Tierney - stock.adobe.com
Pour CrowdStrike, les délais de réponse à incident restent trop longs
Selon une étude réalisée pour l’éditeur, il faut presque sept jours de travail continu aux équipes de sécurité d’une entreprise pour détecter un incident typique, enquêter dessus, et enfin le contenir.
La gestion des incidents de sécurité continue de prendre beaucoup de temps, et même beaucoup trop. C’est du moins ce qui ressort d’une étude menée par Vanson Bourne pour Crowdstrike. Dans le cadre de celle-ci, le cabinet a interrogé 1900 décideurs et professionnels de la sécurité informatique dans 11 pays, dont la France, représentant les principaux secteurs économiques. Et les résultats ne sont pas rassurants.
Ainsi, 95 % des sondés s’avèrent incapables de suivre la règle du « 1:10:60 », soit une minute pour détecter, 10 minutes pour enquêter et 60 minutes pour contenir un incident de cybersécurité. En fait, en moyenne, le processus couvrant détection, triage, enquête et confinement s’étale sur rien moins que 162 heures, dont 31 pour la dernière étape, le confinement.
Ces chiffres méritent d’être mis en perspective avec d’autres, quitte à souligner les défaillances dans la détection. Ainsi, en début d’année, FireEye estimait qu’il fallait 38 jours en moyenne pour débusquer un intrus, lorsque sa présence est découverte par l’organisation victime, et jusqu’à 125 jours lorsqu’un tiers l’a fait. FireEye s’appuyait pour cela sur les interventions de sa division Mandiant. Début octobre, Wavestone évoquait quant à lui un délai de détection d’intrusion moyen de 167 jours, fort lui aussi de l’expérience de ses équipes de réponse à incident.
Dans ce contexte, il n’est guère surprenant que 86 % des sondés, par Vanson Bourne pour CrowdStrike, considèrent que pouvoir détecter un incident dans la minute relève d’un changement radical pour leur organisation en matière de cybersécurité. Car en fait, la détection d’une intrusion n’est le premier objectif de sécurité informatique que pour 19 % des sondés.
L’étude de Vanson Bourne souligne en outre l’importance croissante des attaques par rebond, celles visant la chaîne logistique : 34 % des sondés indiquent avoir été affectés, contre 16 % un an plus tôt. Au printemps, une étude conduite Forrester pour Hiscox indiquait un chiffre plus élevé – 68 % en France. Mais la menace n’en est pas moins bien réelle, et source d’une inquiétude croissante.
Pour Thomas Etheridge, vice-président CrowdStrike en charge des services, le fait que la grande majorité des répondants n'arrivent pas à se rapprocher de la règle « 1:10:60 » n’est pas anodin : « il s'agit d'un grand nombre d’entreprises qui n'ont ni les ressources, ni les compétences, ni les outils nécessaires » pour cela. Et de déplorer au passage qu’en cas d’incident, la priorité semble encore être mise sur la périphérie du réseau. Une approche traditionaliste qui pénalise. Car pour lui, il est important de « pouvoir se concentrer sur les hôtes du système d’information et de comprendre comment les attaquants sont soit déjà dans l’environnement, soit très facilement capables d'y accéder ». Et cela afin de les détecter et d’empêcher leur déplacement latéral.
Rob Clyde, président exécutif de White Cloud Security et ancien président du conseil d'administration de l'ISACA, n’oublie pas la dimension organisationnelle de la réponse à incident : « c'est un exercice interfonctionnel. Ce n'est pas la responsabilité d'une seule division ou d'une seule personne. Ce doit être un travail d'équipe ». Las, cette transversalité n’est pas toujours simple à gérer, et il n’est pas rare « que l’on ait besoin de remonter jusqu’au conseil d’administration ».
Et puis pour Rob Clyde, réaliser un confinement technique dans un délai de 60 minutes est déjà assez difficile, mais il y a d'autres aspects à prendre en considération : « l'intervention en cas d'incident ne se limite pas à contenir l'attaque. C'est au niveau technique que vous allez le contenir afin de bloquer la propagation. Mais il faut savoir ce que vous allez dire au public, aux régulateurs, et comment sera impliqué le conseil d'administration. Pour une entreprise cotée en bourse, quel sera l’impact sur le cours de l’action ? Tout cela fait partie du confinement, et ces volets non techniques sont souvent oubliés ou mal intégrés ».
Avec nos confrères de SearchSecurity.com (groupe TechTarget).