Dans la lutte contre les cybercriminels, les entreprises présentes dans la zone Europe, Moyen-Orient et Afrique (en anglais EMEA) manquent de vigilance et de réactivité. C’est la conclusion que l’on peut tirer du dernier rapport annuel publié par Mandiant, une filiale du groupe de cybersécurité FireEye, spécialisée dans les interventions en cas d’attaque informatique. L’entreprise réalise chaque année 100.000 heures d’intervention en moyenne, partout dans le monde avec ses quelques 350 à 400 experts spécialisés dans l’analyse du code. Leurs investigations permettent aux entreprises de comprendre ce qui s’est passé, quel a été le mode opératoire et quel en était le but. Chaque année ces interventions font l’objet depuis 2010 d’un rapport annuel. Les principaux résultats de l’édition 2016 mettent en évidence que les organisations de la région EMEA ont mis trois fois plus de temps à détecter une brèche de sécurité que leurs voisins. « Le délai de détection moyen, c’est à dire entre le temps écoulé entre la brèche et sa détection dans cette région s’est établi à 469 jours, à comparer à la moyenne mondiale de 146 jours », souligne David Grout, directeur technique Europe du sud chez FireEye.
Deux centres de cyberdéfense en Europe
Ce groupe américain fournit des solutions pour détecter et bloquer les cyberattaques avancées exploitant le Web et la messagerie électronique ainsi que les logiciels malveillants combinés à des exploits « zero-day », à savoir des vulnérabilités informatiques qui ne sont pas encore connues ou corrigées. Voire à des tactiques de menaces persistantes avancées (APT). Etabli à Milpitas (Californie) ce groupe d’environ 3.200 personnes prévoit de réaliser un chiffre d’affaires autour de 800 millions de dollars pour 2016 dans la fourniture de prestations et de solution de cybersécurité. Lesquelles viennent en complément des pare-feux, systèmes IPS, antivirus et autres outils. FireEye utilise un moteur sans signature qui se fonde sur l’analyse dynamique pour détecter les menaces « zero-day ». Côté prestations, le groupe opère en Europe deux centres spécialisés en cyberdéfense, basés à Dublin (Irlande) et Munich (Allemagne), qui mobilisent 250 analystes. Ces derniers gèrent la sécurité et les réponses sur alertes des clients de FireEyes grâce à des services délivrés en mode SaaS (Software’ as a Service: location logicielle à la demande sur Internet). Le groupe propose aussi des remédiations et des accompagnements à la remédiation.
Les techniques de défense utilisées en zone EMEA sont inadaptées
Parmi toutes les brèches observées en zone EMEA, seules 12% d’entre elles ont été notifiées par une source externe contre 53 % au niveau mondial. « Surtout, les organisations concernées ont découvert les brèches en interne dans 88% des cas mais le délai de détection moyen (469 jours) suggère que cela s’est produit trop tard », reprend David Grout. Pis encore, de nombreuses organisations ont subi une nouvelle brèche dans les mois qui ont suivi une brèche initiale. Mandiant en conclut que les techniques utilisées dans cette région du monde sont inadaptées pour lutter contre les cyberattaques. Conséquence : une incapacité à comprendre la véritable étendue de l’incident. « Nos consultants ont constaté que de nombreuses organisations en zone EMEA optent toujours pour des méthodologies traditionnelles d’enquête et n’analysent qu’une poignée de machines. Ce qui a pour effet d’augmenter le risque d’une nouvelle brèche », relève directeur technique Europe du sud chez FireEye.
Il y a urgence pour les opérateurs d’intérêts vitaux
Ces organisations ont donc encore une importante marge de progression à accomplir pour améliorer leurs capacités de détection et de réponse aux incidents. En France il y a d’ailleurs urgence pour les grandes entreprises et notamment les opérateurs d’intérêt vital (OIV). « En effet la loi de programmation militaire qui les encadre les oblige à rechercher des marqueurs sur les machines », rappelle David Grout qui s’est donné pour priorité notamment d’évangéliser et éduquer le marché sur les notions d’analyse de risques Cyber, de chasse aux APT et d’aider les clients et partenaires à être prêts en adoptant ses solutions. Parmi lesquelles sa solution logicielle HX qui permet aux entreprises de surveiller leurs terminaux en continu afin de détecter les malwares avancés et tout signe de compromission qui échapperait aux systèmes de défense basés sur les signatures.
Eliane Kan
Commentez