6 cas d'utilisation de la sécurité réseau

Les statistiques sur la sécurité des réseaux révèlent que les cyberattaques ont touché plus de 350 millions de personnes aux États-Unis. Dans cet article, nous explorons des cas d'utilisation de la sécurité des réseaux et des exemples concrets, allant de la détection des menaces internes à la gestion des accès privilégiés.

Pour en savoir plus sur la sécurité des réseaux :

• Découvrez les technologies qu'ils pourraient utiliser pour prévenir les vecteurs de cyberattaques .
• Évaluer les logiciels de sécurité réseau en fonction de cas d'utilisation réalistes.

1. Détection et prévention automatisées des menaces internes

Les solutions de détection et de prévention des menaces internes permettent d'identifier qui dispose d'un accès légitime au réseau et qui l'utilise pour nuire à l'organisation.

Défis commerciaux

• Détection des employés malveillants : les employés malveillants sont responsables d’environ 40 % des incidents de sécurité signalés. ¹ Il est difficile pour les systèmes de sécurité de faire la distinction entre les activités légitimes et malveillantes, car ces acteurs de la menace ont déjà un accès interne aux systèmes et aux données de l'organisation.
• Comportement dynamique des utilisateurs : Le comportement des utilisateurs peut évoluer fréquemment en fonction de leurs tâches, projets ou facteurs personnels, ce qui complique la détection des anomalies. Les organisations gérant des centaines de flux de travail peuvent ne pas visualiser l’activité des utilisateurs lors de la gestion d’incidents de sécurité.

Comment la détection et la prévention automatisées des menaces internes aident

Les systèmes de détection des menaces internes (par exemple, les outils IPS ) peuvent identifier les modifications apportées aux données des utilisateurs et envoyer des alertes ou afficher des informations graphiques aux équipes de sécurité, permettant ainsi aux organisations d'être conscientes de l'activité de leur réseau.

Lire la suite : Sécurité des réseaux IA .

Étude de cas : Netskope

Netskope est une entreprise mondiale de cybersécurité qui compte plus de 2 000 clients.

Défis

Netskope visait à obtenir des informations précises sur les activités des utilisateurs susceptibles d'indiquer des menaces internes à haut risque.

• Absence d'automatisation dans la réponse aux menaces internes : Netskope utilisait une technique manuelle qui nécessitait au moins cinq employés, dix outils et 90 minutes de travail pour répondre à chaque demande de sécurité.
• Manque d'informations sur le comportement des utilisateurs : Netskope avait besoin d'informations précises et en temps réel sur les actions des utilisateurs (par exemple, cliquer sur un lien, créer un compte) susceptibles d'indiquer des menaces internes.

Solutions et résultats

Netskope a déployé un système de gestion des informations et des événements de sécurité (SIEM) pour l'analyse des données en temps réel, offrant une visibilité sur le comportement des menaces internes.

• Détection des menaces internes : Netskope a détecté très tôt les fuites de données internes en automatisant plus de 200 opérations de flux de travail quotidiennes.
• Amélioration de la visibilité du réseau : La mise en œuvre du SIEM a permis à Netskope d’évaluer les données historiques relatives aux menaces internes et de suivre l’activité des utilisateurs lors des enquêtes sur les menaces internes.
• Surveillance des données : Netskope a exploité la fonctionnalité de gestion de contenu de son SIEM cloud pour identifier les téléchargements de données. Cela permet à Netskope de visualiser les tentatives malveillantes d’échange de données avec des employés ou des concurrents. ²

2. Gestion centralisée des journaux

La gestion des journaux est cruciale dans diverses fonctions informatiques et commerciales, fournissant des informations précieuses et permettant plusieurs cas d'utilisation, notamment la détection des menaces, la veille stratégique et la surveillance du réseau.

Défis commerciaux

• Volume : Les grands systèmes informatiques génèrent une grande quantité de données de journalisation, ce qui rend leur maintenance et leur évaluation manuelles difficiles.
• Complexité : Les journaux sont créés à partir de nombreuses sources et formats, ce qui rend leur agrégation et leur analyse difficiles.
• Sécurité : Les journaux contiennent des informations importantes telles que les mots de passe des utilisateurs et l'architecture du réseau ; ils doivent donc être protégés contre toute utilisation non autorisée.

Comment la gestion centralisée des journaux d'événements aide

La gestion des journaux facilite l'analyse et la corrélation des données de sécurité. Centraliser vos journaux peut vous aider à améliorer votre délai moyen de détection (MTTD) et votre délai moyen de résolution (MTTR) des bogues applicatifs et des failles de sécurité.

