Twitter Youtube Linkedin
Contactez-nous

Cybersécurité : risques et menaces

En 2021, 95% des comités de direction mettent dans leur agenda les enjeux CyberSécurité contre 25% en 2017 ! (McKinsey)

Identification des menaces
par la Direction Générale de l'entreprise

Alignement des enjeux de l'entreprise et risques cyber
par le DSI & RSSI

Mise en pratique des solutions adaptées
par les équipes sécurité opérationnelles

Des enjeux multiples pour votre entreprise

Selon votre rôle au sein de l’entreprise, la sécurité est un enjeu perçu de différentes façons.
Comment transposer les risques identifiés au niveau de l’entreprise en risques cyber puis en solutions opérationnelles ? Gatewatcher vous aide à y voir plus clair.

Identifier votre niveau
de risque cyber

Aligner enjeux d’entreprise
et risques cyber

Mettre en pratique les solutions
de sécurité adaptées

Identifier votre niveau de risque cyber

Parmi les risques cyber abordés en réunion de comité de direction :
Vol de données, cyberespionnage : impact sur l’image de l’entreprise

Le vol de données à des fins d’espionnage ou de rançon, quel qu’il soit, est une atteinte à la liberté d’entreprendre. Il peut concerner les données personnelles clients ou employés, les brevets, les secrets industriels, les données sensibles, la propriété intellectuelle…
Lorsque les données volées sont ensuite publiées ou vendues sur le dark web, les conséquences, tant en termes d’image que financières, sont considérables.

Comment éviter les interruptions de service ?

Pour toute entreprise, l’arrêt ou le blocage de la production d’une usine, d’une chaîne de traitement avec un ou plusieurs partenaires économiques, le site e-commerce… sont un véritable fléau. Toute interruption ou entrave au fonctionnement des opérations implique l’impossibilité de livrer les commandes clients comme prévu au planning. Pourtant, bon nombre de sites e-commerce ont dû suspendre leur activité suite à des attaques cyber… Le risque est donc bien présent !

Gouvernance et Sécurité : contrôler en confiance

Le principe de gouvernance de la sécurité est en jeu. Piloter les règles d’entreprise, se doter de process et d’outils adaptés est essentiel. Leur mise en œuvre est importante également. Par exemple comment prendre contrôle sur le Shadow IT ? Aujourd’hui, certains départements de l’entreprise ont en effet un large choix dans l’utilisation des outils cloud / SaaS, sans nécessairement passer par les contraintes sécurité mises en place par la DSI pour préserver l’entreprise.

Attaquant interne : Comment l’anticiper ?

Malheureusement, le risque cyber peut aussi venir de l’intérieur. Malgré les efforts des entreprises sur la définition de politiques internes de sécurité, de profils, de droits d’accès et d’habilitation, ce risque reste omniprésent. Si la question de savoir qui peut accéder à quoi, quand à partir d’où, il s’agit également de savoir comment déterminer si des comportements anormaux sont, ou non, des menaces.

Obligations légales : se mettre en conformité

En France comme à l’étranger, les lois et réglementations contraignent les entreprises dans des secteurs considérés comme sensibles à s’équiper avec des solutions certifiées. La loi de Programmation Militaire, en France, est un parfait exemple.

Découvrez nos solutions

Aligner enjeux d'entreprise et risques cyber

DSI, RSSI comment aligner ces enjeux de sécurité de l’entreprise avec le développement des infrastructures pour le déploiement de nouveaux services ? Des enjeux d’entreprise aux questions clés de la cybersécurité, Gatewatcher vous donne des pistes de réflexion.

Réduire l’exposition au risque d’attaque de type menaces avancées (APT)

Selon IDC, 8 entreprises sur 10 estiment que le risque qu’elles soient exposées à des attaques ciblées augmente au cours du temps. Mais la détection des attaques de type APT reste un sujet compliqué. En effet, nombre d’outils de détection d’attaques de type APT sont souvent impuissants face aux binaires encodés, malgré le fait que cet artifice soit principalement utilisé aujourd’hui pour éviter d’être repéré.

