Cybersécurité Sophos : Optez pour une cybersécurité en toute sérénité
Bienvenue à toutes et à tous. Bienvenue dans ce webinaire opté pour une cybersécurité en toute sérénité. Je suis Frédéric REVEL de la société PI Services. Je suis ingénieur d'affaires et je suis accompagné de Gilles SARQUIZ, ingénieur avant-vente de la société Sophos. Très brièvement, je vais vous faire une petite introduction sur qui est PI Services pour vous donner un petit peu le contexte. PI Services, nous sommes architectes et gestionnaires d'infrastructures autour des architectures Microsoft. Nous intervenons, quels que soient vos environnements, que ce soit des environnements on-premises, des environnements cloud, des environnements hybrides, du poste de travail jusqu'au serveur, en passant également par des briques collaboratives, d'identité et également de sécurité, dont l'objet du séminaire aujourd'hui sur cette partie cybersécurité. Nous avons une vision transverse et globale qui nous permet de pouvoir intervenir de l'avant-projet jusqu'au support service managé en passant par toute la partie de déploiement. On va couvrir pour vous tout ce qui va être un accompagnement au choix de solutions, à la définition d'architecture, à également la réalisation d'études concernant un certain nombre d'impacts, de notes de cadrage, d'études d'opportunités. Ensuite, on a la capacité de pouvoir accompagner vos équipes dans tout ce qui va être intégration et déploiement de ces solutions, de ces architectures, de ces infrastructures, de les accompagner également dans tout ce qui est le transfert de compétences pour les rendre autonomes par la suite. Et puis, nous avons également la possibilité de pouvoir intervenir en support sur vos infrastructures par le biais de différents contrats que l'on va détailler un peu plus maintenant. Le focus sur la partie services managés. Trois types d'interventions qui sont réalisées sur mesure en fonction de vos besoins. On va partir de la gestion globale de toute ou partie de votre SI sur la réalisation de maintien en condition opérationnelle de vos différentes plateformes. Proposez également des contrats de support pour pouvoir accompagner vos équipes dans la réalisation et la résolution d'incidents de niveau 2 et 3 sur vos infrastructures. Et puis également un accompagnement plus à la carte, qui est un accompagnement de gestion à la demande en fonction de besoins ponctuels spécifiques. Alors bien entendu, ces trois briques peuvent être regroupées au sein d'un seul et même contrat afin de couvrir l'ensemble du spectre, que ce soit sur des problématiques d'infrastructures, de postes de travail, de réseaux et également de solution de sécurité de notre partenaire Sophos qui va également nous permettre de pouvoir vous accompagner sur de la résolution d'incidents et d'attaques comme nous allons pouvoir le voir et Gilles va d'ailleurs pouvoir vous présenter un petit peu tous ces différents éléments. Je te laisse la main Gilles.
Merci Frédéric. Bonjour à tous et à toutes. Gilles SARQUIZ, ingénieur avant-vente Sophos. Maintenant, on va justement, comme l'a dit Frédéric, parler de l'offre Sophos en partenariat avec PI Services qui la déploie et qui est certifiée Sophos. On va voir en deux temps d'abord l'évolution cyberattaques et on va se baser pour cela sur le rapport sur la sécurité. Mais juste avant, je voudrais présenter la société Sophos en quelques chiffres. Pour nous définir, on est le premier éditeur d'origine européenne de solutions de sécurité pour les entreprises. On a été fondé en 1985 en Angleterre à Oxford et aujourd'hui on est présent dans le monde entier. On a plus de 4000 employés. En France, nous sommes une cinquantaine dont 12 personnes dédiées aux supports techniques. Ils parlent français et sont présents aux heures ouvrées et aux jours ouvrés français. Ensuite, on a d'autres centres de support qui permettent de faire un support 24h sur 24, 7 jours sur 7. Notre modèle est un modèle croitiaire. Nous, éditeurs, nous vendons à des distributeurs et les distributeurs vendent à des partenaires agréés que nous formons et qui sont certifiés sur nos solutions, tels Pi Services. Notre présence dans le monde est à la fois en termes de ce qu'on appelle les Sophos Labs, des centres de surveillance de tout ce qui est émergence, de nouvelles attaques, nouvelles failles, etc. et qui permettent de diffuser les mises à jour et aussi d'informer nos différents centres de surveillance de l'émergence d'une nouvelle attaque et aussi nos centres de recherche et développement qui sont répartis à peu près partout dans le monde. Car en fait, notre société a fait de la croissance externe pour partir à l'origine du noyau qui était l'antivirus. Et aujourd'hui, nous sommes capables de proposer des solutions, on va le voir dans notre modèle, aussi bien de protection réseau, mobile, etc. Un petit état des lieux. On se base sur ce qu'on appelle le rapport 2023 sur les menaces. Tous les ans, Sophos, fort de ce réseau de Sophos Labs et de nos clients qui nous permettent de voir ce qui se passe sur le terrain, on fournit des informations sur ce qui a été vu au courant de l'année précédente et les tendances qui se décident. Ce rapport est téléchargeable dans le lien que vous voyez, vous aurez d'ailleurs la présentation, vous pourrez récupérer le lien. Ce que l'on voit de ce qui s'est dessiné, c'est ce qu'on appelle l'influence de l'actualité internationale. Tout ce qui est nouvelles tendances de ransomware, la cybercriminalité qui s'industrialise, le vol de codes d'accès qui est très prisé par les pirates aujourd'hui, les outils d'attaque qui sont utilisés et enfin le fait que les malwares ne se limitent pas aux plateformes style PC mais aussi dans tout ce qui est mobile et plus encore. Alors si on regarde un petit peu un panorama de ces menaces, en gros, tous les jours, nos équipes voient à peu près 650 000 nouveaux logiciels malveillants par jour. Quand je dis nouveaux logiciels malveillants, ça peut être des variantes d'anciens logiciels, mais c'est quand même des nouvelles versions. Ce qui montre déjà la limite du modèle de détection à base de signatures, puisque ça voudrait dire qu'il faut faire des mises à jour sans cesse et qu'il y a toujours un temps de retard. C'est pour ça qu'aujourd'hui, Les solutions Sophos depuis 2016, on utilise des technologies avancées comme l'intelligence artificielle, le comportemental, etc. Plus des trois quarts ne sont détectés qu'une seule fois. Ça veut dire que ce sont ce qu'on appelle des attaques ciblées qui ont été créées exprès pour une entreprise et qu'on ne va pas revoir ailleurs. Si on veut comparer ça aux anciens virus qui étaient des virus de masse où tout le monde recevait le même virus, on voit donc la difficulté pour détecter et pour protéger. Dans presque 50 % des cas, ce sont des failles qui sont exploitées, c'est-à-dire des vulnérabilités, soit des vulnérabilités connues mais qui n'ont pas été corrigées à temps, soit des vulnérabilités nouvelles et inconnues. Donc effectivement, les pirates y vont au plus simple, ils cherchent à trouver les portes d'entrée et ils les trouvent. Sachant que, ça c'est une statistique, c'est qu'en général il faut à peu près 280 jours en moyenne pour trouver une vulnérabilité dans une entreprise, que ce soit une vulnérabilité logicielle ou même une vulnérabilité d'ordre de configuration ou d'architecture. Maintenant, si on regarde comment se répartissent les menaces, vous avez plus d'un tiers de ce qu'on appelle des attaquants actifs. Qu'est-ce que c'est qu'un attaquant actif ? Comme son nom l'indique, c'est un ou plusieurs pirates qui sont en cours d'exécuter des commandes sur une machine ou sur plusieurs machines à distance. Cela veut dire qu'on n'a pas affaire à un bête programme qui s'exécute et qui suit son code et qui dès qu'il va rencontrer un obstacle va être arrêté, on est en face de personnes intelligentes, malveillantes qui cherchent à contourner les défenses quand ils voient qu'ils sont bloqués à un endroit ils vont chercher une autre méthode et donc du coup on a une attaque qui peut progresser on va dire lentement mais sûrement. L'autre pourcentage c'est un quart ce sont les ransomware donc je dirais avec ces deux points on a l'essentiel des menaces bon après vous avez ce qu'on appelle les virus avancés donc des virus un peu plus complexes que des simples des simples petits scripts qui disent. Voilà, mais donc les attaquants actifs c'est ce gros problème, c'est-à-dire en fait l'attaque est conduite par un humain. Alors, maintenant justement comment se déroule une attaque qui est conduite par un groupe de pirates ou par une personne ? Alors en fait le pirate d'abord fait ce qu'on appelle une reconnaissance, c'est-à-dire qu'il va reconnaître les cibles ou la cible qu'il veut atteindre et à l'intérieur de cette cible il va déceler des personnes ou des sites qui seront plus fragiles. D'accord ? Donc, toute cette période-là, c'est quelque chose qui se fait sur Internet, sur les réseaux sociaux. Ils récupèrent des informations, les gens qui sont partis en vacances, qu'est-ce qu'ils aiment, etc., de manière à pouvoir créer, on va dire, le vecteur d'attaque. Et le vecteur d'attaque, ça va être par exemple un mail sur un sujet qui correspond à une personne ou un mail qui va viser telle personne dans la hiérarchie parce qu'on sait que son patron est absent et donc qu'elle ne pourra pas lui demander des conseils par exemple. Ensuite, ils vont créer un programme qui va servir de programme malveillant pour être exécuté au moment où le malware sera déployé. Le déploiement peut se faire de différentes manières, ça peut être envoyant un email avec un lien, ça peut être en envoyant un email avec une pièce attachée, ça peut être en appelant quelqu'un au téléphone et en lui en se faisant passer pour un responsable et lui demander de faire telle et telle action, ça peut être de compromettre un site où vont vos développeurs, voilà ça peut être plusieurs choses. Une fois que le déploiement a eu lieu, que la personne par exemple malheureusement a cliqué sur le lien, il va y avoir l'exploitation de la vulnérabilité qui va être faite par justement le petit programme qui a été créé par pour cette vulnérabilité et qui va s'exécuter sur la machine de la victime. Ensuite, il va y avoir ce qu'on appelle l'installation, c'est-à-dire que là où le petit programme s'était exécuté juste dans le cadre d'un navigateur ou d'une ouverture de fichier, le pirate va chercher à s'installer définitivement sur cette machine de manière à assurer une persistance qui fera que même quand la machine sera rebootée, quand elle redémarrera, le lien pourra être remonté automatiquement. Enfin, il y a tout ce qui est échange avec le serveur de commande et de contrôle, c'est-à-dire le serveur que le pirate utilise pour commander et contrôler son malware. Et enfin, le pirate va pouvoir, au bout d'un moment, lancer son action qui était son objectif principal. Ça peut être