Les menaces APT (Advanced Persistent Threats) sont, aujourd’hui, les plus redoutées. Il faut dire que les cybercriminels ne se contentent désormais plus d’attaques aléatoires et génériques à grande échelle. Ils se montrent plus subtils, avec pour objectif d’infiltrer leurs cibles, de rester furtifs et de détourner les données sans se faire repérer. Si votre arsenal de sécurité en place ne détecte pas les logiciels malveillants furtifs, vous finirez, tôt ou tard, au rang peu enviable d’une entreprise piratée.

Ces menaces se concrétisent trop souvent car les organisations ne prêtent pas suffisamment attention aux différents profils de menaces et à la multiplicité des vecteurs d’attaque. L’innovation rapide qui s’opère sur le front des logiciels malveillants, l’exploitation de nouvelles vulnérabilités zero-day et l’émergence de techniques de furtivité rendent caduque la mise en œuvre d’une approche de sécurité unique et non différenciée.

Une approche plus exhaustive s’impose donc pour neutraliser des attaques toujours plus sophistiquées. Voici quelques pistes pour contrer les APT, et qui viennent renforcer le panel d’outils classiques et de nouvelle génération qui protègent aujourd’hui les réseaux.

Prévenir les menaces connues
De nombreux virus et logiciels malveillants ont déjà été identifiés et répertoriés à ce jour. Les cybercriminels sont peut être créatifs mais ils comptent avant tout sur un défaut très en vogue : la paresse. L’année dernière, près d’un quart des logiciels malveillants existants comptait plus d’une décennie d’existence, tandis que 90% d’entre eux avaient été identifiés avant 2014.

Les menaces connues devraient être neutralisées immédiatement grâce à l’utilisation de pare-feux de nouvelle génération, de passerelles de sécurité email, d’outils de sécurité pour postes clients et autres outils similaires tirant parti de technologies de sécurité précises et pertinentes.

Il est étonnant de constater à quel point les professionnels du réseau sont nombreux à n’avoir pas déployé les processus de base en matière de sécurité. Et pourtant, des tâches simples, comme l’actualisation des patchs de sécurité ou les tests permanents de la sécurité de l’infrastructure informatique en place, sont essentielles pour bâtir un réseau robuste et protégé.

Cependant, les logiciels malveillants et attaques ciblées connues sont susceptibles de contourner ces mesures de sécurité en place. Ainsi le trafic réseau qui ne peut être analysé et géré doit être réorienté vers une nouvelle couche de sécurité.

Appréhender les menaces inconnues
De nouvelles approches permettent de détecter des menaces inconnues et de bénéficier d’une veille décisionnelle sur les menaces. Le sandboxing permet d’exécuter un logiciel suspect au sein d’un environnement cloisonné, afin d’étudier son comportement global, mais sans mettre en péril les environnements de production.

D’aucuns font du sandboxing la solution idéale. Sachons néanmoins garder les pieds sur terre, car ce sandboxing, seul, n’est pas une panacée, même s’il s’agit d’une brique essentielle de la ligne de défense. Nous savons comment les assaillants réagissent face à une nouvelle technologie de sécurité : ils étudient son fonctionnement et identifient comment la contourner. Nous disposons déjà d’exemples de méthodes utilisées par les cybercriminels pour contourner les sandbox. C’est la raison pour laquelle une sécurité doit être actualisée en permanence : les cybercriminels évoluent, et vos systèmes sont également tenus de le faire.

Neutraliser : quel plan d’actions ?
La prévention des menaces sur le réseau est une priorité pour tout système de sécurité. La définition et la mise en œuvre d’un processus de détection et de prise en charge de ces menaces sont tout aussi prioritaires.

Lorsqu’une intrusion est identifiée, les utilisateurs, les dispositifs et les contenus impactés doivent être mis en quarantaine, tandis que des systèmes manuels et automatisés doivent s’activer pour garantir la sécurité des ressources réseau et des données d’entreprise. Les menaces inconnues doivent être traitées et analysées en profondeur, pour donner lieu à des mises à jour à disposition des différentes couches de sécurité sur le réseau, assurant ainsi la bonne combinaison de protection.

Les menaces APT ne sont pas prises en charge par une seule technologie, mais plutôt par un panel intégré de technologies collaborant entre elles. La neutralisation des APT doit tirer parti de différents modules - des technologies, des produits et des services de veille, chacun de ces modules ayant un rôle différent et se synchronisant entre eux.

Nous pouvons nous attendre à une innovation permanente de la part des cybercriminels qui se focalisent sur comment éviter et contourner les outils en place. Il n’y a donc pas de solution miracle, mais il s’agit de privilégier une approche multicouche, qui associe des technologies de sécurité existantes et de nouvelle génération, capables de travailler ensemble pour neutraliser les menaces APT.

Par Patrick Grillo, Senior Director, Solutions Marketing chez Fortinet