Au-delà de la guerre des images, la guerre d'influence fait rage en 2022. On connaissait le pouvoir des fake news sur les élections démocratiques, la guerre en Ukraine révèle de nouveaux cyber pièges redoutables. Messageries et réseaux sociaux diffusent les propagandes, collectent les opinions et projettent des attaques ciblées. La Russie, les pays de l'OTAN, la Chine et le Japon rivalisent d'ingéniosité en la matière ; plutôt que de bloquer les systèmes d'information de leurs opposants, ils s'appuient sur eux pour diffuser de nouveaux chevaux de Troie.

Etape #1 : Avant l'attaque, on reste en veille sur les menaces (phishing, ransomware, etc.), on sensibilise ses collaborateurs et on établit un plan de gestion de crise cyber pour assainir la situation. Ce plan précise les infrastructures, services applicatifs et données à rétablir en priorité, mais aussi les messages à transmettre aux clients et aux autorités légales. L'un de ses composants est le PRA (plan de reprise d'activités) qui détaille les actions à mener pour redémarrer, en mode dégradé parfois, les services numériques essentiels aux activités métiers. Il précise notamment les tests à faire sur les données sauvegardées et les procédures de restauration adaptées, puis détaille les étapes clés pour remettre en production l'ensemble des services informatiques.

La métrique aide à comparer le niveau de sécurité de son système d'information à la moyenne du secteur d’activité. Elle peut guider vers les actions prioritaires à mener pour optimiser sa résilience en cas d'attaque. Le cyber-assureur compte sur le cyber-rating pour devenir le tiers de confiance numérique de ses clients, recommander de bonnes pratiques et de noveaux tests réguliers pour la continuité des activités.

91% des entreprises sur le marché utilisent des macs, et 99% d’entre elle utilisent un iPhone ou un iPad. Avec un taux de pénétration en explosion, les cybermenaces et cyberattaques spécifiques fulminent, les appareils Apple devenant des cibles de choix pour pirater les données d’entreprise. Alors comment prévenir et contrer les cyberattaques sur son parc Apple ? Quelques éléments de réponses autour des solutions Jamf contre les menaces réseau, la protection des mobiles, le ZTNA ou encore la sécurisation de l’authentification des appareils

Les cyber-attaques sont devenues, en l’espace de quelques années seulement, la raison principale de protéger et sécuriser les données d’entreprise. Néanmoins, la sauvegarde a longtemps été traitée comme une finalité, laissant facilement, mais pas forcément à raison, penser que sauvegarder ses données de manière traditionnelle suffirait à se relever à la suite d’une cyber-attaque. Pour bâtir un plan de remédiation efficace, il est aujourd’hui nécessaire d’envisager la protection et la sécurisation des données non plus comme une finalité, mais comme un moyen au service de l’élaboration du plan de réponse.

La hausse du nombre d’attaques de ransomware réussies s’inscrit dans un environ­nement de menaces de plus en plus complexe : en 2021, 57 % des organisations ont constaté une augmentation du volume de cyberattaques*. Ceci reflète le succès croissant du modèle de Ransomware-as-a-Service (RaaS) qui étend considérablement la portée des ran­somwares. Lors de cet atelier, découvrez les bénéfices d’un centre d’opérations de sécurité (SOC) instantané et les avantages pour les clients. *Source : L’état des ransomwares 2022

Une nouvelle session de networking qui vous permettra d'aller à la rencontre de nos partenaires et de networker entre pairs.

Etape #2 : Pendant l'attaque, un travail d'enquête minutieux - l'analyse forensic - consiste à examiner les journaux systèmes et les consoles de supervision des infrastructures, fermes de serveurs, postes de travail et environnements applicatifs. La réunion de signaux faibles aide à établir la preuve d'une attaque, et à déterminer les systèmes et sous-réseaux impacté. On peut ainsi isoler les segments infectés du S.I. des segments encore sains, et mettre en quarantaine les systèmes contaminés. L'intervention d'experts systèmes, réseaux et cybersécurité est très appréciée dans ce contexte.

L’antimalware a-t-il vraiment atteint ses limites, faute d'IA ou d'apprentissage automatisée ? Les éditeurs de solutions XDR (extended detection and response) prétendent offrir une détection plus rapide des menaces et une réponse plus efficace aux incidents. L'EDR (endpoint detection and response) - et le MDR pour sa version managée - conditionnent-ils la résilience du S.I. moderne ? Quels sont les caractéristiques et compléments incontournables ?

