Comment appréhender les risques liés à son activité à travers une veille cybersécurité collaborative ? 

Comment appréhender les risques liés à son activité à travers une veille cybersécurité collaborative ? 

Vous n’avez pas pu assister à ce webinar ? Nous vous proposons de revenir sur les quelques points clés évoqués à cette occasion.  

Qu’est-ce que la veille cyber ? 

Cybermalveillance a proposé dans son rapport d’activité 2021 deux éléments qui permettent de définir la veille :  

  • « Observer la menace pour mieux l’anticiper » : L’observation permet d’anticiper les risques et menaces qui peuvent peser sur votre entreprise et votre système d’information.  
  • « La sensibilisation première arme contre les cybermalveillance » : La sensibilisation est l’un des vecteurs les plus efficaces pour protéger l’entreprise. I  

La veille cyber pour :  

  • Connaître l’environnement dans lequel l’entreprise évolue 
  • Permettre aux collaborateurs de l’entreprise de prendre les bonnes décisions au bon moment  
  • Identifiant les actions les plus importantes qui et anticiper l’exploitation des problèmes futurs  

La veille est un processus important … 

La 7e édition du baromètre annuel du CESIN indique qu’une entreprise sur deux a fait l’objet d’une attaque réussie.  

Le Phishing et le Spear-phishing ainsi que l’exploitation de faille de sécurité sont les 2 vecteurs d’attaques les plus récurent ; ayant respectivement été observé par 73% et 53% des répondants au Sondage OpinionWay réalisée pour le CESIN. 

Or, ces 2 sujets peuvent être traités par une politique de sensibilisation, dans laquelle la veille cyber (informationnelle et technique) a toute sa place. 

Dans la majorité des interventions réalisées par l’ANSSI, les organisations n’ont pas appliqué à temps les correctifs disponibles, et une faille connue a rendu possible l’attaque. La temporalité du patch management est donc importante et reste très majoritairement un des vecteurs d’entrée utilisée par les attaquants.  

La veille : visiblement complexe…  

Sur les 5 dernières années, il y a eu une augmentation drastique du nombre de vulnérabilités : 6 500 vulnérabilités en 2015 contre 20 000 en 2020. 

Il y a de quoi se laisser dépasser, et ne pas savoir par où commencer. Il est difficile d’analyser de manière continue l’ensemble de ces vulnérabilités. Surtout parce qu’elles ne vous concernent pas toutes forcément, même si vous bénéficiez d’une certaine technologie, le contexte de son implémentation peut rendre la faille inexploitable dans votre situation.  

Les difficultés rencontrées dans le cadre de la mise en œuvre d’un processus de veille :  

  1. Le manque de ressources : un rapport du Sénat a pointé du doigt le manque de ressources, en effet, il y manquerait 4 millions d’experts en cybersécurité dans le monde.  
  2. Le manque de compétences : selon ce même rapport, 63% des professionnels du secteur ont une ancienneté de moins de 3 ans, cela signifie que ce jeune écosystème doit être renforcé en effectifs et en expertise.   
  3. L’absence de cartographie : est-ce que je dispose de telle technologie ? Où est-elle implémentée ? Qui en est le responsable ? Sans disposer des réponses à ces questions, la veille sera complexe.
  4. Le manque d’efficacité : beaucoup de nos interlocuteurs, avant de faire appel à des outils comme le nôtre, réalisent une veille « artisanale ». Ils se documentent, analysent les menaces et les vulnérabilités de leur côté sans partager les résultats de ces analyses ni mettre en place un suivi. C’est un processus bancal.  
  5. Le manque de suivi : il faut s’assurer que l’information dont on dispose est traitée et que l’on a les outils nécessaires pour le suivre.  
  6. Le manque de réactivité : plus l’information est traitée dans les temps, plus la fenêtre disponible pour les attaquants sera courte et réduira les chances de succès d’attaque.  

Dans le webinar, vous retrouverez 2 cas concrets : Microsoft Exchange « ProxyLogon » et Log4j/Log4shell qui illustrent : 

  • Le temps nécessaire pour traiter une faille de sécurité majeure telle que ProxyLogon afin de protéger tout un écosystème. Sans surprise, le sujet reste d’actualité encore plusieurs mois après la divulgation de la faille. 
  • La complexité pour analyser une faille majeure telle que Log4Shell dans tous ses détails, afin d’être en mesure de répondre aux questions essentielles que sont : Suis-je vulnérable ? Ou encore quelles sont les solutions de remédiations à ma disposition ? 

Objectif : la bonne information, à la bonne personne, au bon moment !  

Nous avons identifié un certain nombre de bonnes pratiques qui permettent de structurer et d’atteindre l’objectif d’envoyer la bonne information à la bonne personne. 

