À propos du client
- MSSP allemand dont les clients fournissent des services essentiels dans les secteurs de la finance, de l'énergie, de la santé, de l'industrie manufacturière et des biens de consommation courante.
- Les services comprennent la gestion continue de l'exposition aux cybermenaces (CTEM), la gestion de la surface d'attaque externe (EASM), la gestion des vulnérabilités, la surveillance en temps réel du Web clandestin, les tests d'intrusion et l'audit de code.
« En raison des lois européennes et allemandes sur la protection des données, nos clients souhaitent bénéficier d'une couverture complète et comprendre parfaitement leur exposition aux cybermenaces externes. La mise en service d'un système automatisé de surveillance des identités est une décision logique pour notre équipe et nos clients. »
– Directeur de la technologie, MSSP allemand
Assurer une surveillance conforme à la politique
L'Union européenne (UE) a pris la tête du mouvement en faveur de la protection des données et de la réglementation en matière de cybersécurité. En 2018, le règlement général sur la protection des données (RGPD) a créé des exigences juridictionnelles extraterritoriales générales visant à protéger les citoyens de l'UE, quel que soit leur lieu de résidence, et les personnes résidant dans l'UE, quel que soit leur statut de citoyenneté. En 2022, la Commission européenne a mis à jour ses directives sur La sécurité des réseaux et des systèmes d'information (NIS2) et a exigé des pays membres qu'ils adoptent des lois d'application afin d'harmoniser la conformité dans toute l'UE en 2024. Pour ajouter à cette avalanche de réglementations, la loi européenne sur la résilience opérationnelle numérique (DORA), spécifique aux services financiers, est entrée en vigueur le 17 janvier 2025.
Au-delà de ces différentes exigences réglementaires, la détection proactive des cybermenaces et la gestion des risques constituent un point commun fondamental. Par exemple, la directive DORA inclut une définition des « tests d'intrusion basés sur les cybermenaces » comme un cadre imitant les tactiques, techniques et procédures (TTP) des cybercriminels, informations issues du renseignement sur les cybermenaces. Par ailleurs, la directive NIS2 exige des entreprises qu'elles fournissent des rapports d'incident en fonction du niveau de gravité de la cybermenace, y compris un rapport final dans le mois suivant la soumission de la notification, qui contient le type de cybermenace ou la cause à l'origine de l'incident.
Alors que les organisations de toute l'UE s'efforcent de mettre en place les contrôles appropriés, beaucoup ont constaté que leurs processus antérieurs de collecte de renseignement sur les cybermenaces et de surveillance du Web clandestin manquaient de précision et d'efficacité.
Défi: les processus manuels sont inefficaces et font perdre du temps
En tant que MSSP basé en Allemagne, notre client travaille avec des organisations issues de plusieurs secteurs hautement réglementés qui répondent à la définition d'infrastructures critiques, tels que les services financiers, l'énergie, la santé et l'industrie manufacturière. Ces clients doivent se conformer aux lois européennes sur les données ainsi qu'à la loi allemande sur la sécurité informatique 2.0, qui a élargi les exigences en matière d'audit par des tiers pour ces clients. En raison de ces exigences de conformité, les clients du marché allemand sont très sensibles à la confidentialité et à la collecte des données.
La plupart des identifiants compromis ou volés des clients se trouvaient dans des fuites sur le Web visible, sur des forums du Web clandestin ou des canaux Telegram illicites. Cependant, le MSSP était confronté à des processus manuels longs et coûteux qui limitaient le balayage des données à deux fois par an, ce qui prenait 1 à 2 jours. L'organisation trouvait fastidieux de maintenir à jour une liste des adresses Tor, des canaux Telegram et des forums du Web clandestin, car ceux-ci changent constamment. Les chercheurs en cybersécurité devaient réexaminer plusieurs ressources avant de se lancer dans une véritable enquête: le MSSP avait du mal à obtenir des informations en temps réel sur les cybercriminels.
Afin d'offrir à ses clients la surveillance proactive qu'ils souhaitaient et dont ils avaient besoin, ce client a recherché une solution de renseignement sur les identités.
Implémentation: une visibilité accrue presque instantanée
Après avoir vu la solution de Flare en action, le MSSP s'est inscrit à l'essai gratuit qui offrait un accès illimité à la plateforme et aux fonctionnalités complètes. Après un processus d'intégration facile, notre client a obtenu des avantages quasi instantanés en détectant rapidement de nombreuses cybermenaces jusque-là inconnues, notamment des appareils compromis.