un ransomware, ça peut être du vol de données, ça peut être un délit de service. Toutes ces phases, on a plus ou moins de la possibilité d'agir dessus. Tout ce qui est préparation et armement, il n'y a quasiment rien à faire puisque tout se passe en amont de l'entreprise. La seule chose qu'on peut dire, c'est qu'il faut faire attention à ce que vous diffusez sur Internet comme informations que ce soit des informations personnelles, je suis parti en vacances ou autre, etc. ou que ce soit des informations sur, par exemple, les logiciels que vous utilisez, etc. parce que ça va donner des informations aux pirates pour justement préparer leur attaque. À partir du déploiement, on peut faire quelque chose, effectivement et c'est ce qu'on voit là, c'est que l'entreprise déjà a des défenses. Tout ce qui est firewall, bien sûr, tout ce qui est filtrage web et email, tout ce qui est formation des utilisateurs pour éviter qu'ils cliquent sur n'importe quel lien. Et une fois que le malware malheureusement a réussi à s'installer, il y a tout ce qui est bien sûr anti-malware, anti-virus, tout ce qui est scan de fichiers, liste blanche et enfin tout ce qui est surveillance d'action qui se passe et on va voir que c'est ce qui va nous intéresser particulièrement aujourd'hui, c'est tout ce qui est collecte de logs, surveillance, automatisation de réponses et de détection à des anomalies. Maintenant qu'on a le paysage de comment se fait une attaque et qu'on comprend mieux, on va voir les différentes ruses qu'utilisent aujourd'hui les pirates pour être capables de s'en prémunir. Il y a tout ce qui est influence de l'actualité, c'est très important parce qu'énormément de mails, de phishing et de spam ont trait à l'actualité. On l'avait vu déjà avec le coronavirus, où il y avait eu des mails qui avaient été envoyés au tout début de l'épidémie en disant si vous voulez des informations cliquez là, des mails se faisant passer pour l'OMS ou autre, et en fait le but c'était que la personne récupère quelque chose de malveillant. Alors bien sûr les crises internationales influencent bien sûr les pirates et nos centres d'intérêt et en fait ce que l'on a vu c'est que très vite les pirates ont utilisé la crise pour envoyer des e-mails par exemple de collecte de dons au nom de tel état, des e-mails promettant de fournir des informations confidentielles etc. Et ce que l'on a vu c'est que le pourcentage d'escroquerie qui venant, en tout cas se présentant comme venant d'Ukraine, a explosé dans les tout débuts de la crise et aujourd'hui encore vous avez des mails de spam, de phishing qui utilisent ce point de la guerre russo-ukrainienne. Alors ce que l'on voit aussi c'est la professionnalisation des attaquants, c'est ce qu'on appelle aujourd'hui la cyberattaque as a service, un petit peu comme tout aujourd'hui est as-a-service, ça veut dire qu'aujourd'hui on peut tout trouver sous forme de service provider, les pirates eux aussi fonctionnent selon ce modèle. Par exemple, vous avez des gangs de cybercriminels qui vont proposer une plateforme de phishing que vous allez payer par abonnement et qui va vous mettre à votre disposition un outil et des plateformes qui vont vous permettre d'envoyer et de construire votre email de phishing. Alors, auparavant, là où on avait des sites qui étaient un peu obscurs et très, entre guillemets, geeks, aujourd'hui vous avez des sites qui sont accessibles, entre guillemets, à monsieur tout le monde, qui se présentent avec une image presque de respectabilité, d'accord ? Ils vendent des inventaires d'organisation compromises, ça veut dire qu'en fait vous avez une séparation des tâches entre les différents pirates. Vous avez des pirates qui sont chargés de découvrir des points d'entrée dans les entreprises qui ne vont pas les exploiter mais qui vont les revendre à d'autres équipes qui vont s'en servir elles pour les exploiter. Alors le ransomware, donc ça c'est intéressant, ce que l'on voit c'est que le top du ransomware 2022 n'est pas exactement le même que celui de 2021. Pourquoi ? Parce qu'il y a une évolution, parce que bien sûr les entreprises qui luttent contre les outils de ransomware, elles rendent ces outils moins efficaces et donc du coup vous avez petit à petit une évolution. Donc aujourd'hui, c'est LockBit qui est le plus utilisé, mais vous voyez que ça se répartit avec d'autres, d'accord ? Et donc en fait, le but, c'est bien sûr, pour ceux qui luttent contre ces outils de malveillance, c'est de comprendre comment il fonctionne pour pouvoir les contrer. Mais de l'autre côté, les pirates, bien sûr, eux, ils créent des choses qui sont de plus en plus sophistiquées. Et ce que l'on voit, c'est que par exemple aujourd'hui, pour utiliser, pour exploiter un ransomware, ce n'est plus comme avant des lignes de commande, des choses comme ça, c'est des consoles de management. Les pirates fournissent un véritable outil de management professionnel qui est utilisable de manière assez simple, y compris par des gens qui ne sont pas des codeurs. Alors, les outils d'attaque utilisés, on voit que les pirates sont friands de ces outils d'attaque qui leur permettent en fait, avec un seul exécutable, de pouvoir lancer différents types d'attaques une fois qu'ils sont sur une machine pour effectivement conduire l'attaque et changer de stratégie s'ils sont bloqués. Donc, ils utilisent des outils d'OpenTest, c'est-à-dire les mêmes outils qui sont utilisés par aujourd'hui ce qu'on appelle les hackers éthiques, c'est-à-dire les sociétés qui font des tests de pénétration pour voir si vos défenses sont bien configurées, et bien ces mêmes outils sont utilisés par les pirates. Donc vous avez notamment Mimikatz qui permet de récupérer, de faire un dump de la mémoire, de récupérer des mots de passe et des comptes user qui seraient en mémoire. Vous avez tout ce qui est MetaSploit qui est en fait un outil très prisé pour faire justement essayer de trouver des exploits sur une machine et de les exploiter et puis il y a la nouvelle version PowerSploit qui est sous forme de PowerShell encore plus on va dire facile à utiliser. Ce sont aujourd'hui les trois principaux outils utilisés. Alors un conseil donc par rapport à ça c'est que si vous avez fait des pentests vérifiez bien que tous ces outils ont été enlevés des machines parce que les pirates bien sûr peuvent les amener mais c'est encore plus simple pour eux s'ils les trouvent sur place. Et si vous les trouvez sur une machine et que vous n'avez pas fait de pentest, c'est qu'il y a un problème et il faut bien sûr les supprimer et scanner cette machine pour vérifier s'il n'y a pas d'autre chose qui tourne dessus. Les pirates aussi sont friands d'utiliser pour des accès à distance qui seront complètement sécurisés, c'est-à-dire du style des VPN, du RDP, donc ils vont utiliser les outils qu'ils trouvent sur place, se créer des comptes et s'en servir pour intervenir à distance. Par exemple, si vous avez du TeamViewer, faites attention de bien mettre des mots de passe et notamment des mots de passe à usage unique. Comme je vous disais, les pirates, la plupart du temps, cherchent la facilité. Ils utilisent ce qu'on appelle la technique « living off the land », ce qu'on appelle le fait de vivre sur la bête, c'est-à-dire comme une armée qui arrive sur un territoire et qui va récupérer les infrastructures qui sont sur ce territoire pour pouvoir continuer leur combat, les pirates, quand ils arrivent sur une machine, vont chercher à exploiter les binaires qui sont sur place. Par exemple, si vous avez du PowerShell, la commande en ligne et d'autres outils, ils vont être exploités par les pirates. Donc, c'est important sur certaines machines de supprimer certains outils s'il n'y en a pas l'utilité et aussi de surveiller l'utilisation de ces outils parce que sinon, eux, ils s'en servent pour exécuter des commandes système, pour même contourner des fonctions de sécurité en désactivant certaines choses, télécharger bien sûr à distance des fichiers et puis profiter de ce qu'on appelle de la présence de ces outils sur une machine pour se connecter sur une autre machine. Alors que faire ? Je dirais qu'il y a un certain nombre de recommandations qui sont du bon sens, c'est le fait déjà de ne pas se dire en dehors de la possibilité de se faire attaquer. Il faut partir du principe qu'on va être attaqué à un moment donné ou à un autre et du coup prévoir une stratégie de sécurité en fonction de cette éventualité. Il faut faire des sauvegardes, donc ça je dirais c'est la défense ultime, la sauvegarde c'est la dernière défense, faire des sauvegardes, s'assurer qu'elles sont hors ligne, qu'elles ne risquent pas s'il y a une attaque sur l'entreprise, que les sauvegardes soient abîmées et vérifiez régulièrement que vous pouvez les restaurer. Protection multicouches, c'est-à-dire protection en tout point, bien sûr la base, le firewall pour le réseau, la partie en anti-malware pour les stations et les serveurs, mais aussi ne pas oublier que les protections que vous mettez sur le poste, ça ne doit pas être un simple antivirus, mais ça doit être une protection multicouche avec du comportemental, de l'intelligence artificielle, des choses qui reconnaissent les exploits, etc. Si vous êtes malheureusement attaqué et que les pirates demandent une rançon, ne payez pas la rançon. Il y a trois bonnes raisons pour ne pas payer une rançon. Premièrement, si vous payez une rançon, vous n'êtes pas sûr de récupérer vos données. On est en face de gens qui sont malhonnêtes, donc on ne peut pas avoir confiance et bien des fois des gens ont payé la rançon et n'ont même pas pu récupérer une seule de leurs données. Deuxièmement, si vous payez, vous vous désignez comme la victime prochaine parce qu'ils savent très bien qu'une personne qui a payé, elle repayera une autre fois. Et troisièmement, le fait de payer, c'est d'alimenter le circuit des pirates, c'est-à-dire que comme ils touchent de l'argent, ils vont continuer ce type d'activité puisqu'elle est lucrative. Et en plus, ils vont acheter des nouveaux outils, des nouvelles machines plus puissantes pour être capables de faire des meilleures attaques. Utiliser les ressources humaines et technologiques, les deux. On ne peut pas se reposer uniquement sur des solutions aussi brillantes soient-elles. D'une part, il faut les configurer, il faut les surveiller et aussi il faut avoir des personnes qui sont capables de comprendre les alertes qui remontent. Éventuellement, et c'est ce qu'on verra, faire appel à des services de sécurité managée. Enfin, élaborer un plan de remédiation. Si vous êtes attaqué, réfléchissez quels sont les serveurs critiques, quels sont les points critiques pour le fonctionnement de votre entreprise. Faites un PRA, un plan de reprise sur l'activité et faites-le à votre niveau. Si vous n'avez pas la possibilité d'avoir de site, il vaut mieux quelque chose que rien du tout. Et d'autre part, préparez les actions, le process que vous allez suivre en