SOLUTION DE SÉCURITÉ – VUE D’ENSEMBLE
« Nous comptons de nombreux utilisateurs finaux aux profils très différents. De plus, notre infrastructure informatique continue de se développer, ce qui complique grandement sa sécurisation. Nexthink nous
Analyse de la sécurité des systèmes d’information (SI) — Des données contextuelles en temps réel centrées sur l’utilisateur final pour une meilleure détection des menaces
offre une cartographie en temps réel des performances de notre infrastructure informatique. De plus, le contrôle de la gestion des risques grâce à des indicateurs et à la détection instantanée des défaillances nous aide à protéger notre système d’information hospitalier contre les risques de sécurité. » Julien Rousselle DSI, Centre Hospitalier Universitaire d’Amiens, France
INTRODUCTION
Le paysage informatique de l’entreprise s’est radicalement métamorphosé ces dernières années. La diversification et le nombre croissant d’appareils connectés et d’applications utilisées à des fins professionnelles et personnelles estompent des frontières autrefois clairement définies au profit d’une convergence vers l’utilisateur final et le poste de travail. Ce nouvel environnement est particulièrement propice à la prolifération de menaces plus complexes et plus avancées, que les outils de sécurité traditionnels peinent à détecter. Heureusement, une nouvelle catégorie de logiciels informatiques vient renforcer les produits de sécurité conventionnels pour aider les départements informatiques à détecter plus efficacement les menaces connues et inconnues. D’éminents cabinets d’études du secteur, notamment Gartner et Forrester, ont baptisé ce segment de produits ITOA (IT Operations Analytics), ou analyse des opérations informatiques. L’analyse des opérations informatiques est une approche logicielle qui consiste à collecter de grandes quantités de données sur la disponibilité, les performances et la sécurité des systèmes, ainsi que d’autres types d’informations, puis d’éliminer les données « parasites » afin de mettre en évidence des modèles complexes significatifs. De nombreux produits appartenant à ce nouveau segment se contentent d’une approche traditionnelle en matière de supervision et de collecte de données. En d’autres termes, ils s’appuient sur la mise en place de systèmes de contrôle pour lesquels l’équipe informatique définit des attributs de recherche et établit des règles de notification en fonction de seuils et paramètres spécifiés. Ces produits présentent plusieurs inconvénients. En effet, leur mise en œuvre nécessite un temps considérable, leur configuration optimale n’est possible qu’à condition de savoir exactement quels éléments rechercher et, enfin, ils sont incapables de recueillir ou d’analyser des données relatives au ressenti réel des utilisateurs finaux. Nexthink adopte une approche unique en matière d’analyse des opérations informatiques en temps réel : l’analyse de la sécurité des systèmes d’information (SI). Cette solution d’analytique innovante permet à Nexthink de se démarquer de ses concurrents et de résoudre les problèmes liés au modèle traditionnel. La solution Nexthink d’analyse de la sécurité des systèmes d’information rassemble et analyse les données du point de vue de l’utilisateur final. Autrement dit, elle « voit » l’utilisateur, le poste de travail et les processus en cours d’exécution sur celui-ci, et met ces données en corrélation avec ses connaissances du réseau
Smarter IT through analytics
www.nexthink.com
« Nexthink offre une visibilité et des renseignements essentiels sur la sécurité et les opérations informatiques pour répondre aux exigences de gouvernance informatique. Nous gérons mieux les demandes et générons de la valeur ajoutée tout en nous tenant à l’abri des risques. Nexthink nous aide à améliorer notre efficacité et notre productivité, mais aussi à résoudre plus rapidement les problèmes ainsi qu’à proposer un support plus proactif. » Dr. Hazem Turki AlkhatibIT DSI, Ministère des Finances, Abu Dhabi
— notamment les services, les ressources, la latence et d’autres paramètres — de manière à proposer l’analyse de la sécurité la plus complète qui soit. Vous ne savez pas exactement comment orienter la recherche ? Aucun problème. Grâce à ses technologies d’auto-apprentissage et de visualisation brevetées, Nexthink est capable de détecter et d’interpréter des données invisibles pour d’autres produits. Simple à installer, la solution d’analyse de la sécurité des systèmes d’information Nexthink vous indiquera les zones et domaines de votre environnement les plus exposés aux menaces. Ainsi, vous serez en mesure de gérer efficacement la sécurité et de maintenir la compétitivité de votre entreprise. Cette démarche originale a valu à Nexthink d’être reconnu comme « Cool Vendor » par Gartner dans la catégorie de produits ITOA. GESTION DES ÉVÉNEMENTS (SOC/SIEM) Des outils d’analyse de la sécurité puissants pour le SOC moderne
Les centres de supervision et d’administration de la sécurité (SOC) actuels doivent combiner des mécanismes de veille intégrée globale et des données analytiques exhaustives afin de favoriser le développement de systèmes constamment sur leurs gardes au sein de l’environnement et capables de réagir de façon appropriée face aux menaces. Nexthink cartographie toutes les exécutions d’applications et de fichiers binaires, ainsi que leur destination. Ainsi informée sur le contexte des requêtes des utilisateurs finaux, l’équipe SOC est en mesure d’ajuster (automatiquement ou manuellement) les mesures de sécurité et d’agir de manière plus rapide et plus intelligente. Nexthink propose des technologies brevetées d’auto-apprentissage et de détection des comportements anormaux, grâce auxquelles vous pouvez optimiser la détection des risques de sécurité et la conformité là où vous en avez le plus besoin, à savoir au niveau des postes de travail des utilisateurs finaux.