 

Consulter le rapport cyberattaque Sunburst

On ne sait pas ce qu’on ne sait pas : comment contextualiser les attaques ?

Les marqueurs des menaces et des attaques se multiplient et prennent des formes de plus sophistiquées. Les origines des menaces sont multiples et peuvent avoir été repérées par d’autres entreprises …sans même que vous ne le sachiez lorsque vous y êtes confrontés ! Les outils de Threat Intelligence sont aujourd’hui des compléments indispensables à une détection performante d’attaques.

Trop d’alertes à gérer réduisent la capacité de réaction

Selon IDC, l’automatisation contribuera au succès de la gestion de la sécurité IT pour 7 entreprises sur 10. L’automatisation via l’IA est prometteuse pour rationaliser les alertes et apporter un premier niveau d’informations sur les menaces les plus avancées. L’objectif est le suivant : il s’agit de se concentrer sur l’essentiel et améliorer la prise de décision.

 

Rediffusion du Webinaire : Usages de l’I.A face aux cyberattaques

Choisir une solution « tout-en-un » ou préférer une combinaison de briques ?

Les menaces cyber, qu’elles soient d’origine interne ou externe, profitent toujours d’une faiblesse dans une architecture technique en place, voire dans les logiciels installés eux-mêmes. Dans la plupart des cas, ces menaces utilisent votre réseau informatique pour se diffuser. Il faut savoir placer ses éléments de sécurité le plus en amont possible pour éviter des conséquences de propagation. Les solutions de détection doivent ainsi être placées au niveau réseau, et non seulement au niveau des postes utilisateurs individuels, niveau auquel il est bien souvent trop tard.

Rediffusion du webinaire : 3 étapes pour bien configurer ses sondes de détection

Élaborer la bonne infrastructure pour anticiper les menaces

En France comme à l’étranger, les lois et réglementations contraignent les entreprises dans des secteurs considérés comme sensibles à s’équiper avec des solutions certifiées. La loi de Programmation Militaire, en France, est un parfait exemple.

Découvrez nos solutions

Mettre en pratique les solutions de sécurité adaptées

Prenez un temps d’avance face aux menaces cyber : Gatewatcher accompagne les équipes Sécurité et les SOCs dans la mise en œuvre opérationnelle de solutions. Voici 5 exemples concrets de solutions et leurs avantages.

Repérer une attaque par ransomware en temps réel

Comment opère un ransomware ?

Les attaques par ransomware font exécuter à la victime un logiciel chiffrant les données et demandant une rançon. Alors qu’il est aisé de reconnaître un ransomware lorsqu’il est passé à l’action, il est bien plus difficile de le déceler en amont, car les différents composants utilisés sont souvent camouflés pour contourner les défenses en place.

Détecter les agissements qui trahissent un ransomware

Un système de défense efficace doit surveiller simultanément plusieurs points d’entrée (serveurs de messagerie etc…), et détecter les agissements des attaquants pour télécharger, chez la victime, le logiciel malveillant qui exécutera le chiffrement. Les agissements menés, tout comme les tentatives de communication du logiciel, vers l’extérieur, en plus du logiciel en lui-même, sont autant d’éléments qui trahissent la présence du ransomware avant sa phase de malveillance.

Notre réponse : détecter les révélateurs pour agir à temps

Nos solutions de détection sont capables de détecter les éléments propres à ces attaques par ransomware : récupération de la clé sur un C&C, identification de flux SMB suspicieux ou détection de pièces jointes malicieuses dans un courriel. La plateforme vous donne l’avantage pour réagir le plus tôt possible, tant sur l’aspect purement exploit de ces attaques que sur la partie malwares.

