expertise on demandComment renforcer votre équipe de sécurité

EXPERTISE ON DEMAND 2

D'une part, il existe une pénurie chronique de candidats qualifiés. D'après une étude d'ESG, 46 % des entreprises admettent en effet être actuellement confrontées à une « pénurie problématique » de talents en cybersécurité.2 D'autre part, même si vous parvenez à recruter des collaborateurs qualifiés, ces derniers n'auront sans doute pas la possibilité de se concentrer à plein temps sur tous les aspects de votre sécurité. Tout simplement parce qu'ils devront aussi endosser d'autres rôles : surveillance des menaces, collecte de données CTI, réponse à incident, gestion des opérations IT ou métiers, etc. Le risque pour votre entreprise ? Les équi-pes de sécurité interne sont généralement surchargées, jonglant entre leurs différentes responsabilités, sans maîtriser véritablement leur art dans un domaine particulier. Par ailleurs, une entreprise a rarement les moyens d'engager

les nombreux types de spécialistes en sécurité dont elle a besoin. Monter une équipe d'analystes en Threat Intelligence et en malware coûte cher à l'entreprise, sans parler du besoin de la développer et de la renforcer. Pourtant, sans une équipe à la hauteur de ses besoins, difficile d'obtenir la macrovisibilité nécessaire pour effectuer des recoupements entre les activités observées à travers différents secteurs d'activité, techniques d’attaque et régions du globe.

Si, comme tant d'autres entreprises, vous en êtes réduit à défendre vos réseaux avec les moyens du bord, vous vous exposez à des attaques. Car pendant que les entreprises se démènent dans une course aux talents, les attaquants, eux, ne chôment pas. Plus habiles et mieux financés que jamais, ils modifient sans cesse leurs tactiques, techniques et procédures pour échapper à toute détection. Pour garantir l’efficacité de votre

On estime à 3,5 millions le nombre de postes en cyber-sécurité qui ne trouveront pas preneur d’ici 2021. D’après les études, le pire reste même à venir.1

stratégie de sécurité, votre équipe doit donc démontrer les compétences et les connaissances nécessaires.

À moins que vous ne fassiez appel à un prestataire externe capable de vous fournir un dispositif de sécurité complet, adapté à votre secteur et à vos besoins métiers. C’est le concept d'expertise à la demande, ou Expertise On Demand : un accès flexible à toute la panoplie de compétences indispensables à la protection de votre entreprise.

Ce document vous invite à découvrir ces profils d'experts rares sur le marché ou dont une entreprise n'a besoin que dans des circonstances précises. Vous y trouverez un descriptif détaillé de ces rôles, de leurs responsabilités et des processus transdisciplinaires indispensables à la traque et à la neutralisation des menaces dans une équipe de sécurité de haut vol.

EXPERTISE ON DEMAND 2

1 Cybersecurity Ventures, Cybersecurity Jobs Report 2018-2021, 31 mai 20172 Enterprise Strategy Group, Cybersecurity Skills Shortage: A State of Emergency, février 2016

Introduction

EXPERTISE ON DEMAND 3

Analyste en traque des menacesResponsabilités Outils et processus utilisés Profils recherchés Objectifs

L'analyste en traque des menaces recherche de façon continue et proactive les signes de compromission. Pour cela, il combine la connaissance des menaces, des attaquants, des modes opératoires et des indicateurs de compromission pour analyser rapidement une multitude de sources de données.

• Analyse des captures de trafic réseau

• Désassemblage de malwares

• Analyse forensique des artefacts

• Cyber Threat Intelligence (CTI) et analyse

• Environnements sandbox

• Référentiels de malwares externes

• Analyse de la sécurité des terminaux

• Experts en réponse à incident

• Analystes CTI

• Ingénieurs spécialisés dans le désassemblage des malwares

• Équipe de recherche technique

• Professionnels et collègues membres de la grande communauté de la cybersécurité

Détecter les intrusions (les activités des menaces connues ou inconnues) aussi rapidement et efficacement que possible. Dans la plupart des cas, il ne s'écoule que quelques heures entre la détection et l'intervention, ce qui permet de limiter considérablement l'ampleur, l'impact et le coût d'une violation de sécurité.

