les 5 phases d’une cyberattaque
TRANSCRIPT
Se préparer aux
cyberattaquesPROTÉGEZ VOS EMPLOYÉS ET
VOS INFORMATIONS GRÂCE
AUX SOLUTIONS DE SÉCURITÉ
DE SYMANTEC
SOMMAIRE PAGE
1. RECONNAISSANCE 4
2. INCURSION 5
3. DÉCOUVERTE 6
4. CAPTURE 7
5. EXFILTRATION 8
SOLUTIONS SYMANTEC 9
3
INTRODUCTION
Pour protéger votre entreprise contre les cyberattaques, il
est important de comprendre comment procède un
cybercriminel pour voler les informations stratégiques. Les
attaques se décomposent généralement en cinq étapes
distinctes : reconnaissance, incursion, découverte, capture
et exfiltration. Chaque étape fait appel à différents outils
et techniques. Pour chaque phase, il existe néanmoins des
solutions Symantec™ conçues pour offrir une solide protection
à votre entreprise et empêcher les cybercriminels d'atteindre
leur but.
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur Web public
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de
données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Serveur Web public
RECONNAISSANCE1
Le cybercriminel exploite les informations issues de divers facteurs afin de
comprendre sa cible ; il identifie notamment les serveurs vulnérables, les
applications non protégées et les systèmes sans correctif pouvant être
compromis.
1. Le cybercriminel sonde les réseaux et systèmes pour en
identifier les faiblesses, en veillant à ne pas être détecté.
2. Le cybercriminel cherche également des employés à cibler
par le biais de sources publiquement disponibles.
4. La recherche peut également identifier les sites Web
fréquentés pouvant être infectés par un logiciel malveillant.
3. Le cybercriminel cherche à les infecter par le biais de
spams ou d'attaques de phishing.
CONTROL COMPLIANCE SUITE (CCS)
Détecte les vulnérabilités des serveurs et d'autres
périphériques et permet d'y remédier de façon proactive
avant qu'une attaque ne se produise.
CERTIFICATS SSL, VIP ET SYMANTEC O3
Authentification et sécurité renforcées pour valider les
utilisateurs, les serveurs et les sites Web, et empêcher
toute fraude ou piratage de session.
MANAGED SECURITY SERVICES ET SSIM
Détecte rapidement les événements de reconnaissance
en identifiant les utilisateurs ou serveurs qui tentent de
se connecter à un site ou hôte malveillant, limitant ainsi
le risque d'exposition.
4
Les fondements d'une défense efficace :
Répertoire LDAP
DNS
Contrôleur de domaine
SensitiveApplication
Base de données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de
données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Serveur Web public
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
SensitiveApplication
Base de données
Serveur Web
Serveur malware
Assaillant
Serveur Web public
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
SensitiveApplication
Base de données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Serveur Web public
Utilisateurs cibles
5
INCURSION2
WEB SECURITY
Protège les utilisateurs qui naviguent sur Internet des
attaques cachées véhiculées par le Web.
EMAIL SECURITY
Bloque les messages électroniques contenant des logiciels
malveillants complexes cachés dans les pièces jointes,
ainsi que d'autres attaques de phishing.
1. Le cybercriminel exploite les faiblesses des réseaux et des
systèmes pour y accéder.
Les cybercriminels accèdent au réseau, installent des logiciels malveillants
sur les systèmes et ordinateurs vulnérables, souvent sans que l'utilisateur
soit conscient d'être pris pour cible.
3. Les messages électroniques de type "spear phishing" a
priori inoffensifs contiennent également des pièces jointes
infectées par des chevaux de Troie.
2. Le cybercriminel peut essayer de duper les utilisateurs
en leur demandant de cliquer sur le lien d'un site Web
malveillant ou d'installer une application factice.
MANAGED SECURITY SERVICES ET SSIM
Surveillance permanente (7j/7 et 24h/24) pour
détecter de façon précoce les attaques et les
connexions à des hôtes malveillants.
ENDPOINT PROTECTION (SEP)
Les contrôles de sécurité de pointe détectent les
menaces évoluées. Associés à Symantec Protection
Center, ils identifient rapidement toute activité anormale,
y compris les attaques de logiciels malveillants.
MOBILE MANAGEMENT SUITE
Détecte et élimine les applications et logiciels
malveillants conçus pour voler les informations ou
analyser les réseaux internes.
Les fondements d'une défense efficace :
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Utilisateurs cibles
Base de données
Serveur Web
Serveur malware
Serveur C & C
Assaillant
Serveur Web public
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
Assaillant
Utilisateurs cibles
Serveur malware Serveur
C & C
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de
données
Serveur Web
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
Assaillant
Utilisateurs cibles
6
DÉCOUVERTE3
1. Un serveur de contrôle et commande (C&C) est désormais
configuré.
