Entretien Arnaud Kopp, directeur technique Europe chez Palo Alto "obtenir de la visibilité et anticiper"

Entretien Arnaud Kopp, directeur technique Europe chez Palo Alto, / Jean Philippe Bichard 31 mai 2016

 

"il faut obtenir de la visibilité" 

 

 

Palo Alto vient de publier via son "unité 42" un rapport (cf section BONUS) très révélateur sur l'évolution des ransomwares. Pourquoi avoir retnu ce type de cyber-menaces en particulier ? 

Les ransomwares  "réveillent" les entreprises en terme de sécurité. C'est leur coté positif. Pour les cyber-attaquants, le ROI des APT n'est pas évident alors que celui des ransomwares apparaît plus efficace d’où leur développement. Cela dit, il est possible de les contenir.

 

Quels sont les « Process » identifiés par Palo Alto au sujet des attaquants ?

Si l'on considère les différentes étapes depuis « l'injection du code », agir sur les commandes contrôle puis définir un mode de récupération de l'argent et enfin fournir les clés de déchiffrement en fin de négociation, une certitude : les cyber-attaquants doivent maîtriser l’ensemble sinon l'opération échoue. C'est la théorie de l'alignement des dominos.

 

Pour les entreprises il faut bloquer l'une des 5 étapes sinon c'est fini.

Oui et trop d'entreprise n'ont pas eu la prise de conscience sur les pépites que représentent les données numériques. L'état de l'art est en constante évolution. Il faut pour les entreprises anticiper aujourd'hui sur les attaques de demain peut être sur les IoT ou voitures connectées par exemple. Aujourd'hui l'équipement ne suffit plus, une bonne configuration notamment des services est toute aussi nécessaire.

 

 

D’où le déploiement de services par ailleurs très rentables aux cotés des solutions matérielles

Oui. Certains constructeurs étendent leurs offres aux services dédiés de type « threat intelligence » comme Wildfire chez Palo Alto. La Threat Intelligence autorise un tri de signaux faibles pour SIEM et SOC. Mais beaucoup de PME / PMI ne disposent pas de ce type de plate-formes. Le paiement à l'usage est une solution afin d'éviter trop de dépenses ; Il faut aussi éviter les mécanos compliqués en laissant chaque éditeur réinventer la roue. Les informations qui ressortent du Threat intelligence doivent êtres aussi prises en compte par des machines learning et parfois par l'intelligence humaine.

 

gartner-2016-Cyberisques

Source Gartner mai 2016  marché firewalls

 

Par rapport aux risques provoqués par les ransomwares, ou situez vous les informations traitées par les services de Threat intelligence ?

Bonne question ; J'ai envie de répondre qu il faut séparer les deux. Les ransomwares veulent êtres les plus rapides pour obtenir un rapide retour sur investissements en bref le paiement de la rançon. Le threat Intelligence permet la détection de signaux plus faibles généralement positionnés dans leur mission à l'opposé de celles confiées aux ransomwares. Il s'agit davantage de codes malveillants « dormants ». N'oublions pas qu'une arme efficace c est aussi une arme indétectable. Reste que l'attaquant doit lancer des recherches et donc risquer d'être tracé notamment dans les trafics cloud.

 

 

Paradoxalement, il faut surveiller attentivement les flux mais 25% des données échappent aux IT Managers qui sont censés les identifiées et les protégées

C'est vrai ; Il faut donc segmenter et classifier mais avant il faut obtenir de la visibilité .Chez Palo Alto nous fournissons des logs pour comprendre et éclairer le trafic propre au « shadow IT »

 

 

Règlement européen sur les données (GDPR) : est ce qu'un alignement techniques doit s'adapter aux contraintes réglementaires du GDPR ?

Certainement et si ce n est pas le cas, les commissaires aux comptes vont contribuer a établir le niveau de gestion des risques demandé par ce nouveau règlement EU. 70% d'entreprises ne disposent pas de procédures de notifications : pour les OIV les procédures sont en place. Mais pour les autres entreprises une version d'obligation de notifications s'avère nécessaire.

classification-données

Source HPE 2016

 

Précisément, quelles solutions apporte Palo Alto en notification ?

Via nos équipements et applications nous disposons de 100% de visibilité des flux que nous traitons (volumétrie, origine, destinations, applications..) y compris sur les applications Shadow IT comme Dropbox par exemple.

Propos recueillis par @jpbichard

 

 

BONUS :

http://cyberisques.com/fr/mots-cles-3/506-rapport-cybersecurite-ponemon-palo-alto-serveurs-et-antivols-memes-mecanismes

https://www.paloaltonetworks.com/resources/research/ransomware-report

 

 

Ransomwares-Palo-Alto

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires