La cybersécurité dans la cinquième révolution industrielle

Participez au débat sur l’impact des changements rapides sur la société et les entreprises, qui poussent à développer une cybersécurité plus performante et efficace.

Imaginez votre vie sans ordinateur et sans aucun des appareils numériques que nous considérons aujourd’hui comme acquis. Si vous dressez un inventaire, combien y a-t-il de ces appareils dans votre entreprise, à votre domicile et sur vous en ce moment même ? Réfléchissez à présent à l’expérience des générations précédentes : leurs loisirs, leurs voyages, leurs communications et même des choses simples comme la lecture d’un journal ou d’un livre.

Les révolutions industrielles transforment les vies et offrent d’excellentes possibilités de croissance aux individus comme à la société. Nous en avons connu cinq jusqu’à présent, la première ayant débuté vers 1750 et la cinquième il y a seulement quelques années. Nous savons donc très bien en reconnaître les implications et en absorber les avantages. Nous maîtrisons également l’évolution des énormes perturbations qu’elles entraînent.

Première et deuxième révolutions : l’évolution des industries

La première révolution industrielle a annoncé une vague massive d’innovations. Des usines ont fleuri dans les grandes villes, et les gens ont commencé à produire plus de produits que jamais auparavant. Mais à mesure que la productivité augmentait, le nombre d’emplois diminuait et le niveau de vie de certains segments de la société chutait fortement. La société (et l’économie) a fini par créer de nouveaux emplois au service des industries lourdes naissantes. Les entreprises avaient besoin de plus de personnel qualifié pour construire les machines qui fabriquaient d’autres machines. Les emplois bien rémunérés sont ainsi revenus et la société a retrouvé son équilibre.

C’est alors qu’est apparue la deuxième révolution industrielle, également appelée « révolution technologique », car elle a marqué le début d’une phase de découvertes scientifiques rapides et de normalisation industrielle. De la fin du XIXe siècle à la première partie du XXe siècle, la production de masse a transformé les usines en convoyeurs de productivité. En conséquence, si nous avons traversé une nouvelle phase de pertes d’emplois et de bouleversements sociétaux, nous avons également observé une augmentation du nombre de travailleurs hautement qualifiés et d’emplois mieux rémunérés, permettant de meilleures conditions de logement et une plus grande mobilité.

Troisième et quatrième révolutions : l’évolution de la société moderne

La troisième révolution industrielle a débuté à la fin du XXe siècle, lorsque le besoin d’une meilleure automatisation a déclenché l’avènement de l’électronique, puis des ordinateurs, et enfin l’invention d’Internet. Les avancées technologiques ont amorcé une transformation économique fondamentale et, avec elle, une plus grande volatilité. En outre, de nouveaux modes de communication ont convergé avec une urbanisation mondiale galopante et de nouveaux schémas énergétiques comme les énergies renouvelables.

Puis est arrivée la quatrième révolution industrielle, qui, selon certains, a pris fin juste avant la pandémie. La frénésie des avancées technologiques de la période précédente a facilité l’introduction de l’informatique personnelle, des dispositifs mobiles et de l’Internet des objets (IoT), des évolutions qui nous ont contraints à redéfinir les frontières entre les mondes physique, numérique et biologique. Les progrès réalisés en matière d’intelligence artificielle (IA), de robotique, d’impression 3D, de génie génétique, d’informatique quantique et d’autres technologies sont venus s’ajouter aux pressions sociales qui ont brouillé les frontières traditionnelles jusqu’à la confusion.

La cinquième révolution industrielle : la fusion sociétale

De nombreux penseurs mondiaux estiment que nous sommes au cœur de la cinquième révolution industrielle (également appelée « 5RI »), qui a inauguré de nouveaux paramètres de productivité allant au-delà de la mesure de la production des humains et des machines sur le lieu de travail. Dans ce contexte, nous assistons à une fusion des capacités humaines et de l’efficacité des machines. Les sphères physique, numérique et biologique sont désormais interchangeables et entremêlées. Il ne s’agit donc pas seulement de connecter des personnes à des machines, mais aussi de connecter des appareils à d’autres machines, le tout au nom de la créativité et de la productivité humaines.

Un aspect remarquable de la 5RI est qu’elle se produit à un rythme sans précédent. Par exemple, sous l’effet de la pandémie de COVID, les réseaux à distance et les communications sans fil ont connu un essor considérable, le télétravail devenant une réalité permanente pour les salariés occidentaux ; le lieu de travail et le domicile ont ainsi fusionné. Et cette fusion s’est accompagnée d’une autre fusion, entre l’école et le domicile cette fois. Mais d’autres fusions sont plus difficiles à discerner, comme l’information et la désinformation, les actualités et la propagande, l’action politique et le terrorisme, etc., ce qui nous amène à la fusion entre criminalité et cybersécurité.

