Rapport — Grands volumes de données, ou comment
Rapport— Grands volumes de données,
oucomment chercher une aiguille dans une
bottede foin
Rapport
3Rapport— Grands volumes de données, ou comment chercher une aiguille dans une botte de foin
Le phénomène «Big Data» est en train de bouleverser le paysage des entreprises au niveau mondial.
Cesgrands volumes de données offrent de nombreux avantages, et rares sont les technologies qui ne peuvent
en tirer parti. Le domaine de la sécurité informatique n'y fait pas exception. Compte tenu de la sophistication
croissante des attaques et de l'intensication des pressions réglementaires, la diversité, le volume et les besoins
d'analyse des données de sécurité sont désormais tels que les fonctionnalités des systèmes traditionnels de
gestion des informations ne sufsent plus. Face à la masse de données de sécurité aujourd'hui brassées par
les entreprises, l'identication d'une menace s'apparente souvent à la recherche d'une aiguille dans une botte
de foin. Pourtant, la collecte de gros volumes de données peut changer véritablement la donne en matière de
sécurité informatique. Les entreprises doivent exploiter et examiner cette mine d'informations de façon plus
avisée an de refouler le ot des menaces dont elles sont quotidiennement la cible.
Face aux violations de sécurité et aux fraudes électroniques qui continuent à faire les gros titres et à l'essor des activités
cybercriminelles, les entreprises doivent prendre des mesures plus intelligentes pour contrer des menaces de sécurité
toujours plus sophistiquées. Conscientes de la nécessité d'une sécurité davantage axée sur les informations, elles
commencent à mettre en place des programmes de sécurité tirant parti des grands volumes de données.
Les entreprises étant aujourd'hui protégées par des solutions antivirus, de protection des postes clients et de prévention des
intrusions, pourquoi devraient-elles se donner la peine d'analyser de façon approfondie les données collectées par ces systèmes
de sécurité? Tout simplement parce qu'à mesure que la sécurité évolue, on voit eurir de nouveaux mécanismes d'attaques
furtives toujours plus élaborés. Les logiciels malveillants (malware) de nouvelle génération conçus par les cybercriminels font
montre de patience: ils effectuent des sondages depuis l'intérieur et l'extérieur du réseau, se mêlant à l'activité normale tout
en exploitant clandestinement des ressources internes. Les attaques ciblées avancées, telles les menaces persistantes avancées,
peuvent rester inactives sur un réseau pendant des semaines, voire des mois, sans déclencher les systèmes de sécurité. Seule
une analyse minutieuse et continue des données permet de détecter cette catégorie de menaces. Plus une entreprise est grande,
plus elle amasse des données, et plus elle éprouve des difcultés et met du temps à déceler les anomalies.
Or le facteur temps joue un rôle primordial dans une telle situation. Une fois les attaques ciblées avancées
activées, elles n'ont d'autre limite que la bande passante des réseaux de leurs victimes. Il arrive donc que
plusieurs téraoctets d'informations compromises s'échappent du réseau en quelques minutes à peine.
Cette étude se fonde sur une enquête réalisée par Vanson Bourne, un bureau britannique d'études de
marché spécialisé dans les technologies, auprès de 500décideurs informatiques. Elle examine le niveau
de préparation des entreprises en vue de résoudre les dés inhérents à la gestion de la sécurité face à
la pléthore de données en tous genres aujourd'hui disponibles. Elle met en outre en évidence l'ampleur
du problème et la nécessité pour les entreprises de mettre au jour et de gérer les activités anormales
et potentiellement dangereuses au sein d'un trac de données colossal. De manière plus spécique,
l'étude révèle le manque alarmant de systèmes de surveillance de la sécurité adéquats au sein des
entreprises, qui restent par conséquent vulnérables aux attaques informatiques dans le cadre de leurs
activités normales, souvent pendant plusieurs jours. Ce problème est aggravé par la conance injustiée
qu'elles placent dans la robustesse de leurs dispositifs de cyberdéfense et leur exposition croissante aux
menaces avancées. Face à la multiplication des données de sécurité, les professionnels informatiques et
les responsables de la sécurité doivent veiller à collaborer de façon étroite, car le phénomène «Big Data»
pourrait bien révéler des divergences de vues préoccupantes entre les deux équipes.