Points clés :

Détection des mouvements silencieux sur le SI et des techniques d’exploitation obfusquées

Détection des ransomwares avant leur exécution

Évite une perte de contrôle de votre SI et les dommages financiers / de réputation

Pour en savoir plus :

Produits : Trackwatch, Aioniq

Guide pratique : Comment détecter les menaces avancées ?

Guide pratique Ransomware

IDENTIFIER LES VIOLATIONS DES POLITIQUES DE Sécurité

Favoriser une approche déterministe de la détection ?

Une approche efficace de la détection sur réseau consiste à maximiser votre visibilité sur les actions malicieuses et suspectes en cours, en évitant un nettoyage chronophage des faux positifs engendrés par des outils non qualifiants ou trop holistiques.

Le respect de la PSSI souvent limité par le manque de visibilité

Lorsqu’il s’agit de rédiger et contrôler le respect de la PSSI, les organisations font souvent face à la même problématique : un manque de visibilité sur les assets et le réseau de manière plus générale. Ce manque de visibilité empêche une juste appréciation des risques et résulte souvent sur le déploiement d’un système de détection trop peu paramétré en fonction du SI à surveiller. Inévitablement, cela induit un bruit dans les alertes et un système de détection souvent délaissé à long terme.

Notre réponse : Détecter les violations de la PSSI

Les solutions Gatewatcher réalisent un inventaire de l’ensemble de votre trafic réseau. À partir de ces informations, votre équipe SSI peut établir les événements redoutés et mettre au point la politique de sécurité. Il s’agit alors de mettre en place de manière immédiate un ensemble de règles issues de la cartographie.

Points clés :

Le résultat opérationnel est un contrôle exhaustif et sans aléas de votre trafic

Toute tentative de violation de votre politique de sécurité sera immédiatement remontée par une alerte

Pour en savoir plus :

Produits : Trackwatch, Aioniq

Mettre en conformité ses SIIV avec la Loi de Programmation Militaire

Que demande la loi de programmation militaire aux OIV ?

La Loi de Programmation Militaire exige des organisations publiques ou privées qui opèrent des activités indispensables au pays (OIV) qu’elles renforcent la sécurité de certains de leurs systèmes d’information, également appelés systèmes d’information d’importance vitale (SIIV). Ceci passe notamment par l’installation de sondes de détection. Derrière cette obligation transparaît la volonté de créer une filière souveraine de la cyberdéfense en France et d’augmenter la résilience des systèmes d’information des OIV.

Choisir une sonde qualifiée par l’ANSSI

Une sonde de détection qualifiée est un équipement de sécurité du réseau, « on-premise », pouvant analyser en temps réel l’activité du réseau afin d’y détecter des tentatives d’intrusion. L’ANSSI a conduit en laboratoire une série de tests de sécurité sur des équipements soumis par des éditeurs. Ceux qui réunissaient les exigences de résilience du logiciel et du matériel présenté ont pu obtenir cette qualification.

Notre réponse : Une conformité pérenne sans compromis de performance

Intégrant des impératifs de durcissement logiciel et matériel dans la conception même de ses solutions, la plateforme de détection Trackwatch® possède la qualification élémentaire de l’ANSSI. A ce titre, elle vous permet de vous mettre en conformité avec la Loi de Programmation Militaire (LPM). Trackwatch® offre des facilités d’intégration unique sur le marché : agrégation native RxTx, haute scalabilité et déploiement simple dans une architecture de type PDIS.

Points clés :

Une conformité à la LPM simple et performante sur le plan de la détection

Des produits qualifiés sur le long terme

Pour en savoir plus :

Produit : Trackwatch

Guides pratiques : Les obligations des OIV dans le cadre de la Loi de Programmation Militaire

Détecter l’exploitation d’une vulnérabilité par un shellcode

Qu’est qu’un shellcode ?