RÔLE

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

Il consacre sa journée à la recherche de nouvelles menaces. Les analystes en traque des menaces s'appuient sur la Threat Intelligence et les techniques d'analyse les plus récentes pour détecter très tôt les intrusions, les investi-guer rapidement et décrypter le comportement des attaquants pour mieux les neutraliser. Ils extraient et analysent les données du trafic réseau, des journaux des outils de sécurité et de chaque terminal de l'environne-ment. Ils compilent les preuves, établissent la chronologie des événements et utilisent leur connaissance du comportement des attaquants pour mieux les repérer et les neutraliser. Enfin, ils vous informent régulièrement des progrès de l'enquête et proposent des rapports axés sur des mesures pratiques. Outre la traque active des menaces, ces analystes étudient les attaquants pour anticiper leurs actions et en tirer des enseignements utiles lors de futures investigations. Ils collectent, organisent, hiérarchisent et analysent les données disponibles pour déterminer le besoin ou non d'une investigation plus approfondie. En cas d'intrusion, ils contribuent à l'investigation en fournissant les preuves recueillies, aiguillant ainsi les analystes forensiques et les équipes d'intervention sur les différentes pistes à explorer.

Vous opérerez en mode réactif, et ne pourrez que constater l'allongement des durées d'implantation, soit le laps de temps entre l'infiltration initiale d’un attaquant et sa découverte. Vous augmenterez les risques de passer à côté d'une violation de sécurité, aggravant d'autant son impact sur votre entreprise.

À partir de toute la base client de FireEye, nos analystes en traque des menaces dressent en permanence des schémas et des tendances qui les aideront à mieux comprendre des événements difficiles à appréhender de façon isolée. FireEye emploie également ces experts pour détecter les attaques sans malware et autres menaces difficiles à identifier au seul moyen de solutions technologiques – notamment celles qui se propagent à l'aide d'outils standard du système d'exploitation comme le protocole RDP (Remote Desktop Protocol).

EXPERTISE ON DEMAND 4

Analyste CTIResponsabilités Outils et processus utilisés Profils recherchés Objectifs

L'analyste CTI observe et décortique l'activité mondiale des menaces, y compris les actions des États, les plans stratégiques et militaires, les mouvements des cyber-criminels et des terroristes. Sa mission : observer les signes avant-coureurs et signaler les cybermenaces imminentes. Il est notamment chargé de l'attribution des attaques — des petits malfrats jusqu'aux puissances étatiques. Il détermine en amont le niveau de gravité et de sophistication de la menace, comme dans le cas d'un État qui tente de se faire passer pour un cybercriminel de base pour brouiller les pistes. Ces informations sont ensuite recoupées avec d'autres sources de données, puis intégrées aux ressources CTI.

• Données réseau

• Outils d'analyse prédictive

• Bases de données sur les pratiques des attaquants

• Recherche sur les plans, motivations, budgets et stratégies des attaquants dans leur langue maternelle

• Analystes dotés de compétences linguistiques

• Anciens experts de la police ou du renseignement

• Universitaires et économistes

• Groupes de réflexion

• Politologues

Améliorer la capacité de l'entreprise à anticiper et avertir de l'imminence de certaines menaces, connues ou inconnues. Préparer les défenses à l'avance et assurer une gestion proactive des risques.

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

Les analystes CTI partagent généralement leur journée entre des projets à court et à long terme. Ils traduisent des déclarations en langue étrangère, des annonces importantes, ainsi que la propagande intérieure et extérieure des États. Ils écrivent des articles de fond sur les répercussions d'événements mondiaux, de déclarations gouvernementales et d'actions militaires, terroristes ou autres sur le cyberespace. Ils mènent également leurs propres recherches proactives et indépendantes sur les menaces, les projets et intentions des attaquants, sans oublier le rôle de certaines cyberopérations dans l'échiquier de politique étrangère de tel ou tel État.

