Eric :  Revenons à l’EDR, que faire quand il y a une alerte ?

BENOÎT : Une fois l’alerte donnée, il faut l’analyser et la qualifier en 2 catégories : soit non dangereuse, et on passe à autre chose, soit suspecte, et cette alerte devient d’incident qu’il faut traiter. C’est-à-dire rentrer dans le détail des données collectées et analyser les comportements suspects. déterminer l’origine de l’intrusion, si des données ont été infiltrées, des logiciels malveillants installés etc… c’est une analyse digne d’une enquête de police.

Eric :  pourquoi un EDR est-il utile en plus d’un antivirus ?

BENOÎT : Les cyber criminels ont bien compris que l’attaque par un logiciel malveillant est souvent vouée à
l’échec. Pour être plus discret, ils vont utiliser des logiciels légitime, c’est-à dire utilisés par les administrateurs pour la maintenance du parc. En détournant ces logiciels, ils comptent passer en dessous des radars.

Eric :  Ce qui veut dire que les antivirus n’ont plus d’intérêt ?

BENOÎT : Les “virus”, (maintenant sous le nom de logiciels malveillants) sont encore très répandus, et se passer d’un antivirus n’est pas envisageable. L’EDR est une couche supplémentaire nécessaire à la détection de menaces plus avancées que les virus. D’ailleurs, avant de déployer un EDR il existe des solutions intermédiaires entre les antivirus et et l’EDR. La sandbox cloud en est une.

Nous pourrions passer énormément de temps sur les attaques, les moyens de les contrer ou encore l’intelligence artificielle, cela sera l’occasion d’un autre épisode. Revenons au sujet de l’importance des
données pour nous et pour le cybercriminel.

Les données intéressent les pirates pour les revendre ou les exploiter. Même si on pense que celles-ci n’intéressent personne, elles ont de la valeur. un commercial a par exemple un carnet d’adresse. il peut posséder le numéro de portable de clients importants, là où un concurrent n’aurait que le standard. La direction administrative et financière possède de nombreuses informations sur ses employées : copie de CNI,
de permis de conduire, feuille de paye… Les données sont nombreuses et valent de l’or. 

Eric : Ces données sont importantes, nous en sommes conscient donc nous les sauvegardons.

BENOÎT : Et les cybercriminels en sont conscients, et pour éviter que nous puissions trop facilement repartir, se remettre, après une cyber attaque, les pirates vont altérer nos sauvegardes. ils vont chercher à les détruire, pour que nous n’ayons d’autres choix que de payer la rançon. 

Eric : quels sont tes conseils pour protéger ses sauvegardes ?

BENOÎT : Nous pouvons réfléchir à leur protection sous 2 aspects : 

le 1er est de les déconnecter. Par exemple un disque dur amovible, USB, qui sert à la sauvegarde et que l’on retire à chaque fois que la sauvegarde est effectuée. 

Eric : et réussie, ne pas oublier de vérifier cela que l’on peut restaurer !

BENOÎT : Mais l’utilisation d’un disque dur est impensable pour de larges volumes de données. C’est envisageable pour une TPE, mais pas une PME. Dans ce cas, il existe des systèmes qui déconnectent les sauvegardes quand elles sont effectuées. Il faut se tourner vers un spécialiste de la sauvegarde.

Eric : Quel est le second conseil ?

BENOÎT : Avant de restaurer ses sauvegardes, il faut vérifier que celles-ci soient saines. Si le cybercriminel est entré dans notre réseau depuis des mois, il est possible que nous ayons sauvegardé ses “outils”. Il convient d’être prudent lors de la restauration des données.

Nous recommandons une analyse régulière des sauvegardes avec une solution antivirale, et lors de la restauration de celle-ci, de chercher les trace d’activités malveillantes.

Eric : Merci, quel est le mot de la fin ?

BENOÎT : Pour plus de détails, lisez ce guide : Sauvegarde, la règle du 3-2-1 ainsi que les nombreuses ressources disponibles sur Welivesecurity et datasecuyrity Guide (en francais)