cas d'attaque. Pourquoi ? Parce que quand vous êtes sur attaque, on est à ce moment-là en mode panique. Si on n'a pas un guide clair et précis de ce qu'on doit faire dans l'ordre, et bien on va faire n'importe quoi et souvent on va empirer l'attaque. Alors que si on sait ce qu'on doit faire et qu'on l'a prévu, qu'on l'a préparé, qu'on l'a déroulé, un petit peu comme les militaires, ils s'entraînent, ils prévoient ce qu'il faut faire en cas de telle chose, telle chose, telle chose. Là, c'est pareil pour une entreprise. Ça commence avec un papier et un crayon. On voit bien que par rapport à cela, il faut de la réactivité, il faut bien sûr des protections, et ça c'est très important, et de la configuration, de la détection, être capable de voir ce qui se passe, et enfin quand on voit ce qui se passe, comment répondre à ces attaques. Et toute cette problématique, c'est la problématique de passer d'une défense d'une certaine manière passive, qui est les outils de sécurité qui vous protègent, l'antivirus, etc., qui réagissent toujours de la même manière. En gros, ils cherchent à bloquer par rapport à des critères qui sont des critères automatiques. Le problème, c'est que parmi ces critères, si vous avez une menace qui ne correspond pas aux critères, cette menace va être laissée passer. C'est normal puisque le but d'une défense, ce n'est pas de tout bloquer, c'est de pouvoir travailler. Donc, il faut compléter cette philosophie par qu'est-ce qui a pu nous échapper ? Qu'est-ce qui est passé à travers les mailles du filet ? Une surveillance et comment faire pour y remédier ? Et ça, c'est ce qu'on appelle l'EDR. On en entend parler depuis à peu près 5-6 ans, Endpoint Detection and Response. Ce n'est pas un super antivirus, c'est en fait une technologie qui permet un processus, qui dit processus, dit qu'il faut bien sûr qu'il y ait un humain dans ce processus qui va réagir. Ce processus permet une analyse détaillée des attaques. Quand on a eu une attaque, il faut comprendre ce qui s'est passé pour savoir s'il n'y a pas autre chose qui est en train de se passer ou pour éviter que ça se repasse. C'est un outil qui permet de détecter les événements qui sont passés à travers les critères de l'antivirus pour pouvoir examiner ces événements et faire ce qu'on appelle de la chasse aux menaces, donc la recherche sur les menaces. Et enfin, une fois qu'on aura catégorisé un incident et qu'on aura vu que c'est une menace, pouvoir répondre de manière globale, par exemple en isolant une machine, en nettoyant un fichier sur plusieurs machines, etc. Si je prends un petit schéma, un outil de défense classique réagit de manière binaire, soit ça correspond à ses critères et c'est malicieux et il bloque, soit ça ne correspond pas à ses critères et dans ce cas-là il laisse passer et pour lui c'est sain. Dans ce qu'il laisse passer, il y a aussi appelle la zone grise c'est à dire justement les fameux signaux faibles qu'il faut aller examiner et c'est le but justement de l'EDR. L'EDR permet de faire ressortir ces informations en les catégorisant et du coup en permettant à la personne qui a l'outil EDR en main de pouvoir examiner et de pouvoir prendre une décision et enfin de bloquer. Du coup, on se rend compte que cette personne-là, il faut qu'elle ait de l'expertise et qu'elle ait du temps. Et effectivement, c'est le besoin aujourd'hui des organisations, c'est-à-dire qu'on veut détecter rapidement pour limiter l'impact. On sait très bien que plus vite on a détecté quelque chose, plus vite on pourra éviter que le mal se répande, éviter le vol de données, mieux comprendre l'origine d'une attaque pour corriger pour éviter que ça revienne après et donc les entreprises aujourd'hui, en tout cas certaines entreprises d'une certaine taille, créent ce qu'on appelle des SOC, des Security Operations Center, des centres opérationnels de sécurité qui sont en fait des équipes dédiées à ça, à la surveillance des signaux et à l'action. Malheureusement, je dirais sur le marché, il y a un manque d'expertise, dans les entreprises souvent on manque de temps, il faut faire baisser absolument le coût des investigations parce que ça prend du temps et enfin la qualité des outils parfois laisse à désirer en termes de compréhension. Et donc du coup dans les entreprises aujourd'hui c'est fait l'idée que de la même manière qu'on fait appel à des services externalisés pour d'autres choses, la comptabilité etc. et bien on peut faire appel à des socs externalisés c'est à dire des centres opérationnels de sécurité qui vont régler la sécurité pour l'entreprise. C'est ce qu'on appelle CyberSecurity as a Service. Cela correspond à quoi ? Cela correspond à trois choses. Des experts qui connaissent bien la sécurité, de la technologie, parce qu'il faut des machines qui calculent vite, des écrans pour avoir un résumé de ce qui se passe, etc. Et enfin, les fameux processus qui font que quand on a tel type d'indice, on fait telle chose et on réagit de telle manière. Et donc, comme ça, on peut être vraiment focalisé sur la résolution de l'incident. Et c'est ce su'on appelle, donc là aussi, c'est ce que Gartner a défini comme étant le Managed Detection and Response. Après l'EDR, vous avez l'EDR managé qui s'appelle le Managed Detection and Response. C'est quoi ? C'est un service administré de recherche, de détection et de réponse aux menaces qui est fourni par une équipe d'experts. Le MDR, c'est un service, ce n'est pas un produit. Le Gartner évalue qu'en gros, d'ici 2025, à peu près la moitié des entreprises auront recours, peu ou prou, à des services dits de MDR. Justement, nous, Sophos, depuis 2019, on propose ce service qui s'appelle Sophos MDR, Managed Detection and Response, qui est un service proactif de recherche, détection, analyse et réponse aux menaces, 24 heures sur 24, 7 jours sur 7, par une équipe d'experts, qui sont des experts Sophos. Comment on a créé ce service ? Parce que ce sont nos équipes. On a fait des rachats de sociétés. de sociétés qui étaient des Security Operations Center, où il y avait des équipes d'experts qui étaient en régie chez le client. On les a fusionnées avec nos autres équipes, notamment nos Sophos Labs, mais aussi nos équipes spécialisées en intelligence artificielle et en data mining. On a créé le service MDR, ainsi que le service Rapid Response, qui est notre service de réponse rapide en cas d'incident. Depuis décembre 2019, on propose ce service et on a racheté aussi une société en juin 2022 qui développe des connecteurs pour être capable de récupérer des logs d'autres produits autres que Sophos et on va voir que c'est très utile. En résumé, Sophos MDR c'est l'alliance entre l'intelligence humaine et l'intelligence artificielle pour arriver à mieux détecter plus rapidement les menaces et y répondre. Quelques chiffres pour vous situer notre service. Aujourd'hui, on est le premier service mondial de sécurité opérationnelle, de MDR, avec plus de 15 000 clients à travers le monde. On est déployé dans plus de 121 pays, on a 6 centres opérationnels de sécurité mondiale de façon à pouvoir couvrir 24 heures sur 24, 7 jours sur 7, donc 2 en Europe, et on a plus de 500 personnes qui travaillent globalement chez Sophos à ce domaine-là. Le Gartner, du coup, nous note assez bien. Aujourd'hui, nous sommes reconnus, bien sûr, non seulement pour nos solutions de protection telles que Intercept X Advanced et XEG Firewall avec une très bonne note et surtout avec un taux de recommandation élevé, c'est-à-dire que les clients qui utilisent nos solutions en sont contents et le recommandent aux autres. Et pour notre service MDR, c'est pareil, on a aussi une très bonne note sur 5, 4.8 et avec un taux de recommandation de 97%. Et enfin, nous sommes classés par G2 Grid comme étant le leader aujourd'hui, parce qu'effectivement, on a aujourd'hui le service qui couvre à la fois en termes de fonctionnalités, l'ensemble des fonctionnalités que peut proposer du CyberSecurity as a Service, et notamment le 24-7, le 24 heures sur 24, mais aussi le fait qu'aujourd'hui, on a 15 000 clients qui nous placent en premier par rapport à nos concurrents. Alors, sur quoi s'appuie notre succès ? L'offre Sophos s'appuie déjà sur de la technologie. On n'est pas que du service, bien sûr, vous le savez, mais c'est bien de le rappeler. Notre offre, depuis 2016, est unifiée sous une seule console, la console centrale, qui permet d'accéder à l'ensemble de nos solutions déployé que ce soit la partie Endpoint protection, la partie server protection, la partie gestion des mobiles, la partie gestion des assets dans le cloud, la partie filtrage d'email, la partie chiffrement des données sur les postes pour protéger contre le vol et la partie réseau avec la partie firewall, wifi et ZTNA. Notre console permet de déployer, de configurer, d'agir et aussi de surveiller ce qui se passe sur les différentes solutions. On a rajouté un module EDR qu'on appelle chez nous XDR parce qu'il va au-delà des Endpoints, il est capable de surveiller les autres solutions Sophos et cela permet de faire remonter les logs dans un même format dans une base centrale. Ces logs vont être, quand on a le module XDR, analysés en permanence par un module d'intelligence artificielle de façon à faire ressortir les fameux indices de suspicion en utilisant différents critères, notamment le critère Mitre Attack, mais aussi les informations fournies par nos Sophos Labs et les informations fournies par nos équipes opérationnelles de sécurité à avoir ce qu'on appelle un Data Lake, une base de données structurée de toutes les informations de sécurité concernant un client et de façon à être capable de pouvoir détecter toute anomalie et réagir. Alors pourquoi nos solutions s'appellent XDR ? Parce qu'on ne se contente pas de remonter les informations de sécurité venant des postes et des serveurs, ce que fait un EDR, mais on remonte aussi les informations venant du réseau, donc du Firewall XEG, de la messagerie, donc central email, des mobiles et des serveurs et des services qui sont dans le cloud. Et donc, c'est pour ça que ça s'appelle Extended Detection and Response. Alors, comment est-ce que ça fonctionne ? Il y a ce qu'on appelle des collecteurs de métadonnées de sécurité qui vont récupérer des informations pertinentes, que ce soit des informations liées aux solutions Sophos, donc Intercept X Advanced, le Firewall, le Cloud Optix, on verra d'autres connecteurs mais aussi tout ce qui est relatif au système d'exploitation sur lequel est l'agence Sophos. Notamment, on va remonter les programmes et applications Windows qui tournent, les extensions dans le navigateur, les services, etc. de façon à remonter cela dans la base pour pouvoir les ordonner, faire de la corrélation d'événements, de l'investigation et enfin de la réponse aux incidents. On a d'autres connecteurs qui nous permettent de récupérer aussi des alertes de sécurité venant d'applications tierces, notamment de produits concurrents qui seraient chez