Connaître et explorer les impacts de la 5RI et de la cybersécurité

Il est intéressant de noter qu’un très fort pourcentage des attaques réussies de ransomware tient au fait que les gens contournent ou ignorent les protocoles de cybersécurité simplement parce qu’ils ne pensent pas pouvoir en être victimes. Il en va malheureusement de même pour les organisations qui n’ont pas encore donné la priorité à la mise à jour de leur technologie de sécurité. De nombreux propriétaires et dirigeants ne comprennent pas les menaces et sont convaincus que seules les grandes entreprises peuvent être touchées. Les rapports sur les menaces actuelles prouvent que le réflexe d’éviter et d’esquiver une meilleure cybersécurité est une erreur, et c’est la partie avec laquelle nous avons le plus de mal.

La question à 10,5 milliards de dollars (le coût annuel estimé de la cybercriminalité d’ici 2025) est de savoir quels efforts nous allons déployer pour rectifier cette tendance. La cybercriminalité est l’un des produits dérivés les plus complexes de nos « révolutions ». Face à la multiplication des nouvelles menaces, la technologie et les comportements évoluent rapidement. En assumant nos responsabilités et en déployant de nouvelles technologies de cybersécurité, nous pourrons atténuer les risques actuels.

Pour en savoir plus, réservez votre place pour l’épisode 9 de notre série MINDHUNTER en juin prochain.

Qu’est-ce que le cryptojacking et en quoi affecte-t-il votre cybersécurité ?

Comment savoir si le cryptojacking nuit à votre activité ? Apprenez à déceler les infections et à déployer des solutions pour protéger votre réseau et vos terminaux.

D’abord la bonne nouvelle : la cryptomonnaie est une valeur sûre de la finance mondiale. Très mobile, elle est stable, s’échange pour des produits et des services et gagne en popularité auprès du grand public.

Il peut également s’agir d’un outil d’investissement très lucratif pour les plus audacieux. Bien sûr, des fortunes se gagnent et se perdent en un clin d’œil, car beaucoup des cryptomonnaies émises (bitcoin, ether ou cardano, par ex.) sont extrêmement volatiles, avec des valeurs pouvant parfois atteindre d’un coup des sommets astronomiques, avant de rechuter au plus bas en quelques jours ou semaines. Cependant, il existe d’autres moyens moins casse-cou de s’enrichir grâce aux cryptomonnaies. L’un deux se nomme le « cryptominage ».

Qu’est-ce que le cryptominage ? Explication

Le cryptominage est un processus consistant à valider des transactions en cryptomonnaie dans des registres publics distribués. Chaque transaction est reliée à la précédente et à la suivante, créant ainsi une chaîne d’enregistrements horodatés. C’est ce qui constitue ce qu’on appelle une « blockchain ».

L’un des avantages du cryptominage, c’est que n’importe qui peut participer sans investir dans la monnaie. Par exemple, si vous minez des bitcoins, vous recevez des bitcoins en rémunération pour avoir réalisé des blocs de transactions vérifiées ajoutés à la blockchain. Il faut environ dix minutes pour traiter un bloc de monnaie.

Tout ce qu’il vous faut, ce sont quelques connaissances sur la manière de vous connecter au réseau de la cryptomonnaie, une connexion fiable à Internet, un ou deux serveurs décents et une alimentation électrique solide. Plus vous pouvez mobiliser de puissance de serveur pour votre opération de cryptominage (légitime), plus vous pouvez traiter de blocs et plus vous récoltez d’argent.

Mais, et c’est au tour de la mauvaise nouvelle, il y a un hic. Les mineurs ne gagnent de l’argent que lorsqu’ils ont achevé le traitement des données plus vite que d’autres. Or ils sont des centaines à essayer de traiter le même bloc simultanément. Les mineurs cherchent donc constamment à accroître leur « hashrate », ou taux de hashage (mesure de la puissance de calcul d’un ordinateur pour traiter des blocs). Plus le nombre de calculs produits chaque seconde est élevé, plus vous gagnez d’argent.

Certaines personnes contournent entièrement le processus légitime et se tournent vers le « cryptojacking ».

Pourquoi le cryptojacking constitue une menace montante.

C’est très simple : le cryptojacking n’est rien d’autre que du cryptominage, mais où l’on utilise l’ordinateur que quelqu’un d’autre sans sa permission. Généralement, les victimes n’ont aucune idée de ce genre d’abus, souvent le fruit d’un logiciel malveillant introduit par une attaque de phishing ou autre piratage.

SonicWall a commencé à suivre les tendances du cryptojacking en avril 2018. À cette époque, l’entreprise avait enregistré près de 60 millions d’attaques de cryptojacking en une seule année. Mais, comme il est décrit dans le Rapport SonicWall 2022 sur les cybermenaces, les prix des cryptomonnaies ont atteint de nouveaux records en 2021, et avec eux, les actes de piratage ont explosé, à 97 millions, soit une augmentation de près de 62 % depuis 2018.

Cryptojacking is on the rise

À la différence des ransomwares, qui dépendent de la visibilité des messages de phishing, les cryptojackers œuvrent à l’arrière-plan, totalement invisibles. Le seul moyen de déceler que votre réseau ou vos appareils sont touchés, c’est de surveiller le diagramme de performances des processeurs, ou peut-être de vous apercevoir qu’un ventilateur tourne plus fort que d’habitude.

Sur les deux dernières années, nous avons observé une tendance des équipes de ransomwares à passer à d’autres activités telles que le cryptojacking. Pourquoi ? L’une des raisons apparentes est que le retour sur investissement d’une souche de ransomware (qui a coûté des mois de développement) diminue dès lors qu’elle se retrouve dans les flux de services publics comme VirusTotal.

Comme toute personne qui gère une affaire rentable, les cybercriminels font preuve d’agilité et de flexibilité dans leur travail. Il est donc tout naturel qu’ils recherchent activement différents moyens d’atteindre leurs cibles financières. Le cryptojacking offre cette agilité, dans la mesure où il est relativement facile à déployer en parallèle d’autres activités criminelles.

L’attrait du cryptominage

Il ne coûte presque rien et ne présente quasiment aucun risque. Rien d’étonnant à ce que les cybercriminels manifestent un grand intérêt pour le cryptominage en tant que modèle de base. Une bonne partie de l’opération est automatique, le logiciel s’en charge. À noter, cependant, que la volatilité des cryptomonnaies ainsi que l’augmentation des coûts de l’énergie exercent actuellement une forte pression sur les mineurs. En 2018, il était possible de gagner, en toute légalité, 100 dollars/jour, mais aujourd’hui, ce profit a été divisé par deux, et il est devenu plus complexe et difficile de rester dans la légitimité.

En conséquence, selon le rapport sur les menaces de SonicWall, le cryptojacking est de nouveau en hausse. Au premier trimestre 2021, 34,2 millions d’actes de cryptojacking ont été observés, un record trimestriel depuis le début des enregistrements de SonicWall. Mais ce qui est plus inquiétant, c’est que le pire mois en 2021, en matière de cryptojacking, fut de loin le mois de décembre, avec 13,6 millions d’attaques enregistrées. Même si décembre 2021 n’éclipse pas les 15,5 millions du mois de mars 2020, il obtient une confortable deuxième place au palmarès et annonce, en comparaison, un début tout sauf optimal pour 2022.

Suis-je infecté par un malware de cryptojacking ?

Les cryptomineurs s’intéressent à votre puissance de traitement, et les cryptojackers doivent agir en toute discrétion. Donc, la quantité de ressources de processeur prélevée va dépendre de leurs objectifs.

S’ils détournent moins de puissance, ils sont plus difficiles à remarquer par les utilisateurs peu suspicieux. Mais s’ils volent davantage, ils augmentent leurs gains. Bien sûr, dans un cas comme dans l’autre, il y aura un impact sur les performances, mais le seuil étant assez bas, il peut être difficile de distinguer l’activité de minage de celle d’un logiciel régulier.

En entreprise, les administrateurs peuvent ouvrir l’œil sur les processus inconnus dans leur environnement. Les utilisateurs finaux de logiciels Windows peuvent, quant à eux, lancer Sysinternals Process Explorer pour voir ce qui est en cours d’exécution. Les utilisateurs de Linux et macOS peuvent enquêter, respectivement, avec System Monitor ou Activity Monitor, pour la même raison.

Comment se prémunir contre les cryptojackers ?

La première étape de défense contre le cryptojacking consiste à stopper ce type de malware à la passerelle, via les pare-feux ou le service de sécurisation de messagerie (sécurité du périmètre), ce qui est l’un des meilleurs moyens d’écarter les menaces sur fichier connues.

Les gens étant enclins à réutiliser de l’ancien code, il est relativement simple d’attraper des cryptojackers. Selon les prévisions de SonicWall cependant, il devrait y avoir une recrudescence de variantes et de techniques de cryptojacking, les auteurs ayant le temps de développer davantage d’outils. De plus, le cryptojacking pourrait aussi devenir une méthode de choix pour les malfaiteurs du fait de son caractère masqué ; des dommages faibles et indirects aux victimes réduisent le risque d’exposition et étendent la durée de vie utile d’une attaque aboutie.

Si la souche de malware est inconnue (nouvelle ou mise à jour), elle passera outre les filtres statiques au niveau de la sécurité du périmètre. Si un fichier est inconnu, il sera acheminé vers une sandbox afin d’en inspecter la nature.

Le service multi-moteur SonicWall Capture Advanced Threat Protection (ATP), équipé de la technologie Real-Time Deep Memory Inspection (RTDMI)™, est extrêmement efficace dans la prévention des malwares évasifs, qui sauront peut-être déjouer un moteur, mais pas les autres.

Si l’un de vos terminaux ne se trouve pas derrière cette configuration type (mais par exemple en itinérance à l’aéroport ou dans un hôtel), vous devez déployer un produit de sécurité des terminaux incluant la détection comportementale.