La solution Nexthink d’analyse de la sécurité des systèmes d’information comprend un ensemble de tableaux de bord et d’outils d’investigation prédéfinis. Elle met en œuvre la sécurité et la conformité des postes de travail de façon à réduire de manière proactive les risques informatiques associés à l’environnement de travail grâce à des fonctionnalités d’audit et de génération d’alertes en continu fondées sur les meilleures pratiques et normes du secteur. Nexthink
Smarter IT through analytics
www.nexthink.com
« La fonction d’analyse
supervise sans relâche les appareils de vos utilisateurs finaux pour garantir la
comportementale du code
conformité aux normes de sécurité (ISO 27001, PCI, etc.) ainsi qu’aux politiques
suspect offerte par Nexthink nous a permis de détecter et de désinstaller immédiatement un cheval de Troie (intégrant un key logger) que notre solution antivirus n’était pas en mesure d’identifier. » Daniel Vulliemin DSI, Banque Cantonale Neuchâteloise, Suisse
de sécurité de l’entreprise. En plus de réduire le délai de protection (c.-à-d. l’application de correctifs) et les coûts opérationnels (liés à la gestion, à l’identification et à la correction), la solution Nexthink d’analyse de la sécurité comprend un moteur de génération de rapports de conformité pour l’environnement de travail courant et offre des fonctions d’audit précieuses pour les équipes informatiques et de sécurité. Intégration de la solution Nexthink aux produits SIEM
La solution Nexthink d’analyse de la sécurité centrée sur l’utilisateur final permet aux solutions de gestion des événements et des informations de sécurité (SIEM) telles que HP ArcSight de mieux détecter et neutraliser les attaques ciblées et les menaces avancées. À l’instar des autres produits SIEM, la solution ArcSight peut uniquement rendre compte des événements qu’elle reçoit par le biais de journaux et d’autres renseignements disponibles dans l’infrastructure — principalement des dispositifs de sécurité, des commutateurs/routeurs réseau et des serveurs d’applications. En effet, les solutions SIEM ne reçoivent pas de données contextuelles et en temps réel issues des postes de travail. Selon une étude, soixante-dix pour cent des entreprises privées et publiques déclarent disposer d’informations sur leurs postes de travail, mais estiment que celles-ci ne leur sont d’aucune utilité pour mettre au jour des activités anormales, ce qui implique que 66 % des violations de sécurité passent inaperçues pendant plusieurs mois. Face aux menaces informatiques toujours plus sophistiquées à l’œuvre de nos jours, il est impératif de disposer d’un accès instantané et d’une visibilité en temps réel sur chaque poste de travail pour comprendre parfaitement la situation : au niveau des applications, des privilèges et des comptes des utilisateurs finaux, des configurations des appareils, des connexions réseau et des requêtes Web à l’intérieur comme à l’extérieur de l’environnement. Renforcées par la solution Nexthink de détection des menaces pour postes de travail, les solutions SIEM telles qu’ArcSight sont à même de mettre en corrélation les incidents mis au jour par les outils de détection et de réponse aux menaces au niveau des postes de travail (ETDR, Endpoint Threat Detection and Response) avec les informations en provenance des dispositifs de sécurité, des commutateurs/routeurs réseau et des serveurs d’applications, favorisant ainsi une approche plus prévoyante. Nos fonctionnalités de détection et de réponse rapides permettent aux entreprises de bloquer la propagation des intrusions. Ainsi, Nexthink permet d’identifier facilement et instantanément les programmes validés détournés à des fins malveillantes, l’utilisation non autorisée de comptes authentiques, le trafic réseau suspect et le code malveillant ciblé non reconnu par les signatures antivirus. L’association des données utilisateur analytiques et contextuelles de Nexthink à votre solution SIEM présente les avantages suivants :