2. Les données sont analysées et le logiciel malveillant contacte
le cybercriminel via des réseaux de contrôle et commande
(C&C).
ENDPOINT PROTECTION (SEP)
Bloque les connexions de périphériques inconnus ou non
autorisés et vous informe rapidement de toute activité
inhabituelle.
CRITICAL SYSTEM PROTECTION
Protège les systèmes et les informations contre les niveaux
d'accès non autorisés grâce à un contrôle granulaire et
des alertes.
ENCRYPTION
Utilise une approche orientée plate-forme pour empêcher
les utilisateurs non autorisés d'accéder aux informations
confidentielles.
MANAGED SECURITY SERVICES ET SSIM
Identifie et signale les événements inhabituels ainsi que
les hôtes internes se comportant de façon suspecte ou
essayant de se connecter à des hôtes malveillants.
Une fois qu'ils accèdent au réseau, les cybercriminels se font discrets
pour éviter d'être détectés. Ils mappent ensuite les défenses de l'entreprise
depuis l'intérieur et créent un plan de bataille pour récupérer les informations
ciblées.
3. Le cybercriminel collecte les données volées grâce à un
logiciel malveillant afin de récupérer les identifiants de
connexion et les mots de passe lorsque les utilisateurs
accèdent aux principaux serveurs.
4. Le cybercriminel exploite les données, mots de passe et
identifiants de connexion volés pour mapper le réseau,
accéder à d'autres systèmes et identifier les informations
présentant de l'intérêt.
Les fondements d'une défense efficace :
Serveur malware
DropServer
Serveur C & C
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de
données
Serveur Web
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
DropServer
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
DropServer
Assaillant
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Serveur C & C
DropServer
Assaillant
Utilisateurs cibles
Utilisateurs cibles
7
CAPTURE4
CRITICAL SYSTEM PROTECTION
Verrouille les systèmes critiques et bloque tout comportement
inhabituel pour éviter aux serveurs d'être infectés.
IT MANAGEMENT SUITE
Veille à ce que les systèmes soient mis à jour et corrigés,
et détecte les systèmes inconnus et suspects.
SOLUTIONS DATA LOSS PREVENTION (DLP)
Détectent les informations stratégiques lorsqu'elles
sont stockées ou déplacées, et empêchent leur copie.
Suppriment également les informations se trouvant au
mauvais endroit.
1. Les ressources présentant de l'intérêt ont désormais été
identifiées.
Les cybercriminels accèdent aux systèmes non sécurisés et capturent les
informations stratégiques sur les systèmes s'avérant vulnérables. Ils peuvent
également installer des logiciels malveillants en vue de récupérer secrètement
des données ou de perturber les opérations.
3. Le cybercriminel configure un serveur de stockage interne. 4. Les données souhaitées sont ensuite copiées sur un
serveur intermédiaire sur site.
2. Le cybercriminel cherche à entrer dans les systèmes
infectés pour accéder aux informations.
Les fondements d'une défense efficace :
Répertoire LDAP
DNS
Contrôleur de do-maine
Application sensible
Base de
données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Utilisateurs cibles
DropServer
Serveur C & C
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
DropServer
Serveur C & C
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
DropServer
Serveur C & C
Assaillant
Utilisateurs cibles
Utilisateurs cibles
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
DropServer
Serveur C & C
Assaillant
Utilisateurs cibles
Utilisateurs cibles
DropServer
Serveur C & C
Répertoire LDAP
DNS
Contrôleur de domaine
Application sensible
Base de données
Serveur Web
Serveur malware
Assaillant
Utilisateurs cibles
Utilisateurs cibles
8
EXFILTRATION5
DATA LOSS PREVENTION (DLP) NETWORK
Vérifie le trafic sortant pour détecter les vols ou pertes
éventuels et empêche la transmission des données.
DEEPSIGHT & THREAT INTELLIGENCE
Donne des informations supplémentaires sur les hôtes
Internet auxquels ces flux d'informations sont transmis.
1. Les données souhaitées se trouvent sur le
serveur provisoire sur site.
Les informations stratégiques récupérées sont renvoyées chez le
cybercriminel pour analyse, exploitation, fraude, ou pire encore.
3. Le cybercriminel copie les données souhaitées. 4. Les données sont exfiltrées vers le serveur de stockage
externe. .
2. Le cybercriminel configure un serveur de stockage externe.
Les fondements d'une défense efficace :
9
DÉCOUVREZ COMMENT LES SOLUTIONS DE SYMANTEC PEUVENT VOUS AIDER
Pour chaque phase d'une cyberattaque, Symantec propose
des solutions toutes aussi efficaces comme produits répondant
à une problématique particulière que comme éléments d'une
défense complète pour offrir une solide protection à votre
entreprise afin d'empêcher les cybercriminels d'atteindre
leur but.