Les cryptomineurs peuvent opérer dans le navigateur ou être livrés via une attaque sans fichier, de sorte que les solutions héritées que vous obtenez gratuitement avec un ordinateur ne les verront pas.

Les solutions de cybersécurité basées sur le comportement comme Capture Client ATP peuvent détecter des malwares qui autorisent le cryptominage et stopper l’opération. L’administrateur peut alors rapidement mettre en quarantaine et détruire le malware ou, dans le cas de piratages qui ont endommagé les fichiers système, récupérer la dernière version connue saine du système avant l’exécution du malware.

Armées des bonnes défenses du périmètre associées à l’analyse comportementale, les entreprises peuvent combattre les formes de malware les plus récentes, quelle que soit la tendance ou l’intention.

Pourquoi le secteur de la santé doit faire plus (et mieux) pour garantir la sécurité des patients

Face à la recrudescence des attaques visant le secteur de la santé, la plateforme Capture Cloud de SonicWall permet de s’assurer que les patients bénéficient de prestations de soins plus efficaces, plus résilientes et plus sûres.

Selon le département de la Santé et des Services sociaux des États-Unis (Department of Health and Human Services, HHS), les violations de données survenues ces 30 derniers jours dans près de 40 établissements de santé de 20 États américains ont compromis près de 1,8 million de dossiers individuels.

Malheureusement, ce n’est qu’un instantané de ce qui s’annonce comme une nouvelle année mouvementée : le rapport du HHS sur la divulgation des violations indique que plus de 9,5 millions de dossiers ont été concernés jusqu’à maintenant en 2022 (Figure 1), après le triste record de l’an passé avec près de 45 millions de patients victimes de violations.

Comme la fréquence des attaques dirigées contre le secteur de la santé continue d’augmenter dans le monde entier, avec de récentes attaques au Costa Rica, en France et au  Canada entre autres, le chiffre total au niveau mondial sera certainement beaucoup plus élevé.

Comment se produisent les piratages dans le secteur de la santé

Les incidents de piratage impliquant les serveurs réseau et les e-mails restent les principaux vecteurs d’attaque, et représentent plus de 80 % du nombre total (Figure 2).

Figure 1

Image describing Figure 1 Chart

Figure 2

Image describing Figure 2
Image describing Figure 2

Chaque profil de patient contient des données démographiques et sanitaires riches, composées de dix-huit identifiants tels que définis par la règle de confidentialité de l’HIPPA, à savoir :

  1. Le nom
  2. Les adresses
  3. Toutes les dates, y compris la date de naissance de la personne, les dates d’admission, de sortie, de décès, etc.
  4. Les numéros de téléphone
  5. Le numéro de télécopie
  6. L’adresse e-mail
  7. Le numéro de Sécurité sociale
  8. Le numéro du dossier médical
  9. Le numéro de bénéficiaire du régime de santé
  10. Le numéro de compte
  11. Le numéro de certificat ou de licence
  12. Les identifiants et numéros de série du véhicule, y compris les numéros de plaque d’immatriculation
  13. Les identifiants et numéros de série des dispositifs
  14. L’URL Web
  15. L’adresse du protocole Internet (IP)
  16. Des identifiants biométriques, tels que l’empreinte digitale ou vocale
  17. Une photo de face
  18. Toute autre caractéristique qui pourrait identifier la personne de manière unique

Les auteurs de menaces privilégient les dossiers de santé électroniques (DSE) ou les dossiers de santé personnels (DSP) parce qu’ils peuvent être utiles dans de nombreuses applications criminelles, comme l’usurpation d’identité, la fraude à l’assurance, l’extorsion, etc. Comme il existe de nombreuses façons d’utiliser frauduleusement ces données, les cybercriminels sont en mesure d’en tirer un prix plus élevé sur le Dark Web. En attendant, ces actions illégales provoquent un stress financier et mental à long terme chez les personnes dont les informations ont été volées.

Même si les juridictions internationales sont dotées d’organismes de lutte contre le piratage qui disposent de solides moyens financiers et matériels, les cybercriminels peuvent toujours agir en toute impunité et sans craindre de se faire prendre. Les tactiques, techniques et procédures de piratage (TTP) évoluant et devenant toujours plus performantes pour échapper à la détection, les établissements de santé ne peuvent plus risquer d’avoir des fonctionnalités défensives inadéquates ou non préparées.

Pour bon nombre de ceux qui ont été pris au dépourvu, les répercussions sur les patients, les prestataires et les payeurs touchés ont été catastrophiques. Outre le risque que représentent les violations de données pour les organismes de santé, elles peuvent également nuire considérablement à la capacité des établissements à fournir des soins vitaux. Dans un récent rapport du Ponemon Institute, 36 % des établissements de santé interrogés ont déclaré constater davantage de complications lors des procédures médicales et 22 % ont connu une hausse du taux de mortalité en raison d’attaques par ransomware.

