Se préparer au RGPD en 2017 – Quatrième partie : votre SOC

Cet article de blog est le quatrième d’une série dont le but est d’aider les dirigeants d’entreprise et les cadres responsables de la sécurité à se préparer au RGPD tout au long de l’année 2017.

 

L’une des exigences fondamentales du nouveau règlement général sur la protection des données (RGPD) est la notification des violations de données. Bien entendu, pour pouvoir signaler une violation de données, encore faut-il pouvoir la détecter, ce qui n’est pas toujours chose aisée.

Une étude de McAfee Labs a révélé que plus de 53 % des incidents sont détectés par un tiers. De plus, selon une enquête sur la réponse aux incidents réalisée par le SANS Institute en 2016, seuls 16 % environ des centres des opérations de sécurité (SOC) étaient considérés comme matures.

D’après ma propre expérience, nombre de ces centres se consacrent essentiellement à la traque des logiciels malveillants et s’intéressent très peu aux menaces internes ou à l’exfiltration de données. Ce qui nous amène à d’autres statistiques plus alarmantes encore. Selon une étude de 2016 du Ponemon Institute, seuls 24 % des entreprises sont capables d’identifier en moins de 24 heures les accès non autorisés à leurs systèmes critiques.

Tout cela me porte à croire que la plupart des centres des opérations de sécurité ne sont pas prêts pour la conformité au RGDP.

Voici donc quelques mesures que je les encourage à prendre pour améliorer leur état de préparation.

 

Comprendre la transition

La première étape consiste à analyser la situation actuelle de votre entreprise et à élaborer un plan d’évolution. Pour vous aider à évaluer les capacités de vos opérations de sécurité en matière de détection des violations de données et de réponse à ces incidents, je vous propose un modèle simple en trois étapes, illustré ci-dessous.

 

D’après mon expérience, la plupart des clients se situent entre les niveaux 1 et 2. Toutefois, ils sont toujours plus nombreux à envisager l’adoption de technologies avancées, comme l’analyse du comportement des utilisateurs, pour mieux détecter les attaques avancées, commises tant en interne que depuis l’extérieur de l’entreprise. Je reviendrai sur les fonctions d’analyse plus tard.

 

Obtenir les données adaptées à la tâche

Sans une visibilité parfaite sur les activités des utilisateurs et sur les données, la détection des violations de données, ou même l’analyse des activités suspectes, est pratiquement impossible. La plupart des centres des opérations de sécurité connaissent bien les sources de données utilisées pour effectuer des recherches sur les incidents impliquant des logiciels malveillants. Des informations de cyberveille sont fréquemment collectées pour détecter les ordinateurs compromis et mener l’enquête. Il s’agit entre autres des indicateurs de compromission signalant la présence de logiciels malveillants, des journaux de trafic des pare-feux et des journaux des antivirus déployés au niveau des terminaux.

L’identification des comportements utilisateur non autorisés et la détection de l’exfiltration de données exigent cependant un tout autre niveau de visibilité. Songez à ajouter les sources de données suivantes à votre solution SIEM et à d’autres plates-formes d’agrégation des données :

 

Prévention des fuites de données (DLP) : Les capteurs DLP au niveau des terminaux et du réseau fournissent des informations potentiellement significatives sur les fuites de données accidentelles ou de simples tentatives de vol de données. Ces informations sont conservées dans des journaux essentiels pour l’investigation d’une compromission signalée et l’identification proactive d’un incident.

 

Identification et gestion des accès : Les données issues des systèmes de gestion des accès et des privilèges sont nécessaires pour identifier ou analyser les tentatives d’accès non autorisé aux systèmes critiques.

 

Surveillance de l’activité des bases de données : Il est fréquent que l’on néglige les bases de données en tant que source de données essentielle pour la détection et la réponse aux incidents. Or, elles contiennent les informations qui permettent de déceler très tôt une violation de données. Il est donc utile de collecter les journaux de bases de données, mais ils doivent absolument être complétés par les renseignements issus de capteurs spécialisés afin d’obtenir d’autres angles de visibilité.

Fonctions analytiques pour des renseignements pertinents

Quelles sont les informations opérationnelles précises dont j’ai besoin pour identifier une violation de données et confirmer qu’elle s’est bien produite ? Tirer des conclusions pertinentes sur le plan opérationnel à partir des données collectées est le principal objectif des centres des opérations de sécurité et, bien souvent, le plus difficile à réaliser. De nombreuses entreprises veulent une plate-forme unique pour analyser les données, mais il est plus judicieux de déployer l’outil spécialement conçu pour la tâche.

Quelques-unes des technologies fondamentales ainsi que la principale fonction qu’elles assurent dans le cadre de l’analyse des violations de données sont décrites ci-dessous.

 

Gestion des événements et des informations de sécurité (SIEM) : Les plates-formes SIEM agrègent les données et fournissent les diagnostics nécessaires pour analyser et valider rapidement les incidents de sécurité. Pour les centres des opérations de sécurité, des fonctions qui simplifient les investigations en cas de violation de données sont indispensables pour faciliter la production de rapports. Il s’agit notamment de l’analyse croisée des comportements des utilisateurs ou de fonctions prenant en charge le cadre UCF (Unified Compliance Framework).

 

Analyse du comportement des utilisateurs et des entités (UEBA) : Les plates-formes UEBA rassemblent quant à elles des données à partir de solutions SIEM ou de sources de données d’événement brutes. Elles recourent à des techniques avancées d’apprentissage automatique pour fournir des indicateurs de menaces internes potentielles. Les centres des opérations de sécurité doivent privilégier une solution qui inclut différents modèles comportementaux, lesquels doivent être adaptés à la chaîne de frappe des menaces internes.

 

Analyse du comportement sur le réseau : Les plates-formes d’analyse du comportement sur le réseau remplissent une fonction similaire aux plates-formes UEBA, mais se focalisent sur les flux de trafic réseau. L’analyse avancée doit être optimisée pour détecter les tentatives d’exfiltration de données.

Ce ne sont là que quelques-unes des principales mesures que les responsables des SOC doivent prendre pour améliorer leur état de préparation au RGPD.

Suivez mon blog Securing Tomorrow pour rester au fait du RGPD et des grands enjeux de la cybersécurité.

Leave a Comment

one + ten =