  • Simple : Nous pensons qu’il est nécessaire de faire face à un guichet unique qui permet à vos parties prenantes dans l’entreprise d’avoir un seul point de contact pour savoir ce qui les concerne à travers la surveillance d’une liste exhaustive de technologie et la publication d’informations exploitables. Si les risques et les scénarios d’attaques sont exposés clairement et si les recommandations sont expliquées, cela garantira la capacité de prise d’action de ses interlocuteurs de différents niveaux.  
  • Professionnel : Nous conseillons évidemment d’avoir recourt à des professionnels, car l’analyse de vulnérabilités demande du temps, de la ressource, des compétences et de l’expérience.  
  • Personnalisation : Il y a une volumétrie importante de vulnérabilités publiées au cours des dernières années. Si nous envoyions 20 000 notes d’analyses par an à une personne, nous pouvons être persuadés que cette personne ne traitera aucun document ! La personnalisation est donc primordiale pour permettre aux équipes de se concentrer sur leurs périmètres et les sujets importants. Cela permet une priorisation des actions et une meilleure remédiation des alertes.   
  • Réactivité : Suite à la remontée d’une vulnérabilité, l’idéal est une prise d’action la plus rapide possible. La veille doit donc aboutir à transférer l’information le plus rapidement possible pour vous donner le plus de temps possible pour la remédiation.  
  • Support dédié : L’information issue d’un service de veille peut être complexe. Si toutefois la synthèse qui en est proposée ne suffit pas, votre service doit disposer d’un support pour répondre à vos questions. 

Une veille collaborative permanente organisée de la manière suivante :  

Étape 1 : La collecte  

Un bon service de veille doit disposer d’outils de collecte, afin d’aller chercher les informations publiées sur les (très) nombreuses sources existantes. En effet, seule une partie des sources (telles que les listes de diffusion) poussent l’information vers les utilisateurs. 

Chez XMCO, nous travaillons depuis plusieurs années sur ce volet automatisation de la collecte, ce qui nous permet de suivre plus de 1 500 technologies et éditeurs au travers de plus de 1 000 sources d’informations différentes. 

Étape 2 : La qualification et la corrélation 

Un bon service de veille ne doit en aucun cas transmettre uniquement de l’information brute. La qualité ou l’exploitabilité de cette dernière est en effet très variable selon les sources, et il est important de la traiter afin de la rendre le plus compréhensible possible pour l’utilisateur final. Cette phase vise à rendre intelligibles le scénario d’exploitation, les risques existants, les recommandations, etc. 

Chez XMCO, l’information que nous collectons automatiquement sera systématiquement qualifiée et corrélée pour s’assurer d’avoir une synthèse qui soit la plus exhaustive. Cette notion de qualification de corrélation est réalisée par les consultants qui ont une bonne vue de l’analyse des menaces et des vulnérabilités notamment grâce à nos différentes activités d’audit.  

Étape 3 : La diffusion  

La diffusion des informations vers les bons destinataires est une des clefs du succès lors de la mise en place d’une activité de veille. Si l’information n’arrive pas jusqu’aux personnes en mesure d’agir pour protéger l’entreprise, faire de la veille ne sert à rien.  

Chez XMCO, nous mettons à disposition de nos clients un Portail leur permettant de faire le recensement des périmètres les plus critiques, des technologies qui leur sont associés et des personnes qui en sont responsables. Ce portail permet ainsi de simplifier le travail de cartographie nécessaire à la mise en place d’un service efficace. Nous nous appuyons ensuite sur cette cartographie pour publier l’information au bon moment et à la bonne personne.  

Étape 4 : Le suivi et le contrôle  

Un processus de veille efficace ne s’arrête pas à la diffusion de l’information. Il doit intégrer ensuite un plan d’action et un suivi dans le temps des actions et de leur remédiation. 

Chez XMCO, cette étape se fait également dans le Portail. Nos clients peuvent requalifier les niveaux de criticité, la temporalité de la prise d’action, l’assignation, échanger avec leurs collègues et le service pour avoir des réponses qui permettent d’avancer plus rapidement. C’est un travail collaboratif ! 

Dans le webinar vous retrouvez une rapide présentation du Portail de veille collaborative. Vous pouvez nous contacter pour une démonstration personnalisée.  

Pour conclure, nous proposons un outil de veille qui va vous permettre, en fonction du domaine d’activité de votre entreprise, de structurer et de partager l’information dans le but que cette dernière soit exploitée et suivie dans le temps. Et tout ça est rendu possible grâce au Portail.  

Aujourd’hui, ce sont plus de 2 600 personnes qui bénéficient quotidiennement de Yuno, comme en témoignent nos clients Flowbird et Elsan.  

« La veille Yuno permet d’avoir des informations orientées sur nos services déclarés. Elle permet de maintenir les connaissances auprès de mes équipes. Je m’en sers également comme outil de sensibilisation, car certains bulletins permettent d’expliquer et d’appuyer mes messages. »

Yohann Guiot, RSSI et DPO Groupe, Flowbird 

« Le service nous permet de définir nos périmètres et de donner des accès distincts à chacun de nos 120 établissements tout en conservant une vision globale sur chacun d’eux.  Grâce à la plateforme, nous savons qui est concerné par une vulnérabilité. Elle nous permet de mieux communiquer et de mieux gérer les correctifs. Toutes les sources et failles du monde sont filtrées. Nous ne recevons que ce qui nous intéresse. C’est le bon niveau d’informations, à la bonne fréquence. »

Grégoire Saugy, RSSI, Elsan 


Paloma Siggini