Un shellcode est une technique d’exploitation d’une vulnérabilité, qui consiste en une chaine de caractères formant un code binaire exécutable. Ce code, fourni par l’attaquant, va exploiter la vulnérabilité en forçant la machine à l’exécuter, généralement par le biais d’une injection dans sa mémoire au moyen d’un dépassement de tampon (buffer overflow). Le résultat dépendra de l’objectif visé par l’attaquant et peut, par exemple, être la prise de contrôle d’une interface en ligne de commande.

Quels sont les dangers des shellcodes et de leurs évolutions contemporaines ?

Les shellcodes sont souvent l’élément commun invariable aux attaques dites 0-days, c’est-à-dire les attaques cyber qui exploitent une vulnérabilité encore inconnue. Ces dernières sont indétectables en elles-mêmes, car imprédictibles. Ainsi la lutte la plus efficace consisterait à observer le payload originel, injecté pour exploiter la vulnérabilité.

Notre réponse : se prémunir contre les shellcodes encodés et polymorphiques

Nos solutions uniques sur le marché sont capables de repérer des shellcodes qui utilisent un encodage, d’émuler ce dernier et de le traduire de manière intelligible à un analyste. Notre moteur anti-shellcodes prend en charge l’ensemble des principaux encodages disponibles sur les plateformes type Metasploit, ainsi que les générateurs polymorphiques.

Points clés :

Détection de tous les types de shellcodes et notamment des plus invisibles : encodés, polymorphiques, customisés…

Très faible taux de faux positifs sur le module Codebreaker

Participe à la lutte contre les attaques 0-days

Pour en savoir plus :

Produits : Trackwatch, Aioniq

Guide pratique :  Comment détecter les shellcodes encodés ?

Prendre un temps d’avance sur les menaces avec plus d’intelligence

Pourquoi la Threat Intelligence est complémentaire à vos solutions de cybersécurité ?

Un parc de solutions de cybersécurité n’est jamais infaillible face à des menaces très récentes ou résurgentes. Une source externe de Threat Intelligence permet d’apporter de nouvelles données, extérieures à celles de l’éditeur d’une solution et complémentaires par leur nature, leur source et leur contexte. Une Threat Intelligence complémentaire permet de surcroît de bénéficier d’informations sur les dernières menaces pesant sur une industrie en particulier.

Optimiser son parc avec un Machine Readible Threat Intelligence feed (MRTI)

Un flux de Threat Intelligence, dit MRTI, donne de l’information sur les menaces directement assimilables par vos équipements de détection (sondes, SIEM…). Cette Threat Intelligence dite « technique » permet d’augmenter simplement l’efficacité de vos solutions en améliorant la connaissance du paysage des menaces et en réduisant le bruit. Vous pouvez également automatiser votre hunting afin de réduire le temps de détection d’incidents. Elle augmente la contextualisation des informations et réduit les faux positifs sans modifier vos process en place.

Notre réponse : une solution sans contraintes

Avec le l’offre de flux LastInfoSec, optimisez sans contrainte l’efficacité de détection de vos équipements sans modifier de process : le flux est proposé dans un format très standardisé (StixV2) et vient s’intégrer directement dans vos équipements. Les bénéfices sont immédiats et la réactivité de la solution la positionne à la pointe du marché. Contextualisez vos alertes grâce à l’ajout de nouvelles informations extérieures, augmentez la capacité de détection via des IOC extra récents…

Points clés :

Intégration simple sans modification de vos process

Flux de données entièrement qualifiées et validées pour réduire les faux positifs

Enrichissement de vos alertes pour une meilleure réactivité de vos équipes

Format d'export utilisable par les solutions de cybersécurité sans interaction humaine

Contextualisation des informations facilitant le travail des équipes SoC

Pour en savoir plus :

Produits : Lastinfosec

Rediffusion des webinaires : Automatiser la détection et la réponse à incident grâce à la Cybersécurité,
IDS Next-Gen+CTI+SIEM pour améliorer la détection et l’investigation des cyberattaques