Gartner afrme que les grands volumes de données créent une valeur ajoutée en permettant aux
entreprises de mettre au jour des modèles récurrents jusque-là non décelés et de cerner de façon plus
précise leurs activités et leur environnement, notamment leur sécurité informatique. Le présent rapport
apporte un éclairage sur une série de tendances majeures dans ce domaine, et propose des conseils et
des meilleures pratiques à l'intention des responsables de la sécurité qui cherchent à appréhender le
paysage de la sécurité basée sur les grands volumes de données.
Incapacité à détecter les incidents de sécurité
L'une des principales conclusions de la présente étude est que la majorité des entreprises sont incapables de détecter les
attaques et les menaces de sécurité au moment où elles frappent.
Bien que ces incidents nissent par être décelés, le laps de temps nécessaire pour y parvenir varie en fonction des personnes
interrogées. Lors de l'enquête menée par Vanson Bourne, 35% des décideurs informatiques ont afrmé avoir réussi à détecter
une compromission de données dans les minutes qui ont suivi l'incident. 22% ont en revanche déclaré avoir généralement besoin
d'une journée complète pour repérer une compromission. Et pour 5% des décideurs, ce délai peut aller jusqu'à une semaine.
End'autres termes, une entreprise met en moyenne 10heures pour se rendre compte qu'elle a été victime d'une attaque.
Cependant, d'après le rapport d'enquête2012 sur les compromissions de données (2012 Data Breach Investigations Report)
de Verizon, aucune des grandes entreprises interrogées ayant subi une compromission n'a été en mesure d'identier la
menace dans les heures ou les minutes qui ont suivi. En réalité, plusieurs jours se sont écoulés entre la compromission initiale
et sa détection pour plus de 27% des entreprises, des semaines pour 24% d'entre elles et des mois pour 39%. 9% des
entreprises ont même mis au moins un an avant de prendre conscience de l'incident. Il va sans dire qu'un volume considérable
Les responsables de la sécurité
doivent exploiter le potentiel
offert par les grands volumes
de données pour identier
les tendances, modèles et
menaces à mesure qu'ils
se présentent dans leur
entreprise. Desoutils doivent
être mis en œuvre pour
garantir la visibilité nécessaire
pour accroître les niveaux
d'informations de sécurité.
Nous sommes convaincus que
le moment est venu d'adopter
la sécurité basée sur les
grands volumes de données.
Les entreprises sont incapables
d'identier les violations de
sécurité au moment où elles
se produisent.
4Rapport— Grands volumes de données, ou comment chercher une aiguille dans une botte de foin
de données extrêmement précieuses aurait pu être collecté pendant cette période. De plus, force est de constater que, même
si certaines entreprises ont été capables de déceler les compromissions en quelques heures, 72% des attaques n'ont besoin
que de quelques secondes ou minutes pour mettre à mal les systèmes ou les réseaux. Selon Verizon, une exltration de
données (transmission de données hors du réseau) ne prend que quelques minutes ou secondes dans 46% des cas.
L'étude relève une autre faille, peut-être tout aussi inquiétante: le décalage évident entre les capacités réelles des systèmes
et celles que leur prêtent les décideurs informatiques. Au vu de la multitude de menaces que les entreprises tentent de
repousser chaque jour, le fait qu'une compromission puisse passer inaperçue pendant plus d'un jour ouvrable est très
préoccupant. L'incapacité à détecter les menaces en temps réel peut avoir de lourdes conséquences: fuite de données,
vol d'éléments de propriété intellectuelle, indisponibilité des systèmes, problèmes de conformité, réputation de la marque
ternie, érosion de la conance des clients, etc.