Sans une Threat Intelligence approfondie et une analyse compétente, on ne sait que peu ou rien des menaces en présence, ce qui compromet sérieusement l'efficacité de la lutte. Évaluer le risque géopolitique au seul moyen de solutions techniques, c'est adopter de fait une posture réactive. En revanche, si vous parvenez à comprendre pourquoi vous êtes visé et quelle méthode l'attaquant est susceptible d'employer, vous pouvez alors prendre un coup d'avance.

Les analystes CTI de FireEye surveillent les menaces visant différentes catégories de cibles, pays et secteurs d'activité. Les enseignements tirés de ces observations leur permettent ensuite de mieux identifier les futures cibles, sur la base du profil de la victime, le mode opératoire de l'attaquant une fois infiltré, ainsi que les techniques de propagation, ciblage des données, etc.

RÔLE

EXPERTISE ON DEMAND 5

Ingénieur spécialisé dans le désassemblage des malwares

Responsabilités Outils et processus utilisés Profils recherchés Objectifs

Comme son nom l'indique, l'ingénieur spécialisé dans le désassemblage des malwares (Malware Reverse Engineer) a pour mission de décortiquer les malwares critiques (virus, backdoors, ransomwares, etc.) identifiés par les analystes CTI, les experts en réponse à incident ou les solutions technologiques. Il dissèque le malware, neutralise le code anti-analyse de l'attaquant et étudie toutes les actions successives du logiciel malveillant. Il rédige ensuite un rapport détaillé à l'intention des analystes et des experts en réponse à incident. Ce document établit les méthodes utilisées par le malware pour s'implanter, son mode de communication sur le réseau et toutes ses fonctionnalités. Il permet aux entreprises d'identifier les menaces, d'engager des mesures de remédiation et d'éradiquer définitivement la menace.

• Outils d'analyse antimalware (sur mesure, commerciaux et open source)

• Outils de désassemblage et de débogage

• Plateformes d'analyse forensique

• Analystes CTI

• Experts en réponse à incident

• Analystes en traque des menaces

Identifier le comportement des malwares pour accélérer l'intervention sur incidents. Adapter les stratégies de prévention pour mieux détecter et neutraliser les attaques futures.

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

Dans son cas, les choses sérieuses commencent dès lors qu'un malware a été détecté. L'ingénieur utilise diverses techniques pour étudier le comportement du malware dans un environnement sandbox isolé et l'analyser de manière statique avec des outils de pointe pour répondre aux questions les plus critiques. Ensuite, il approfondit son étude, dés-assemble le malware et examine son code machine compilé. Enfin, il rédige un rapport détaillant ses découvertes. De ses conclusions dépendent la réaction des analystes et des équipes de réponse à inci-dent. Par exemple, les résultats de ses recherches pourront conduire à l’analyse d'autres portions du système de fichiers ou du réseau, afin d’identifier d'éventuels éléments qui pourraient réorienter l’investigation.

Vous ne parviendrez pas à bien comprendre la menace. Sans une parfaite connaissance du malware, vous limitez votre capacité à éliminer définitivement la menace, limiter sa propagation ou identifier cette même menace sur d'autres systèmes. De même, vous gâcherez des ressources et un temps précieux à chercher le même logiciel malveillant (ce qui n'arrive pratiquement jamais), au lieu de vous concentrer sur l'étendue des caractéristiques de la famille du malware.

La CTI et les nombreuses missions de réponse à incident de FireEye lui ont permis de recueillir un échantillonnage beaucoup plus vaste de malwares. Ainsi, nos analystes en malwares peuvent rapidement automatiser et corréler des événements précédemment observés chez nos clients et lors de leurs nombreuses missions d'intervention.

RÔLE

EXPERTISE ON DEMAND 6

Spécialiste en simulation d'attaques

Responsabilités Outils et processus utilisés Profils recherchés Objectifs

Le spécialiste en simulation d'attaques a pour mission de réaliser des tests d'intrusion dans votre environnement de production. Ces tests simulent une attaque dont les objectifs et modes opératoires sont en tous points semblables à ceux des cyberpirates, par exemple le vol ou la destruction de données. Ce spécialiste tire parti de l'expérience acquise sur le terrain, en première ligne, pour simuler les modes opératoires d'attaquants réels ciblant votre environnement. Il identifie des vulnérabilités, puis les exploite pour s'infiltrer, élever ses privilèges et se déplacer dans l'environnement informatique du client. De même, il teste la robustesse du dispositif de sécurité, en dressant notamment un bilan des capacités de vos équipes, processus et technologies à protéger vos ressources critiques.

