Appelé « durée de survie », l’intervalle entre les tentatives d’attaques a diminué de manière constante au fil des ans pour passer de quarante minutes il y a dix ans à vingt minutes il y a cinq ans et à moins de cinq minutes cette année.

Aujourd’hui, toute entreprise possédant des ordinateurs et des équipements réseau connectés à Internet fait face à un nombre exponentiel de tentatives d’attaques. Ces tentatives proviennent de milliers d’ordinateurs contrôlés par des cybercriminels qui exécutent des logiciels automatisés capables d’analyser en permanence toutes les adresses IP accessibles. Leur objectif est de cartographier le périmètre Internet d’une entreprise, d’inventorier son parc informatique et de collecter des informations sur des failles inhérentes aux logiciels et à la configuration des machines.

Appelé « durée de survie », l’intervalle entre ces tentatives d’attaques est observé depuis des années par des organismes indépendants. Il a diminué de manière constante au fil des ans pour passer de quarante minutes il y a dix ans à vingt minutes il y a cinq ans et à moins de cinq minutes cette année. Cette durée se réduit en raison du marché florissant de la cybercriminalité qui aiguise la spécialisation et la concurrence dans le but d’attaquer les ordinateurs connectés à Internet et les données qu’elles abritent. Aucune machine n’est à l’abri d’une attaque, pas même les systèmes informatiques qui exigent une grande expertise, par exemple les systèmes Scada, également victimes d’exploits dans un délai de vingt-quatre heures. 

Identifier les faiblesses avant que les cybercriminels ne le fassent

Surveiller votre périmètre Internet grâce à un programme d’analyse automatisé est au cœur de votre stratégie de sécurité et vous met sur un pied d’égalité avec les cybercriminels. Mais les faiblesses de votre périmètre Internet sont sans cesse exploitées, notamment en raison des nouvelles machines connectées au réseau, des logiciels qui deviennent rapidement obsolètes, des modifications apportées au pare-feu qui exposent de nouveaux services non sécurisés pour le trafic Internet et des nouvelles vulnérabilités qui sont découvertes chaque jour. Pour empêcher leur exploitation, qui entraîne des vols de données et ouvre la voie aux codes malveillants et aux vulnérabilités, il est primordial d’identifier ces faiblesses avant les cybercriminels. Pour ce faire, il convient donc de déployer un programme de surveillance continue de votre périmètre.

Ce programme doit être en mesure d’analyser l’ensemble de vos adresses IP Internet aussi souvent et rapidement que possible, mais au moins une fois par jour sinon plus. En outre, il doit pouvoir envoyer des alertes en cas de changements, d’ajouts et de suppressions d’envergure qui se produisent sur votre périmètre. Il doit aussi s’intéresser de près aux événements qui signalent de nouveaux problèmes de sécurité, notamment les ports, les services et les ordinateurs récemment découverts ainsi que les nouvelles vulnérabilités présentes sur les ordinateurs. Hormis la fonctionnalité d’alerte, une détection précise et une grande facilité d’évolution sont des atouts majeurs pour votre architecture de sécurité. 

Des outils open source

Toute une panoplie d’outils peut aider les entreprises à déployer une surveillance en continu : programmes open source gratuits tels que nmap pour exécuter et importer automatiquement les résultats dans des bases de données, applications commerciales ou encore solutions et déploiements Saas délivrés par des fournisseurs de services de sécurité. Et n’oubliez pas qu’il ne s’agit que de la première étape, probablement la plus simple, d’une stratégie de surveillance continue. Si elle s’avère performante, vous pourrez étendre ce concept à votre DMZ, à vos serveurs internes puis à votre réseau interne de postes de travail. Par conséquent, la solution que vous choisirez doit aussi pouvoir s’adapter à ces environnements.