Rien que l’an dernier, notre équipe a enquêté sur plus de 250 000 alertes. Oui, vous avez bien lu. Notre équipe de réponse aux incidents a examiné un quart de million d’alertes. Avec la progression des ransomwares et la croissance exponentielle du volume de données, disposer d'une équipe proactive en première ligne demeure donc un enjeu clé.
Dans notre toute dernière masterclass, Mike Thompson, Raphael Kelly et Chris Kisselburgh de l’équipe de réponse aux incidents de Varonis sont revenus sur les tendances mondiales en matière de menaces, notamment la montée des menaces en interne et l’importance de se concentrer sur les premiers signes d’un piratage.
Regardez le replay pour découvrir pourquoi la réponse proactive aux incidents est l’avenir de la sécurité des données, voir les cyberattaques que l’équipe de Varonis a déjouées l’année dernière et comprendre en quoi la solution de Varonis est différente.
Notre équipe de réponse aux incidents traite ce genre d’incidents quasiment toutes les semaines et a remarqué un changement d’approche.
Alors que les entreprises sont désormais mieux préparées pour se remettre d’une attaque de ransomware, les acteurs malveillants eux, sont passés du chiffrement seul, au chiffrement des données et à leur exfiltration pour avoir davantage de poids face aux victimes. Bien que cette tendance n’ait que quelques années, elle est désormais devenue standard dans la plupart des attaques. « L’événement de ransomware est presque devenu une notification qu’un pirate s’est immiscé dans votre système. Le plus dangereux, c’est de savoir que les données ont quitté votre environnement », explique Mike Thompson, gestionnaire de l’architecture de sécurité chez Varonis. « Vous pouvez récupérer les données chiffrées, mais vous ne pouvez pas récupérer les données exfiltrées. »
Vous pouvez récupérer les données chiffrées, mais vous ne pouvez pas récupérer les données exfiltrées.
Les perturbations économiques conduisent toujours à une augmentation des menaces en interne.
À ce jour, plus de 150 000 personnes ont été licenciées dans des sociétés de la tech rien qu’en 2023, dans un secteur d’ordinaire considéré comme « résistant face à la crise ».
Apprendre que vos amis et collègues ont perdu leur emploi – et vous inquiéter à propos de votre propre emploi – cela peut augmenter les risques que « quelqu’un essaie d’assurer ses arrières et de se faire de l’argent en quittant l’entreprise », explique Chris Kisselburgh, architecte en sécurité chez Varonis.
« Lorsque nous observons des phénomènes critiques comme celui-ci, qui ont un impact dans le monde entier, nous devrions étudier leur impact sur le comportement des usagers. » Les inquiétudes liées à un ralentissement économique et à la récession peuvent affecter profondément les gens. « Ce que nous étudions véritablement, c’est le comportement des gens », résume-t-il.
Le conflit russo-ukrainien a perturbé de nombreuses organisations de ransomware. Les experts pensaient que les hackers comme Emotet, une souche de logiciel malveillant et un groupe de cybercriminels qui seraient basés en Ukraine, avaient été démantelés. Pourtant, notre équipe de réponse aux incidents a observé leur réapparition de manière assez agressive. Par conséquent, Chris Kisselburgh soutient qu’« il est impératif de chercher plus en amont dans la chaîne cybercriminelle ».
Il ajoute qu’il ne le dira jamais assez, il est primordial d’enquêter sur ces premiers signes. « Les entreprises remarqueront des alertes un vendredi, qui ne seront peut-être pas prises suffisamment au sérieux. Et le lundi matin, le domaine entier est déjà chiffré, explique-t-il. Il est essentiel de prendre au sérieux tous ces premiers signes. »
Mike ajoute « Nous avons aussi remarqué des cas où l’équipe détecte un utilisateur potentiellement compromis et se concentre sur lui ou son appareil. Puis elle considère que le dossier est clos. Une semaine plus tard - boum ! Un ransomware apparaît. »
« Nous avons assisté à de nombreux changements dans le secteur de l’informatique au cours des deux ou trois dernières années. Pendant la pandémie, nous avons massivement adopté le télétravail, ce qui a induit une profonde mutation dans les secteurs des technologies de l’information et de la sécurité, affirme Chris Kisselburgh. Ainsi, nous devons nous poser la question suivante : "Où vont les données maintenant que j’ai plus de 10 000 utilisateurs à distance dans le monde entier ?" »
En outre, selon lui, les télétravailleurs actuels ne reviendront pas aux méthodes de travail traditionnelles. « Les données ne se limitent plus à vos serveurs de fichiers. Elles sont partout. »
Sans compter que la transition vers le télétravail a été rapide. Cela signifie qu’il existe très probablement un écart majeur en matière de sécurité entre ce que les organisations avaient dans un environnement sur site et ce qu’elles ont aujourd’hui dans un environnement cloud. La même due diligence doit être réalisée dès maintenant. Or, cette étape peut être délicate lorsque l’espace de sécurité du cloud est relativement nouveau par rapport aux solutions de sécurité mises en place sur site.
Les données ne sont plus limitées à vos serveurs de fichiers. Les données, en réalité, sont partout.
Avec le lancement de notre plateforme de sécurité des données SaaS, Varonis peut fournir des services proactifs de réponse aux incidents : les analystes examinent régulièrement les environnements du client, chassent les menaces et enquêtent, le tout sans monopoliser le temps de nos clients. Avec les décennies d’expérience cumulées de nos analystes, nous pouvons détecter les signes qu’une attaque de ransomware se prépare, et si nous découvrons quelque chose, nous faisons remonter uniquement ces incidents pour éviter la surcharge d’alertes pour le client.
Regardez le replay intégral sur les tendances mondiales en matière de cybersécurité et l’avenir de la réponse aux incidents ici.