Lorsque des vies dépendent de la disponibilité du système de santé, la cybersécurité doit faire plus et mieux pour garantir la sécurité des patients et des soins partout et à chaque instant.

Comment SonicWall peut vous aider

Ces trente dernières années, SonicWall a travaillé avec les prestataires pour aider à construire un système de santé plus sain. Au cours de cette période, nos innovations nous ont permis de répondre à de nouvelles attentes en matière d’amélioration de la sécurité, d’augmentation de l’efficacité des opérations et de réduction des coûts informatiques.

Aujourd’hui, SonicWall travaille individuellement avec chaque établissement pour établir une stratégie de défense complète qui corresponde à ses objectifs métiers et qui place les professionnels de la santé en situation de réussite. En tirant parti de notre solide expérience des opérations et processus du secteur de la santé, SonicWall aide les organismes de santé à éviter les surprises et à passer plus de temps à se concentrer sur leur mission première : assurer la santé et le bien-être des communautés qu’ils servent.

Le passage de « je pense être protégé » à « je suis sûr d’être protégé » commence par l’approche de cybersécurité sans limites de SonicWall. Cette approche associe sécurité, gestion centralisée, analyse avancée et gestion unifiée des menaces à travers l’ensemble du portefeuille de solutions de sécurité de SonicWall pour former la plateforme Capture Cloud. Le schéma architectural de la Figure 3 montre comment les solutions de sécurité SonicWall pour le réseau, la périphérie, les terminaux, le cloud, le sans-fil, l’accès Zero Trust, le Web, la messagerie, la mobilité et l’IoT convergent en une plateforme de sécurité unique.

Figure 3

Image describing architecture

Avec la plateforme Capture Cloud de SonicWall, la cybersécurité des organismes de santé peut faire plus et mieux en composant une stratégie de défense personnalisée et multicouche pour répondre à leurs besoins spécifiques ou en déployant toute la pile pour établir une stratégie de sécurité cohérente dans toute leur infrastructure critique. En associant ces solutions de sécurité, les organismes de santé se dotent de la défense multicouche dont ils ont besoin, mais aussi d’un cadre de sécurité permettant une gouvernance centralisée, la gestion des risques et la conformité aux lois sur la protection des données.

Téléchargez le livre blanc Boundless Cybersecurity for a Safer Healthcare Industry de SonicWall pour découvrir comment renforcer la cybersécurité du secteur de la santé, rendant ainsi la prestation de soins aux patients plus efficace, plus résiliente et plus sûre.

SonicWall récompense ses partenaires et distributeurs pour leurs performances exceptionnelles en 2021

Cette récente série de prix SonicWall FY2022 Security Awards récompense les partenaires et distributeurs de la région EMEA qui ont fourni un effort maximal pour alimenter l’année la plus réussie de SonicWall.

2021 a été une année exceptionnelle pour SonicWall, et nous devons une grande partie de notre succès à nos partenaires et distributeurs de la région EMEA. Ce groupe dévoué a travaillé sans relâche pour aider à protéger nos clients pendant plus d’une décennie, en tirant parti des solutions SonicWall et d’un service client inégalé pour se protéger contre la flambée de la cybercriminalité – et pour cela, nous leur adressons nos sincères et chaleureux remerciements.

Cependant, même au sein de ce groupe très accompli, quelques personnes se sont distinguées. Parmi un large éventail de candidats, un partenaire par région a été choisi dans chaque catégorie pour être reconnu pour ses performances exceptionnelles en 2021. Ces sélections ont été effectuées sur la base de facteurs tels que le chiffre d’affaires annuel, la répartition du portefeuille, les activités en ligne, le taux de réussite des projets et le niveau de certification, ainsi que leur niveau d’engagement et la qualité du travail d’équipe avec SonicWall.

“Le succès de SonicWall a toujours dépendu de la mise à disposition de solutions de sécurité très efficaces par le biais de ses précieux partenaires et distributeurs “, a déclaré Terry Greer-King, vice-président EMEA de SonicWall. ” Nous sommes ravis de reconnaître ces extraordinaires partenaires SonicWall SecureFirst qui fournissent des services de sécurité de classe mondiale à des organisations de toutes tailles. Nous apprécions les relations loyales que nous avons établies avec nos partenaires et nos clients – et ces prix sont une façon de reconnaître leur travail exceptionnel.”

Nous avons le plaisir d’annoncer les lauréats des SonicWall Awards pour l’année 2022 dans les catégories suivantes :

France

Royaume-Uni

Irlande

Norvège

Allemagne

Suisse

Autriche

Espagne

Italie

Arabie Saoudite

Emirats Arabes Unis

Afrique du Sud

Pays-Bas et Belgique

 

SonicWall adresse ses plus sincères félicitations à tous les lauréats et les remercie pour leurs réalisations exceptionnelles en 2021. Ensemble, nous pouvons faire de 2022 une année encore plus fructueuse !

