Au moment où les atteintes à la sécurité deviennent une certitude, il est extrêmement utile de disposer d’un « plan de secours », affirme Varonis.

Une récente enquête réalisée par la société Varonis, spécialiste de la protection des données, révèle que plus de 40 % des responsables informatique ne bénéficient que de capacités très faibles, voire nulles de détection automatisée des atteintes à la sécurité des données, qu’il s’agisse d’alertes en temps réel ou de rapports quotidiens/hebdomadaires. Les résultats montrent qu’une proportion de 24 % soit près d’un quart des répondants ne possèdent pas de technologies automatisées en place pour détecter les atteintes en surveillant les modifications des privilèges utilisateurs, les accès suspects aux données, les modifications d’accès aux fichiers ou une activité email inhabituelle. 19 % disposent d’une capacité automatisée basique permettant la détection de certains de ces événements. Et uniquement 6 % des participants sont en mesure de surveiller tous ces événements en temps réel.

L’enquête, réalisée auprès de 248 professionnels de la sécurité, lors des conférences Infosecurity de Londres et d’Orlando, visait à mieux comprendre comment les entreprises sont capables de détecter des atteintes en cours.

« Les résultats de cette enquête sont particulièrement alarmants dans la mesure où aucun système de protection n’est parfait, une intrusion par des hackers, des utilisateurs non autorisés ou des utilisateurs autorisés abusant de leur accès, est inévitable », indique David Gibson, vice-président de Varonis. « Et comme les atteintes à la sécurité sont une certitude, il est fortement conseillé de disposer d’un plan ou d’une stratégie de secours visant à limiter les conséquences d’une intrusion. »

En haut de la liste des mesures de limitation des risques figurent les techniques de détection et de surveillance des événements système inhabituels. Les contrôles de détection qui pistent et analysent les activités utilisateurs, fichiers et système à la recherche d’anomalies constituent un niveau primordial de défense. Ils sont aussi importants que les contrôles de prévention que sont l’authentification, les listes de contrôle d’accès et les pare-feux.

Une fois les défenses de l’entreprise traversées, les pirates cherchent des contenus de haute valeur, tels que des informations personnelles, des données de propriétés intellectuelles, des numéros de carte de crédit et toutes autres données sensibles.

La capacité qu’a un département informatique de pister ces données est fondamentale pour pouvoir limiter les conséquences d’une intrusion. Malheureusement, les participants se sont révélés assez mal préparés dans ce domaine. Seuls 29 % d’entre eux ont la capacité de détecter si des fichiers contenant des données sensibles sont consultés ou créés. Avec l’avènement de services de Cloud comme Dropbox, qui sont utilisés de façon informelle par les employés, les entreprises ont un nouveau domaine à explorer à la recherche de contenus sensibles. Les résultats montrent que les entreprises doivent également améliorer leurs capacités de surveillance dans le Cloud : seuls 22 % des entreprises sont en mesure de pouvoir pister des données envoyées vers le cloud.

De façon plus positive, les grandes entreprises ont montré qu’elles parvenaient mieux à identifier les événements anormaux au niveau des fichiers ou du système. 36 % de celles-ci utilisent des techniques automatisées pour détecter les modifications de contrôle d’accès aux fichiers (contre 28 % sur l’ensemble des répondants). 37 % utilisent l’automatisation pour détecter les modifications de privilèges, contre 30 % si l’on prend l’ensemble du panel.

« L’audit et l’analyse du système, de la sécurité, des applications et des journaux de consultation des fichiers sont essentiels à de bonnes pratiques de maîtrise des intrusions », remarque David Gibson. « Les résultats de l’enquête ne sont guère encourageants, particulièrement en matière de découverte d’intrusions impliquant des données sensibles lisibles par l’homme dans les systèmes de fichiers de l’entreprise. Seuls 28 % des participants sont en effet capables de détecter un accès suspect aux données. »

Il ne fait aucun doute que ces défenses de première ligne sont critiques dans la prévention des atteintes de sécurité. Cependant, les cybercriminels disposent de bien d’autres vecteurs d’attaque qui, combinés avec les APT (menaces persistantes avancées), ne peuvent pas toujours être empêchées. Les entreprises doivent être capables de détecter ce qu’elles ne peuvent empêcher.

« En d’autres termes, les entreprises doivent admettre que, dès le moment où elles stockent des données sensibles, quelqu’un cherchera à y accéder, et un hacker ou un utilisateur interne malintentionné y accédera à un moment ou à un autre. C’est pourquoi les méthodes de détection de secours sont vitales pour stopper les atteintes dès qu’elles se produisent, et donc pour limiter les dommages », conclut David Gibson.