le client. Ce que fait l'équipe Sophos une fois qu'elle a toutes ces informations, c'est bien sûr de rechercher et de valider les menaces potentielles, d'utiliser donc les informations qui sont disponibles, non seulement celles qui sont remontées, mais aussi les informations que eux ont dans leur base, avec notamment la partie chez nous qui est donc les Sophos Labs, d'adapter la recherche en fonction de chaque entreprise, puisque au départ, quand on met en place le service, il y a une réunion de lancement où il va y avoir un échange entre le client et l'équipe avec le partenaire pour pouvoir définir comment on va travailler. Et enfin, de pouvoir lancer des actions à distance sur des menaces pour les bloquer et les neutraliser et de fournir bien sûr les rapports et les conseils au client. Il y a différents types d'actions, ça va du changement de stratégie de sécurité si on voit qu'il faut modifier dans la politique, isolation d'un terminal, bloquer des fichiers, jusqu'à la connexion en live terminal avec l'autorisation du client sur une machine pour pouvoir arrêter des processus. En termes de temps de réponse, donc, si un client a notre solution Intercept X Advanced, déjà Intercept X Advanced permet de bloquer jusqu'à plus de 99,9% des menaces, donc ça c'est des tests qui ont été faits avec AV-Test. Et ensuite, par rapport aux attaques qui seraient conduites par un pirate et qui seraient passées au travers des mailles du filet, avec le service MDR, en moins d'une minute, on détecte un incident suspect, en moins de 25 minutes, cet incident en moyenne va être analysé et investigué. Et enfin, s'il s'avère que c'est un incident dangereux, en moins de 12 minutes, il va y avoir une action qui va pouvoir être faite pour bloquer et stopper cette attaque. En moins de 40 minutes, on est capable de répondre à un incident. Et ça c'est quelque chose qui est très intéressant parce que si on regarde la moyenne des temps de réponse des SOC dans les entreprises, les plus rapides répondent en plus de 3 heures. Donc 40 minutes, 3 heures, on voit que c'est vraiment, on le sait très bien, plus on répond rapidement à une attaque et plus on évite que cette attaque se propage. Maintenant, dans le cas d'environnement qui serait hétérogène, c'est-à-dire où il n'y aurait pas que des produits Sophos, Sophos MDR, on a différents connecteurs. On a nos connecteurs bien sûr Sophos XDR avec nos différentes solutions Sophos, mais on est capable aujourd'hui de base d'être capable de remonter tout ce qui est information de Microsoft Graph Sécurité, sur tout ce qui est Microsoft Defender, mais aussi les activités dans Office 365, et aussi on a quelques connecteurs pour des solutions tierces comme vous voyez ici et j'ai mis trois petits points parce que grâce justement au fait de cette société qu'on a racheté SOC.OS et bien on continue de développer en permanence des nouveaux connecteurs pour s'adapter aux solutions qui sont présentes sur le marché. Enfin, de base, on conserve 90 jours les données des traces de sécurité de manière à être capable de remonter, quand on fait une enquête, donc plus de trois mois en arrière sur des machines qui seraient arrêtées ou qui seraient supprimées. Enfin, si vous avez d'autres solutions dans votre entreprise, par exemple des firewalls qui ne seraient pas ceux de Sophos, des outils de de sécurité sur le cloud public, des outils de gestion d'identité, des passerelles de filtrage email, des sondes de détection réseau, on est capable de fournir des connecteurs pour récupérer les informations, les faire remonter dans la console XDR et donc donner à l'administrateur la possibilité d'avoir une vision complète. On a aussi notre propre sonde de détection interne réseau, en fait c'est une machine virtuelle qu'on va brancher sur un port mirroring d'un switch ou d'un routeur de manière à surveiller et analyser de manière intelligente le trafic interne pour y déceler ou non des attaques. Et enfin on a la possibilité de conserver un an les données. Alors les services proposé par Sophos MDR. On a trois niveaux de service. On a un niveau d'alerting qui est ce qu'on appelle Sophos Threat Advisor. C'est juste de la surveillance pour signaler si on a vu des choses qui nous paraissaient on va dire suspect, mais il n'y a pas d'action. Donc, ce service aujourd'hui, il est proposé, je dirais, pour des entreprises qui n'auraient aucun produit Sophos, par exemple, et qui souhaiteraient avoir une surveillance par des équipes professionnelles telles que celles de Sophos, mais il n'y a pas d'action. Quand on veut qu'il y ait une réponse, on peut prendre soit le niveau Sophos MDR, soit le niveau Sophos MDR Complete. Qu'est-ce qui différencie ces deux niveaux ? Eh bien, en fait, tous, bien sûr, vous avez de la surveillance 24h sur 24, vous avez les connecteurs pour les produits non Sophos, des rapports hebdomadaires et mensuels sur l'activité normale au jour le jour, une réunion mensuelle d'échange entre l'équipe MDR et l'équipe du client pour traiter un cas particulier ou un échange de questions. Quand on a les produits Sophos, il y a la vérification de l'état du compte Sophos pour voir si tous les agents sont bien déployés et sont bien configurés. Et enfin, la chasse aux menaces par des experts, c'est-à-dire dès qu'il y a un incident, un expert va enquêter sur la menace pour aller jusqu'au bout. Les deux services font ce qu'on appelle du confinement de la menace, c'est que dès qu'une menace s'avère être une attaque, l'attaque va être interceptée, elle va être bloquée dans sa propagation, c'est-à-dire que là où elle a émergé, elle sera stoppée. Mais le service MDR Complete, lui, ce qu'il rajoute, c'est ce qu'on appelle l'élimination complète de la menace et l'analyse détaillée de la cause racine. C'est-à-dire que l'élimination complète de la menace, ça va être d'aller jusqu'à se connecter sur la machine et à nettoyer ce qui reste sur la machine qui pourrait éventuellement, on va dire, resservir pour le pirate. Et l'analyse de la cause racine, c'est d'aller voir ailleurs s'il n'y a pas eu d'autres machines compromises qui, pour l'instant, n'expriment pas la menace, mais pourraient l'exprimer dans les jours où heures qui suivent. C'est un nettoyage complet qui est réalisé par la partie Sophos MDR Complete. D'autre part, dans le service MDR Complete, il y a un interlocuteur dédié de A à Z depuis le début d'un événement jusqu'à la fin, là où c'est une équipe pour le service MDR et vous avez une garantie dont je vais parler à la fin en cas d'attaque malgré le service MDR Complete. Si on prend un exemple d'attaque, Vous avez par exemple une attaque de Spear phishing qui souvent est le début d'une attaque, c'est-à-dire un phishing ciblé. Vous avez un utilisateur qui a ouvert un mail malheureusement qui a cliqué sur le lien et à partir de cela vous avez l'exécution d'un fichier malveillant. La détection qui a été vue, l'incident qui a été vu, c'est la détection initiale du fichier malveillant. À partir de cela, vous allez avoir plusieurs choses. Vous allez avoir l'isolation de l'appareil qui est affecté par cette menace, la suppression du fichier malveillant, suppression des tâches planifiées si déjà le malware a réussi à créer des tâches planifiées, et enfin l'information du client des mesures qui ont été prises et des conseils de remédiation. C'est ce que font les services MDR et MDR Complete. Ce que fait en plus le service MDR Complete, c'est qu'il va aller faire la réponse complète à l'incident, c'est-à-dire qu'il va aller localiser l'adresse email URL qui a été utilisée dans le phishing et il va fournir cette information pour bloquer ce lien et cet email émetteur. Il va enfin vérifier s'il n'y a pas d'autres utilisateurs qui auraient reçu l'email, même s'ils n'ont pas encore cliqué dans le lien. Et enfin, bien sûr, il va là aussi donner des conseils au client. Et enfin, il va donner, in fine, des conseils de remédiation, donc bloquer le fameux domaine qui a été trouvé, le domaine émetteur et le lien. Et enfin, conseil de réinitialisation des identifiants des utilisateurs qui auraient été touchés. Si on prend un deuxième exemple qui est souvent ce qui suit un Spear phishing, c'est la tentative de déploiement d'un ransomware. Malheureusement, l'attaquant a réussi à voler un compte VPN, donc il a réussi à se connecter et à partir du point d'entrée du VPN, il s'est déplacé latéralement dans l'environnement et il a tenté de déployer un ransomware en utilisant la commande PsExec qui est une commande standard d'un outil standard. La détection s'est faite au moment où il a tenté d'exécuter son ransomware qui a été détecté par la partie crypto garde de Sophos. Là, vous allez avoir l'isolation du serveur affecté, la désactivation des comptes affectés, le fait d'ajouter toutes les informations pour les éléments à bloquer dans la liste à bloquer et enfin la terminaison des processus en cours. Que fait le MDR Complete, c'est que lui il va lancer la procédure de réponse aux incidents complète en identifiant les dispositifs d'où provient l'activité, en effectuant une analyse complète de tous les emplacements pour voir s'il n'y a pas d'autres machines qui ont été compromises. Il va aussi échanger avec le client en demandant les journaux VPN pour voir s'il n'y a pas eu d'autres connexions qui auraient eu lieu. Et enfin il va faire un scan pour voir s'il n'y a pas des logiciels malveillants qui seraient présents sur la machine et enfin il va donner un guide de remédiation qui est bien sûr de réinitialiser le mot de passe à l'échelle du domaine cette fois-ci pour éviter qu'il y ait d'autres comptes qui soient volés et de s'assurer parce que là c'était le cas sur certaines machines l'agent Sophos n'était pas déployé donc de s'assurer qu'il a bien été déployé et enfin de conseiller d'implémenter une politique d'authentification multi facteur. Donc tout ça bien sûr il y a des rapports mensuels et hebdomadaires et des rapports sur incident qui sont assez simples, qui sont graphiques avec des indicateurs de couleur. Enfin, la garantie qui s'appelle la Bridge Protection Warranty. C'est une garantie en cas d'attaque qui aurait réussi, qui aurait occasionné des pertes d'activité ou de données malgré le service Sophos MDR complete. Cela peut couvrir jusqu'à 1 million de dollars en cas d'incident. On ne s'adosse pas à une assurance, c'est notre propre fonds de garantie. Ce qui montre d'une part la confiance dans notre solution et aussi le fait qu'on a en réserve cette somme pour pouvoir vous dédommager si jamais il y avait un problème. J'en ai fini par ma présentation. S'il y a des questions, nous allons y répondre Frédéric et moi.
Super, merci Gilles pour tous ces éléments et explications très clairs. Comme le vient de le dire Gilles, si vous avez des questions, n'hésitez pas à les poser dans le chat.
Il n'y a pas de questions. En tout cas, cette présentation a été enregistrée ainsi que le document qui sera disponible au format PDF. Merci.