• Outils "maison", open-source ou commerciaux utilisés pour identifier les systèmes de l'environnement, obtenir un accès, établir une présence durable, se déplacer latéralement et traquer les utilisateurs clés, par exemple les « power users » dotés de droits d'administration élevés

• Analystes CTI

• Experts en réponse à incident

• Équipe spécialisée dans les systèmes de contrôle industriel (ICS)

• Ingénieurs spécialisés dans le désassemblage des malwares

Améliorer votre capacité à prévenir, détecter et intervenir sur des incidents réels grâce à une expérience acquise au contact direct d'attaques réelles.

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

Au cours de sa journée, un spécialiste en simulation d'attaques participera généralement à différentes phases de test. Par exemple, il pourra tenter d'accéder au réseau depuis l'extérieur, tandis qu'un deuxième collègue est déjà infiltré et qu'un troisième se déplace latéralement sur ce même réseau. En outre, l'équipe s'informe constamment des derniers outils, tendances et technologies de défense.

Vous serez dans le flou quant aux vulnérabilités de votre environnement et à l'efficacité de votre dispositif de défense, étant donné qu'il n'aura été ni vérifié ni testé. Vous manquerez de connaissances sur le déroulement et la forme des attaques, ce qui pourra nuire à l'efficacité de votre réponse en cas d'incident réel.

FireEye teste votre infrastructure de sécurité et vous fait part des failles de sécurité existantes. Forts de nos interventions à répétition sur les violations de sécurité les plus graves, nous connaissons le mode opératoire des attaquants et pouvons simuler les attaques les plus sophistiquées. Nous pouvons également vous conseiller sur les tendances, méthodologies et outils à déployer pour garder un coup d'avance sur les cyberpirates.

RÔLE

EXPERTISE ON DEMAND 7

Expert en réponse à incident

Responsabilités Outils et processus utilisés Profils recherchés Objectifs

L'expert en réponse à incident gère les incidents de sécurité, résout des problèmes spécifiques et met des solutions en place pour en éliminer les causes systémiques. Il procède à des analyses de l'hôte, du réseau et des journaux, en plus de classifier le malware pour faciliter les investi-gations sur les intrusions. Il cherche à évaluer rapidement l'ampleur de la compromission (notamment les données volées), à identifier les modes opératoires de l'attaquant, à planifier et mettre en place les contre-mesures et, au final, à améliorer la résilience du système face aux futures attaques.

• Outils d'analyse forensique (commerciaux et open source)

• Outils d'analyse antimalware (commerciaux et open source)

• Outils d'analyse réseau (commerciaux et open source)

• Frameworks d'analyse des journaux et des données structurées

• Analyseurs, décodeurs et scripts d'automatisation des tâches

• Plateformes CTI commerciales et open-source

• Logiciels bureautiques et de productivité

• Outils propriétaires de gestion des incidents

• Ingénieurs spécialisés dans le désassemblage des malwares

• Responsables et administrateurs d'applications

• Techniciens d'informatique opérationnelle

• Ingénieurs réseau

• Analystes CTI

• Juristes internes et externes

Réduire au maximum l'impact d'un incident et mieux préparer l'entreprise à prévenir, détecter et intervenir face aux intrusions futures.

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

L'expert en réponse à incident commence sa journée en vérifiant les nouvelles activités survenues dans le cadre de l'enquête en cours. Pour chaque incident, l'expert évalue la situation, vérifie les objectifs de l'intervention, recueille des preuves, effectue des analyses, accompagne les managers, élabore des plans de remédiation et rédige un rapport d'enquête. Il examine les rapports d'état et détermine les besoins urgents, repriorise les mesures à appliquer en fonction des objectifs, informe les parties concernées de la situation, et travaille à la validation et l'endiguement des menaces.