Étude de cas : LaBella Associates

LaBella Associates est une société d'ingénierie offrant une gamme complète de services, dont le siège social est situé à New York et qui compte plus de 1 500 architectes et employés répartis sur 30 sites.

Défis

• Manque de visibilité des données : LaBella avait besoin d’un système de gestion des journaux pour surveiller ses serveurs de fichiers sensibles, générer des rapports d’historique d’accès et faciliter les enquêtes numériques en cas de violation de données.
• Manque de visibilité des journaux : le responsable de LaBella Associates a déclaré qu'ils avaient besoin d'une solution qui conserve les enregistrements de l'activité du système de fichiers et surveille les activités de connexion et de déconnexion des utilisateurs afin de détecter les anomalies.
  
• Recherches manuelles d'activité de connexion : le responsable de LaBella Associates a déclaré que pour surveiller les activités du système de fichiers ou de connexion, ils devaient se rendre sur chaque serveur de fichiers et rechercher manuellement les journaux, ce qui prenait beaucoup de temps.

Solutions et résultats

LaBella Associates a déployé une solution de gestion des informations et des événements de sécurité (SIEM) avec des fonctionnalités de gestion des journaux pour contrôler les journaux à travers les domaines.

• Gestion rigoureuse des journaux d'activité : l'équipe de sécurité informatique de LaBella Associates a pu obtenir des informations sur les personnes ayant accédé aux serveurs de fichiers critiques afin de procéder à une analyse forensique des journaux en cas de violation de données.
  
• Gestion efficace des accès : LaBella Associates a pu détecter les modifications illicites apportées aux politiques de groupe par des employés et des sous-traitants ayant accès au réseau interne. En savoir plus : Gestion des politiques de sécurité réseau .
• Sécurité du domaine renforcée : L’entreprise a identifié des journaux modifiés ou altérés sur le contrôleur de domaine.
  
• Rationalisation des analyses de journaux : LaBella Associates a éliminé la procédure laborieuse d'identification et de détermination des personnes ayant effectué les modifications d'appartenance à un groupe. ³

3. Détection des accès utilisateurs anormaux

La détection des accès utilisateurs anormaux, également appelée détection des accès utilisateurs aberrants, consiste à identifier les points de données d'accès qui s'écartent de la norme, des standards ou des attentes, les rendant incohérents avec le reste des données. Les statistiques de sécurité réseau révèlent qu'environ 70 % des cyberattaques contre les entreprises commencent par des identifiants compromis. Par conséquent, l'évaluation du comportement des utilisateurs est cruciale.

Défis commerciaux

• Volume et variété élevés des données : De grands volumes de données provenant de sources diverses (journaux Web, journaux d'applications, trafic réseau, etc.) doivent être traités et analysés.
  
• Flux de données en temps réel : La détection d’anomalies ou de tendances en temps réel exige une puissance de traitement élevée et des algorithmes performants. Les organisations dépourvues d’automatisation risquent de passer à côté de points de données aberrants dans leurs processus.
  
• Interactions complexes des utilisateurs : les utilisateurs interagissent avec les systèmes de manière complexe, difficile à modéliser et à prévoir. De ce fait, les anomalies sont rares et difficiles à détecter.

Comment la détection des accès utilisateurs anormaux aide

Les outils de réponse aux incidents peuvent identifier les éventuelles violations de données des utilisateurs en analysant les tentatives de connexion infructueuses.

Figure 1 : Détection d'accès utilisateur anormaux dans un ensemble de données

Source : Splunk ⁴

Étude de cas : Une entreprise de médias de premier plan

Une entreprise de médias de premier plan vise à détecter les anomalies afin de protéger les informations sensibles contre les vecteurs d'attaques informatiques les plus courants dans les ensembles de données de plusieurs entreprises.

Défis

• Risque élevé lié aux tiers : le recours par l’entreprise à des prestataires de services tiers accroît les vulnérabilités en matière de sécurité.
  
• Menaces internes : L'entreprise a dû faire face à des défis uniques en matière de menaces internes, car ses employés des médias étaient tenus d'accéder à des informations et des technologies sensibles.

Solutions et résultats

La société de médias a déployé un logiciel d'analyse du comportement des utilisateurs et des entités (UEBA) pour détecter les anomalies en comparant le comportement actuel aux références établies.

• Analyse du comportement des utilisateurs et des entités (UEBA) : L'entreprise a utilisé l'UEBA pour détecter les activités suspectes en temps réel et identifier les anomalies du comportement des utilisateurs pouvant indiquer des risques pour la sécurité.
  