Bienvenue à toutes et à tous. Bienvenue dans ce webinaire opté pour une cybersécurité en toute sérénité. Je suis Frédéric REVEL de la société PI Services. Je suis ingénieur d'affaires et je suis accompagné de Gilles SARQUIZ, ingénieur avant-vente de la société Sophos. Très brièvement, je vais vous faire une petite introduction sur qui est PI Services pour vous donner un petit peu le contexte. PI Services, nous sommes architectes et gestionnaires d'infrastructures autour des architectures Microsoft. Nous intervenons, quels que soient vos environnements, que ce soit des environnements on-premises, des environnements cloud, des environnements hybrides, du poste de travail jusqu'au serveur, en passant également par des briques collaboratives, d'identité et également de sécurité, dont l'objet du séminaire aujourd'hui sur cette partie cybersécurité. Nous avons une vision transverse et globale qui nous permet de pouvoir intervenir de l'avant-projet jusqu'au support service managé en passant par toute la partie de déploiement. On va couvrir pour vous tout ce qui va être un accompagnement au choix de solutions, à la définition d'architecture, à également la réalisation d'études concernant un certain nombre d'impacts, de notes de cadrage, d'études d'opportunités. Ensuite, on a la capacité de pouvoir accompagner vos équipes dans tout ce qui va être intégration et déploiement de ces solutions, de ces architectures, de ces infrastructures, de les accompagner également dans tout ce qui est le transfert de compétences pour les rendre autonomes par la suite. Et puis, nous avons également la possibilité de pouvoir intervenir en support sur vos infrastructures par le biais de différents contrats que l'on va détailler un peu plus maintenant. Le focus sur la partie services managés. Trois types d'interventions qui sont réalisées sur mesure en fonction de vos besoins. On va partir de la gestion globale de toute ou partie de votre SI sur la réalisation de maintien en condition opérationnelle de vos différentes plateformes. Proposez également des contrats de support pour pouvoir accompagner vos équipes dans la réalisation et la résolution d'incidents de niveau 2 et 3 sur vos infrastructures. Et puis également un accompagnement plus à la carte, qui est un accompagnement de gestion à la demande en fonction de besoins ponctuels spécifiques. Alors bien entendu, ces trois briques peuvent être regroupées au sein d'un seul et même contrat afin de couvrir l'ensemble du spectre, que ce soit sur des problématiques d'infrastructures, de postes de travail, de réseaux et également de solution de sécurité de notre partenaire Sophos qui va également nous permettre de pouvoir vous accompagner sur de la résolution d'incidents et d'attaques comme nous allons pouvoir le voir et Gilles va d'ailleurs pouvoir vous présenter un petit peu tous ces différents éléments. Je te laisse la main Gilles.
Merci Frédéric. Bonjour à tous et à toutes. Gilles SARQUIZ, ingénieur avant-vente Sophos. Maintenant, on va justement, comme l'a dit Frédéric, parler de l'offre Sophos en partenariat avec PI Services qui la déploie et qui est certifiée Sophos. On va voir en deux temps d'abord l'évolution cyberattaques et on va se baser pour cela sur le rapport sur la sécurité. Mais juste avant, je voudrais présenter la société Sophos en quelques chiffres. Pour nous définir, on est le premier éditeur d'origine européenne de solutions de sécurité pour les entreprises. On a été fondé en 1985 en Angleterre à Oxford et aujourd'hui on est présent dans le monde entier. On a plus de 4000 employés. En France, nous sommes une cinquantaine dont 12 personnes dédiées aux supports techniques. Ils parlent français et sont présents aux heures ouvrées et aux jours ouvrés français. Ensuite, on a d'autres centres de support qui permettent de faire un support 24h sur 24, 7 jours sur 7. Notre modèle est un modèle croitiaire. Nous, éditeurs, nous vendons à des distributeurs et les distributeurs vendent à des partenaires agréés que nous formons et qui sont certifiés sur nos solutions, tels Pi Services. Notre présence dans le monde est à la fois en termes de ce qu'on appelle les Sophos Labs, des centres de surveillance de tout ce qui est émergence, de nouvelles attaques, nouvelles failles, etc. et qui permettent de diffuser les mises à jour et aussi d'informer nos différents centres de surveillance de l'émergence d'une nouvelle attaque et aussi nos centres de recherche et développement qui sont répartis à peu près partout dans le monde. Car en fait, notre société a fait de la croissance externe pour partir à l'origine du noyau qui était l'antivirus. Et aujourd'hui, nous sommes capables de proposer des solutions, on va le voir dans notre modèle, aussi bien de protection réseau, mobile, etc. Un petit état des lieux. On se base sur ce qu'on appelle le rapport 2023 sur les menaces. Tous les ans, Sophos, fort de ce réseau de Sophos Labs et de nos clients qui nous permettent de voir ce qui se passe sur le terrain, on fournit des informations sur ce qui a été vu au courant de l'année précédente et les tendances qui se décident. Ce rapport est téléchargeable dans le lien que vous voyez, vous aurez d'ailleurs la présentation, vous pourrez récupérer le lien. Ce que l'on voit de ce qui s'est dessiné, c'est ce qu'on appelle l'influence de l'actualité internationale. Tout ce qui est nouvelles tendances de ransomware, la cybercriminalité qui s'industrialise, le vol de codes d'accès qui est très prisé par les pirates aujourd'hui, les outils d'attaque qui sont utilisés et enfin le fait que les malwares ne se limitent pas aux plateformes style PC mais aussi dans tout ce qui est mobile et plus encore. Alors si on regarde un petit peu un panorama de ces menaces, en gros, tous les jours, nos équipes voient à peu près 650 000 nouveaux logiciels malveillants par jour. Quand je dis nouveaux logiciels malveillants, ça peut être des variantes d'anciens logiciels, mais c'est quand même des nouvelles versions. Ce qui montre déjà la limite du modèle de détection à base de signatures, puisque ça voudrait dire qu'il faut faire des mises à jour sans cesse et qu'il y a toujours un temps de retard. C'est pour ça qu'aujourd'hui, Les solutions Sophos depuis 2016, on utilise des technologies avancées comme l'intelligence artificielle, le comportemental, etc. Plus des trois quarts ne sont détectés qu'une seule fois. Ça veut dire que ce sont ce qu'on appelle des attaques ciblées qui ont été créées exprès pour une entreprise et qu'on ne va pas revoir ailleurs. Si on veut comparer ça aux anciens virus qui étaient des virus de masse où tout le monde recevait le même virus, on voit donc la difficulté pour détecter et pour protéger. Dans presque 50 % des cas, ce sont des failles qui sont exploitées, c'est-à-dire des vulnérabilités, soit des vulnérabilités connues mais qui n'ont pas été corrigées à temps, soit des vulnérabilités nouvelles et inconnues. Donc effectivement, les pirates y vont au plus simple, ils cherchent à trouver les portes d'entrée et ils les trouvent. Sachant que, ça c'est une statistique, c'est qu'en général il faut à peu près 280 jours en moyenne pour trouver une vulnérabilité dans une entreprise, que ce soit une vulnérabilité logicielle ou même une vulnérabilité d'ordre de configuration ou d'architecture. Maintenant, si on regarde comment se répartissent les menaces, vous avez plus d'un tiers de ce qu'on appelle des attaquants actifs. Qu'est-ce que c'est qu'un attaquant actif ? Comme son nom l'indique, c'est un ou plusieurs pirates qui sont en cours d'exécuter des commandes sur une machine ou sur plusieurs machines à distance. Cela veut dire qu'on n'a pas affaire à un bête programme qui s'exécute et qui suit son code et qui dès qu'il va rencontrer un obstacle va être arrêté, on est en face de personnes intelligentes, malveillantes qui cherchent à contourner les défenses quand ils voient qu'ils sont bloqués à un endroit ils vont chercher une autre méthode et donc du coup on a une attaque qui peut progresser on va dire lentement mais sûrement. L'autre pourcentage c'est un quart ce sont les ransomware donc je dirais avec ces deux points on a l'essentiel des menaces bon après vous avez ce qu'on appelle les virus avancés donc des virus un peu plus complexes que des simples des simples petits scripts qui disent. Voilà, mais donc les attaquants actifs c'est ce gros problème, c'est-à-dire en fait l'attaque est conduite par un humain. Alors, maintenant justement comment se déroule une attaque qui est conduite par un groupe de pirates ou par une personne ? Alors en fait le pirate d'abord fait ce qu'on appelle une reconnaissance, c'est-à-dire qu'il va reconnaître les cibles ou la cible qu'il veut atteindre et à l'intérieur de cette cible il va déceler des personnes ou des sites qui seront plus fragiles. D'accord ? Donc, toute cette période-là, c'est quelque chose qui se fait sur Internet, sur les réseaux sociaux. Ils récupèrent des informations, les gens qui sont partis en vacances, qu'est-ce qu'ils aiment, etc., de manière à pouvoir créer, on va dire, le vecteur d'attaque. Et le vecteur d'attaque, ça va être par exemple un mail sur un sujet qui correspond à une personne ou un mail qui va viser telle personne dans la hiérarchie parce qu'on sait que son patron est absent et donc qu'elle ne pourra pas lui demander des conseils par exemple. Ensuite, ils vont créer un programme qui va servir de programme malveillant pour être exécuté au moment où le malware sera déployé. Le déploiement peut se faire de différentes manières, ça peut être envoyant un email avec un lien, ça peut être en envoyant un email avec une pièce attachée, ça peut être en appelant quelqu'un au téléphone et en lui en se faisant passer pour un responsable et lui demander de faire telle et telle action, ça peut être de compromettre un site où vont vos développeurs, voilà ça peut être plusieurs choses. Une fois que le déploiement a eu lieu, que la personne par exemple malheureusement a cliqué sur le lien, il va y avoir l'exploitation de la vulnérabilité qui va être faite par justement le petit programme qui a été créé par pour cette vulnérabilité et qui va s'exécuter sur la machine de la victime. Ensuite, il va y avoir ce qu'on appelle l'installation, c'est-à-dire que là où le petit programme s'était exécuté juste dans le cadre d'un navigateur ou d'une ouverture de fichier, le pirate va chercher à s'installer définitivement sur cette machine de manière à assurer une persistance qui fera que même quand la machine sera rebootée, quand elle redémarrera, le lien pourra être remonté automatiquement. Enfin, il y a tout ce qui est échange avec le serveur de commande et de contrôle, c'est-à-dire le serveur que le pirate utilise pour commander et contrôler son malware. Et enfin, le pirate va pouvoir, au bout d'un moment, lancer son action qui était son objectif principal. Ça peut être un ransomware, ça peut être du vol de données, ça