L'accent sera mis sur l'importance de l'aspect managé d'une solution EDR et de ce qu'une telle solution de sécurité des endpoints apporte de plus par rapport à des solutions anti-malware traditionnelles. Seront également évoqués le type d'entreprise susceptible d'adopter un EDR managé et mises en lumière toutes les réponses qu'une telle solution est en mesure d'apporter aux entreprises ayant fait le choix de l'adopter.

« Les ransomwares ont démocratisé le vol de données. En effet, il suffit que les données ciblées aient suffisamment de valeur pour que les victimes acceptent de payer une rançon pour les récupérer. Ce modèle de ransomware remporte un franc succès malgré des investissements toujours plus élevés dans les technologies de défense et de sécurité. Veeam® considère qu’une sauvegarde sécurisée est votre dernière ligne de défense contre les ransomwares. Notre approche définie par logiciel garantit votre indépendance vis-à-vis du matériel propriétaire et fonctionne avec votre architecture actuelle, sur site comme dans le cloud. Veeam s’engage à vous aider à minimiser les temps d’arrêt et les pertes de données, et vous évite ainsi de payer une coûteuse rançon, quoi qu’il arrive. »

Etape #3 : Le volet déclaratif de l'attaque est essentiel. Il est à prendre en compte le plus tôt possible. Il s'agit d'informer les clients concernés par une interruption de services. C'est le bon moment pour suggérer une bascule provisoire vers un site sain où la réplication de workloads permettra un redémarrage rapide d'activités, en particulier si l'on estime que les équipements et systèmes impacté ne seront pas rétablis avant plusieurs jours. En cas de fraude financière ou de fuite de données à caractère personnel, l'incident doit être déclaré aux autorités compétentes : la CNIL, ou l'ANSSI pour les OIV notamment. La multi-conformité règlementaire s'appuie sur des référentiels SSI internationaux, français et de branche d'activités.e

Le développement d'applications cloud-native accélère la mise à disposition de nouveaux services novateurs, déployés sur site ou sur des infrastructures tierces. Générateurs low code / no code, frameworks de développement, et plateformes-as-a-service rivalisent d'agilité et d'évolutivité. Mais que se passe-t-il une fois les codes mis en production, en cloud hybride ou multi-cloud ? Le partage de responsabilité entre prestataires est-il toujours aussi clair ?

Pour faire face aux attaques, l’une des conditions essentielles à la protection des données, est avant tout de bien les identifier, les localiser et les maitriser. C’est dans ce contexte que Commvault se distingue et vous permet de mieux préparer vos environnements : sur site ou dans le Cloud

Nos deux experts aborderont l'importance du R c'est-à-dire de la Réponse apportée par une solution EDR managée, qui se doit d'aller bien au-delà d'une remédiation basique reposant essentiellement sur de simples alertes. L'objectif étant en effet que le produit combiné au service managé soit en mesure de bloquer le plus large spectre possible d'attaques. Seront également mis en exergue les avantages procurés par un EDR managé en cas d'attaque, et évoquées les options de reprise d'activités susceptibles d'être envisagées en complément d'une telle solution.

Tout le monde connaît aujourd’hui la notion de "Surface d'Attaque", mais les attaquants ne s’arrêtent pas à la surface. Dans leur mode opératoire, ils essayent de se frayer des chemins dans votre infrastructure, afin d’avancer et atteindre leur(s) cible(s). Découvrir les vulnérabilités de votre système d’information est une étape importante, mais les lier entre elles afin de découvrir ces chemins d’attaques vers vos assets critiques est exactement l’enjeu actuel. Comment alors identifier et prioriser les chemins d’attaques avant qu’ils ne soient exploités ?

Etape #4 : après l'attaque, les actions de remédiation sont de nature techniques et juridiques. Elles visent à limiter les conséquences de l'attaque et les préjudices subis par l'organisation et son écosystème. En suivant le plan de gestion de crise établi préalablement, on réduit l'impact des coupures de services sur les clients, sur les employés et sur les partenaires qui sont en mesure d'utiliser une partie du S.I. en temps normal. Le suivi juridique consiste à vérifier les clauses contractuelles des hébergeurs, éditeurs SaaS et opérateurs cloud. Il pourra déclencher, le cas échéant, une réclamation de pénalité aux sous-traitants négligeants, proportionnelle au préjudice (pertes d'exploitation, de temps, de clients, etc.).

Une politique de sécurité du système d'information se révèle efficace si, après la cyberattaque, la reprise des activités informatiques est rapide et sans préjudice. En amont, l'équipe cyber doit mener des missions toujours plus variées, les attaquants atteignant un niveau de professionnalisme inégalé. En quoi consistent ces missions de bug bounty et quel est le rôle de la Red team ? Faut-il développer de telles compétences en interne, dans son écosystème ou faire appel aux hackers éthiques ?