Au MSSP Metsys, nos services managés de SOC et CERT assurent au profit de nos clients des activités de détection d’attaque, et réponse à incident. Notre positionnement nous permet donc d’observer au quotidien, les besoins en sécurité de nos clients pour pouvoir faire face à la menace cyber.
Aussi, par le RETEX métier qu’est le nôtre, il nous a semblé pertinent de communiquer sur les 5 types principaux de capteurs (traduction du terme anglais « sensor », présent dans de nombreuses publications de référence, comme celle-ci du MITRE) sécurité, qui nous semblent indispensables d’avoir au minimum, au sein d’une organisation.
Voici la liste en question :
- antivirus et EDR, sur tout poste et serveur (NB : cela tend à inclure les mobiles, donc MTP) ;
- passerelle de sécurité de la messagerie : SEG (dans le jargon Gartner) ;
- passerelle de sécurité de la navigation : SWG (dans le jargon Gartner) ;
- sécurité de l’identité, typiquement pour l’AD (Active Directory) et l’Azure AD : ITDR (ex d’article par Semperis) ;
- et un outillage sécurité spécialisé pour les services « cloud » consommés : CASB (dans le jargon Gartner) ou SASE.
Ces technologies de détection qui contribuent fortement aussi à la réponse à incident, sont positionnées de manière complémentaire sur un système d’information générique. Mais cette complémentarité nous semble bel et bien nécessaire, afin d’avoir un bon niveau de sécurité opérationnelle. Nous excluons toutefois volontairement certaines technologies de sécurité, dans cet article, comme la partie gestion des vulnérabilités, qui n’est pas un capteur en tant que tel pour de la détection, mais ce type de technologie contribue évidemment à la sécurité opérationnelle d’une organisation.
Plus précisément, considérant que les vecteurs d’infection principaux sont : la messagerie, la navigation, et les clefs USB, il apparaît absolument nécessaire de protéger ces vecteurs de manière adaptée et efficace : SEG, SWG, et AV/EDR. En outre, considérant l’essor des services infonuagiques utilisés en entreprise, le RETEX métier montre que les passerelles de sécurité de la navigation ne suffisent souvent pas à sécuriser l’usage de ces services « cloud », c’est là où intervient le CASB.
Enfin, constatant que l’identité numérique devient la nouvelle frontière sécurité (et non plus le périphérique), une posture d’ailleurs liée à notre expertise historique et reconnue en AD et AAD, une solution dédiée à la détection et au traitement des attaques niveau identité nous apparaît indispensable, c’est donc l’ITDR.
Si vous voulez en savoir plus, y compris des détails concernant les modes opératoires d’attaque (TTP de MITRE ATT&CK) que nous estimons être les plus courants, n’hésitez pas à contacter nos instances commerciales, qui se feront une joie de vous répondre. Nous avons même des offres de « diagnostic flash cyber », pour vous permettre d’évaluer de manière simple et pragmatique, où vous en êtes actuellement en termes de sécurité opérationnelle !
Lexique:
- MSSP : Managed Security Service Provider
- SOC : Security Operations Centers
- CERT : Computer Emergency Response Team
- EDR : Endpoint Detection & Response
- MTP : Mobile Threat Protection
- ITDR : Identity Threat Detection and Response
- CASB : Cloud Access Security Broker
- SASE : Secure Access Service Edge
- AD : Active Directory
- AAD : Azure Active Directory
- TTP : Tactics techniques, and procedures