Trace Id is missing

Votre sécurité est d’autant plus grande que votre veille des menaces est efficace

Partager
Bouclier bleu avec un cadenas blanc en son centre

Elle est encore renforcée grâce à l’IA

Les observateurs de longue date de la cybersécurité savent à quel point le combat pour faire avancer les choses peut être frustrant. Notre profession exige une vigilance constante, et l’assurance d’un travail bien fait n’a rien d’évident. Les mauvaises nouvelles monopolisent la une des journaux et les rapports sont plus pessimistes les uns que les autres. Pourtant, nous constatons chaque jour de réelles réussites dans le domaine de la cybersécurité.

Chaque jour, nos défenseurs partagent discrètement des informations. Chaque jour, ils alourdissent le coût de la criminalité pour les attaquants et leurs vastes organisations criminelles. Chaque jour, ils usent de tout leur talent et de leurs grandes compétences pour identifier les criminels plus rapidement et les évincer au plus vite.

La veille des menaces (TI) donne de bons résultats, et les temps de présence médians des adversaires continuent de diminuer. Le délai actuel de 20 jours représente un changement notable par rapport à l’époque où les attaquants pouvaient échapper à toute détection durant plusieurs mois.

Nous pouvons nous féliciter des progrès de l’intelligence pour arriver à ce niveau. Nous pouvons nous féliciter des progrès des outils. Nous pouvons nous féliciter des progrès des ressources. Et lorsque nous réunirons toutes ces forces, à savoir la veille des menaces, les données à grande échelle et l’intelligence artificielle (IA), nous verrons l’impact de notre travail de défenseurs s’accélérer et s’amplifier.

Les données sont le reflet de ce que les défenseurs voient, et notre vision n’a jamais été aussi bonne. La concurrence dans le nuage a considérablement fait baisser les coûts de stockage et d’interrogation des données, ce qui a permis d’énormes avancées en matière d’innovation. Les coûts plus bas ont rendu possible le déploiement de capteurs à plus haute résolution dans l’ensemble de l’infrastructure numérique. L’essor des approches XDR et SIEM a entraîné une extension des données et des signaux, les faisant passer du point de terminaison à l’application, à l’identité et au nuage.

Un plus grand nombre de signaux augmente la surface d’exposition pour la veille des menaces (TI). Cette veille des menaces alimente ensuite l’IA. Elle fournit des étiquettes et des données d’entraînement aux modèles d’IA qui aident à prédire la prochaine attaque.

À l’instar de ce que la veille des menaces peut détecter, l’IA peut aider à adapter la défense.

Cette intuition et cette expérience apportées par l’amélioration de l’intelligence peuvent être modélisées numériquement avec des millions de paramètres définis sur nos 65 milliards de signaux.

Microsoft adopte une approche centrée sur les adversaires en matière de veille des menaces. Nous suivons activement plus de 300 acteurs de la menace différents, dont plus de 160 groupes liés à des États-nations et plus de 50 gangs de rançongiciels.

Ce travail exige de la créativité et de l’innovation ainsi que l’aide de nombreux contributeurs pluridisciplinaires. Une veille des menaces efficace rassemble tous les acteurs : les experts en cybersécurité et les ingénieurs en sciences appliquées travaillent de concert avec les autorités dans les domaines de la géopolitique et de la désinformation. Ensemble, ils examinent tout ce qui a trait à leurs adversaires afin de comprendre ce qui se passe lors d’une attaque, et d’anticiper le motif et le lieu d’une future attaque potentielle.

Rapport de Security Insider

Pour voir un système de veille des menaces de pointe en action, téléchargez le rapport A year of Russian hybrid warfare in Ukraine.

L’intelligence artificielle (IA) permet de mieux adapter la défense au rythme des attaques. Grâce à l’IA, les attaques par rançongiciel lancées par des cybercriminels peuvent être perturbées encore plus tôt, transformant les signaux de faible niveau de confiance en un système d’alerte précoce.

Les enquêteurs doivent rassembler les indices isolés pour détecter qu’une attaque est en cours. Ce travail prend du temps. Mais dans les situations où le temps est compté, le processus de détermination de l’intention malveillante peut être réalisé à la vitesse de l’IA. L’intelligence artificielle permet d’établir un lien entre les contextes.

Tout comme les enquêteurs mènent une réflexion à plusieurs niveaux, nous pouvons combiner trois sortes d’informations alimentées par l’IA pour détecter les attaques par rançongiciel dès le début de l’escalade.