SOLUTIONS DE SÉCURITÉ DE SYMANTEC
Control Compliance Suite
A l'heure actuelle, la gestion de la conformité et des risques informatiques représente
un véritable défi pour les entreprises. En tant que responsable de la sécurité, vous êtes
confronté à un nombre croissant de réglementations et facteurs opérationnels, à
un paysage de menaces en pleine évolution et à des infrastructures informatiques
de plus en plus complexes. Symantec Control Compliance Suite vous aide à résoudre
ces problèmes en proposant une infrastructure solide pour le développement de
votre programme de gouvernance, de gestion des risques et de conformité informatique.
Control Compliance Suite vous permet de communiquer les risques informatiques
dans des termes pertinents pour l'entreprise, de hiérarchiser les mesures correctives
grâce à une vue composite des risques et d'automatiser les processus d'évaluation
afin d'améliorer votre sécurité globale et de renforcer la mise en conformité.
Certificats SSL, VIP et Symantec O3
Les solutions d'authentification renforcée proposées par Symantec assurent une
authentification à deux facteurs et des services d'infrastructure PKI pratiques et
sûrs en mode cloud. Elles protègent ainsi les identités en ligne et les interactions
entre clients, partenaires et employés.
Symantec O3 est une plate-forme cloud de protection des informations qui fournit
aux utilisateurs d’applications et de services cloud un contrôle d’accès contextuel, la
sécurité et la gestion des informations sous forme de service. Elle prend en charge
n'importe quel terminal, y compris mobile. Elle fournit des informations de conformité
pour les événements d'accès et d'information qui facilitent les audits et l'analyse
juridique.
Web Security
La gamme de produits Symantec Web Security comprend des solutions de référence
à installer sur site ou en mode cloud. Ensemble, elles protègent les entreprises des
menaces véhiculées par le Web et permettent de contrôler, surveiller et appliquer les
politiques d'utilisation acceptable du Web. Des couches de protection contre les
programmes malveillants automatiquement mises à jour empêchent les menaces
d'atteindre votre réseau, tandis que des politiques de filtrage des URL et des quotas
de trafic Web réduisent les risques d'utilisation abusive du Web et vous aident à
préserver votre bande passante. Basé sur Insight, la technologie innovante de filtrage
de Symantec basée sur la réputation, Symantec Web Gateway s'appuie sur un réseau
mondial de plus de 210 millions d'utilisateurs pour identifier les nouvelles menaces
avant qu'elles ne causent des dommages aux entreprises.
DeepSight & Threat Intelligence
Le réseau Symantec Global Intelligence Network constitue une source inégalée
d'informations sur les menaces Internet et facilite l'identification des nouvelles
menaces qui ne cessent d'évoluer. Le réseau Symantec Global Intelligence Network
possède plus de 240 000 capteurs dans plus de 200 pays qui surveillent l'activité liée
aux attaques, ainsi que plus de 133 millions de systèmes qui fournissent des
informations sur les codes malveillants. Symantec conserve également une base
de données complète des vulnérabilités comprenant plus de 40 000 enregistrements.
Les services Symantec DeepSight Early Warning permettent aux entreprises
d'améliorer leur sécurité et de contrôler l'intégrité de leurs informations de façon
proactive. DeepSight aide les clients à adapter les profils de risque aux modifications
du paysage des menaces en proposant des stratégies d'information, d'analyse et
de contrôle sur mesure et en recommandant des bonnes pratiques sur les menaces
et vulnérabilités connues et émergentes. DeepSight, qui intègre des déclencheurs
d'alertes personnalisées et une analyse d'experts, permet aux entreprises d'optimiser
leurs ressources informatiques afin de protéger les informations stratégiques contre
toute attaque potentielle, de limiter les menaces et d'éliminer les risques liés à la
sécurité.
Critical System Protection
Les grandes entreprises utilisent Symantec Critical System Protection pour sécuriser
leurs datacenters physiques et virtuels. En combinant la détection d'intrusion sur
l'hôte et la prévention d'intrusion, Symantec propose une solution complète et
reconnue de sécurisation des serveurs. Bénéficiez d'une protection complète pour
VMware vSphere®, contrez les attaques de type "zero-day" et les attaques ciblées,
et profitez d'une visibilité et d'un contrôle de conformité en temps réel grâce à Symantec
Critical System Protection.
Data Loss Prevention
Symantec Data Loss Prevention (DLP) est une solution de prévention contre les
pertes de données sensibles au contenu pour l'entreprise, qui localise, surveille et
protège les données confidentielles, quel que soit l'endroit où elles sont stockées
ou utilisées : sur vos terminaux, réseaux et systèmes de stockage.