Vous souhaitez en savoir plus sur les avantages du programme de partenariat SonicWall SecureFirst et sur la manière de rejoindre notre équipe de partenaires ? Cliquez ici pour tous les détails.

Profitez de la rapidité et de la sécurité de la prise en charge de TLS 1.3

Les pare-feux SonicWall de nouvelle génération prennent complètement en charge TLS 1.3, ce qui permet à votre réseau de gérer les protocoles de chiffrement les plus récents.

Les meilleurs produits ont tendance à rester. Pendant les deux premières années de fabrication de la Ford Mustang, en 1965 et 1966, près de 1,3 million de voitures sont sorties des usines de Dearborn (Michigan), Metuchen (New Jersey) et Milpitas (Californie). Parmi celles-ci pas moins de 350 000 circulent encore aujourd’hui. Bien entretenues, elles fonctionnent encore aussi bien que sous l’administration Johnson.

Mise à part l’esthétique, ces véhicules sont-ils indiqués pour rouler au quotidien ?Une Mustang de première génération serait complètement dépassée par rapport à un véhicule moderne dans un crash test (ou dans une course face à n’importe quelle Mustang actuelle). Les équipements de sécurité que nous considérons comme allant de soi comme les airbags, l’avertisseur de franchissement de ligne, la détection des angles morts et l’ABS sont absents. Ces voitures conviennent peut-être pour faire un tour en ville le dimanche, mais y transporteriez-vous votre famille ?

Quand un produit protège ce que vous avez de plus précieux contre une catastrophe majeure, ce produit doit être le plus sûr possible. C’est aussi vrai pour une autre innovation originaire de Milpitas: les pare-feux SonicWall. Pour savoir si votre choix actuel est encore le bon choix, il est utile de se pencher sur les innovations réalisées depuis et s’il s’agit d’améliorations incrémentielles ou de véritables bonds en avant. La prise en charge du chiffrement de TLS 1.3 est sans aucun doute un progrès de taille.

TLS 1.3 est la version la plus récente du protocole TLS (Transport Layer Security) qui offre un chiffrement fiable des communications numériques sur Internet. Comme pour la Mustang en son temps, les innovations modernes ont amené des progrès considérables dans deux domaines : la sécurité et les performances.

TLS 1.3 : la sécurité d’abord

Depuis le lancement de la technologie SSL d’origine en 1994, chaque nouvelle version a contribué à résoudre les problèmes des versions précédentes tout en conservant la compatibilité entre ces versions. Mais malheureusement, garder la rétrocompatibilité signifie garder de nombreuses méthodes de chiffrement superflues ou vulnérables.

Ces anciennes méthodes ont rendu le chiffrement vulnérable aux attaques, offrant aux agresseurs un moyen de contourner les avancées plus récentes en matière de sécurité en faveur d’une protection plus ancienne et plus fragile. Certaines des méthodes maintenues jusqu’à TLS 1.2 étaient si faibles qu’elles permettent à un attaquant de déchiffrer les contenus des données sans avoir la clé.

TLS 1.3 représente un changement fondamental de cette philosophie. En raison d’une forte augmentation des attaques comme Lucky13, BEAST, POODLE, Logjam et FREAK, qui dépendent de ces vulnérabilités pour leur transmission, l’IETF (Internet Engineering Task Force) a choisi de supprimer complètement ces méthodes. TLS 1.3 est donc bien plus sécurisé.

Il protège aussi mieux la confidentialité des données. Dans les versions précédentes, dont 1.2, les signatures numériques n’étaient pas utilisées pour garantir l’intégrité d’un handshake — elles protégeaient uniquement la partie du handshake après la négociation de suite de chiffrement, ce qui permettait aux attaquants de manipuler la négociation et d’accéder à toute la conversation.

Avec TLS 1.3, la totalité du handshake est chiffrée, seuls l’expéditeur et le destinataire peuvent déchiffrer le trafic. Il est donc ainsi virtuellement impossible pour quelqu’un d’extérieur d’espionner les communications client/serveur et beaucoup plus difficile pour les attaquants de lancer des attaques de type « man in the middle ». Cela protège aussi les communications existantes, même si de futures communications sont compromises.

TLS 1.3 : la sécurité  rapidement

Avec TLS 1.3, le processus de handshake n’est pas seulement plus sécurisé, il est aussi plus rapide. Le handshake en quatre étapes requis avec TLS 1.2 nécessitait deux échanges aller-retour entre les systèmes, ce qui entraînait une latence et consommait de la bande passante et de l’énergie.

Ces ralentissements en particulier touchaient la catégorie en pleine croissance de l’Internet des objets (IoT) qui peinent à gérer des connexions nécessitant beaucoup de bande passante ou d’énergie, mais qui ont besoin de chiffrement principalement en raison de la faible sécurité embarquée.