Cette situation est aggravée par l'utilisation croissante des technologies mobiles par le personnel en entreprise, car les
délais de détection des compromissions sur terminaux mobiles sont encore plus longs. En effet, si 44% des répondants
ont déclaré repérer les attaques sur mobiles en quelques minutes à peine, un cinquième des responsables de la sécurité
interrogés ont afrmé que l'identication d'un risque de sécurité prenait un jour. Cela amène le délai moyen de détection
d'une compromission sur mobiles à 14heures.
Songez aux dommages qu'une violation de sécurité pourrait occasionner à une entreprise en un jour ouvrable, au vu de la
vitesse de téléchargement de données, des volumes considérables d'informations commerciales sensibles et du risque de
vol d'éléments de propriété intellectuelle et d'arrêt des systèmes, sans compter l'atteinte à l'image de marque et l'érosion
de la conance des clients.
La conséquence la plus souvent citée est la perte de conance de la part des clients (62%), suivie du préjudice porté
à la réputation de l'entreprise et de la marque (52%). Les problèmes de conformité réglementaire (41%), les pertes
nancières résultant de la perte de clients et d'amendes (40%) et la dégradation de la conance des employés dans
lasécurité (36%) gurent également au nombre des principales préoccupations des responsables informatiques.
Cela dit, les violations de sécurité ne sont pas toujours le fait de menaces externes. Les compromissions de données
peuvent également trouver leur origine dans une activité malveillante ou un acte de négligence commis au sein même de
l'entreprise. Ainsi, l'enquête a révélé qu'il faut en moyenne 41heures pour détecter l'utilisation abusive d'autorisations
par un administrateur de base de données. Cela correspond à plus d'une semaine de travail. A titre d'exemple, un
administrateur informatique du département des services informatiques et de télécommunications (DTIS) de San Francisco
a créé un compte d'administration privé sur des systèmes affectés au projet de réseau FiberWAN de la ville. Comme il a
tenu secret le mot de passe du compte, le département n'a pas pu accéder à la conguration du réseau pendant 10jours.
Si le coupable a nalement été condamné, le retour à la normale après cette interruption aura coûté à l'organisme
municipal la bagatelle de plus d'1million de dollars, certains marchés de services publics et sa réputation.
Ces conclusions ont été étayées par le récent rapport d'enquête sur la cybercriminalité et la sécurité
(Cyber Crime and Security Survey Report) publié par le gouvernement australien et son équipe
d'intervention en cas d'urgence informatique, CERT Australia. Bien que la majorité des attaques
signalées par les 450entreprises interrogées aient été attribuées à des sources externes, 44% émanaient
vraisemblablement de l'entreprise même. Le rapport révèle en outre que plus de la moitié des répondants
estiment que les attaques visaient spéciquement leur entreprise. Selon eux, elles avaient pour
motivations les gains nanciers illicites (15%), le cyberactivisme (9%), l'utilisation du système dans le
cadre d'attaques ultérieures (9%), l'utilisation du système à des ns personnelles (6%) et des griefs
personnels (5%), et étaient le fait de gouvernements étrangers (5%) ou de concurrents (4%).
S'agissant des facteurs qui auraient pu contribuer aux incidents, les répondants ont principalement cité le
recours à des outils d'attaque automatisés puissants (14%), suivi de l'exploitation de vulnérabilités logicielles
ne bénéciant d'aucune protection ou non corrigées (11%) et de l'exploitation de systèmes d'exploitation,
d'applications ou d'équipements réseau mal congurés (10%). Cela doit nous rappeler que des mesures et
contrôles de sécurité informatique qui ciblent l'environnement interne sont également primordiaux.
Si le bien-fondé d'une protection du périmètre réseau ne fait aucun doute, la plupart des technologies
conventionnelles sont impuissantes face aux menaces internes. La prévention de telles menaces n'est
possible que par une analyse rigoureuse des comportements et leur mise en correspondance avec les
activités considérées comme «normales» dans l'entreprise. Une surveillance attentive des processus
aurait permis d'éviter des situations telles que celle décrite ici.
