La plupart des solutions de sécurité destinées aux petites et moyennes entreprises ne sont faites que pour empêcher l’installation d’un malware sur un poste de travail ou un serveur – ce qui a longtemps été suffisant. Dans la mesure où un organisme est capable de détecter une cybermenace sur les terminaux, il peut éviter que l’infection se propage sur tout le réseau et ainsi protéger l’infrastructure générale.
Les temps changent. Une cyberattaque moderne typique n’est pas un incident isolé qui a lieu sur l’ordinateur d’un employé, mais une opération complexe qui affecte une très grande partie de l’infrastructure. Ainsi, pour minimiser les dégâts d’une cyberattaque moderne il faut bloquer le malware, mais aussi comprendre rapidement ce qui s’est passé, comment et où cela pourrait se produire de nouveau.
Ce qui a changé
La cybercriminalité moderne a évolué de telle sorte que même une petite entreprise peut être victime d’une attaque ciblée, et pas des moindres. Cela s’explique en partie car les outils nécessaires pour mener une attaque complexe et en plusieurs étapes sont de plus en plus faciles à se procurer. De plus, les criminels essaient de toujours maximiser leur ratio profit-effort, et les opérateurs de ransomwares se démarquent vraiment à cet égard. Nous avons trouvé dernièrement des opérations de ransomwares qui étaient très préparées avec une vraie recherche préalable. Parfois, les opérateurs rôdent dans le réseau cible pendant des semaines, explorant l’infrastructure et volant des données essentielles avant de frapper avec un chiffrement et une demande de rançon.
Une petite entreprise peut, au contraire, servir de cible intermédiaire dans une attaque de la chaîne d’approvisionnement. Les cybercriminels utilisent parfois l’infrastructure d’un fournisseur, d’un prestataire de services en ligne ou bien d’un petit partenaire pour prendre d’assaut les grands organismes. Dans ces cas-là, ils peuvent même exploiter des vulnérabilités de type zero-day, une option qui demande plus d’efforts.
Comprendre ce qui s’est passé
Pour mettre un terme à une attaque complexe et en plusieurs étapes nécessite il faut savoir en détail comment les cybercriminels sont entrés dans l’infrastructure, pendant combien de temps ils sont restés, quelles données ont été compromises, etc. Le fait de juste supprimer le fichier serait comme traiter les symptômes d’une maladie sans en connaître la cause.
Dans les grandes entreprises, le SOC, le département informatique ou un tiers effectue ces enquêtes ; et pour cela, elles utilisent une solution de type EDR. Ces options ont tendance à être hors de portée pour les petites entreprises ayant un budget et un personnel limités. Ces dernières ont tout de même besoin d’outils spécialisés pour pouvoir réagir rapidement face aux menaces complexes.
Kaspersky Endpoint Security Cloud avec EDR
Inutile de faire appel à un expert pour mettre en place notre solution de type EDR pour les PME : la dernière version de Kaspersky Endpoint Security Cloud Plus offre une meilleure visibilité de l’infrastructure. L’administrateur peut rapidement identifier le chemin de propagation de la menace, avoir accès à des informations détaillées sur les appareils infectés, consulter rapidement les détails d’un fichier malveillant et voir où les fichiers actuellement utilisés se trouvent. Tout cela aide les administrateurs à détecter rapidement tous les foyers de tension des menaces, bloquer l’exécution des fichiers dangereux et isoler les appareils infectés et ainsi minimiser les dégâts potentiels.
Tandis que nous surveillons l’utilisation de cet outil dans le but de déterminer sa pertinence sur le terrain, en 2021 nous avons activé la fonction EDR pour les utilisateurs de Kaspersky Endpoint Security Cloud Plus en mode d’essai. Cliquez ici pour obtenir plus de renseignements ou commander une version d’essai.