• Amélioration de la visibilité du réseau : L’entreprise a acquis une meilleure compréhension de sa posture de sécurité en surveillant et en analysant le comportement des utilisateurs, le trafic réseau et les activités du système.
  
• Prévention avancée des menaces : L'équipe de sécurité de la société a surveillé les comportements inhabituels et les anomalies, détectant et signalant les attaques ciblées et identifiant les menaces sophistiquées comme les logiciels malveillants . ⁵

4. Gestion des identités basée sur le cloud

La sécurité des applications basées sur le cloud est une approche visant à protéger les applications hébergées dans des environnements cloud contre les menaces et vulnérabilités de sécurité potentielles.

Défis commerciaux

• Manque de visibilité : les organisations avec Plusieurs services cloud sont accessibles en dehors des réseaux d'entreprise et via des tiers, ce qui peut entraîner une perte de contrôle sur les personnes ayant accès à leurs données.
  
• Multitenancy : Les entreprises disposant de plusieurs infrastructures clientes stockées dans des environnements de cloud public sont plus vulnérables aux attaques malveillantes, car les infrastructures clientes peuvent infecter vos services hébergés, causant ainsi un dommage secondaire.
  
• Gestion des accès et informatique parallèle : les organisations qui autorisent un accès non filtré aux services cloud depuis n’importe quel appareil ou lieu risquent de perdre le contrôle des points d’accès dans leurs environnements cloud. Par exemple, les organisations dont les systèmes informatiques sont déployés par des prestataires externes auront un contrôle limité sur la gestion des accès aux appareils. Cela favorisera l’informatique parallèle et pourrait permettre aux attaquants de contourner les limitations du réseau.
  
• Conformité : Les organisations qui ne surveillent et n'enregistrent pas activement la sécurité du cloud s'exposent à des risques considérables en matière de gouvernance et de conformité lors du traitement des données clients.

Comment la gestion des identités basée sur le cloud aide

• Configurations de sécurité flexibles : Les plateformes cloud offrent des configurations de sécurité flexibles, rapidement adaptables à l’évolution des besoins. Par exemple, les équipes de sécurité peuvent ajuster dynamiquement les règles de pare-feu en fonction des informations en temps réel sur les menaces. En savoir plus : Plateformes de veille sur les menaces .
• Mises à jour de sécurité régulières : Les fournisseurs de services cloud (CSP) mettent régulièrement à jour l’infrastructure des organisations afin de les protéger contre les menaces les plus récentes. Par exemple, les CSP peuvent exécuter des correctifs automatiques sur l’infrastructure cloud pour atténuer les vulnérabilités connues.
  
• Fonctionnalités de sécurité avancées : Les fournisseurs de services cloud (CSP) proposent des fonctionnalités de sécurité avancées telles que le chiffrement, la gestion des identités et des accès (IAM) et la détection des menaces, dont la mise en œuvre sur site peut s’avérer complexe. Ces fonctionnalités permettent aux organisations d’utiliser des services de chiffrement intégrés pour protéger leurs données au repos et en transit. Par exemple, les équipes de sécurité peuvent utiliser l’IAM pour simplifier l’accès des utilisateurs en leur permettant d’utiliser un seul identifiant pour accéder à plusieurs applications (les employés peuvent ainsi utiliser leurs identifiants professionnels pour accéder à leur messagerie, aux systèmes RH, aux outils de gestion de projet, etc.).
• Réduction des dépenses d'investissement : En tirant parti des services cloud, les entreprises peuvent réduire les dépenses d'investissement liées à l'achat et à la maintenance d'infrastructures de sécurité sur site. Par exemple, elles peuvent utiliser des pare-feu et des passerelles de sécurité basés sur le cloud au lieu d'investir dans du matériel physique coûteux.

Étude de cas : B. Braun

B. Braun est une entreprise du secteur de la santé basée en Allemagne et employant plus de 60 000 personnes. B. Braun souhaitait améliorer la sécurité, garantir la conformité et gérer l’accès aux données fiables dans un environnement informatique hybride.

Défis

• Un fort taux de rotation du personnel engendre une gestion complexe des accès : l’environnement de travail des employés de B. Brauons est en constante évolution en raison des changements de poste, de la rotation du personnel et des nouvelles embauches.
  
• Gestion manuelle des données : Les processus manuels de B. Braun ont ralenti la création et la suppression des comptes utilisateurs. Cela a accru le risque d’accès non autorisé aux données et de non-respect des réglementations en matière de sécurité des données .
  