Vous n'aurez aucune personne attitrée pour intervenir et neutraliser les attaques. Votre entreprise ne sera probablement pas en mesure de développer ou gérer des connaissances collectives sur l'environnement, les intrusions ou la méthodologie d'intervention. Le délai entre détection et intervention sera plus long, augmentant par là même la probabilité de vol des données, de perturbation des systèmes et de récidive.

FireEye possède une large équipe d'experts hautement qualifiés dans la réponse à incident. Ces spécialistes ont accès à l’historique de toutes nos missions de réponse à incident, données victimologiques comprises, sur une période de plus de 12 ans. Ils se distinguent souvent par leurs vastes connaissances des éléments de preuve, glanées au fil de leurs expériences très diverses.

RÔLE

EXPERTISE ON DEMAND 8

Analyste en protection contre les menaces

Responsabilités Outils et processus utilisés Profils recherchés Objectifs

L'analyste en protection contre les menaces collecte, enregistre et analyse des données brutes transmises par les systèmes de découverte, les réseaux de capteurs et les observations humaines. Objectif : traduire ces données en une Threat Intelligence qui met en évidence l'évolution du champ des menaces, notamment l'identification de nouveaux auteurs de menaces, campagnes et techniques d'attaques. De nouveaux algorithmes de détection plus sophistiqués sont générés et intégrés aux technologies de sécurité utilisées pour la protection en temps réel.

• Outils d'automatisation et de découverte personnalisés et propriétaires

• Technologies de machine learning, y compris les algorithmes person-nalisés pour une application à grande échelle

• Technologie d'analyse des données massives (Big Data)

• Outils de visualisation des données

• Ingénieurs spécialisés dans le désassemblage des malwares

• Experts en données (data scientists)

• Analystes CTI

• Chercheurs

Assurer une détection précise des menaces, y compris pour la protection en temps réel de l'entreprise contre toutes les menaces émergentes. Détecter et bloquer toutes les attaques, sans faux positif, et informer l'entreprise de la possibilité d'attaques avancées à haut risque.

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

Au cours d'une journée type, l'analyste en protection contre les menaces surveille l'état des opérations et recherche notamment les nouvelles techniques utilisées par les attaquants, y compris les mécanismes mis en œuvre pour échapper à la détection. Ces informations sont ensuite codifiées et intégrées aux technologies de protection de l'entreprise. L'analyste évalue les différents problèmes auxquels l'entreprise et les systèmes sont confrontés, puis met en place les mesures de remédiation appropriées. Il valide également les stratégies de protection adaptées à court, moyen et long terme.

Votre environnement s'exposera à toutes sortes de violations de sécurité (perte de données clients et vol d'informations sensibles) si vous ne détectez pas un danger ou événement important. En cas de détection approximative ou de fausse alerte, vous vous exposez à un déni de service (DoS) ou, à l'inverse, pouvez bloquer inutilement un processus métier critique et surcharger vos analystes.

Les analystes en protection contre les menaces des FireEye Labs recherchent constamment des caractéristiques, des tendances et des menaces chez tous les clients FireEye. Cette visibilité, alliée à une connaissance pointue et une longue expérience, leur permet d'interpréter rapidement des événements complexes. FireEye collabore avec des chercheurs pour codifier les résultats d'analyses sous la forme de nouvelles fonctionnalités et améliorations produits dont ses clients sont les premiers bénéficiaires.

RÔLE

EXPERTISE ON DEMAND 9

Expert en bilans de sécurité

Responsabilités Outils et processus utilisés Profils recherchés Objectifs

L'expert en bilans de sécurité surveille, analyse, évalue et limite le risque de cybermenaces pour l'entreprise. Il évalue l'exposition aux risques et crée des feuilles de route pour éliminer les vulnérabilités.

• Technologies de prévention classiques (IPS, proxys, pare-feu, VPN)

• Mécanismes de contrôle et de gestion des accès (outils de gestion des accès avec privilèges)

• Surveillance du trafic réseau, de la messagerie électronique et de l'espace hôte

• Plateformes d'analyse et de CTI pour la détection et le contrôle

• Acteurs de l'entreprise, par exemple le DAF ou le directeur d'exploitation, pour faciliter l'évaluation du risque métier

• Juristes et experts en conformité

• Informaticiens

Analyser, mesurer et gérer correctement le risque par rapport aux cybermenaces. Dresser un bilan précis des risques de cybersécurité actuels et déterminer les investissements requis pour combler les failles sur la base des menaces à haut risque.