peut être un délit de service. Toutes ces phases, on a plus ou moins de la possibilité d'agir dessus. Tout ce qui est préparation et armement, il n'y a quasiment rien à faire puisque tout se passe en amont de l'entreprise. La seule chose qu'on peut dire, c'est qu'il faut faire attention à ce que vous diffusez sur Internet comme informations que ce soit des informations personnelles, je suis parti en vacances ou autre, etc. ou que ce soit des informations sur, par exemple, les logiciels que vous utilisez, etc. parce que ça va donner des informations aux pirates pour justement préparer leur attaque. À partir du déploiement, on peut faire quelque chose, effectivement et c'est ce qu'on voit là, c'est que l'entreprise déjà a des défenses. Tout ce qui est firewall, bien sûr, tout ce qui est filtrage web et email, tout ce qui est formation des utilisateurs pour éviter qu'ils cliquent sur n'importe quel lien. Et une fois que le malware malheureusement a réussi à s'installer, il y a tout ce qui est bien sûr anti-malware, anti-virus, tout ce qui est scan de fichiers, liste blanche et enfin tout ce qui est surveillance d'action qui se passe et on va voir que c'est ce qui va nous intéresser particulièrement aujourd'hui, c'est tout ce qui est collecte de logs, surveillance, automatisation de réponses et de détection à des anomalies. Maintenant qu'on a le paysage de comment se fait une attaque et qu'on comprend mieux, on va voir les différentes ruses qu'utilisent aujourd'hui les pirates pour être capables de s'en prémunir. Il y a tout ce qui est influence de l'actualité, c'est très important parce qu'énormément de mails, de phishing et de spam ont trait à l'actualité. On l'avait vu déjà avec le coronavirus, où il y avait eu des mails qui avaient été envoyés au tout début de l'épidémie en disant si vous voulez des informations cliquez là, des mails se faisant passer pour l'OMS ou autre, et en fait le but c'était que la personne récupère quelque chose de malveillant. Alors bien sûr les crises internationales influencent bien sûr les pirates et nos centres d'intérêt et en fait ce que l'on a vu c'est que très vite les pirates ont utilisé la crise pour envoyer des e-mails par exemple de collecte de dons au nom de tel état, des e-mails promettant de fournir des informations confidentielles etc. Et ce que l'on a vu c'est que le pourcentage d'escroquerie qui venant, en tout cas se présentant comme venant d'Ukraine, a explosé dans les tout débuts de la crise et aujourd'hui encore vous avez des mails de spam, de phishing qui utilisent ce point de la guerre russo-ukrainienne. Alors ce que l'on voit aussi c'est la professionnalisation des attaquants, c'est ce qu'on appelle aujourd'hui la cyberattaque as a service, un petit peu comme tout aujourd'hui est as-a-service, ça veut dire qu'aujourd'hui on peut tout trouver sous forme de service provider, les pirates eux aussi fonctionnent selon ce modèle. Par exemple, vous avez des gangs de cybercriminels qui vont proposer une plateforme de phishing que vous allez payer par abonnement et qui va vous mettre à votre disposition un outil et des plateformes qui vont vous permettre d'envoyer et de construire votre email de phishing. Alors, auparavant, là où on avait des sites qui étaient un peu obscurs et très, entre guillemets, geeks, aujourd'hui vous avez des sites qui sont accessibles, entre guillemets, à monsieur tout le monde, qui se présentent avec une image presque de respectabilité, d'accord ? Ils vendent des inventaires d'organisation compromises, ça veut dire qu'en fait vous avez une séparation des tâches entre les différents pirates. Vous avez des pirates qui sont chargés de découvrir des points d'entrée dans les entreprises qui ne vont pas les exploiter mais qui vont les revendre à d'autres équipes qui vont s'en servir elles pour les exploiter. Alors le ransomware, donc ça c'est intéressant, ce que l'on voit c'est que le top du ransomware 2022 n'est pas exactement le même que celui de 2021. Pourquoi ? Parce qu'il y a une évolution, parce que bien sûr les entreprises qui luttent contre les outils de ransomware, elles rendent ces outils moins efficaces et donc du coup vous avez petit à petit une évolution. Donc aujourd'hui, c'est LockBit qui est le plus utilisé, mais vous voyez que ça se répartit avec d'autres, d'accord ? Et donc en fait, le but, c'est bien sûr, pour ceux qui luttent contre ces outils de malveillance, c'est de comprendre comment il fonctionne pour pouvoir les contrer. Mais de l'autre côté, les pirates, bien sûr, eux, ils créent des choses qui sont de plus en plus sophistiquées. Et ce que l'on voit, c'est que par exemple aujourd'hui, pour utiliser, pour exploiter un ransomware, ce n'est plus comme avant des lignes de commande, des choses comme ça, c'est des consoles de management. Les pirates fournissent un véritable outil de management professionnel qui est utilisable de manière assez simple, y compris par des gens qui ne sont pas des codeurs. Alors, les outils d'attaque utilisés, on voit que les pirates sont friands de ces outils d'attaque qui leur permettent en fait, avec un seul exécutable, de pouvoir lancer différents types d'attaques une fois qu'ils sont sur une machine pour effectivement conduire l'attaque et changer de stratégie s'ils sont bloqués. Donc, ils utilisent des outils d'OpenTest, c'est-à-dire les mêmes outils qui sont utilisés par aujourd'hui ce qu'on appelle les hackers éthiques, c'est-à-dire les sociétés qui font des tests de pénétration pour voir si vos défenses sont bien configurées, et bien ces mêmes outils sont utilisés par les pirates. Donc vous avez notamment Mimikatz qui permet de récupérer, de faire un dump de la mémoire, de récupérer des mots de passe et des comptes user qui seraient en mémoire. Vous avez tout ce qui est MetaSploit qui est en fait un outil très prisé pour faire justement essayer de trouver des exploits sur une machine et de les exploiter et puis il y a la nouvelle version PowerSploit qui est sous forme de PowerShell encore plus on va dire facile à utiliser. Ce sont aujourd'hui les trois principaux outils utilisés. Alors un conseil donc par rapport à ça c'est que si vous avez fait des pentests vérifiez bien que tous ces outils ont été enlevés des machines parce que les pirates bien sûr peuvent les amener mais c'est encore plus simple pour eux s'ils les trouvent sur place. Et si vous les trouvez sur une machine et que vous n'avez pas fait de pentest, c'est qu'il y a un problème et il faut bien sûr les supprimer et scanner cette machine pour vérifier s'il n'y a pas d'autre chose qui tourne dessus. Les pirates aussi sont friands d'utiliser pour des accès à distance qui seront complètement sécurisés, c'est-à-dire du style des VPN, du RDP, donc ils vont utiliser les outils qu'ils trouvent sur place, se créer des comptes et s'en servir pour intervenir à distance. Par exemple, si vous avez du TeamViewer, faites attention de bien mettre des mots de passe et notamment des mots de passe à usage unique. Comme je vous disais, les pirates, la plupart du temps, cherchent la facilité. Ils utilisent ce qu'on appelle la technique « living off the land », ce qu'on appelle le fait de vivre sur la bête, c'est-à-dire comme une armée qui arrive sur un territoire et qui va récupérer les infrastructures qui sont sur ce territoire pour pouvoir continuer leur combat, les pirates, quand ils arrivent sur une machine, vont chercher à exploiter les binaires qui sont sur place. Par exemple, si vous avez du PowerShell, la commande en ligne et d'autres outils, ils vont être exploités par les pirates. Donc, c'est important sur certaines machines de supprimer certains outils s'il n'y en a pas l'utilité et aussi de surveiller l'utilisation de ces outils parce que sinon, eux, ils s'en servent pour exécuter des commandes système, pour même contourner des fonctions de sécurité en désactivant certaines choses, télécharger bien sûr à distance des fichiers et puis profiter de ce qu'on appelle de la présence de ces outils sur une machine pour se connecter sur une autre machine. Alors que faire ? Je dirais qu'il y a un certain nombre de recommandations qui sont du bon sens, c'est le fait déjà de ne pas se dire en dehors de la possibilité de se faire attaquer. Il faut partir du principe qu'on va être attaqué à un moment donné ou à un autre et du coup prévoir une stratégie de sécurité en fonction de cette éventualité. Il faut faire des sauvegardes, donc ça je dirais c'est la défense ultime, la sauvegarde c'est la dernière défense, faire des sauvegardes, s'assurer qu'elles sont hors ligne, qu'elles ne risquent pas s'il y a une attaque sur l'entreprise, que les sauvegardes soient abîmées et vérifiez régulièrement que vous pouvez les restaurer. Protection multicouches, c'est-à-dire protection en tout point, bien sûr la base, le firewall pour le réseau, la partie en anti-malware pour les stations et les serveurs, mais aussi ne pas oublier que les protections que vous mettez sur le poste, ça ne doit pas être un simple antivirus, mais ça doit être une protection multicouche avec du comportemental, de l'intelligence artificielle, des choses qui reconnaissent les exploits, etc. Si vous êtes malheureusement attaqué et que les pirates demandent une rançon, ne payez pas la rançon. Il y a trois bonnes raisons pour ne pas payer une rançon. Premièrement, si vous payez une rançon, vous n'êtes pas sûr de récupérer vos données. On est en face de gens qui sont malhonnêtes, donc on ne peut pas avoir confiance et bien des fois des gens ont payé la rançon et n'ont même pas pu récupérer une seule de leurs données. Deuxièmement, si vous payez, vous vous désignez comme la victime prochaine parce qu'ils savent très bien qu'une personne qui a payé, elle repayera une autre fois. Et troisièmement, le fait de payer, c'est d'alimenter le circuit des pirates, c'est-à-dire que comme ils touchent de l'argent, ils vont continuer ce type d'activité puisqu'elle est lucrative. Et en plus, ils vont acheter des nouveaux outils, des nouvelles machines plus puissantes pour être capables de faire des meilleures attaques. Utiliser les ressources humaines et technologiques, les deux. On ne peut pas se reposer uniquement sur des solutions aussi brillantes soient-elles. D'une part, il faut les configurer, il faut les surveiller et aussi il faut avoir des personnes qui sont capables de comprendre les alertes qui remontent. Éventuellement, et c'est ce qu'on verra, faire appel à des services de sécurité managée. Enfin, élaborer un plan de remédiation. Si vous êtes attaqué, réfléchissez quels sont les serveurs critiques, quels sont les points critiques pour le fonctionnement de votre entreprise. Faites un PRA, un plan de reprise sur l'activité et faites-le à votre niveau. Si vous n'avez pas la possibilité d'avoir de site, il vaut mieux quelque chose que rien du tout. Et d'autre part, préparez les actions, le process que vous allez suivre en cas d'attaque. Pourquoi ? Parce que