Si plus de la moitié (58%) des responsables de la sécurité ont indiqué avoir subi un quelconque type
de violation de sécurité l'année précédente, 73% ont déclaré avoir pu évaluer l'état de sécurité de
leur entreprise en temps réel. Les réponses des entreprises révèlent également leur conance dans leur
capacité à identier les menaces internes en temps réel (74%), les menaces au niveau du périmètre (78%) et les logiciels
malveillants de type «jour zéro» (72%), ainsi que dans leurs contrôles de conformité (80%).
Une analyse plus approfondie de ces réponses a toutefois montré que seuls 35% des entreprises étaient véritablement
àmême de détecter les violations de sécurité dans les minutes suivant les faits. En réalité, parmi les répondants confrontés
à une compromission l'année précédente, moins d'un quart (24%) ont déclaré avoir détecté celle-ci dans les minutes qui
•22%desentreprises
mettent une journée
pour identier une
compromission de sécurité.
•5%ontbesoindejusqu'à
une semaine pour ce faire.
•Uneentreprisemeten
moyenne 10heures pour se
rendre compte qu'elle a été
victime d'une attaque.
•Unsentimentde
sécurité illusoire met les
entreprisesen péril.
•Unedeuxièmeconclusion
ressort de notre étude: les
responsables informatiques
ont une conance excessive
dans le niveau de sécurité
de leur entreprise.
5Rapport— Grands volumes de données, ou comment chercher une aiguille dans une botte de foin
ont suivi, et il est apparu que la détection d'une compromission prenait en moyenne 19heures. Enn, pour ce qui est du
délai d'identication de l'origine d'une compromission, seuls 14% ont indiqué qu'il était de quelques minutes. Pour 33%,
il était d'une journée et, pour 16%, d'une semaine.
A la question de savoir quelles solutions de gestion des événements et des informations de sécurité (SIEM) avaient été mises
en place, le cas échéant, seule une partie des réponses fournies ont été considérées comme des outils SIEM authentiques.
Les répondants étaient nombreux à penser que les systèmes de sécurisation des bases de données et les logiciels antivirus
standard leur procuraient le niveau de protection adéquat et les informations en temps réel requises. S'il est vrai que ces outils
traditionnels sont en mesure de bloquer ou de refouler de nombreuses attaques, ils sont incapables de détecter les menaces
émanant de l'intérieur de l'entreprise. Les solutions SIEM avancées mettent en corrélation les données sur les événements,
les menaces et les risques an de détecter avec précision les attaques en cours. Elles offrent également une plate-forme
d'investigation et génèrent des rapports de conformité à partir des données de surveillance de l'activité.
L'enquête sur laquelle se fonde la présente étude révèle que de nombreuses entreprises ont résolu
la question de la sécurité de façon expéditive, estimant que la mise en place d'une infrastructure
de sécurité de base sufrait à les protéger. Hélas, le paysage des menaces évolue rapidement.
Laprolifération des menaces, sans cesse plus sophistiquées et qui peuvent frapper l'entreprise tant
de l'intérieur que de l'extérieur, exige le déploiement d'un système de défense coordonné, intégré et
complet, couvrant les réseaux, les équipements, les applications, les bases de données et les serveurs.
Pour obtenir la visibilité dont elles ont besoin, les entreprises doivent collecter des informations de
sécurité à partir de tous les points de vulnérabilité et les analyser en temps réel an de discerner les
corrélations et les modèles indiquant des tentatives d'intrusion par-delà les mécanismes de défense.
Cesrenseignements ne seront d'aucune utilité pour prévenir les effets potentiellement désastreux
d'unecompromission s'ils sont obtenus a posteriori.
Environ 75% des décideurs informatiques déclarent être en mesure d'évaluer l'état de protection de leur
entreprise en temps réel. Cependant:
•Seuls 35% indiquent être parvenus à détecter les violations de sécurité quelques minutes après les faits.
• Parmi ceux dont l'entreprise a subi une violation de sécurité au cours de l'année précédente, seuls 25%
ont déclaré avoir détecté celle-ci dans les minutes qui ont suivi l'incident.
• Le délai moyen de détection d'une compromission était de 14heures.
