Un audit des compromissions est une investigation poussée réalisée par des équipes qualifiées. Celles-ci se servent d'outils avancés pour analyser en profondeur leur environnement et identifier des activités malveillantes passées ou en cours, ainsi que les vulnérabilités présentes dans les pratiques et les contrôles mis en place. Le but d'un tel audit est de répondre à la question essentielle suivante : « Mon entreprise a-t-elle subi une intrusion ? ».
Selon le secteur d'activité, des normes réglementaires imposent aux entreprises de réaliser des audits des compromissions. De son côté, la CISA (Cybersecurity & Infrastructure Security Agency) recommande à toutes les entreprises de procéder à de tels audits en tant que bonne pratique.
Avantages d'un audit des compromissions
En dépit des progrès des technologies de cybersécurité et de l'augmentation des budgets de sécurité, la durée d'implantation moyenne a peu varié au fil des années. La durée d'implantation est le temps qui s'écoule entre l'infiltration du réseau par un cyberattaquant et son expulsion. Réduire la durée d'implantation est important. En effet, plus longtemps un cybercriminel parvient à opérer à l'insu de tous au sein du réseau, plus il aura de temps pour accéder aux ressources les plus précieuses, comprendre comment contourner les défenses, installer des portes dérobées et exfiltrer des données. Ces menaces persistantes avancées (APT) sont préjudiciables et coûteuses, mais il est possible de les détecter grâce à un audit des compromissions.
Un audit approfondi et étendu permet aux entreprises de déterminer si des cybercriminels sont présents dans leur environnement ou si elles ont été victimes d'une compromission. L'identification d'une compromission dérivée d'une analyse poussée permet de réduire le risque de vol de vos actifs financiers, données clients ou éléments de propriété intellectuelle par des cyberadversaires.
Le niveau de sécurité est renforcé par l'identification proactive des pratiques de sécurité inefficaces, telles que les erreurs de configuration et les conflits de règles susceptibles de laisser des failles de sécurité et d'exposer les entreprises à un risque accru. Un audit des compromissions met au jour ces vulnérabilités et offre la possibilité d'y remédier. Les entreprises peuvent déterminer si elles ont été effectivement victimes d'une compromission. L'audit propose également des suggestions d'améliorations susceptibles de guider les décisions concernant l'allocation du budget et des ressources à l'avenir. Enfin, certaines réglementations imposent de tels audits, mais même si une entreprise n'est pas soumise à de telles exigences, apporter la preuve d'un audit des compromissions peut avoir son importance aux yeux des auditeurs externes.
Étapes d'un audit des compromissions
Étape 1. Évaluation
Un audit des compromissions commence par la collecte de données d'investigation informatique et la recherche d'indices de compromission potentielle sur les endpoints, dans le trafic réseau et dans les journaux.
Étape 2. Analyse
Les équipes d'audit des compromissions peuvent utiliser les données recueillies pour déterminer si une attaque a eu lieu. Si c'est le cas, les compromissions supposées sont confirmées et l'équipe peut se livrer à une analyse pour déterminer qui est à l'origine de l'attaque, pourquoi le cyberattaquant cible l'entreprise, quel est son objectif et quelles techniques il utilise. Ces connaissances peuvent servir à anticiper et bloquer les prochaines étapes des adversaires.
Étape 3. Assistance
Les analystes peuvent s'appuyer sur les résultats de leur audit dans le cadre de leur intervention et de la neutralisation des menaces identifiées.
Étape 4. Conseil
L'audit des compromissions s'achève lorsque l'entreprise comprend comment améliorer ses mécanismes de réponse internes et son niveau global de sécurité afin d'éviter ou de mieux gérer les incidents futurs.
Audit des compromissions et Threat Hunting
Le Threat Hunting consiste en une recherche proactive des cybermenaces déjà présentes dans l'infrastructure. Les threat hunters formulent des hypothèses sur la base des informations recueillies sur les nouvelles menaces et les combinent aux connaissances sur les techniques d'attaque du cyberadversaire. Ils utilisent la cyberveille pour mettre au jour des activités malveillantes potentielles et en cours, ainsi que pour procéder à des analyses avancées afin de détecter les comportements suspects parmi la masse d'informations collectées par les systèmes de sécurité. Le Threat Hunting est un processus continu.
En revanche, un audit des compromissions est effectué de façon périodique, le plus souvent une fois par trimestre ou par mois pour une analyse ponctuelle, et dans certains cas, pour satisfaire des exigences réglementaires. De plus, le périmètre d'un audit des compromissions est beaucoup plus large que celui du Threat Hunting : outre les indicateurs de compromission et d'attaque, un audit des compromissions recherche également les raisons de l'attaque, les prochaines étapes à suivre ainsi que les mesures à prendre pour améliorer le niveau global de sécurité de l'entreprise.
CrowdStrike Falcon Forensics donne aux équipes les moyens de réaliser des audits des compromissions périodiques
La solution CrowdStrike Falcon Forensics automatise la collecte de données ponctuelles et historiques d'investigations informatiques afin de permettre aux équipes de réaliser régulièrement des audits des compromissions efficaces. Solution capable d'analyser de grands volumes de données historiques et en temps réel, Falcon Forensics vous évite d'avoir recours à une mosaïque d'outils disparates et de méthodes d'acquisition de données, ce qui simplifie les flux de travail des analystes. Des tableaux de bord prédéfinis personnalisables, tel le tableau Quick Wins, ont été développés conjointement avec l'équipe des Services CrowdStrike pour offrir les meilleurs rapports signaux-bruits.
Falcon Forensics peut être déployé rapidement et à grande échelle pour prendre en charge de quelques dizaines à plusieurs centaines de milliers d'endpoints. Dans un souci de simplicité, le fichier exécutable collecte les données avant de se supprimer automatiquement des systèmes, afin que les analystes ne doivent pas gérer et supprimer un agent supplémentaire sur les systèmes.
Les entreprises qui souhaitent se décharger de la tâche d'audit des compromissions peuvent faire appel aux Services CrowdStrike® et profiter des années d'expérience de l'équipe dans la réponse aux intrusions des cyberattaquants les plus avancés. En s'appuyant sur la puissante plateforme CrowdStrike Falcon®, une cyberveille de pointe et un service ininterrompu de Threat Hunting, les entreprises peuvent répondre à la question primordiale : « Mon entreprise a-t-elle subi une intrusion ? ».