quand vous êtes sur attaque, on est à ce moment-là en mode panique. Si on n'a pas un guide clair et précis de ce qu'on doit faire dans l'ordre, et bien on va faire n'importe quoi et souvent on va empirer l'attaque. Alors que si on sait ce qu'on doit faire et qu'on l'a prévu, qu'on l'a préparé, qu'on l'a déroulé, un petit peu comme les militaires, ils s'entraînent, ils prévoient ce qu'il faut faire en cas de telle chose, telle chose, telle chose. Là, c'est pareil pour une entreprise. Ça commence avec un papier et un crayon. On voit bien que par rapport à cela, il faut de la réactivité, il faut bien sûr des protections, et ça c'est très important, et de la configuration, de la détection, être capable de voir ce qui se passe, et enfin quand on voit ce qui se passe, comment répondre à ces attaques. Et toute cette problématique, c'est la problématique de passer d'une défense d'une certaine manière passive, qui est les outils de sécurité qui vous protègent, l'antivirus, etc., qui réagissent toujours de la même manière. En gros, ils cherchent à bloquer par rapport à des critères qui sont des critères automatiques. Le problème, c'est que parmi ces critères, si vous avez une menace qui ne correspond pas aux critères, cette menace va être laissée passer. C'est normal puisque le but d'une défense, ce n'est pas de tout bloquer, c'est de pouvoir travailler. Donc, il faut compléter cette philosophie par qu'est-ce qui a pu nous échapper ? Qu'est-ce qui est passé à travers les mailles du filet ? Une surveillance et comment faire pour y remédier ? Et ça, c'est ce qu'on appelle l'EDR. On en entend parler depuis à peu près 5-6 ans, Endpoint Detection and Response. Ce n'est pas un super antivirus, c'est en fait une technologie qui permet un processus, qui dit processus, dit qu'il faut bien sûr qu'il y ait un humain dans ce processus qui va réagir. Ce processus permet une analyse détaillée des attaques. Quand on a eu une attaque, il faut comprendre ce qui s'est passé pour savoir s'il n'y a pas autre chose qui est en train de se passer ou pour éviter que ça se repasse. C'est un outil qui permet de détecter les événements qui sont passés à travers les critères de l'antivirus pour pouvoir examiner ces événements et faire ce qu'on appelle de la chasse aux menaces, donc la recherche sur les menaces. Et enfin, une fois qu'on aura catégorisé un incident et qu'on aura vu que c'est une menace, pouvoir répondre de manière globale, par exemple en isolant une machine, en nettoyant un fichier sur plusieurs machines, etc. Si je prends un petit schéma, un outil de défense classique réagit de manière binaire, soit ça correspond à ses critères et c'est malicieux et il bloque, soit ça ne correspond pas à ses critères et dans ce cas-là il laisse passer et pour lui c'est sain. Dans ce qu'il laisse passer, il y a aussi appelle la zone grise c'est à dire justement les fameux signaux faibles qu'il faut aller examiner et c'est le but justement de l'EDR. L'EDR permet de faire ressortir ces informations en les catégorisant et du coup en permettant à la personne qui a l'outil EDR en main de pouvoir examiner et de pouvoir prendre une décision et enfin de bloquer. Du coup, on se rend compte que cette personne-là, il faut qu'elle ait de l'expertise et qu'elle ait du temps. Et effectivement, c'est le besoin aujourd'hui des organisations, c'est-à-dire qu'on veut détecter rapidement pour limiter l'impact. On sait très bien que plus vite on a détecté quelque chose, plus vite on pourra éviter que le mal se répande, éviter le vol de données, mieux comprendre l'origine d'une attaque pour corriger pour éviter que ça revienne après et donc les entreprises aujourd'hui, en tout cas certaines entreprises d'une certaine taille, créent ce qu'on appelle des SOC, des Security Operations Center, des centres opérationnels de sécurité qui sont en fait des équipes dédiées à ça, à la surveillance des signaux et à l'action. Malheureusement, je dirais sur le marché, il y a un manque d'expertise, dans les entreprises souvent on manque de temps, il faut faire baisser absolument le coût des investigations parce que ça prend du temps et enfin la qualité des outils parfois laisse à désirer en termes de compréhension. Et donc du coup dans les entreprises aujourd'hui c'est fait l'idée que de la même manière qu'on fait appel à des services externalisés pour d'autres choses, la comptabilité etc. et bien on peut faire appel à des socs externalisés c'est à dire des centres opérationnels de sécurité qui vont régler la sécurité pour l'entreprise. C'est ce qu'on appelle CyberSecurity as a Service. Cela correspond à quoi ? Cela correspond à trois choses. Des experts qui connaissent bien la sécurité, de la technologie, parce qu'il faut des machines qui calculent vite, des écrans pour avoir un résumé de ce qui se passe, etc. Et enfin, les fameux processus qui font que quand on a tel type d'indice, on fait telle chose et on réagit de telle manière. Et donc, comme ça, on peut être vraiment focalisé sur la résolution de l'incident. Et c'est ce su'on appelle, donc là aussi, c'est ce que Gartner a défini comme étant le Managed Detection and Response. Après l'EDR, vous avez l'EDR managé qui s'appelle le Managed Detection and Response. C'est quoi ? C'est un service administré de recherche, de détection et de réponse aux menaces qui est fourni par une équipe d'experts. Le MDR, c'est un service, ce n'est pas un produit. Le Gartner évalue qu'en gros, d'ici 2025, à peu près la moitié des entreprises auront recours, peu ou prou, à des services dits de MDR. Justement, nous, Sophos, depuis 2019, on propose ce service qui s'appelle Sophos MDR, Managed Detection and Response, qui est un service proactif de recherche, détection, analyse et réponse aux menaces, 24 heures sur 24, 7 jours sur 7, par une équipe d'experts, qui sont des experts Sophos. Comment on a créé ce service ? Parce que ce sont nos équipes. On a fait des rachats de sociétés. de sociétés qui étaient des Security Operations Center, où il y avait des équipes d'experts qui étaient en régie chez le client. On les a fusionnées avec nos autres équipes, notamment nos Sophos Labs, mais aussi nos équipes spécialisées en intelligence artificielle et en data mining. On a créé le service MDR, ainsi que le service Rapid Response, qui est notre service de réponse rapide en cas d'incident. Depuis décembre 2019, on propose ce service et on a racheté aussi une société en juin 2022 qui développe des connecteurs pour être capable de récupérer des logs d'autres produits autres que Sophos et on va voir que c'est très utile. En résumé, Sophos MDR c'est l'alliance entre l'intelligence humaine et l'intelligence artificielle pour arriver à mieux détecter plus rapidement les menaces et y répondre. Quelques chiffres pour vous situer notre service. Aujourd'hui, on est le premier service mondial de sécurité opérationnelle, de MDR, avec plus de 15 000 clients à travers le monde. On est déployé dans plus de 121 pays, on a 6 centres opérationnels de sécurité mondiale de façon à pouvoir couvrir 24 heures sur 24, 7 jours sur 7, donc 2 en Europe, et on a plus de 500 personnes qui travaillent globalement chez Sophos à ce domaine-là. Le Gartner, du coup, nous note assez bien. Aujourd'hui, nous sommes reconnus, bien sûr, non seulement pour nos solutions de protection telles que Intercept X Advanced et XEG Firewall avec une très bonne note et surtout avec un taux de recommandation élevé, c'est-à-dire que les clients qui utilisent nos solutions en sont contents et le recommandent aux autres. Et pour notre service MDR, c'est pareil, on a aussi une très bonne note sur 5, 4.8 et avec un taux de recommandation de 97%. Et enfin, nous sommes classés par G2 Grid comme étant le leader aujourd'hui, parce qu'effectivement, on a aujourd'hui le service qui couvre à la fois en termes de fonctionnalités, l'ensemble des fonctionnalités que peut proposer du CyberSecurity as a Service, et notamment le 24-7, le 24 heures sur 24, mais aussi le fait qu'aujourd'hui, on a 15 000 clients qui nous placent en premier par rapport à nos concurrents. Alors, sur quoi s'appuie notre succès ? L'offre Sophos s'appuie déjà sur de la technologie. On n'est pas que du service, bien sûr, vous le savez, mais c'est bien de le rappeler. Notre offre, depuis 2016, est unifiée sous une seule console, la console centrale, qui permet d'accéder à l'ensemble de nos solutions déployé que ce soit la partie Endpoint protection, la partie server protection, la partie gestion des mobiles, la partie gestion des assets dans le cloud, la partie filtrage d'email, la partie chiffrement des données sur les postes pour protéger contre le vol et la partie réseau avec la partie firewall, wifi et ZTNA. Notre console permet de déployer, de configurer, d'agir et aussi de surveiller ce qui se passe sur les différentes solutions. On a rajouté un module EDR qu'on appelle chez nous XDR parce qu'il va au-delà des Endpoints, il est capable de surveiller les autres solutions Sophos et cela permet de faire remonter les logs dans un même format dans une base centrale. Ces logs vont être, quand on a le module XDR, analysés en permanence par un module d'intelligence artificielle de façon à faire ressortir les fameux indices de suspicion en utilisant différents critères, notamment le critère Mitre Attack, mais aussi les informations fournies par nos Sophos Labs et les informations fournies par nos équipes opérationnelles de sécurité à avoir ce qu'on appelle un Data Lake, une base de données structurée de toutes les informations de sécurité concernant un client et de façon à être capable de pouvoir détecter toute anomalie et réagir. Alors pourquoi nos solutions s'appellent XDR ? Parce qu'on ne se contente pas de remonter les informations de sécurité venant des postes et des serveurs, ce que fait un EDR, mais on remonte aussi les informations venant du réseau, donc du Firewall XEG, de la messagerie, donc central email, des mobiles et des serveurs et des services qui sont dans le cloud. Et donc, c'est pour ça que ça s'appelle Extended Detection and Response. Alors, comment est-ce que ça fonctionne ? Il y a ce qu'on appelle des collecteurs de métadonnées de sécurité qui vont récupérer des informations pertinentes, que ce soit des informations liées aux solutions Sophos, donc Intercept X Advanced, le Firewall, le Cloud Optix, on verra d'autres connecteurs mais aussi tout ce qui est relatif au système d'exploitation sur lequel est l'agence Sophos. Notamment, on va remonter les programmes et applications Windows qui tournent, les extensions dans le navigateur, les services, etc. de façon à remonter cela dans la base pour pouvoir les ordonner, faire de la corrélation d'événements, de l'investigation et enfin de la réponse aux incidents. On a d'autres connecteurs qui nous permettent de récupérer aussi des alertes de sécurité venant d'applications tierces, notamment de produits concurrents qui seraient chez le client. Ce que