“Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes signés par des experts choisis par mes soins.

Frédéric Simottel

Je n’ai pas d’actions ou de prises de participation chez tel ou tel acteur de la cyber mais force est de constater que je suis assez épaté par l’efficacité des logiciels EDR/XDR (Endpoint Detection Response/eXtended Detection Response).

A la lecture de nombreux témoignages ou suite à des entretiens avec des RSSI, beaucoup me confirment que sans un tel logiciel, les dégâts auraient été plus importants, notamment lors d’attaques par rançongiciel. Au passage, je pousse un petit cocorico puisqu’avec Tethris, Harfang Lab ou encore Nucleon Security, nous avons quelques pépites françaises dans le domaine propres à lutter contre les leaders SentinelOne, CrowdStrike ou autres grands noms de la cyber qui embarquent désormais ce type de solutions.

Ce qui est intéressant avec ces technologies est qu’en fait, elles font partie de la famille depuis plusieurs années. Certains vous diront depuis 2013 lorsque l’acronyme EDR est apparu pour la première fois. Je remonterai pour ma part aux années 80 quand l’antivirus traditionnel, à base de signature, protégeait le terminal contre les menaces connues. Une base de signature qui devient obsolète au début des années 2000 lorsque les attaquants font muter leur virus ; on commence alors à parler des menaces inconnues de type Zero-day. Apparaît alors l’EPP, l’agent Endpoint Protection Platform qui met en œuvre plusieurs couches de protection. Lui-même dépassé quelques temps plus tard face aux attaques de plus en plus sophistiquées.

Et j’en arrive aux logiciels EDR/XDR, qui surveillent ce qui se passe sur le terminal et, sont capables, via un moteur relié à une console centrale, d’émettre des alertes dès que des comportements malicieux sont repérés, d’apporter des réponses manuelles ou automatiques (isoler des processus, supprimer des fichiers, isoler un terminal du réseau, etc). Aujourd’hui devenus des commodités, ils évoluent vers des systèmes plus intégrés voir des modèles de plateformes : ce qui va permettre d’éviter de déployer plusieurs marques pour un seul service.

L’Humain au cœur du dispositif

Mais au-delà de l’intelligence de ces outils, de leur capacité à se déployer sur plusieurs milliers de points (terminaux, serveurs, etc) en quelques heures, d’élargir aujourd’hui leur périmètre et d’inclure des services de gestion et d’analyse, ce qui me frappe dans les témoignages recueillis, porte sur l’association entre la technologie et l’humain. Car entre la détection et la remédiation, plus la phase d’investigation est poussée, mieux on distingue une vision d’ensemble, une chronologie et meilleure sera la réponse apportée.

Les chiffres clés de la semaine

1. L’étude « Inside the Halls of a Cybercrime Business » diffusée par Trend Micro décrit trois types d’organisations criminelles en fonction de leur taille

   o   Les petites entreprises malveillantes (ex. le service Counter Anti-Virus Scan4You) : Une organisation qui s’appuie sur une tête pensante avec un effectif qui varie entre 1 à 5 ‘employés’, pour un chiffre d’affaires annuel inférieur à 500 000 dollars.

   o   Les entreprises criminelles de taille moyenne (ex. Bulletproof hoster MaxDedi). Elles ont généralement deux niveaux de direction et s’appuie sur un collectif de 6 à 49 ‘employés’. Leur chiffre d’affaires annuel peut s’élever jusqu’à 50 millions de dollars.

   o   Les grandes entreprises criminelles (ex. le groupe de rançongiciel Conti). S’appuyant sur trois niveaux de direction, ce type d’organisation compte plus de 50 ‘employés’ et enregistre un chiffre d’affaires annuel de plus de 50 millions de dollars. Les responsables sont des cybercriminels chevronnés qui recrutent de nombreux développeurs, administrateurs et experts en pénétration de systèmes, y compris en contrat court.

2. Les Risques de sécurité accrus avec le Byod et le télétravail – (Étude Lookout)

   o   32% des travailleurs à distance et hybrides utilisent des applications ou des logiciels non approuvés par le service informatique pour des raisons de commodité

   o   92% des employés à distance effectuent des tâches professionnelles sur leurs tablettes ou smartphones personnels.