Smarter IT through analytics
www.nexthink.com
« Nexthink nous offre une technologie qui contrôle en permanence et en temps réel toutes les connexions et exécutions en provenance des postes de travail. Ainsi, nous disposons d’une mesure précise et continue de la conformité de chaque poste de travail par rapport aux normes de sécurité, de configuration et d’utilisation, ce qui nous aide à identifier tout risque potentiel. » Ghadah Hamad Al-Ajlan Responsable des projets d’automatisation, Riyad Bank, Arabie Saoudite
zz Détection précoce des activités suspectes et des menaces avancées pendant la phase d’intrusion (grâce à des techniques d’attribution de notes aux activités et de détection des anomalies et à un service de cyberveille dans le cloud), pour éviter de graves et coûteuses atteintes à la sécurité. zz Mise en œuvre de la sécurité informatique en temps réel en bénéficiant d’une visibilité permanente sur les postes de travail pour examiner la situation actuelle, effectuer des analyses comparatives et rechercher toute modification dans l’historique des activités et de configuration des postes de travail afin d’en dégager des indicateurs de compromission (IoC). zz Au moyen d’analyses, consolidation des données pour rendre compte de l’état de sécurité et des tendances en matière de risques, des vérifications de conformité et des stratégies de prévention proactive, par groupe de profils de risque, rôles et départements des utilisateurs finaux. GESTION DES MENACES INTERNES Le plus grand des dangers vient souvent de l’intérieur
De tous les risques auxquels sont confrontées les entreprises, les menaces internes comptent sans doute parmi les plus difficiles à détecter et à prévenir. Celles-ci n’impliquent généralement ni logiciels malveillants, ni injection de code de bibliothèque de liaisons dynamiques (DLL) ni corruption de la mémoire. Elles résultent tout simplement du recours par certains utilisateurs à des applications et comptes valides dans le but d’accéder à des données, de les copier, enregistrer ou imprimer et ce, sans respecter les modes d’utilisation normaux. La plupart des menaces internes, lorsqu’elles sont interceptées, ne sont pas dévoilées au public. Nexthink a recueilli de nombreux témoignages de clients qui ont identifié des employés mécontents tentant de quitter l’entreprise en emportant des données de propriété intellectuelle ou des bases de données de clients dans le plus complet mépris des accords de confidentialité.
Selon une étude récente réalisée par KPMG, 8,6 % des employés admettent avoir
Smarter IT through analytics
www.nexthink.com
« Nexthink nous a aidés à réduire
contourné les contrôles de sécurité mis en place dans leur entreprise, et 16,6 %
les risques tout en respectant
déclarent avoir été les témoins de tels comportements au cours des 12 derniers
les impératifs de sécurité et ce,
mois. La solution Nexthink d’analyse de la sécurité des systèmes d’information
sans faire appel à du personnel
vous offre les outils dont vous avez besoin pour détecter toute anomalie dans
supplémentaire. Désormais,
les activités, par exemple un trafic réseau particulièrement élevé à un moment
je dispose des informations
donné ou un grand nombre de tâches d’impression pendant une longue période
pertinentes pour prouver la
(c.-à-d. un volume quotidien d’impressions normal mais dont le total mensuel
conformité aux stratégies de
est élevé). Nexthink permet également d’intégrer une dimension contextuelle
sécurité de l’environnement de
à l’analyse, notamment en prenant en considération la fonction occupée, les
travail des utilisateurs finaux dans
heures de bureau, les périodes de congé et la présence physique (intégration
l’entreprise. »
de la sécurité physique).