fait l'équipe Sophos une fois qu'elle a toutes ces informations, c'est bien sûr de rechercher et de valider les menaces potentielles, d'utiliser donc les informations qui sont disponibles, non seulement celles qui sont remontées, mais aussi les informations que eux ont dans leur base, avec notamment la partie chez nous qui est donc les Sophos Labs, d'adapter la recherche en fonction de chaque entreprise, puisque au départ, quand on met en place le service, il y a une réunion de lancement où il va y avoir un échange entre le client et l'équipe avec le partenaire pour pouvoir définir comment on va travailler. Et enfin, de pouvoir lancer des actions à distance sur des menaces pour les bloquer et les neutraliser et de fournir bien sûr les rapports et les conseils au client. Il y a différents types d'actions, ça va du changement de stratégie de sécurité si on voit qu'il faut modifier dans la politique, isolation d'un terminal, bloquer des fichiers, jusqu'à la connexion en live terminal avec l'autorisation du client sur une machine pour pouvoir arrêter des processus. En termes de temps de réponse, donc, si un client a notre solution Intercept X Advanced, déjà Intercept X Advanced permet de bloquer jusqu'à plus de 99,9% des menaces, donc ça c'est des tests qui ont été faits avec AV-Test. Et ensuite, par rapport aux attaques qui seraient conduites par un pirate et qui seraient passées au travers des mailles du filet, avec le service MDR, en moins d'une minute, on détecte un incident suspect, en moins de 25 minutes, cet incident en moyenne va être analysé et investigué. Et enfin, s'il s'avère que c'est un incident dangereux, en moins de 12 minutes, il va y avoir une action qui va pouvoir être faite pour bloquer et stopper cette attaque. En moins de 40 minutes, on est capable de répondre à un incident. Et ça c'est quelque chose qui est très intéressant parce que si on regarde la moyenne des temps de réponse des SOC dans les entreprises, les plus rapides répondent en plus de 3 heures. Donc 40 minutes, 3 heures, on voit que c'est vraiment, on le sait très bien, plus on répond rapidement à une attaque et plus on évite que cette attaque se propage. Maintenant, dans le cas d'environnement qui serait hétérogène, c'est-à-dire où il n'y aurait pas que des produits Sophos, Sophos MDR, on a différents connecteurs. On a nos connecteurs bien sûr Sophos XDR avec nos différentes solutions Sophos, mais on est capable aujourd'hui de base d'être capable de remonter tout ce qui est information de Microsoft Graph Sécurité, sur tout ce qui est Microsoft Defender, mais aussi les activités dans Office 365, et aussi on a quelques connecteurs pour des solutions tierces comme vous voyez ici et j'ai mis trois petits points parce que grâce justement au fait de cette société qu'on a racheté SOC.OS et bien on continue de développer en permanence des nouveaux connecteurs pour s'adapter aux solutions qui sont présentes sur le marché. Enfin, de base, on conserve 90 jours les données des traces de sécurité de manière à être capable de remonter, quand on fait une enquête, donc plus de trois mois en arrière sur des machines qui seraient arrêtées ou qui seraient supprimées. Enfin, si vous avez d'autres solutions dans votre entreprise, par exemple des firewalls qui ne seraient pas ceux de Sophos, des outils de de sécurité sur le cloud public, des outils de gestion d'identité, des passerelles de filtrage email, des sondes de détection réseau, on est capable de fournir des connecteurs pour récupérer les informations, les faire remonter dans la console XDR et donc donner à l'administrateur la possibilité d'avoir une vision complète. On a aussi notre propre sonde de détection interne réseau, en fait c'est une machine virtuelle qu'on va brancher sur un port mirroring d'un switch ou d'un routeur de manière à surveiller et analyser de manière intelligente le trafic interne pour y déceler ou non des attaques. Et enfin on a la possibilité de conserver un an les données. Alors les services proposé par Sophos MDR. On a trois niveaux de service. On a un niveau d'alerting qui est ce qu'on appelle Sophos Threat Advisor. C'est juste de la surveillance pour signaler si on a vu des choses qui nous paraissaient on va dire suspect, mais il n'y a pas d'action. Donc, ce service aujourd'hui, il est proposé, je dirais, pour des entreprises qui n'auraient aucun produit Sophos, par exemple, et qui souhaiteraient avoir une surveillance par des équipes professionnelles telles que celles de Sophos, mais il n'y a pas d'action. Quand on veut qu'il y ait une réponse, on peut prendre soit le niveau Sophos MDR, soit le niveau Sophos MDR Complete. Qu'est-ce qui différencie ces deux niveaux ? Eh bien, en fait, tous, bien sûr, vous avez de la surveillance 24h sur 24, vous avez les connecteurs pour les produits non Sophos, des rapports hebdomadaires et mensuels sur l'activité normale au jour le jour, une réunion mensuelle d'échange entre l'équipe MDR et l'équipe du client pour traiter un cas particulier ou un échange de questions. Quand on a les produits Sophos, il y a la vérification de l'état du compte Sophos pour voir si tous les agents sont bien déployés et sont bien configurés. Et enfin, la chasse aux menaces par des experts, c'est-à-dire dès qu'il y a un incident, un expert va enquêter sur la menace pour aller jusqu'au bout. Les deux services font ce qu'on appelle du confinement de la menace, c'est que dès qu'une menace s'avère être une attaque, l'attaque va être interceptée, elle va être bloquée dans sa propagation, c'est-à-dire que là où elle a émergé, elle sera stoppée. Mais le service MDR Complete, lui, ce qu'il rajoute, c'est ce qu'on appelle l'élimination complète de la menace et l'analyse détaillée de la cause racine. C'est-à-dire que l'élimination complète de la menace, ça va être d'aller jusqu'à se connecter sur la machine et à nettoyer ce qui reste sur la machine qui pourrait éventuellement, on va dire, resservir pour le pirate. Et l'analyse de la cause racine, c'est d'aller voir ailleurs s'il n'y a pas eu d'autres machines compromises qui, pour l'instant, n'expriment pas la menace, mais pourraient l'exprimer dans les jours où heures qui suivent. C'est un nettoyage complet qui est réalisé par la partie Sophos MDR Complete. D'autre part, dans le service MDR Complete, il y a un interlocuteur dédié de A à Z depuis le début d'un événement jusqu'à la fin, là où c'est une équipe pour le service MDR et vous avez une garantie dont je vais parler à la fin en cas d'attaque malgré le service MDR Complete. Si on prend un exemple d'attaque, Vous avez par exemple une attaque de Spear phishing qui souvent est le début d'une attaque, c'est-à-dire un phishing ciblé. Vous avez un utilisateur qui a ouvert un mail malheureusement qui a cliqué sur le lien et à partir de cela vous avez l'exécution d'un fichier malveillant. La détection qui a été vue, l'incident qui a été vu, c'est la détection initiale du fichier malveillant. À partir de cela, vous allez avoir plusieurs choses. Vous allez avoir l'isolation de l'appareil qui est affecté par cette menace, la suppression du fichier malveillant, suppression des tâches planifiées si déjà le malware a réussi à créer des tâches planifiées, et enfin l'information du client des mesures qui ont été prises et des conseils de remédiation. C'est ce que font les services MDR et MDR Complete. Ce que fait en plus le service MDR Complete, c'est qu'il va aller faire la réponse complète à l'incident, c'est-à-dire qu'il va aller localiser l'adresse email URL qui a été utilisée dans le phishing et il va fournir cette information pour bloquer ce lien et cet email émetteur. Il va enfin vérifier s'il n'y a pas d'autres utilisateurs qui auraient reçu l'email, même s'ils n'ont pas encore cliqué dans le lien. Et enfin, bien sûr, il va là aussi donner des conseils au client. Et enfin, il va donner, in fine, des conseils de remédiation, donc bloquer le fameux domaine qui a été trouvé, le domaine émetteur et le lien. Et enfin, conseil de réinitialisation des identifiants des utilisateurs qui auraient été touchés. Si on prend un deuxième exemple qui est souvent ce qui suit un Spear phishing, c'est la tentative de déploiement d'un ransomware. Malheureusement, l'attaquant a réussi à voler un compte VPN, donc il a réussi à se connecter et à partir du point d'entrée du VPN, il s'est déplacé latéralement dans l'environnement et il a tenté de déployer un ransomware en utilisant la commande PsExec qui est une commande standard d'un outil standard. La détection s'est faite au moment où il a tenté d'exécuter son ransomware qui a été détecté par la partie crypto garde de Sophos. Là, vous allez avoir l'isolation du serveur affecté, la désactivation des comptes affectés, le fait d'ajouter toutes les informations pour les éléments à bloquer dans la liste à bloquer et enfin la terminaison des processus en cours. Que fait le MDR Complete, c'est que lui il va lancer la procédure de réponse aux incidents complète en identifiant les dispositifs d'où provient l'activité, en effectuant une analyse complète de tous les emplacements pour voir s'il n'y a pas d'autres machines qui ont été compromises. Il va aussi échanger avec le client en demandant les journaux VPN pour voir s'il n'y a pas eu d'autres connexions qui auraient eu lieu. Et enfin il va faire un scan pour voir s'il n'y a pas des logiciels malveillants qui seraient présents sur la machine et enfin il va donner un guide de remédiation qui est bien sûr de réinitialiser le mot de passe à l'échelle du domaine cette fois-ci pour éviter qu'il y ait d'autres comptes qui soient volés et de s'assurer parce que là c'était le cas sur certaines machines l'agent Sophos n'était pas déployé donc de s'assurer qu'il a bien été déployé et enfin de conseiller d'implémenter une politique d'authentification multi facteur. Donc tout ça bien sûr il y a des rapports mensuels et hebdomadaires et des rapports sur incident qui sont assez simples, qui sont graphiques avec des indicateurs de couleur. Enfin, la garantie qui s'appelle la Bridge Protection Warranty. C'est une garantie en cas d'attaque qui aurait réussi, qui aurait occasionné des pertes d'activité ou de données malgré le service Sophos MDR complete. Cela peut couvrir jusqu'à 1 million de dollars en cas d'incident. On ne s'adosse pas à une assurance, c'est notre propre fonds de garantie. Ce qui montre d'une part la confiance dans notre solution et aussi le fait qu'on a en réserve cette somme pour pouvoir vous dédommager si jamais il y avait un problème. J'en ai fini par ma présentation. S'il y a des questions, nous allons y répondre Frédéric et moi.
Super, merci Gilles pour tous ces éléments et explications très clairs. Comme le vient de le dire Gilles, si vous avez des questions, n'hésitez pas à les poser dans le chat.
Il n'y a pas de questions. En tout cas, cette présentation a été enregistrée ainsi que le document qui sera disponible au format PDF. Merci.