• Transformation numérique : B. Braun recherchait un système de gestion des identités pour favoriser sa transformation numérique. L’entreprise avait donc besoin d’une solution capable de communiquer avec son infrastructure sur site et les services cloud tels qu’Office 365.

Solutions et résultats

B. Braun en Allemagne a automatisé l'identification et la gestion des accès pour améliorer la sécurité.

• Afin de garantir un accès approprié aux personnes concernées, B. Braund a mis en place un système automatisé de création et de suppression de comptes. Prenons l'exemple du service RH saisissant les informations des nouveaux employés (nom, poste, service, date d'embauche). La solution IAM a permis à l'entreprise de créer automatiquement des comptes utilisateurs pour ces nouveaux employés dans différents systèmes, tels qu'Active Directory (AD), la messagerie et le stockage de fichiers.
  
• Contrôle d'accès renforcé : le déploiement a amélioré la conformité aux règles de sécurité des données, réduisant ainsi le risque d'utilisation non autorisée. Par exemple, le système IAM a attribué à chaque utilisateur un rôle en fonction de sa fonction au sein du service financier.
  
  • Responsable financier : Accès complet à tous les rapports financiers, transactions et fonctions administratives.
  • Comptable : Accès aux enregistrements des transactions quotidiennes, mais pas aux paramètres d'administration.
• Notifications d'accès utilisateur numériques : B. Braun a connecté son infrastructure sur site à des services cloud comme Office 365. Les employés pouvaient ainsi suivre l'état d'accès de leurs demandes. ⁶
  

5. Surveillance et analyse du trafic réseau malveillant

La surveillance et l'analyse du trafic réseau malveillant peuvent aider les entreprises à identifier les activités anormales ou suspectes au sein du trafic réseau qui peuvent indiquer une menace ou une attaque de sécurité.

Défis commerciaux

• Complexité et volume des données : les données de trafic réseau peuvent être massives, comprenant des millions de paquets et de connexions par minute. L’analyse de cette masse considérable de données en temps réel ou quasi réel exige des algorithmes et une infrastructure de détection évolutifs et performants.
• Variabilité des schémas de trafic : Les schémas de trafic réseau légitimes peuvent varier considérablement en fonction de l’heure, du comportement des utilisateurs et de l’utilisation des applications. La distinction entre les variations normales et les schémas malveillants exige des techniques sophistiquées de détection d’anomalies.
• Problèmes de chiffrement et de confidentialité : L'utilisation croissante du chiffrement (par exemple, HTTPS, TLS) dans les communications réseau masque le contenu des paquets, ce qui rend difficile l'inspection du trafic à la recherche de charges utiles ou de schémas malveillants.

Comment la surveillance et l'analyse du trafic réseau malveillant aident

Les fonctionnalités de surveillance et d'analyse du trafic réseau malveillant permettent d'identifier rapidement les comportements anormaux ou suspects au sein du trafic réseau. Les organisations peuvent utiliser des outils d'audit de sécurité réseau ou des outils de surveillance réseau capables de détecter les pics de trafic réseau ou de port. Ces systèmes peuvent :

• Surveillez la sécurité du réseau afin de détecter toute exfiltration de données potentielle.
• Analysez les communications par procuration pour identifier les valeurs aberrantes.
• Détecter les vecteurs d'attaque, notamment les attaques par déni de service distribué (DDoS), l'activité des réseaux de zombies et les logiciels malveillants.

Étude de cas : Micron21

Micron21 est un distributeur de centres de données situé à Melbourne.

Défis

• Réseau et bande passante massifs : À mesure que le réseau de Micron21 s'est développé et que la quantité de bande passante utilisée a augmenté, il est devenu de plus en plus difficile d'évaluer et de catégoriser les modèles de trafic.
• Sources de données fragmentées : les données de Micron21 sont dispersées entre plusieurs systèmes, départements et plateformes, ce qui rend difficile l'obtention d'une vue unifiée.

Solutions et résultats

Micron21 a déployé une solution de sécurité réseau pour surveiller son réseau.

• Analyse du trafic réseau : Micron21 a commencé à analyser les historiques de ventilation, les journaux de trafic et les données analytiques accessibles.
• Surveillance du réseau basée sur les groupes d'adresses IP : Micron 21 permet aux clients de se connecter et d'examiner leur trafic au sein de leur groupe d'adresses IP, fournissant des indicateurs de réseau pour le trafic transitant par la plage d'adresses IP du client. ⁷

6. Gestion des accès privilégiés

La gestion des accès privilégiés (PAM) fait référence aux pratiques et technologies utilisées par les organisations pour sécuriser et contrôler l'accès aux comptes privilégiés, qui disposent d'autorisations et de privilèges d'accès élevés au sein des systèmes et réseaux informatiques.