Alors que le MSSP avait accès à un grand nombre de sources du Web clandestin avant Flare, il pouvait désormais effectuer une surveillance en temps réel. Au cours de la phase de démonstration, l'entreprise a acquis des connaissances qui lui ont apporté des avantages significatifs, notamment:
- La surveillance des domaines typosquattés;
- L'identification des domaines enregistrés pour mener des attaques d'hameçonnage ciblées contre des clients;
- La confirmation de l'exactitude des sources de données.
Les équipes de tests d'intrusion du MSSP ont considérablement accéléré leur collecte d'informations en utilisant les capacités d'automatisation et les sources de données substantielles de Flare, ce qui leur a permis de mener des attaques plus sophistiquées. À l'image d'un véritable testeur d'intrusion, le client a partagé ses ressources antérieures avec Flare, ce qui a contribué à l'amélioration de la plateforme Flare. L'expertise de ce client en matière de sécurité offensive a favorisé un partenariat fantastique pour les deux entreprises!
Au final, ce client a choisi Flare en raison de sa facilité d'utilisation et de son modèle de tarification simple offrant un meilleur rapport qualité-prix, les offres des concurrents étant plus coûteuses par identifiant.
« Bien sûr, le processus d'intégration a été très simple. Nous avons apprécié que tout ce que nous avions configuré dans la version d'essai gratuite et la démo
ait été transféré vers la phase de production afin que nous puissions passer directement à la surveillance des données d'identité. Dans d'autres expériences de démonstration, nous avions tout perdu et avions dû tout recommencer. »
– Directeur de la technologie, MSSP allemand
Avantages: développement des affaires, génération de revenus et renforcement de la sécurité
Après avoir configuré l'environnement de démonstration, notre client a pu transférer tous le travail et toutes les données de son compte d'essai gratuit vers son compte d'abonné, simplifiant ainsi le processus d'intégration. Grâce à Flare, ce MSSP est en mesure d'automatiser la surveillance du Web visible et du Web clandestin, ainsi que de structurer les données parcellaires. En tant que plateforme API complète, cette entreprise a pu créer des outils et des solutions personnalisés autour de Flare, même pendant la phase d'essai. À mesure qu'elle développait ses capacités, elle a exploité les fonctionnalités d'IA de Flare pour prendre des décisions rapides et éclairées sur la base de grands volumes de données.
En tant que client Flare, le MSSP surveille ses propres domaines et marques déposées, renforçant ainsi son propre programme de sécurité.
Récemment, la plateforme Flare a envoyé une alerte de faible priorité, signalant un conteneur ouvert dont le nom de fichier contenait le nom de son entreprise. Lors de l'enquête menée par le client:
- Ils ont découvert que l'alerte avait identifié une image du logo de l'entreprise partagée avec des identités externes;
- Au fur et à mesure de ses investigations, ils ont identifié un autre conteneur S3 mal configuré contenant des données critiques provenant d'un nouveau fournisseur;
- Ils ont signalé le problème au fournisseur et l'équipe de ce dernier a résolu le problème avant la fin de la journée.
Bien que le conteneur S3 n'ait été exposé que pendant deux jours, la surveillance en temps réel de Flare a permis une réponse rapide qui a protégé les données critiques. À présent, le fournisseur est un client satisfait du MSSP, car il a pu constater la valeur ajoutée apportée par la plateforme Flare.
En intégrant Flare à ses services, notre client a développé son activité, au point d'avoir même une liste d'attente pour sa nouvelle offre de renseignement sur l'identité qui comprend la surveillance du Web clandestin. Grâce à Flare, qui élimine les processus manuels de collecte d'informations, les analystes en sécurité du MSSP peuvent se concentrer sur la vérification des alertes afin de fournir à un plus large éventail de clients un service sans faux positifs. Ils proposent également un produit autonome de surveillance du Web clandestin destiné aux petites entreprises et aux organismes gouvernementaux.
Looking Ahead
À l'avenir, le MSSP entend élargir son offre en se concentrant sur les secteurs de la santé et des infrastructures critiques. Les nouvelles réglementations européennes imposent aux organisations de signaler rapidement les incidents. Cependant, ces organisations réglementées ont souvent du mal à trouver et à retenir du personnel qualifié possédant une expérience spécialisée dans leur secteur. Pour répondre à ces besoins, notre client prévoit d'exploiter les capacités de Flare avec sa plateforme de renseignement sur les cybermenaces afin d'intégrer davantage de tâches automatisées. En outre, il prévoit de signaler les événements critiques à ses experts internes chargés des tests d'intrusion et de la cyberdéfense.