Cependant, avec un seul échange de clé et beaucoup moins de méthodes prises en charge, TLS 1.3 mobilise nettement moins de bande passante. Et comme un seul aller-retour suffit pour accomplir le handshake, le processus est bien plus rapide. La fonctionnalité 0-RTT (zéro aller-retour) de TLS 1.3 est encore plus rapide : lors des visites suivantes, elle offre un temps de latence équivalent à celui du HTTP non chiffré.

Votre pare-feu est-il à la hauteur ?

Les experts estiment que 80 à 90 % de tout le trafic réseau aujourd’hui est chiffré. Cependant, de nombreux pare-feux anciens n’ont pas du tout la capacité ou la puissance de traitement nécessaires pour détecter, inspecter et corriger les cyberattaques envoyées par le trafic HTTPs, encore moins par TLS 1.3, ce qui en fait une cible de choix pour le déploiement et l’exécution de malwares par des pirates.

Selon le Rapport SonicWall 2022 sur les cybermenaces, les malwares envoyés par HTTPs ont augmenté de 167 % entre 2020 et 2021.Au total, SonicWall a enregistré 10,1 millions d’attaques chiffrées en 2021, presque autant qu’en chiffres cumulés sur 2018, 2019 et 2020.

Avec une moyenne de 7 % des clients constatant une attaque chiffrée au cours d’un mois donné, les chances que votre entreprise soit ciblée par une attaque cette année sont immenses. Mais si votre pare-feu ne peut pas inspecter le trafic chiffré – et de plus en plus souvent s’il ne peut pas inspecter le trafic TLS 1.3 – vous ne le saurez pas avant qu’il ne soit trop tard.

SonicWall prend en charge le chiffrement de TLS 1.3

Les pare-feux SonicWall de 7e génération présentent de nombreux avantages : ils combinent une densité de ports et un débit des menaces plus élevés avec une analyse approfondie des logiciels malveillants, une simplicité hors pair et des performances haut de gamme. La prise en charge du chiffrement de TLS 1.3 figure néanmoins parmi les plus grandes révolutions de la 7e génération (et de ses prédécesseurs compatibles avec SonicOS Gen 6.5).

Les pare-feux SonicWall de nouvelle génération avec SonicOS Gen 6.5 et supérieure offrent l’inspection complète du trafic TLS, le déchiffrement des données, la vérification des menaces potentielles et le rechiffrement pour la sécurisation des transmissions, tout en veillant à ce que vous gardiez des performances optimales et une visibilité totale.

Après tout, comme dans le cas de la Mustang classique, il n’y a pas de détection des angles morts pour les pare-feux qui ne peuvent pas gérer le trafic chiffré actuel. Ces solutions héritées sont facilement surpassées en comparaison directe. Ne laissez pas les pare-feux obsolètes menacer la sécurité de votre réseau : passez au pare-feu SonicWall de 7e génération dès aujourd’hui.

Comprendre le framework et les évaluations MITRE ATT&CK – partie 2

Capture Client offre des fonctionnalités mises en évidence par le framework ATT&CK. Voici comment les RSSI peuvent tirer parti de ces fonctionnalités pour définir et mettre en œuvre leur stratégie de sécurité.

(Remarque : dans la partie 1, nous avons expliqué ce qu’était le framework MITRE ATT&CK et comment les produits de sécurité sont évalués par rapport à l’efficacité et l’efficience de la détection. Lisez l’article ici si vous ne l’avez pas déjà fait.)

Avec l’augmentation globale des attaques, il n’a jamais été aussi important de vous assurer que votre stratégie de sécurité est à jour. S’y retrouver parmi les différentes stratégies de fournisseurs en cybersécurité peut cependant s’avérer très complexe pour les RSSI. Comment savoir si vous en aurez pour votre argent ? Voici quelques conseils essentiels :

  • Méfiez-vous des ratés, retards et changements de configuration excessifs : les fournisseurs qui accusent beaucoup de retards se distinguent par des détections utilisant des moyens qui généralement ne font pas partie du workflow normal de l’outil, ce qui signifie que vos équipes devront faire de même. Les fournisseurs avec beaucoup de changements de configuration ont ressenti le besoin de modifier leurs fonctionnalités de détection en cours de test. Essayez de comprendre si ces changements sont compréhensibles ou si le test a été manipulé.
  • Méfiez-vous des indicateurs élevés en télémétrie et faibles en techniques: les fournisseurs qui mettent en avant leurs chiffres élevés en télémétrie avec des techniques peu nombreuses ont un outil qui n’automatise pas la corrélation des événements. Cela signifie que vos équipes devront le faire manuellement ou qu’il y aura des retards importants et des imprécisions dans les conclusions tirées. Des retards à ce niveau entraînent des retards de réactivité, d’où une augmentation du risque.
  • Méfiez-vous des fournisseurs qui inventent leurs propres systèmes de notation: nous avons vu beaucoup de fournisseurs masquer leurs résultats médiocres avec des statistiques et des chiffres qui font bonne impression, mais n’ont aucun sens. Les statistiques comme « Contexte par alerte » et « 100 % de détection » (alors qu’un examen plus attentif révèle clairement que des détections ont été ratées) sont stupides. Lisez les mentions en petits caractères.

