Cybersécurité : un « tir à blanc » pour tester le niveau de sécurité des entreprises

25 janvier 2021 à 08h00
8
Ransomware © Image par Pete Linforth de Pixabay

De plus en plus d’entreprises et administrations, sans parler des particuliers, sont touchées par des ransomwares, ces virus chiffrant les données. La forte augmentation de ces attaques montre que le niveau de sécurité des réseaux n’est pas adapté à cette menace. Aussi, une société française spécialisée dans la cybersécurité propose de vérifier les faiblesses d’un réseau avec un « vrai-faux ransomware ».

Les ransomwares ne connaissent pas la crise ! Selon le portail cybermalveillance.gouv.fr, 159 collectivités ont été touchées en 2020 par ce type de code malveillant (contre 103 en 2019) et 837 entreprises (contre 667, l’année précédente). La multiplication de ces infections confirme que les antivirus ne représentent pas toujours une solution suffisante.

Détourner une détection virale

« Ces logiciels ne sont pas suffisamment “intelligents” et beaucoup d’éditeurs disent qu’ils font de la détection holistique, mais en pratique c’est essentiellement de la détection à base de signatures virales, ce qui est très simple à détourner en utilisant un obfuscateur de binaires », explique Renaud Lifchitz, Chief Scientific Officer chez Holiseum, une société française spécialisée dans la sécurité informatique.

Pour pallier ce problème, Holiseum a développé une solution inédite, et adaptée à toutes les entreprises. Il s’agit d’une plateforme commercialisée sous forme d'un service d’audit.

Simulation d'une intrusion

Dans un premier temps, Holiseum définit avec son client un répertoire factice (avec de faux documents) qui va être stocké sur le réseau et sur certains postes. « Notre solution va ensuite simuler l’intrusion et la propagation en conditions réelles d’un ransomware sophistiqué (sous forme d’un exécutable ou une exploitation de vulnérabilité), mais inoffensif, qui va simuler le chiffrement de fichier et le déplacement latéral dans un réseau. Ce programme va pouvoir vérifier si l’antivirus et l’EDR (Endpoint Detection and Response) de l’entreprise réagissent », précise Renaud Lifchitz.   

Cette stratégie « dry-run » permet de déterminer le niveau d’exposition aux ransomwares, en cartographiant l’étendue des actifs potentiellement compromis, de mesurer le temps mis pour infecter le réseau, de repérer les solutions qui auront bloqué le chiffrement ainsi que les chemins de propagation… LA solution contre les ransomwares ?

Source : communiqué de presse

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
7
ar-s
Holiseum fait un audit d’intrusion… Y’a quoi de neuf là dedans ?<br /> ça existe depuis des lustres.<br /> Ensuite en utilisant une «&nbsp;faille&nbsp;» je veux bien mais s’il faut lancer un exe, ça devient déjà un peu grotesque. Je suis pas un pro du code mais je peux faire un exe qui va récupe des infos sensibles (au choix) et/ou crypter des données sans qu’un AV ne bronche. Alors les specialistes des ransomwares ne vont pas, je pense, espérer qu’un utilisateur lance un exe sur la machine.
Renaud_Lifchitz
Le but n’est justement pas de s’évader à tout prix mais de tester les réactions des antivirus et des EDR :<br /> ° aux méthodes de chiffrement, d’écrasement et d’effacement de fichiers utilisés spécifiquement par les ransomwares<br /> ° de tester les réactions des IPS/EDR à des déplacements latéraux automatiques sur le réseaux, voir s’ils sont détectés et/ou bloqués<br /> Bref, rien d’un test d’intrusion classique dans ces 2 approches !
DM_POUBELLE
Ils excellent sur leur mise en avant de la scène Cybersécurité mais n’apportent que très peu de valeur. Je me souviens d’une démo de contagion par clé USB, ça m’avait bien fait rire.<br /> Comment se vend votre jeu de société ?
Renaud_Lifchitz
Pourquoi mélanger sensibilisation grand public et expertises cybersécurité, qui ne font ni appel aux mêmes compétences, ni destinées au même public ? Votre exemple est probablement très mal choisi…
Sami6
L’approche est originale, ce qui peut surprendre en effet mais l’on n’a aucun mal à en saisir immédiatement l’intérêt. Bravo fallait y penser. Le gros intérêt que je vois c’est de parvenir à connaître jusqu’où un Ransomware « gentil » pourrait aller et si les EDR et autre antivirus parviennent à le détecter ou pas… auriez-vous mimé le fonctionnement d’un vaccin par hasard ? Belle initiative
Sami6
une phrase attribuée à Schopenhauer me vient à l’idée en lisant certains commentaires « Toute vérité franchit trois étapes. - D’abord, elle est ridiculisée. - Ensuite, elle subit une forte opposition. - Puis, elle est considérée comme ayant toujours été une évidence. »
Sssss
Une solution plus puissante existe pour faire des pentest automatisés: PCSY****<br /> pour les ransomwares testés automatiquement, il y a ransim de knowbe4. La différence est que cette solution reste au niveau du bien en question et ne se propage pas horizontalement.<br /> Le problème du système présenté est qu’il se base une vulnérabilité spécifique, si elle n’existe pas, le ransomware va se casser les dents et donc on va conclure que le système est robuste, ce qui n’est pas forcément vrai.
Voir tous les messages sur le forum

Derniers actualités

Intel présente ses nouveaux NUC Pro
Ce chargeur à induction de chez Samsung est GRATUIT
BMW va adopter le même format de batteries que Tesla
Amazon Prime Video s'offre un coup de jeune bien mérité sur les Freebox
Mettez Chrome à jour tout de suite pour corriger une faille zero-day exploitée
Realme lance son 9i 5G au rapport prix-performances bluffant, mais arrivera-t-il en France ?
Quelle puce dans quel iPhone 15 ? A16 ou A17 ? Les choses se précisent
Cet étonnant robot est animé par un Raspberry Pi, mais est loin d'être low-cost
Le Core i9-13900K Raptor Lake d'Intel aurait un mode
Intel Arc A580 : sur Ashes of the Singularity, la carte graphique est au niveau d'une RTX 3050
Haut de page