connaissait l'existence.
Intégration et Onboarding
L'équipe a choisi Flare plutôt que ses concurrents pour plusieurs raisons clés :
- Sources de données transparentes : Contrairement à ses concurrents qui gardent leurs sources secrètes, Flare indique ouvertement d'où proviennent ses données.
- Contrôle pratique : Accès direct pour personnaliser les indicateurs et les filtres, sans dépendre d'un tiers pour tout gérer par e-mail
- Intégration SIEM : Possibilité d'ingérer directement les journaux dans Microsoft Sentinel pour une détection unifiée des menaces
- Confiance et transparence : Un concurrent a été disqualifié après avoir divulgué des informations concernant d'autres clients dans les métadonnées de documents.
Peu après sa mise en place, un fournisseur tiers a subi une importante attaque de Rançongiciels qui a exposé des données clients. Grâce aux capacités de surveillance de Flare, l'équipe de sécurité a pu récupérer ses données et celles de sa société mère avant même que le fournisseur ne les en informe. Cette détection proactive a attiré l'attention de la direction et a démontré un retour sur investissement évident.
Avantages : Améliorations opérationnelles continues
Depuis sa mise en œuvre, l'équipe de sécurité a été composée de :
- Réduire les faux positifs : Le navigateur d'identifiants doté de filtres de politique de mots de passe élimine automatiquement les alertes concernant les identifiants non conformes aux normes de l'organisation.
- Remédiation en masse : Marquer plusieurs anciens identifiants comme corrigés simultanément, évitant ainsi les alertes en double.
- Amélioration des opérations quotidiennes : La recherche Threat Flow, basée sur l'IA, fournit des mises à jour pertinentes pour les réunions quotidiennes.
- Consolidation des flux : Toutes les informations sur les menaces alimentent Microsoft Sentinel, ainsi que d'autres données de sécurité.
- Évaluation des risques liés aux fournisseurs : La surveillance continue du niveau de sécurité des fournisseurs éclaire les décisions d'achat
- Détection des « inconnues inconnues » : La découverte continue d'adresses IP exposées, d'actifs oubliés et de tentatives d'usurpation d'identité de marque comble une lacune critique en matière de sécurité des données dont ils ignoraient l'existence.
Assistance à un fournisseur pour atténuer les risques liés à une attaque de Rançongiciels
Lorsqu'un fournisseur a été victime d'une attaque par rançongiciel et n'a pas pu identifier le point d'entrée, le responsable du SOC a effectué une recherche dans Flare et a découvert de nombreux identifiants divulgués, ainsi que les URL associées. Certaines de ces URL étaient encore fonctionnelles malgré les affirmations du fournisseur selon lesquelles tous les mots de passe avaient été réinitialisés. L'exposition d'un seul fournisseur peut rapidement devenir un risque pour l'ensemble de votre organisation ; la visibilité sur les menaces provenant de tiers est donc un élément essentiel de tout programme de sécurité.
Perspectives d'avenir : Sécurité des données
Pour cette multinationale manufacturière, le passage d'une visibilité externe limitée à une gestion complète de l'exposition aux menaces a profondément transformé le fonctionnement de son équipe de sécurité. Ce qui n'était au départ qu'une preuve de concept de 30 jours a rapidement mis en lumière des identifiants divulgués, une infrastructure oubliée et des risques liés aux fournisseurs passés inaperçus, transformant ainsi des « inconnues inconnues » en informations exploitables. Aujourd'hui, notre client bénéficie d'une visibilité accrue sur les menaces qui s'étendent du web classique au dark web, et l'équipe est passée d'une approche réactive à une approche proactive d'identification et de traitement des vulnérabilités avant même qu'elles ne deviennent des incidents. Elle a notamment découvert une faille de sécurité majeure chez un fournisseur avant même que celui-ci ne la divulgue.
Alors que l'organisation concentre désormais ses efforts sur la sécurité des données et la protection des fichiers sensibles, Flare continuera de jouer un rôle dans l'amélioration de la visibilité des fichiers divulgués présentant des classifications de sensibilité spécifiques.