Seuls 14% des répondants ont pu identier l'origine d'une compromission en quelques minutes, alors que
33% ont déclaré avoir mis un jour pour ce faire et 16% une semaine. D'après l'enquête, les entreprises
stockent environ11 à 15téraoctets de données par semaine. Pour mieux comprendre ce que ce chiffre représente, sachez que
10téraoctets équivalent à la collection de documents imprimés de la bibliothèque du Congrès des Etats-Unis. Autrement dit,
ils'agit d'un volume d'informations colossal, qui non seulement ne bénécie pas d'une protection sufsante, mais doit également
être analysé et géré. Plus inquiétant encore, 58% des entreprises conservent ces données de valeur moins de trois mois.
L'ampleur des menaces avancées et la forme sous laquelle elles se présentent varient considérablement, et certaines restent latentes
plusieurs mois avant de passer à l'attaque. D'après le Rapport de McAfee
®
Labs sur le paysage des menaces: 4
e
trimestre2013,
lerythme d'apparition de nouvelles menaces persistantes avancées s'est accéléré au cours du second semestre2013. Ces menaces
contournent les mécanismes de défense de l'entreprise, pour ensuite rester en sommeil plusieurs mois durant. Puis, lorsque
l'entreprise s'y attend le moins, elles se mettent à envoyer des informations condentielles hors du réseau ou à introduire dans
l'entreprise des logiciels malveillants et des virus, avant de repasser àl'état de veille en attendant de lancer une nouvelle attaque.
LeNew York Times a été victime d'une attaque de ce type, qui s'est acharnée contre le périodique pendant quatre mois, inltrant
ses systèmes informatiques et dérobant les mots de passe de ses journalistes et autres membres du personnel.
Il est essentiel que les entreprises conservent leurs données de sécurité plus longtemps et appliquent des fonctions analytiques
àmême d'identier des modèles, des tendances et des corrélations, de façon à détecter et à neutraliser rapidement les menaces
persistantes avancées. Grâce aux fonctions analytiques, les entreprises peuvent repérer et bloquer les menaces en temps réel, mais
seule l'analyse à long terme d'importants volumes d'informations de sécurité assure l'identication rapide des menaces latentes.
Meilleures pratiques pour mettre les grands volumes de données au service de la sécurité
Le paysage actuel des menaces est source de nombreux dés pour les entreprises. Actuellement, ces dernières n'exploitent
pas tout le potentiel offert par la sécurité basée sur les grands volumes de données, que ce soit en raison du volume même
des données, de la sophistication des menaces ou du manque de visibilité en temps réel. Cet état de fait devrait toutefois
bientôt changer car les entreprises commencent à prendre la mesure de la valeur que recèlent les renseignements pouvant
être tirés de leurs données de sécurité. Quelles sont les meilleures pratiques pour exploiter les renseignements sur les
menaces en temps réel à l'ère de la sécurité renforcée par les grands volumes de données?
• Collecte de l'ensemble des informations de sécurité— Pour réunir des renseignements de sécurité basés sur les risques,
contrer les menaces persistantes avancées et améliorer la surveillance des événements de sécurité, les entreprises doivent
stocker et analyser les informations adéquates. Cela va bien au-delà de la simple gestion des journaux. Sansuneapproche
automatisée et des systèmes hautes performances, la tâche peut se révéler extrêmement ardue. Ledéploiement de
technologies assurant une détection intelligente et une collecte automatisée offrira aux entreprises uncontexte plus riche
sur les menaces externes et les utilisateurs internes.
Les entreprises stockent
environ 11à 15téraoctets
de données par semaine,
mais 58% d'entre elles ne
les conservent que pendant
trois mois. Il n'existe pas de
meilleure pratique universelle:
les entreprises doivent être
conscientes que les menaces
avancées s'étalent parfois
sur plusieurs mois, voire des
années, en échappant à de
nombreuses technologies
de blocage. Une entreprise
qui ne conserve pas les
données de sécurité ne sera
pas capable de détecter,
d'appréhender et d'éliminer
ces menaces insidieuses.
6
1
/
6
100%
