EDR | Authentification multifacteur | SIEM

Pour que les ressources de votre entreprise soient entièrement consacrées à sa prospérité (et non à réparer les pots cassés), veillez à en sécuriser toutes les composantes : ses infrastructures, son cloud, le télétravail… et le futur.

Nous vous proposons ici des solutions comme l’EDR, l’authentification multifacteur et le SIEM pour vous protéger des menaces qui sont à ce jour inconnues.

Pour illustrer un peu mieux cette notion, prenons l’exemple des tornades : nous connaissons bien ce phénomène, puisque nous l’étudions depuis longtemps. Par conséquent, aujourd’hui, en plus de pouvoir prévoir leur formation, nous construisons des maisons plus résistantes aux grands vents dans les zones à risque et nous savons exactement quoi faire pour rester en sécurité lorsqu’elles se déchaînent. Mais serions-nous prêts pour autant à faire face à des tornades nouveau genre, que nous n’avons jamais affrontées auparavant, comme des tornades de feu ou de gaz toxiques?

Il en va ainsi avec la sécurité informatique : diverses solutions (comme le pare-feu) permettent d’offrir une protection efficace contre les menaces avec lesquelles elles sont familières (les tornades). Toutefois, ces mêmes solutions ne parviendront pas à identifier et à neutraliser les nouvelles menaces dont la signature est jusqu’à maintenant inconnue (tornades de feu ou de gaz toxiques).

C’est ici qu’entrent en jeu l’EDR, l’authentification multifacteur et le SIEM : ensemble, ils parviendront à déjouer les nouvelles menaces.

Les solutions EDR : pour en finir avec les ransomwares

Pour assurer la sécurité est-ouest de vos TI et de vos réseaux, à l’ère du télétravail, l’implantation de solutions EDR (en anglais : Endpoint Detection and Response) sur votre serveur et vos différents postes de travail est devenue une nouvelle norme. En effet, de plus en plus d’appareils, comme les téléphones intelligents et les ordinateurs portables, se connectent aux réseaux de votre entreprise, et ce, bien souvent à distance, ce qui augmente les risques de cyberattaques, comme les ransomwares.

En 2019, environ 184 millions de ransomwares ont attaqué particuliers, PME, grandes entreprises, universités de renom et institutions gouvernementales et bancaires à travers le monde, occasionnant des pertes majeures en termes de données, d’argent et de temps. En effet, ensemble, les gouvernements ainsi que les établissements d’enseignement et de santé victimes de ransomwares aux États-Unis seulement ont dû essuyer des pertes de 7,8 milliards US $ cette année-là.

L’EDR est la meilleure façon de se protéger des ransomwares.

À combien peuvent se chiffrer les pertes dues à un ransomware?

Tout dépendamment de la taille de l’entreprise, de son importance et de son chiffre d’affaires, les auteurs de ce genre de cyberattaques peuvent exiger des rançons allant de quelques milliers de dollars… à plusieurs centaines de milliers de dollars. Des rançons dépassent même la barre du million.

Cependant, les pertes occasionnées ne se limitent pas à la valeur de la rançon. En n’ayant plus accès à leurs données durant une longue période, les entreprises et les instances gouvernementales ainsi prises au piège voient leurs activités diminuer ou s’arrêter complètement.

Des exemples saisissants

En juin 2020, la University of California, à San Francisco, s’est résolue à payer une rançon de 1,14 million US $ pour récupérer les données sensibles de la faculté de médecine saisies par des pirates.

En 2017, WannaCry s’est attaqué à plus de 200 000 ordinateurs à travers le monde. Des multinationales, des hôpitaux et des gouvernements ont fait partie des victimes de ce ransomware, qui a occasionné des pertes globales évaluées à plusieurs centaines de millions de dollars.

Qui est le plus à risque?

Les ransomwares ne font pas de discrimination : ils s’attaquent autant aux PME qu’aux grandes entreprises. Toutefois, ces dernières et les instances gouvernementales demeurent très prisées par les pirates à cause de leur potentiel lucratif.