Sa journée type Sans lui, que se passe-t-il ? Avantage FireEye

Au cours de sa journée, l'expert en bilans de sécurité cherche à adapter la sécurité globale de l'entreprise aux menaces auxquelles elle risque d'être confrontée. Il identifie les événements à surveiller, collecte les données d'alertes et corrèle toutes les informations disponibles avec les données CTI à sa disposition. Il classe les événements à analyser par priorité et décide de la suite à donner aux risques identifiés.

Sans un professionnel de sécurité expérimenté pour superviser votre dispositif de sécurité, vous risquez de sous-estimer le risque de cybersécurité et exposerez inutilement votre entreprise à des risques opérationnels, financiers, juridiques ou réputationnels.

Les professionnels FireEye ont une connaissance pointue des menaces propres à votre secteur d'activité et votre zone géographique. Nous pouvons évaluer votre niveau de risque et recommander une stratégie de sécurité qui équilibre le coût et l'exposition et les risques acceptables.

RÔLE

EXPERTISE ON DEMAND 1010

Expertise On DemandTraque des menaces, Threat Intelligence, bilan de sécurité... pour bien protéger votre entreprise, vous devez faire appel à de nombreux spécialistes en cybersécurité divers et variés. En outre, la collaboration et la coordination entre ces rôles s’avère primordiale pour identifier, analyser, confiner et neutraliser les menaces, avec à la clé une meilleure préparation de l’entreprise lorsqu'elle fait face à une intrusion.

Toutefois, le maintien d’un tel vivier d’experts en interne n'est pas toujours possible, ni même justifié. Même si vous parvenez à dénicher les bons talents en dépit de la pénurie mondiale actuelle, recruter et conserver de tels experts coûte cher à l'entreprise. Qui plus est, une équipe de sécurité interne devra souvent composer avec des priorités conflictuelles au lieu de se spécialiser dans un seul domaine. Enfin, vos équipes ne seront jamais exposées qu'aux incidents survenus dans votre entreprise, ce qui limite l'étendue et la diversité de leur expérience.

Chez FireEye, notre métier, c'est la sécurité, rien que la sécurité. Nos professionnels possèdent une vaste expérience et des connaissances pointues en cybersécurité, acquises au contact de milliers d'événements, incidents et attaquants. Une CTI issue des machines, des victimes et des attaquants vient renforcer cette expérience. À la clé : une détection et une neutralisa-tion plus rapides des menaces au service de la protection de vos systèmes.

Quelle que soit la taille de votre équipe de sécurité, FireEye vous offre l'expertise à la demande dont vous avez besoin pour renforcer ses capacités et garantir une sécurité à la hauteur des enjeux de votre entreprise.

Pour en savoir plus, rendez-vous sur www.FireEye.fr.

EXPERTISE ON DEMAND

FireEye, France | Nextdoor Cœur Défense 110 Esplanade du Général de Gaulle 92931 Paris La Défense Cedex 92974 +33 1 70 61 27 26 france@FireEye.com | www.FireEye.fr | FireEye, Inc. +1 408 321 6300 | info@FireEye.com

Pour en savoir plus, rendez-vous sur www.fireeye.fr

À propos de FireEye, Inc.FireEye est spécialisé dans la cybersécurité axée sur la Threat Intelligence. Prolongement naturel et évolutif des opérations de sécurité des clients, la plateforme unique de FireEye combine des technologies de sécurité innovantes, des services de Threat Intelligence d’envergure internationale et les services réputés de Mandiant® Consulting. FireEye simplifie ainsi la cybersécurité et son administration, devenant un allié précieux des entreprises confrontées au casse-tête que représentent la prévention et la neutralisation des cyberattaques.

© 2019 FireEye, Inc. Tous droits réservés. FireEye est une marque déposée de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. EOD-EXT-DS-FR-FR-000109-01