Capture Client et le framework MITRE ATT&CK

Capture Client de SonicWall est propulsé par SentinelOne qui fournit une protection haut de gamme autonome des terminaux avec un antivirus de nouvelle génération, l’EDR (endpoint detection and response), et Deep Visibility. SentinelOne participe aux évaluations MITRE ATT&CK depuis 2018 et a obtenu d’excellents résultats aux évaluations 2022 (émulation des groupes de menaces Wizard Spider et Sandworm). Voici un résumé de la manière dont SentinelOne offre une protection contre les attaques supérieure à celle de n’importe quel autre fournisseur.

  1. La protection autonome bloque et corrige immédiatement les attaques
    Les équipes de sécurité attendent des technologies capables de faire face à la rapidité d’action des agresseurs. MITRE Protection détermine la capacité du fournisseur à analyser rapidement les détections et à exécuter une correction automatique pour protéger les systèmes.
    100 % de protection :(9 tests MITRE ATT&CK sur 9)
    Source : www.sentinelone.com
  2. Les détections les plus utiles sont les détections analytiques
    Les détections analytiques sont des détections contextuelles construites à partir d’un ensemble de données plus large et combinent la détection des techniques et des tactiques.
    100 % de détection :(19 étapes d’attaque sur 19)
    99 % – couverture d’analyse la plus élevée :(108 détections sur 109)
    Source : www.sentinelone.com
  3. Les retards de détection minent l’efficacité de la cybersécurité
    Le temps joue un rôle déterminant quand il s’agit de détecter ou de neutraliser une attaque. Les entreprises qui veulent réduire le risque ont besoin d’intégrer les détections en temps réel et la correction automatisée à leur programme de sécurité.
    100 % en temps réel (0 retard)
    Source : www.sentinelone.com
  4. La visibilité garantit qu’aucune menace ne passe inaperçue
    La visibilité est la base de l’EDR et un indicateur clé dans les résultats MITRE Engenuity. Pour comprendre ce qui se passe dans l’entreprise et traquer les menaces de manière précise, la technologie de cybersécurité doit créer un interstice de visibilité. Les données doivent être précises et fournir une vision de bout en bout sur quoi, où et qui, peu importe la connectivité ou le type d’appareil.

Conclusion

Les évaluations MITRE Engenuity ATT&CK continuent de faire avancer le secteur de la sécurité en apportant une visibilité indispensable et des tests indépendants en matière d’EDR. En tant que responsable ou praticien de la sécurité, il est important de voir au-delà des simples chiffres pour avoir une vision globale et identifier les fournisseurs pouvant offrir des détections haut de gamme avec une grande visibilité tout en réduisant la charge de travail de l’équipe de sécurité. Du point de vue des RSSI, ces principes centrés sur le produit sont compatibles avec l’esprit des objectifs de MITRE Engenuity :

  1. La visibilité et la couverture EDR sont le minimum requis : la base d’une solution EDR haut de gamme réside dans sa capacité à consommer et corréler des données à bas coût et à grande échelle en bénéficiant des possibilités du cloud. Toute donnée pertinente doit être capturée, avec peu voire aucun raté, pour fournir une visibilité de grande ampleur à l’équipe SecOps. Les données, notamment celles qui capturent tous les événements, sont la base de l’EDR et doivent être considérées comme le minimum requis et un indicateur MITRE Engenuity clé.
  2. Le contexte et la corrélation générés par la machine sont indispensables : la corrélation désigne le processus d’établissement de relations entre des points de données infimes. La corrélation se fait de préférence avec des machines à la vitesse de la machine, un analyste n’a donc pas besoin de perdre du temps à recouper manuellement les données. De plus, cette corrélation doit si nécessaire être accessible dans son contexte d’origine pour de longues périodes.
  3. La consolidation des alertes sur la console est essentielle : « Plus de signal et moins de bruit » représente un défi pour les SOC et les équipes modernes de réponse aux incidents qui sont confrontés à une surcharge d’informations. Au lieu d’alerter sur chaque élément de télémétrie dans le cadre d’un incident et de solliciter excessivement l’équipe du SOC, assurez-vous que la solution regroupe automatiquement les points de données en alertes consolidées. Dans l’idéal, une solution peut mettre en corrélation les activités liées dans des alertes unifiées qui donnent une perspective au niveau de la campagne. Cela réduit les efforts manuels, lutte contre la désensibilisation aux alertes et diminue considérablement la barrière de compétence pour réagir aux alertes. Tout cela aboutit à de meilleurs résultats pour le SOC sous la forme de confinements plus courts et d’une réduction globale des délais de réaction.

Pour faire l’expérience par vous-même de la protection et de la détection haut de gamme fournies par Capture Client, cliquez ici pour un essai gratuit.