Jorge Raposo DSI, Crédito Agrícola, Portugal
DÉTECTION ET NEUTRALISATION DES MENACES Garder les projets sur les rails
La plupart des entreprises s’appuient sur un éventail de produits et de technologies pour identifier et bloquer les activités suspectes. Ainsi, les pare-feux détectent les activités douteuses au niveau du périmètre du réseau et tentent de les bloquer, alors que les produits antivirus identifient le code malveillant et s’efforcent de le tenir à l’écart des systèmes. Quant aux logiciels de détection des intrusions, ils analysent les paquets de données sur les réseaux et surveillent diverses activités potentiellement malveillantes sur les serveurs d’applications. Le problème posé par une telle approche est que ces produits disparates n’opèrent pas de concert et ne prennent pas en compte des compromissions dues aux erreurs de configuration, aux restrictions techniques et aux négligences en matière de configuration des changements/ exceptions. Lorsque ces défenses sont percées, l’entreprise ne dispose généralement d’aucun journal ni d’aucune visibilité avant que les dommages ne soient constatés. La solution Nexthink d’analyse de la sécurité des systèmes d’information fournit des données analytiques et en temps réel sur l’ensemble des exécutions d’ap-
Smarter IT through analytics
www.nexthink.com
« Le produit Nexthink offre
plications et connexions réseau, de sorte que le département informatique peut
un rapport qualité-prix
cerner les événements non conformes aux politiques réglementaires et infor-
absolument fantastique
matiques en place. Nexthink détecte la moindre anomalie en termes d’activité,
étant donné ses nombreux
de performances ou de connectivité, puis en avertit l’équipe informatique par le
avantages : connaissance de
biais de notifications et de fonctions visuelles innovantes pour que celle-ci puisse
l’infrastructure, inspection
colmater les brèches et prendre les mesures correctives adéquates face à tout
rapide pour comprendre l’origine d’un incident, protection contre les logiciels malveillants, renseignements pertinents sur l’utilisation réelle des applications, et j’en passe. Son acquisition est pleinement justifiée au vu de la qualité du service dont peuvent bénéficier nos utilisateurs et de la facilité avec laquelle les rapports d’audit sont générés. » Daniel Vulliemin DSI, Banque Cantonale Neuchâteloise, Suisse
comportement indésirable. Analyse comparative globale des comportements
Nexthink permet d’identifier très rapidement les attaques complexes, même si vous n’en aviez pas connaissance. En effet, si elles utilisent des vecteurs différents d’un cas à l’autre, leur impact et leurs conséquences au niveau du poste de travail demeurent identiques. Ainsi, la comparaison du comportement actuel d’un poste de travail à sa précédente activité ou à celui d’autres postes de travail actifs permet de mettre en évidence les menaces. L’analyse porte notamment sur les activités et éléments suivants : zz Création de nouveaux processus binaires zz Exécution d’un processus Windows à partir d’un chemin d’accès utilisateur zz Exécution d’un processus non autorisé en tant qu’administrateur zz Nombre élevé/faible d’exécutions zz Durée d’exécution particulièrement longue zz Apparition d’un nouveau processus pendant le démarrage ou la connexion zz Nombre et délai élevés/faibles de connexions zz Volume de trafic important pour une même connexion zz Nouveaux emplacements de destination pour une application, notamment un stockage externe (cloud) et/ou des sites Web compromis zz Établissement de connexions par une application valide qui, normalement, s’exécute localement zz Communication via un nouveau port ou celui normalement dédié à une autre application zz Anomalies dans les requêtes DNS zz Balayages de ports et du réseau zz Emploi d’outils de contrôle à distance en interne ou depuis l’extérieur de l’entreprise, mais pas par le support informatique zz Utilisation de la 3G ou 4G depuis l’intérieur de l’environnement pour déjouer la protection du périmètre
Smarter IT through analytics
www.nexthink.com
À plusieurs reprises, la solution Nexthink a démontré son efficacité là où d’autres produits avaient échoué. Ainsi, le cheval de Troie Trojan:Win32/Retefe.A (et certaines de ses variantes) a servi dans le cadre de nombreuses attaques ciblées, dont l’une visait plusieurs banques suisses. Les solutions antivirus ne sont pas parvenues à le détecter, mais Nexthink a réussi à déceler la création d’un nouveau processus, Netupdater, l’anomalie correspondante dans le chemin %userprofile avec des droits d’administrateur, ainsi que le trafic DNS anormal associé au processus.