Les différences entre l’EDR et un antivirus traditionnel

EDR

Plutôt que de s’appuyer sur une base de données, l’EDR analyse le comportement du réseau 24 heures sur 24. Il surveille les processus et toutes activités en temps réel, afin de déceler tout comportement suspect.
Le point fort de ce principe?
Grâce à cette approche d’analyse comportementale, l’EDR peut intervenir et prévenir les attaques directement à la source (même celles inconnues à ce jour) ainsi que détecter des logiciels malveillants qui n’utilisent pas de signatures connues. Une opération impossible à réaliser pour un antivirus traditionnel, qui se base sur l’analyse de fichiers pour repérer les menaces.

Antivirus

Identifie et supprime les menaces grâce à une base de données regroupant des fichiers reconnus comme malveillants.

La faiblesse de ce principe?
Les cyberattaques se développent et se complexifient au quotidien, faisant en sorte que la base de données n’est jamais réellement à jour. Résultat? Votre antivirus risque de ne pas attraper certains fichiers malveillants, tels que les ransomwares.

Protégez-vous davantage :

Remplacez votre antivirus par un EDR dès maintenant!

Les avantages de L’EDR

Défendez-vous contre les ransomwares

Malheureusement très répandus aujourd’hui, les ransomwares occasionnent des pertes énormes en argent et en temps, si bien que certaines entreprises n’en se remettent jamais complètement. L’EDR permet de détecter une grande partie des ransomwares (qu’ils soient connus ou non) et de les neutraliser avant qu’ils occasionnent trop de dommages.

Prévenez les attaques

L’EDR analyse le comportement de votre réseau et des appareils connectés afin d’isoler la menace avant même qu’elle ne s’attaque à vos ressources.

Neutralisez la menace en temps réel

De manière autonome et en temps réel, l’EDR neutralise sur-le-champ les menaces détectées.

Poursuivez vos activités même en cas d’incident

Vous pourrez disposer de vos systèmes en tout temps, même si ceux-ci sont victimes d’une attaque. L’EDR fera son travail, pendant que vous ferez le vôtre.

Économisez

Puisque l’ERD vous permet d’accéder à votre réseau même en cas d’attaque et que vous pourrez poursuivre vos activités malgré tout, vous minimiserez les pertes financières d’opérations.

Créez des plans d’action efficaces

Alors qu’il répertorie tous les incidents passés et les actions entreprises pour les enrayer, l’EDR vous permettra de concevoir facilement des plans de prévention et de solutions efficaces afin d’accroître toujours plus votre sécurité.

Faites respecter vos règles

L’EDR permet un contrôle accru des activités des utilisateurs. Votre service informatique peut y configurer différentes options pour faire respecter les règles de votre entreprise et pour en assurer la sécurité. Par exemple, au moment où l’EDR repère une activité suspecte, un employé désigné pourrait recevoir une notification lui demandant de déconnecter un utilisateur (potentiellement malveillant) enfreignant les règles.

Personnalisez les alertes

Cette fonction vous évitera d’être dérangé par des alertes que nous ne voulez pas recevoir.

L’EDR : essentiel au télétravail

Vous pouvez avoir le pare-feu le plus performant, si vous n’avez pas d’EDR, vous vous exposez quand même aux menaces. Alors que le pare-feu assure la sécurité nord-sud (soit le trafic de l’externe à l’interne), l’EDR veille sur celle est-ouest (le trafic interne). C’est pourquoi votre réseau devrait être muni des deux, particulièrement maintenant avec la popularité du télétravail, avec lequel les risques de brèches sont élevés.

EcoEDR : un allié indispensable

L’EDR : le meilleur allié contre l’erreur humaine

Une des plus grandes faiblesses d’une entreprise ne relève pas des équipements, mais bien de l’erreur humaine. En effet, souvent par inadvertance ou par ignorance, les employés ouvriront la voie aux attaques notamment en cliquant sur un lien corrompu, en ouvrant un document qui l’est tout autant ou encore en divulguant de l’information aux pirates informatiques. L’EDR est la solution la plus efficace pour vous prémunir de telles attaques.

Des cyberattaques majeures qui auraient pu être évitées

Plusieurs cyberattaques importantes ont eu lieu en raison de l’absence d’EDR dans l’équipement de sécurité informatique, dont celle de l’hôtel MGM, à Las Vegas, en 2020 (fuite de renseignements personnels de 10 millions de clients).

Les entreprises qui sont victimes de telles attaques en paient durement le prix : financièrement, d’une part, et en ce qui concerne leur réputation. Elles risquent en effet de mettre des années à regagner la confiance du public.

