Le travail en remote et la généralisation de l’Internet des objets ont révolutionné le paysage informatique des entreprises. Mais en termes de sécurité, de nouveaux défis attendent les responsables. La décentralisation du travail décentralisé et le nombre croissant d’appareils associés au réseau – des ordinateurs portables aux appareils IoT en passant par les lunettes AR – créent des portes d’entrée potentielles pour les pirates. Les entreprises seraient donc bien avisées d’adapter leurs stratégies de sécurité.
Notre monde devient de plus en plus digital : nous vivons dans une maison connectée, utilisons des appareils de fitness connectés ou des lunettes VR pour jouer. Nous effectuons nos tâches de bureau de manière flexible, à domicile ou en déplacement. Et la production et la logistique sont également de plus en plus interconnectées, le plus souvent via l’Internet des objets. Les capteurs IoT installés sur les machines, les véhicules ou les produits collectent en permanence des données – sur les états d’agrégation, les itinéraires ou le comportement des utilisateurs – et les transmettent à des centres de données ou dans le Cloud, où elles sont analysées en conséquence. En raison de la diversité des réseaux, il y a beaucoup plus de failles de sécurité, que les cybercriminels peuvent exploiter pour atteindre leurs fins. Les botnets actuels révèlent les conséquences de cette évolution : alors qu’auparavant, les attaques DDoS se déroulaient principalement sur des PC classiques, plus de la moitié des terminaux compromis sont aujourd’hui des appareils intelligents tels que des installations, des chauffages, des lampes – ou même la montre personnelle connectée.
Pour fermer toutes les portes d’entrée et mieux se protéger contre les cyberattaques, il est nécessaire de prendre des mesures de sécurité efficaces. Le problème : de nombreuses entreprises ne disposent pas des professionnels de la sécurité car les spécialistes en informatique sont actuellement une denrée rare. De plus, les rares spécialistes disponibles en matière de sécurité informatique sont généralement très chers et donc difficilement abordables, surtout pour les PME.
C’est dans ce contexte que nous assistons non seulement les grandes entreprises, mais aussi les moyennes entreprises avec nos services de sécurité managés. Des experts en sécurité expérimentés se chargent de protéger vos données, vos utilisateurs et vos systèmes informatiques 24h/24. Ainsi, plus de 200 spécialistes en cybersécurité surveillent l’infrastructure informatique de nombreux clients au Security Operations Center (SOC) de Deutsche Telekom à Bonn. Grâce à notre surveillance 24h/24 et 7j/7, nous sommes toujours au fait de l’évolution de la situation mondiale en matière de sécurité. En outre, nos experts suivent une formation continue afin d’être toujours à la pointe de la technologie, que ce soit en matière de technologies de sécurité informatique ou de gestion des cybermenaces.
Les solutions de sécurité dédiées à la gestion des informations et des événements de sécurité (SIEM) constituent un élément important de nos services managés. Elles aident les entreprises à mettre en place des lignes de défense efficaces et à élever leur niveau de sécurité à un niveau supérieur. Les solutions SIEM peuvent être connectées aux sources de données les plus diverses, par exemple les appareils IoT ou les solutions logicielles. Elles parcourent les réseaux et les systèmes des clients sans interruption à la recherche d’anomalies et déclenchent une alarme en cas d’événements suspects.
Ces alertes sont à leur tour analysées et évaluées par nos experts en sécurité au sein du Security Operations Center (SOC) : S’agit-il vraiment d’un élément intrusif ? Ou s’agit-il d’une fausse alerte ? Il arrive que des fichiers suspects, mais totalement inoffensifs, s’introduisent dans le réseau de l’entreprise. L’ingénierie de contenu joue un rôle important à cet égard. Dans le cadre d’un processus continu, la détection d’événements liés à la sécurité est développée sur la base des données SIEM. Le rôle de nos ingénieurs de contenu est alors de vérifier et de décider dans quelle mesure les anomalies peuvent représenter un danger pour l’entreprise.
La première question qui se pose est de savoir définir précisément ce qu’est un incident de sécurité. Pour les solutions SIEM classiques, cela représente environ 700 à 800 règles prédéfinies. Mais si l’on applique toutes les règles chez le client, jusqu’à 2000 alarmes se déclenchent rapidement par heure. Ceci est loin d’être un objectif, car rien que pour des raisons de temps, aucun SOC ne peut vérifier près de 50 000 alarmes par jour. Il est donc essentiel de savoir exactement ce qu’un client souhaite sécuriser dans sa structure informatique, puis de définir et d’appliquer les règles correspondantes. La plupart du temps, tout ne fonctionne pas parfaitement au début. C’est pourquoi nous lançons chez le client une phase d’ajustement de plusieurs semaines, au cours de laquelle nous pouvons continuer à adapter les règles. Par la suite, nous gardons un œil permanent sur l’ensemble des règles et prenons en compte les nouvelles exigences en matière de sécurité, par exemple l’évolution des menaces ou les nouvelles directives de conformité.
Les avantages du SIEM et du SOC en interaction : le trafic réseau et le trafic de données deviennent transparents, ce qui permet aux entreprises de savoir ce qui se passe sur leurs réseaux et dans leurs systèmes. Certes, un SIEM ne peut pas empêcher l’intrusion dans des infrastructures informatiques décentralisées ou dans l’Internet des objets, mais il détecte immédiatement si quelque chose est inhabituel. Si le SIEM déclenche une alarme, celle-ci est généralement évaluée dans les 10 à 15 minutes par les analystes du SOC et, en cas d’incident de sécurité, les processus de réponse aux incidents sont immédiatement déclenchés. Cela permet de combler rapidement les failles de sécurité et de mieux sécuriser les postes de travail décentralisés en remote ou les solutions IoT.
Le SIEM et le SOC aident les entreprises de tous les secteurs à améliorer la protection de leur infrastructure. Ces solutions protègent les machines et les terminaux en réseau sur les sites de production mondiaux ou les employés des administrations, des services financiers et des assurances dans le travail en remote.
Le secteur de la santé est un autre domaine d’application passionnant. Ainsi, les solutions digitales sont de plus en plus utilisées dans les hôpitaux. On pense aux dossiers électroniques des patients ou aux objets médicaux tels que les pompes et les appareils de perfusion. Si les mises à jour ne sont pas appliquées régulièrement, cela peut affaiblir l’ensemble de l’infrastructure. Dans ce contexte, il n’est pas possible d’appliquer les correctifs actuels, en particulier sur les appareils plus anciens. Cela crée des failles de sécurité critiques que les cybercriminels peuvent exploiter. Dans le secteur de la santé en particulier, il ne s’agit pas seulement de pertes d’exploitation, dans le pire des cas, des vies humaines sont en jeu, ce qui rend la protection du réseau et des systèmes par SIEM et SOC encore plus importante.