Smarter IT through analytics
www.nexthink.com
AUDIT ET CONFORMITÉ Veille indépendante
La plupart des entreprises exécutent régulièrement des procédures périodiques d’audit et de vérification de la conformité de la sécurité, que les évaluations soient réalisées à des fins internes ou dans le cadre d’audits externes formels. Quel que soit le type d’audit de la conformité auquel vous devez vous soumettre, la meilleure pratique consiste généralement à recourir à un outil indépendant pour vérifier que vos systèmes et processus respectent les politiques et réglementations en vigueur. La solution Nexthink d’analyse de la sécurité des systèmes d’information cartographie tous les services informatiques, détaillant la façon dont ils sont consommés et la manière dont l’infrastructure informatique fonctionne. Elle seule est capable de fournir des données analytiques en temps réel sur l’ensemble des exécutions et des connexions réseau, pour garantir une visibilité et des renseignements inégalés sur le degré de conformité de votre environnement en matière de sécurité informatique. Ainsi, la solution Nexthink est notamment capable de : zz s’assurer que tous les postes de travail et serveurs exécutent un logiciel antivirus dont les définitions sont à jour et bénéficient d’une protection en temps réel ; zz vérifier que les mises à jour Windows requises sont bien installées sur l’ensemble des postes de travail ; zz détecter les problèmes et leur cause probable avant que les utilisateurs finaux ne contactent le centre d’assistance, et ce grâce à des données analytiques qui améliorent le support ; zz veiller à ce que les navigateurs, fichiers Java et autres applications sont constamment mis à jour vers la version la plus récente ; zz identifier les executions de processus douteux et les connexions réseau anormales ; zz détecter les activités potentiellement dangereuses et les indicateurs de compromission sur les postes de travail (exécutions en tant qu’administrateur, analyses, emploi de lecteurs amovibles, nouveaux fichiers binaires, volume de trafic élevé, etc.). Des données analytiques pour une conformité permanente aux politiques de sécurité
Le monde de l’informatique d’entreprise est de plus en plus complexe et porteur de risques. Les mégatendances, dont la mobilité, les médias sociaux et le cloud, repoussent progressivement les frontières de l’entreprise au-delà de ses parefeux, mettant au défi même les équipes informatiques les plus compétentes. À ces difficultés s’ajoutent des attentes phénoménales en matière de perfor-
Smarter IT through analytics
www.nexthink.com
mances et de sécurité informatique. Votre sécurité est-elle en phase avec la perception que vous en avez ? Comporte-t-elle des failles ? Tenez-vous compte du contexte pour évaluer les risques ? La solution Nexthink d’analyse de la sécurité des systèmes d’information vient compléter les produits de prévention basés sur une sécurité multicouche utilisés par la plupart des départements informatiques. Tandis que d’autres produits s’efforcent tant bien que mal de bloquer l’exécution de séquences, méthodes et autres codes malveillants sur vos systèmes et d’empêcher toute compromission, Nexthink renforce vos différentes couches de sécurité en place en offrant des données contextuelles essentielles dans l’équation des risques. Grâce à une analyse exhaustive et sensible au contexte, Nexthink vous aide à identifier les failles dans vos défenses informatiques. Technologie brevetée de détection par auto-apprentissage
La solution Nexthink d’analyse de la sécurité des systèmes d’information s’illustre notamment par ses fonctionnalités d’inspection et de génération de rapports qui, d’une part, servent à valider la conformité aux politiques informatiques et réglementaires et, d’autre part, peuvent être utilisées en-dehors de tout audit pour gérer et sécuriser votre environnement. Nexthink collecte et intègre des données contextuelles centrées sur l’utilisateur final à des fonctions uniques d’analyse en temps réel, associées à des technologies de veille et de visualisation brevetées, pour permettre aux responsables informatique de prendre des décisions éclairées et d’intervenir immédiatement. Résultat : la productivité et la sécurité sont améliorées, à l’échelle de l’entreprise.
NOUS CONTACTER
Pour plus d’informations sur les solutions et services de Nexthink et pour découvrir comment ils peuvent améliorer votre sécurité informatique, contactez votre partenaire accrédité Nexthink ou votre représentant commercial Nexthink local. NEXTHINK FRANCE SARL
56, Boulevard de la Mission Marchand 92400 Courbevoie, France Tél. : +33 1 85 09 12 52 www.nexthink.fr
NEXTHINK S.A. (SIÈGE)
Centre Malley-Lumières Chemin du Viaduc 1 1008 Prilly - Suisse
[email protected]
Smarter IT through analytics
www.nexthink.com
www.nexthink.com