10
Mobile Management Suite
Symantec Mobile Management Suite est une solution complète de mise en service de
technologies mobiles, conçue pour répondre à une grande diversité de besoins de
mobilité d'entreprise. Avec une gestion évolutive des périphériques, des fonctions
innovantes de gestion des applications et une technologie fiable de protection contre
les menaces, Mobile Management Suite offre aux entreprises toutes les fonctionnalités
nécessaires pour mettre en œuvre, sécuriser et gérer les périphériques, les applications
et les données mobiles.
Endpoint Protection
Symantec Endpoint Protection repose sur plusieurs couches de protection, y compris
Symantec Insight et SONAR qui assurent la protection contre les nouvelles menaces
et les menaces inconnues. Conçu pour les environnements virtuels, il peut s'intégrer
à VMware vShield Endpoint pour une amélioration sensible des performances. Symantec
Endpoint Protection inclut les toutes nouvelles fonctionnalités qui améliorent la
sécurité, les performances et la gestion.
Encryption
Les solutions de chiffrement de Symantec permettent aux entreprises d'assurer la
protection des données et la gestion centralisée des politiques via l'utilisation
facultative d'Encryption Management Server. Nos solutions reposent sur une technologie
normalisée, avec une gestion centralisée des politiques, des fonctions de génération
de rapports basées sur la conformité et une véritable gestion universelle des terminaux,
du courrier électronique et des produits de chiffrement de fichiers.
Email Security
La gamme de produits Symantec dédiée à la sécurité de la messagerie électronique
comprend des solutions sur site de pointe et des solutions en cloud de référence.
Ensemble, elles offrent aux clients une protection maximale, ainsi que la flexibilité
et le choix des formats.
IT Management Suite
Altiris IT Management Suite est une suite de produits intégrés qui aident les départements
informatiques à fournir à leur entreprise des services plus prévisibles et plus rapides.
Grâce à elle, les infrastructures de gestion de l'organisation peuvent aisément prendre
en charge de nouvelles technologies, sont aptes à s'adapter rapidement à l'évolution
des processus et des besoins métier, et sont en mesure de fournir toutes les informations
nécessaires à la prise de décisions plus pertinentes basées sur les données.
Managed Security Services et Security Information
Manager
Symantec Security Information Manager est une solution de gestion des événements
et informations de sécurité (SIEM) complète qui offre aux entreprises de nombreuses
fonctions de collecte, de gestion et de conservation de logs pour permettre de
centraliser et d'analyser des volumes importants de données provenant de différents
journaux. Notre moteur de mise en corrélation, leader du marché, regroupe les
données organisationnelles, les informations sur les événements de sécurité et les
informations sur les menaces. Cela permet aux entreprises de traiter les incidents
de sécurité par ordre de priorité en fonction du risque qu'ils représentent pour
l'entreprise.
Les Symantec Managed Security Services élargissent cette approche et permettent
aux entreprises de développer et de maintenir un programme résilient de gestion
des incidents et des événements, proposé sous forme de service. La présence et
l'envergure internationales de Symantec lui permettent de satisfaire les plus grandes
entreprises.
Les Symantec Managed Security Services vous donnent la possibilité d'accéder à
tout moment (24h/24 et 7j/7) à notre équipe de haut niveau qui compte plus de
500 professionnels de la sécurité dans 4 centres d'exploitation de sécurité (Security
Operations Centers) et 11 centres de recherche sur la sécurité (Security Response
Centers) à travers le monde. L'équipe Symantec est composée d'analystes et
d'ingénieurs, certifiés GIAC et CISSP. Cette équipe est une source essentielle dans
le traitement des informations sur les menaces collectées par le réseau Symantec
Global Intelligence Network.
11
www.symantec.com/fr
À PROPOS DE SYMANTEC
Symantec protège les informations échangées à travers
le monde et se positionne comme leader mondial des
solutions de sécurité, sauvegarde et disponibilité. Nos
produits et services innovants protègent les individus et
les informations dans n'importe quel environnement, du
plus petit appareil mobile au datacenter d'entreprise et
systèmes dans le cloud. Notre expertise inégalée en matière
de protection des données, identités et interactions donne
confiance à nos clients dans le monde interconnecté actuel.
Pour plus d'informations, rendez-vous sur
www.symantec.com
ou rejoignez Symantec sur
go.symantec.com/socialmedia
Pour connaître les coordonnées des bureaux dans un
pays spécifique, consultez notre site Web.
www.symantec.com/fr
Symantec France
17 avenue de l’Arche
92671 Courbevoie Cedex
Copyright © 2013 Symantec Corporation. Tous droits réservés. Symantec, le
logo Symantec et le logo en forme de coche sont des marques commerciales
ou des marques déposées de Symantec Corporation ou de ses filiales aux
États-Unis et dans d'autres pays. Les autres noms peuvent être des marques
commerciales de leurs détenteurs respectifs.