Cybersécurité : un « tir à blanc » pour tester le niveau de sécurité des entreprises

Publié le 25 janvier 2021 à 08h00

De plus en plus d’entreprises et administrations, sans parler des particuliers, sont touchées par des ransomwares, ces virus chiffrant les données. La forte augmentation de ces attaques montre que le niveau de sécurité des réseaux n’est pas adapté à cette menace. Aussi, une société française spécialisée dans la cybersécurité propose de vérifier les faiblesses d’un réseau avec un « vrai-faux ransomware ».

Les ransomwares ne connaissent pas la crise ! Selon le portail cybermalveillance.gouv.fr, 159 collectivités ont été touchées en 2020 par ce type de code malveillant (contre 103 en 2019) et 837 entreprises (contre 667, l’année précédente). La multiplication de ces infections confirme que les antivirus ne représentent pas toujours une solution suffisante.

Détourner une détection virale

« Ces logiciels ne sont pas suffisamment “intelligents” et beaucoup d’éditeurs disent qu’ils font de la détection holistique, mais en pratique c’est essentiellement de la détection à base de signatures virales, ce qui est très simple à détourner en utilisant un obfuscateur de binaires », explique Renaud Lifchitz, Chief Scientific Officer chez Holiseum, une société française spécialisée dans la sécurité informatique.

Pour pallier ce problème, Holiseum a développé une solution inédite, et adaptée à toutes les entreprises. Il s’agit d’une plateforme commercialisée sous forme d'un service d’audit.

Simulation d'une intrusion

Dans un premier temps, Holiseum définit avec son client un répertoire factice (avec de faux documents) qui va être stocké sur le réseau et sur certains postes. « Notre solution va ensuite simuler l’intrusion et la propagation en conditions réelles d’un ransomware sophistiqué (sous forme d’un exécutable ou une exploitation de vulnérabilité), mais inoffensif, qui va simuler le chiffrement de fichier et le déplacement latéral dans un réseau. Ce programme va pouvoir vérifier si l’antivirus et l’EDR (Endpoint Detection and Response) de l’entreprise réagissent », précise Renaud Lifchitz.

Cette stratégie « dry-run » permet de déterminer le niveau d’exposition aux ransomwares, en cartographiant l’étendue des actifs potentiellement compromis, de mesurer le temps mis pour infecter le réseau, de repérer les solutions qui auront bloqué le chiffrement ainsi que les chemins de propagation… LA solution contre les ransomwares ?

Source : communiqué de presse

Par Philippe Richard

Journaliste pro depuis 1990, je suis spécialisé dans la cybersécurité, l’open source, le cloud computing et… la charlotte aux chocolats (petit message aux attachés de presse pour des articles de complaisance…). Bref, un dinosaure de l’IT sans préjugés et curieux !

Articles de Philippe Richard

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

ar-s

Holiseum fait un audit d’intrusion… Y’a quoi de neuf là dedans ?
ça existe depuis des lustres.
Ensuite en utilisant une « faille » je veux bien mais s’il faut lancer un exe, ça devient déjà un peu grotesque. Je suis pas un pro du code mais je peux faire un exe qui va récupe des infos sensibles (au choix) et/ou crypter des données sans qu’un AV ne bronche. Alors les specialistes des ransomwares ne vont pas, je pense, espérer qu’un utilisateur lance un exe sur la machine.

Renaud_Lifchitz

Le but n’est justement pas de s’évader à tout prix mais de tester les réactions des antivirus et des EDR :
° aux méthodes de chiffrement, d’écrasement et d’effacement de fichiers utilisés spécifiquement par les ransomwares
° de tester les réactions des IPS/EDR à des déplacements latéraux automatiques sur le réseaux, voir s’ils sont détectés et/ou bloqués
Bref, rien d’un test d’intrusion classique dans ces 2 approches !

DM_POUBELLE

Ils excellent sur leur mise en avant de la scène Cybersécurité mais n’apportent que très peu de valeur. Je me souviens d’une démo de contagion par clé USB, ça m’avait bien fait rire.

Comment se vend votre jeu de société ?

Renaud_Lifchitz

Pourquoi mélanger sensibilisation grand public et expertises cybersécurité, qui ne font ni appel aux mêmes compétences, ni destinées au même public ? Votre exemple est probablement très mal choisi…

Sami6

L’approche est originale, ce qui peut surprendre en effet mais l’on n’a aucun mal à en saisir immédiatement l’intérêt. Bravo fallait y penser. Le gros intérêt que je vois c’est de parvenir à connaître jusqu’où un Ransomware « gentil » pourrait aller et si les EDR et autre antivirus parviennent à le détecter ou pas… auriez-vous mimé le fonctionnement d’un vaccin par hasard ? Belle initiative

Sami6

une phrase attribuée à Schopenhauer me vient à l’idée en lisant certains commentaires « Toute vérité franchit trois étapes. - D’abord, elle est ridiculisée. - Ensuite, elle subit une forte opposition. - Puis, elle est considérée comme ayant toujours été une évidence. »

Sssss

Une solution plus puissante existe pour faire des pentest automatisés: PCSY****

pour les ransomwares testés automatiquement, il y a ransim de knowbe4. La différence est que cette solution reste au niveau du bien en question et ne se propage pas horizontalement.

Le problème du système présenté est qu’il se base une vulnérabilité spécifique, si elle n’existe pas, le ransomware va se casser les dents et donc on va conclure que le système est robuste, ce qui n’est pas forcément vrai.