EPP et EDR : à ne pas confondre

Nos systèmes de sécurité de messagerie :

Les EPP (en anglais : Endpoint Protection Platforms) visent à prévenir les menaces traditionnelles. Comparativement à l’EDR, leur potentiel est limité. L’EDR analyse les menaces et les attaques pour améliorer sa propre efficacité au fil du temps, alors que les EPP se contentent de les détecter et de les neutraliser. Et, même ici, leur capacité à détecter les menaces demeure inférieure à celle de l’EDR.

Bref, les EPP peuvent suffire aux entreprises dont les besoins en matière de sécurité informatique sont basiques, mais sont déconseillées pour celles dont les activités dépendent du système informatique et des données.

Pour en savoir plus sur nos solutions EcoEDR

MFA et SIEM : de l'authentification à la corrélation

Authentification à deux facteurs – authentification multifacteur – MFA

Pour se protéger des vols d’identité

Avec le télétravail, l’authentification multifacteur est devenue une véritable nécessité, et ce, que les connexions à distance passent par terminal-serveur (TS), réseau privé virtuel (VPN) ou bien encore par une application hébergée dans le cloud.

Déjouez les fins renards qui seraient tentés de se faire passer pour un employé : l’authentification multifacteur est la solution contre les vols d’identité par identifiants et mots de passe.

Qu’est-ce que l’authentification multifacteur (MFA) et l’authentification à deux facteurs?

Authentification multifacteur : Procédé de vérification de l’identité qui fait appel à au moins deux facteurs d’authentification différents.

Authentification à deux facteurs : Procédé de vérification de l’identité qui fait appel à précisément deux facteurs d’authentification différents.

Les différents facteurs d’authentification

Afin de sécuriser toute connexion ou toute transaction d’un utilisateur, le système tentera de confirmer son identité grâce à différents facteurs d’authentification.

Le mot de passe

Le mot de passe est une information que l’utilisateur doit connaître.

Le token (ou jeton d’identification – jeton de sécurité)

Le token peut être soit un véritable jeton que doit posséder l’utilisateur au moment de sa connexion ou soit son téléphone intelligent.

SIEM - Pour établir des liens entre les attaques

Aujourd’hui, la complexité et l’évolution des infrastructures informatiques, des applications, du cloud, des machines virtuelles et des endpoints multiplient les chances de subir une cyberattaque.

Pour sécuriser ces éléments efficacement, trois aspects sont requis : une vision globale du réseau, la collecte de données et la corrélation entre les événements et les menaces. C’est ce que permet le SIEM

Qu’est-ce qu’un SIEM?

Le SIEM (pour Security Information Management system ou, en français, gestion de l’information et des événements de sécurité) a pour rôle de détecter les menaces, les attaques et les anomalies grâce à ses capacités à corréler les différents événements. Ainsi, il peut identifier la cause de plusieurs événements séparés, comme un hacker s’étant glissé dans le réseau pour y faire des manipulations ou encore un SMS ou un courriel qui aurait servi à faire des tentatives d’hameçonnage.

La collecte de données et la normalisation

Afin d’être en mesure de corréler les événements, le SIEM procède à leur collecte sur les journaux et les équipements, comme les pare-feu, les routeurs, les serveurs, les bases de données, etc. Ces événements sont ensuite normalisés dans un format plus lisible, ce qui permet à l’équipe informatique de faire des recherches par critères, par exemple.

Les avantages du SIEM

Une meilleure protection du réseau

Le SIEM vous alerte également des activités suspectes sur les logiciels et les appareils connectés au réseau : par exemple, il vous avertira si un fournisseur de services installe un logiciel sur votre réseau pouvant potentiellement exporter des données de votre entreprise.

Une gestion du réseau simplifiée

Le SIEM permet d’archiver les événements ainsi que de générer et de rejouer les anciens pour mener des enquêtes après un incident.

La conformité de votre entreprise aux exigences légales

Après avoir collecté les données, le SIEM les place dans un référentiel central pour les analyser et, ultimement, produire des rapports de conformité. Ainsi, le SIEM accélère l’identification et l’analyse des événements de sécurité.

Contactez-nous maintenant

Contactez-nous

Informez-vous sur nos solutions d’authentification multifacteur, qui vous épargneront bien des maux de tête.