Défis commerciaux

• Nombre élevé de comptes : Les organisations peuvent gérer des dizaines, voire des centaines de comptes à privilèges pour permettre aux administrateurs d’effectuer des tâches critiques. Ces identifiants privilégiés représentent un risque de sécurité important, car ils peuvent être exploités par leurs propriétaires ou détournés par des intrus en raison d’un manque de contrôle d’accès et de visibilité.
  • Contrôle d'accès : s'assurer que seuls les utilisateurs autorisés ont accès aux comptes privilégiés et que ces utilisateurs disposent du niveau d'accès minimal nécessaire à leurs rôles.
  • Visibilité : Suivi de tous les comptes privilégiés, y compris ceux créés par défaut, manuellement ou par des applications.
• Gestion des accès : sans flux de travail automatisés ni solution de gestion des accès privilégiés (PAM), les organisations auront des difficultés à assurer la gestion en temps opportun des comptes privilégiés afin d'éviter les accès non autorisés.

Comment l'attribution d'une évaluation des comptes privilégiés aide

L'attribution de permissions privilégiées aux utilisateurs, aux processus métier et aux systèmes permet d'adapter les contrôles d'accès. Ceci garantit l'application du principe du moindre privilège et limite les droits d'accès des utilisateurs au strict minimum, atténuant ainsi les dommages causés par les menaces externes et internes.

Lire la suite : Exemples de RBAC .

Étude de cas : Une entreprise régionale du secteur de la santé

Une entreprise régionale du secteur de la santé comptant plus de 8 000 employés en Californie.

Défis

• Accumulation et sur-attribution des privilèges : à mesure que les employés d’une entreprise élargissent leurs responsabilités, ils se voient attribuer de nouvelles tâches et de nouveaux privilèges, tout en conservant l’accès aux précédents. Cela entraîne une sur-attribution des privilèges hérités.
• Informations incohérentes et obsolètes concernant les utilisateurs, les comptes, les actifs et les identifiants : l’entreprise disposait de multiples portes dérobées permettant aux attaquants, notamment d’anciens employés ayant toujours accès aux comptes de l’entreprise.

Solutions et résultats

L'organisation a déployé un outil de gestion des accès privilégiés (PAM) et audité les connexions Secure Shell (SSH) entre les environnements UNIX et Linux afin d'améliorer les contrôles d'accès des utilisateurs.

• Contrôles d'accès privilégiés robustes : le déploiement a simplifié la mise en œuvre de changements de poste complexes, tels que la désactivation de l'accès lorsque des personnes disposant de privilèges quittent l'entreprise.
• Règles basées sur des politiques : L’entreprise a créé des règles permettant un accès basé sur des politiques aux comptes privilégiés.
• Gestion des sessions privilégiées (PSM) : L'entreprise a automatiquement vérifié les identifiants privilégiés à partir d'un coffre-fort et a audité toutes les sessions. ⁸

Logiciels de cybersécurité essentiels pour maintenir des processus métier sécurisés

• Outils de microsegmentation : permettent de segmenter un réseau en zones granulaires et d’appliquer des politiques de sécurité en fonction de chaque zone du réseau.
• Outils d'audit de sécurité réseau : Identifier les vulnérabilités et les comportements malveillants pour aider les entreprises à atténuer les cyberattaques.
• Fournisseurs DSPM : Permettent une visibilité réseau sur l’emplacement des données sensibles, les niveaux d’accès et leur utilisation dans l’ensemble du cloud.
• Solutions de gestion des politiques de sécurité réseau (NSPM) : Élaborer des politiques et des procédures pour protéger le réseau et les données d’une organisation contre l’accès, l’utilisation, la divulgation et l’interruption illégaux.
• Logiciel SDP : Masque l’infrastructure connectée à Internet (serveurs, routeurs, etc.) afin que les tiers et les attaquants ne puissent pas la voir, qu’elle soit hébergée sur site ou dans le cloud.
• Logiciel d'audit de pare-feu : Offre une visibilité sur les accès et les connexions actuels de votre pare-feu.
• Analyseurs de trafic réseau (NTA) : Collectent et analysent les données de flux réseau pour donner un aperçu du volume de trafic, du type et des performances des périphériques réseau.

Liens de référence

1.

Tessian is Now Proofpoint | Proofpoint US

Proofpoint

2.

Automatisation de la surveillance des menaces internes

3.

4.

5.

Entreprise média leader

6.

7.

8.

Cem Dilmegani

Analyste principal

Suivre

Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire