Qu'est-ce que la détection des menaces ?

Les acteurs malveillants attaquent constamment notre cybersécurité à l’aide d’un large éventail de méthodes et d’outils. Ces menaces sont difficiles à identifier : il faut pour cela de solides capacités de détection. Dans cet article de blog, nous abordons la détection des menaces, ses cibles et ses méthodes.

Commençons par définir ce que nous entendons par menace. Pour l’Institut national américain des standards et de la technologie (NIST), une cybermenace est :

Toute circonstance ou tout événement susceptible d’avoir un impact négatif sur les opérations de l’organisation (sa mission, ses fonctions, son image ou sa réputation), sur ses actifs ou sur les individus, cet impact s’exerçant par l’intermédiaire d’un système informatique au moyen d’un accès non autorisé, de la destruction, la divulgation, la modification d’informations et/ou d’un déni de service. Le terme désigne également la possibilité, pour une source malveillante, d’exploiter une vulnérabilité particulière d’un système d’information.

En d’autres termes, tout ce qui peut perturber les données ou les opérations de votre organisation est une menace. Qu’est-ce que la détection des menaces ? Un outil de détection des menaces analyse le comportement de votre système afin de les repérer avant qu’elles ne l’endommagent. C’est donc une approche un peu différente de la prévention des menaces, qui vise à empêcher les menaces de pénétrer dans votre système.

Passons en revue quelques menaces courantes.

Les grandes familles de menaces

Logiciels malveillants

Les logiciels malveillants permettent aux pirates de voler vos données, d’endommager votre système, de prendre le contrôle de votre appareil, etc. Les logiciels malveillants peuvent s’introduire dans votre appareil de plusieurs façons :

• Téléchargement sur Internet
• Enregistrement de pièce jointe à un e-mail
• Exploitation des vulnérabilités du système
• Clic sur des liens malveillants

Une fois que le logiciel malveillant se trouve sur votre appareil ou vos serveurs, les pirates peuvent lancer un ransomware. Celui-ci va alors chiffrer et même collecter vos données, puis vous réclamer une rançon en échange de la clé de déchiffrement et d’une garantie de non-divulgation. Les pirates peuvent aussi utiliser votre nom d’utilisateur et votre mot de passe pour explorer le réseau de votre entreprise jusqu’à ce qu’ils trouvent ce qu’ils cherchent.

Ingénierie sociale

Les attaques d’ingénierie sociale tentent généralement d’exploiter la nature humaine. Elles font généralement appel à la gentillesse (le pirate prétend vous demander de l’aide) ou à la peur (on vous menace d’un grave malheur). Ce type d’attaque est extrêmement courant. Il est souvent utilisé pour voler vos informations ou vous inciter à télécharger des logiciels malveillants sur votre ordinateur.

Forme d’ingénierie sociale répandue, le phishing est une menace majeure pour la sécurité des données. Parce qu’il nécessite moins de connaissances techniques, c’est un moyen simple de dérober des informations sensibles ou de faire installer un logiciel malveillant. Voici quelques cas classiques de phishing :

• Un e-mail semblant provenir de votre banque vous demande de réinitialiser votre mot de passe. Quand vous cliquez sur le lien fourni, vous êtes redirigé vers un site sosie qui permettra aux pirates de récolter le nom d’utilisateur et le mot de passe que vous saisirez.
• Vous recevez un SMS qui vous explique que la livraison de votre colis ne peut pas se faire et vous invite à cliquer sur un lien pour résoudre le problème. Le lien vous renvoie vers un site web malveillant.
• Vous gérez les finances de votre entreprise et vous recevez un e-mail contenant, en pièce jointe, une facture qui semble provenir d’un sous-traitant. Vous téléchargez la pièce jointe, mais celle-ci installe un logiciel malveillant sur votre appareil.

Défauts de configuration et vulnérabilités

Parfois, les menaces ne sont pas le fait de pirates, mais le fruit de faiblesses dans votre système. Et elles sont potentiellement nombreuses :

• Logiciels et systèmes d’exploitation obsolètes
• Logiciels présentant des vulnérabilités connues ou inconnues, exploitables par les pirates
• Règles autorisant la création de mots de passe faibles
• Règles d’accès laxistes, n’appliquant pas le principe de moindre privilège

Déni de service

Une attaque par déni de service vise à empêcher un service de fonctionner correctement. Au cours d’une attaque par déni de service distribuée, par exemple, le pirate fait en sorte qu’un très grand nombre d’appareils accèdent simultanément à un même site web. L’augmentation du trafic finit par dépasser les capacités du serveur qui s’arrête, privant les utilisateurs légitimes du service. Les conséquences peuvent être désastreuses pour les activités d’une entreprise, en particulier si ses revenus dépendent principalement de son site web.

Menaces d'initiés

On parle de menaces d’initiés lorsqu’une personne qui connaît votre système commet un acte qui perturbe votre cybersécurité. Cet acte peut être involontaire, comme dans le cas d’une attaque de phishing, mais il peut aussi être intentionnel. C’est ce qui se produit quand un employé mécontent utilise sa connaissance des systèmes pour voler des informations.

Menaces inconnues

Parmi les innombrables menaces présentes dans l’environnement, certaines n’ont pas encore été découvertes par les équipes de sécurité. Elles peuvent être très difficiles à repérer et nécessitent des capacités de détection avancées.

Méthodes de détection des menaces

La détection des menaces n’a rien de trivial. Les organisations doivent faire preuve d’une vigilance constante : il suffit qu’une seule attaque réussisse pour causer des dommages importants. C’est pour cela qu’il faut impérativement équiper votre stratégie de défense des bons outils. Plusieurs méthodes permettent de repérer les attaques :

Détection basée sur la signature

La détection basée sur la signature reconnaît les composants connus d’une menace en se référant à une base de données de signatures. Par exemple, votre logiciel de détection des menaces analyse votre appareil à la recherche de code connu pour être malveillant. S’il trouve ce code, votre logiciel sait que votre appareil est infecté.

Détection basée sur le comportement

La détection basée sur le comportement ne recherche pas une signature spécifique. Elle s’intéresse plutôt aux comportements qui trahissent la présence d’un logiciel malveillant sur votre appareil. En effet, un appareil infecté consomme parfois davantage de ressources, ou demande l’accès à une localisation réseau inhabituelle.

Intelligence artificielle et machine learning

L’intelligence artificielle (IA) et le machine learning (ML) renforcent les capacités de détection. Grâce à l’IA/ML, votre logiciel peut repérer des menaces qui ne figurent pas encore dans une base de données ou qui affichent des comportements inattendus. C’est un outil puissant dans les mains des chercheurs en sécurité, et il dépasse largement les capacités humaines pour la détection des menaces.