  • Au niveau de l’entreprise, l’IA se sert d’une analyse chronologique et statistique des anomalies
  • Au niveau du réseau, elle construit une vue graphique pour identifier l’activité malveillante sur tous les appareils
  • Au niveau de chaque appareil, elle s’appuie sur le monitoring du comportement et la veille des menaces pour identifier l’activité de haut niveau de confiance

Zoom sur les rançongiciels : conversation avec Jessica Payne

La meilleure nouvelle concernant les rançongiciels est qu’ils représentent une menace en grande partie évitable. Beaucoup de rapports sur les rançongiciels mettent l’accent sur les charges utiles des rançongiciels, ce qui peut donner l’impression d’une menace évoluant en permanence qui est organisée par des dizaines et des dizaines d’attaquants, alors qu’en réalité, la menace provient de quelques attaquants qui utilisent les mêmes techniques mais changent de charges utiles RaaS (ransomware as a service) en fonction de leur disponibilité.

En nous concentrant sur les acteurs à l’origine des attaques plutôt que sur les charges utiles, nous pouvons voir que la plupart des attaquants qui déploient des rançongiciels ne font pas appel à des compétences extraordinaires et ne développent aucun code d’attaque « Zero Day » sur mesure ; ils exploitent simplement des faiblesses courantes de la sécurité.

La plupart des attaquants ayant recours aux mêmes techniques, vous pouvez voir où les menaces se chevauchent et mettre en place des mesures d’atténuation de ces attaques. Pratiquement toutes les attaques par rançongiciel se font par des attaquants qui accèdent à des identifiants à privilèges élevés comme un compte d’administrateur de domaine ou un compte de déploiement de logiciel. C’est un problème que vous pouvez éviter en utilisant des outils intégrés comme les stratégies de groupe, les journaux d’événements et les règles de réduction de la surface d’attaque (ASR).

Certaines organisations qui ont mis en œuvre des règles ASR ont constaté une baisse des incidents de 70 %, ce qui signifie moins de fatigue pour les équipes du centre des opérations de sécurité (SOC) et moins de chances pour les attaquants d’obtenir un accès initial en vue d’affaiblir le système de défense. Les entreprises qui réussissent à lutter contre les rançongiciels sont celles qui mettent l’accent sur ce type de durcissement de la sécurité.

Le travail de prévention est essentiel.

Comme je le dis souvent, la prévention et la détection ne sont pas des approches identiques. La prévention est le garant de la détection, en ce sens qu’elle apaise le réseau et vous donne l’espace nécessaire pour repérer les anomalies les plus importantes.

En fin de compte, la veille des menaces, quand elle est entre de bonnes mains, est un moyen incomparable de prévenir une attaque ou de la neutraliser automatiquement.

Découvrez-en plus sur la protection de votre entreprise contre les rançongiciels, et lisez le rapport intégral.

Groupe de personnes marchant sur des blocs de couleur
Sélection

Explorer les cybermenaces et renforcer les moyens de défense à l’ère de l’IA

Les avancées dans le domaine de l’intelligence artificielle (l’IA) s’accompagnent de nouvelles menaces, et opportunités, pour la cybersécurité. Découvrez de quelle façon les acteurs de la menace se servent de l’IA pour mener des attaques plus sophistiquées, puis prenez connaissance des meilleures pratiques qui permettent de mieux se protéger contre les cybermenaces traditionnelles et celles basées sur l’IA.
En savoir plus

Aujourd’hui, nous entrons dans une nouvelle ère où l’IA améliore la sécurité. Le Machine Learning est maintenant largement utilisé dans les technologies de défense. Mais jusqu’à présent, l’IA était principalement cachée au cœur même des technologies. Les clients bénéficiaient de son rôle dans la protection, mais ils ne pouvaient pas interagir directement avec elle, et c’est cela qui a changé.

Nous sommes en pleine transition entre une IA basée sur les tâches, qui est efficace pour détecter les attaques par hameçonnage (phishing) ou par pulvérisation de mots de passe, et une IA générative fondée sur des modèles qui rendent les défenseurs plus performants partout dans le monde.

La combinaison de la veille des menaces (TI) et de l’intelligence artificielle (IA) aide les défenseurs à être plus rapides que jamais auparavant. Je suis impatiente de voir ce que vous allez faire de tout ça. Quoi que vous fassiez, je sais qu’ensemble, nous arriverons à mieux protéger la planète.

Articles connexes

Défendre l’Ukraine : Les premières leçons à tirer de la cyberguerre

Les derniers résultats de nos efforts en matière de veille des menaces dans le cadre de la guerre entre la Russie et l’Ukraine, ainsi qu’une série de conclusions tirées de ses quatre premiers mois, renforcent la nécessité de poursuivre et d’accroître les investissements dans la technologie, les données et les partenariats afin de soutenir les gouvernements, les entreprises, les ONG et les universités.
En savoir plus

Trois moyens de vous protéger contre les rançongiciels

Une défense moderne contre les rançongiciels nécessite bien plus que la mise en place de mesures de détection. Découvrez les trois meilleurs moyens de renforcer la sécurité de votre réseau contre les rançongiciels, dès aujourd’hui.
En savoir plus

Découvrez l’ABC du repérage des menaces

En matière de cybersécurité, la vigilance reste de mise. Voici comment repérer, identifier et atténuer les menaces nouvelles et émergentes.
En savoir plus

Suivez Microsoft