Retour aux articles

Sécuriser les terminaux à l’ère du travail à distance

18 octobre 2021

Depuis quelques mois, le recours au télétravail s’est largement généralisé. En matière de cybersécurité, un tel changement soulève de nouveaux enjeux. Comment se protéger de la menace avec un environnement informatique plus ouvert, des collaborateurs situés à distance, une plus grande hétérogénéité des terminaux – poste de travail, mobile ou tablette – utilisés par les employés ?

Aujourd’hui, au Luxembourg, des milliers de salariés travaillent à distance du bureau. Pour mener à bien leurs missions quotidiennes, ils s’appuient sur du matériel fourni par leurs employeurs ou encore sur leur propre matériel. De cette évolution, imposée par la crise sanitaire mais appelée à se maintenir, découlent de nouveaux défis en matière de cybersécurité. Rapidement, au regard de l’évolution de la menace, les acteurs se sont demandés comment protéger l’environnement informatique, autrement dit les assets numériques de l’entreprise, aussi bien ses données que les serveurs et terminaux utilisés par chaque employé.

Au niveau des postes de travail, l’antivirus ne suffit plus

Comment les grands acteurs peuvent-ils prévenir, détecter, bloquer, répondre, analyser des attaques de type ransomware au départ d’un terminal situé à distance, en évitant toute propagation rapide de ses effets et une paralysie de l’activité ?

« Un antivirus ne suffit pas. Une telle mesure de protection, analysant les éléments sur base de signatures connues, va bloquer les vieilles attaques. Toutefois, dans beaucoup de cas, il faudra aller plus loin et intégrer une solution de type EDR, explique Alban Rocheteau, Responsable du Centre Opérationnel de CyberSécurité au sein du groupe Groupe Covéa, principal assureur mutualiste en France, détenteur des marques GMF, MMA et MAAF. On peut alors appuyer la réponse sur une analyse des comportements et protéger plus efficacement chaque terminal. »

Détecter et répondre à partir des terminaux

L’EDR (Endpoint Detection Response) est une solution dont la mission principale est de surveiller toutes les exécutions effectuées depuis un terminal, qu’il s’agisse d’un poste de travail ou d’un serveur. Son analyse va permettre de détecter rapidement toute anomalie pour bloquer automatiquement les opérations représentant une menace ou les suspendre le temps qu’une analyse plus poussée puisse être réalisée.

Afin de protéger ses actifs, le groupe Covéa a choisi de recourir à l’EDR de la société française TEHTRIS, accédant à un haut niveau de protection grâce à une automatisation avancée. Le groupe compte 23.000 collaborateurs auxquels s’ajoutent 6000 agents à travers le territoire, eux aussi équipés avec du matériel fourni par le groupe. Au total, Covéa doit gérer et protéger 43.000 terminaux, soit 33.000 postes de travail et 10.000 serveurs. « Dans une attaque au ransomware, qui vise à chiffrer l’ensemble des actifs de l’entreprise, il faut agir vite. En moyenne, ce type d’attaques parvient à paralyser plus de 500 postes de travail par minute qui s’écoule, explique Nicolas Cote, Head of Solutions au sein de TEHTRIS. Si une attaque atteint plusieurs machines de l’entreprise, elle peut se propager en un rien de temps à l’ensemble de l’environnement. En quelques minutes, des entreprises de moyenne ou de grande taille peuvent voir leurs systèmes informatiques complètement paralysés. Pour se protéger, contenir la menace et la stopper, on ne peut plus compter uniquement sur des moyens humains. Il est nécessaire de recourir à l’automatisation, pour suppléer à l’humain. »

L’automatisation est indispensable

Pour se rendre compte de l’enjeu, entre le 1er juillet et le 31 août 2021, au niveau du groupe COVEA, quelque 64 milliards d’événement unitaires ont été reportés au niveau du Security Information and Event Management (SIEM), aussi opéré par TEHTRIS. Parmi ces événements, 8 milliards concernaient des enjeux de sécurité. 117 millions de règles ont été déclenchées, dont 60 millions importantes. A partir de ces événements, les analyses du SIEM, au terme d’un travail de corrélation, ont fait remonter 38 incidents au Security Operation Center de COVEA. Ces incidents peuvent être de plusieurs natures, comme un malware détecté sur un poste de travail, un ransomware bloqué, un trop grand nombre de tentatives de connexion sur un serveur… « Au regard du nombre d’événements, on se rend compte que l’automatisation est indispensable si on ne veut pas manquer une alerte et risquer une propagation d’une attaque à l’ensemble de l’environnement », assure Alban Rocheteau.

Bloquer la menace dès le terminal

Cette automatisation concerne la détection et la remontée des événements vers le SIEM, permet une corrélation des événements au niveau de l’analyse en s’appuyant sur de l’intelligence artificielle, du machine learning et du deep learning. « Avec un degré avancé d’automatisation, on peut développer des visions analytiques transverses et renforcer sa capacité de prise de décision pour mieux détecter, protéger, répondre. Dans beaucoup de cas, les solutions mises en œuvre permettront de figer la menace pour donner du temps aux analystes d’entreprendre des investigations avancées », explique Nicolas Cote.

Ces outils, dès lors, participent grandement à élever la maturité des acteurs en matière de gestion de la sécurité informatique. « Un EDR est aujourd’hui le moyen de détecter et de répondre, avec l’avantage d’opérer au niveau de granularité le plus fin, c’est-à-dire le poste de travail, le mobile ou le serveur. On peut donc bloquer et isoler une menace localement, en évitant qu’elle se propage largement », poursuit Nicolas Cote.

Nos experts répondent à vos questions

Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?

Autres articles de la catégorie Cybersécurité

Attaques DDoS au Luxembourg en 2023

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2023 par POST Cyberforce.

Lire cet article

Publié le

15 février 2023

Attaques DDoS au Luxembourg en 2022

Découvrez les statistiques des attaques DDoS détectées au Luxembourg en 2022 par POST Cyberforce.

Lire cet article

Publié le

11 octobre 2022

Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.

Lire cet article

Publié le

12 juillet 2022