{"id":499685,"date":"2022-12-07T12:40:47","date_gmt":"2022-12-07T14:40:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/comment-xdr-aide-a-proteger-les-infrastructures-critiques\/"},"modified":"2022-12-07T12:40:49","modified_gmt":"2022-12-07T14:40:49","slug":"comment-xdr-aide-a-proteger-les-infrastructures-critiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/comment-xdr-aide-a-proteger-les-infrastructures-critiques\/","title":{"rendered":"Comment XDR aide \u00e0 prot\u00e9ger les infrastructures critiques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les infrastructures essentielles sont importantes pour l&#8217;existence, la croissance et le d\u00e9veloppement de la soci\u00e9t\u00e9.  Les soci\u00e9t\u00e9s d\u00e9pendent des services fournis par des secteurs d&#8217;infrastructures critiques comme les t\u00e9l\u00e9communications, l&#8217;\u00e9nergie, les soins de sant\u00e9, les transports et les technologies de l&#8217;information.  La s\u00fbret\u00e9 et la s\u00e9curit\u00e9 sont n\u00e9cessaires au fonctionnement optimal de ces infrastructures critiques.  L&#8217;infrastructure critique est compos\u00e9e d&#8217;actifs num\u00e9riques et non num\u00e9riques.  Les organisations doivent garder une longueur d&#8217;avance sur les menaces de cybers\u00e9curit\u00e9 pour pr\u00e9venir les d\u00e9faillances caus\u00e9es par les cyberattaques sur les infrastructures critiques.  Trouver des moyens de prot\u00e9ger les actifs num\u00e9riques dans un paysage en constante \u00e9volution rempli de menaces est une activit\u00e9 continue.  Les organisations doivent \u00e9galement utiliser des solutions de s\u00e9curit\u00e9 efficaces et les meilleures pratiques pour rester prot\u00e9g\u00e9es et r\u00e9duire les risques de compromission.<\/p>\n<p>Les solutions de s\u00e9curit\u00e9 aident \u00e0 s\u00e9curiser et \u00e0 am\u00e9liorer la visibilit\u00e9 du paysage des menaces d&#8217;une organisation.  Diff\u00e9rentes solutions utilisent diff\u00e9rents concepts et approches.  Un concept important qui a r\u00e9cemment fait son apparition est la d\u00e9tection et la r\u00e9ponse \u00e9tendues (XDR).<\/p>\n<p>Les solutions XDR offrent des capacit\u00e9s de d\u00e9tection et de r\u00e9ponse sur plusieurs couches.  Les outils XDR corr\u00e8lent les donn\u00e9es \u00e0 l&#8217;aide de m\u00e9thodes de d\u00e9tection et de r\u00e9ponse aux menaces en rassemblant des journaux et des \u00e9v\u00e9nements provenant de diverses sources, telles que des p\u00e9riph\u00e9riques r\u00e9seau, des serveurs et des applications.  Ces capacit\u00e9s permettent aux \u00e9quipes de s\u00e9curit\u00e9 de d\u00e9tecter, d&#8217;enqu\u00eater et de r\u00e9pondre rapidement aux incidents. <\/p>\n<h2 style=\"text-align: left;\">Attaques contre les infrastructures critiques<\/h2>\n<p>En f\u00e9vrier 2022, une attaque de la cha\u00eene d&#8217;approvisionnement s&#8217;est produite dans l&#8217;un des g\u00e9ants allemands de l&#8217;\u00e9nergie.  Cette attaque a entra\u00een\u00e9 la fermeture de plus de 200 stations-service \u00e0 travers l&#8217;Allemagne, affectant des vies et des entreprises.  Cet \u00e9v\u00e9nement s&#8217;est produit pr\u00e8s d&#8217;un an apr\u00e8s l&#8217;attaque du Colonial Pipeline aux \u00c9tats-Unis d&#8217;Am\u00e9rique, o\u00f9 une exfiltration de donn\u00e9es s&#8217;est produite et une infection par ransomware a interrompu les services num\u00e9riques au sein de leur infrastructure pendant des jours.  Un article du NYTimes rapporte qu&#8217;environ 5 millions de dollars ont \u00e9t\u00e9 vers\u00e9s aux pirates impliqu\u00e9s dans l&#8217;attaque du ran\u00e7ongiciel Colonial Pipeline.  Les pirates dans l&#8217;affaire Colonial Pipeline ont pu entrer en utilisant un mot de passe VPN compromis, et ils ont proc\u00e9d\u00e9 \u00e0 des activit\u00e9s d&#8217;intrusion pendant une journ\u00e9e enti\u00e8re avant d&#8217;\u00eatre d\u00e9tect\u00e9s. <\/p>\n<p>Il existe plusieurs points d&#8217;entr\u00e9e pour les attaques contre les infrastructures critiques, et certains vecteurs sont plus r\u00e9pandus que d&#8217;autres.  Ces vecteurs incluent des informations d&#8217;identification compromises, des syst\u00e8mes d&#8217;exploitation non corrig\u00e9s, des applications vuln\u00e9rables et des logiciels malveillants diffus\u00e9s via diverses techniques.<\/p>\n<p>L&#8217;accent doit \u00eatre mis sur la s\u00e9curisation des infrastructures critiques avant qu&#8217;une attaque ne se produise, quelle que soit son origine.  Les solutions de s\u00e9curit\u00e9 aident les organisations \u00e0 se prot\u00e9ger contre diff\u00e9rents vecteurs d&#8217;attaque.  Ces solutions incluent XDR, SIEM, des scanners de code, des analyseurs d&#8217;infrastructure, des scanners de vuln\u00e9rabilit\u00e9 et des solutions de d\u00e9tection de logiciels malveillants.  A ces solutions s&#8217;ajoutent les normes de conformit\u00e9.  Quelques normes recommand\u00e9es sont NIST, PCI DSS, HIPAA et GDPR.  L&#8217;application correcte de ces solutions et des normes de conformit\u00e9 peut contribuer \u00e0 am\u00e9liorer la posture de s\u00e9curit\u00e9 d&#8217;une organisation.<\/p>\n<h2 style=\"text-align: left;\">Comment XDR peut att\u00e9nuer les attaques<\/h2>\n<p>Un XDR joue un r\u00f4le important dans les situations o\u00f9 les acteurs de la menace ciblent diff\u00e9rents actifs num\u00e9riques d&#8217;une organisation.  Avec un XDR int\u00e9gr\u00e9 \u00e0 l&#8217;infrastructure d&#8217;une organisation, les \u00e9v\u00e9nements de s\u00e9curit\u00e9 provenant de diverses sources et actifs sont analys\u00e9s et corr\u00e9l\u00e9s pour d\u00e9terminer les activit\u00e9s qui se d\u00e9roulent dans l&#8217;infrastructure.  Un XDR a la capacit\u00e9 de d\u00e9tecter et de fournir des r\u00e9ponses automatis\u00e9es aux activit\u00e9s malveillantes dans un environnement.  Une telle r\u00e9ponse peut tuer un processus malveillant, supprimer un fichier malveillant ou isoler un terminal compromis.  Comme les r\u00e9ponses sont ex\u00e9cut\u00e9es en temps quasi r\u00e9el, la vitesse joue un r\u00f4le essentiel dans l&#8217;ex\u00e9cution de ces t\u00e2ches.<\/p>\n<h2 style=\"text-align: left;\">Wazuh SIEM\/XDR<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/\" target=\"_blank\">Wazuh<\/a> est une plateforme SIEM et XDR gratuite et open source.  Il comprend plusieurs composants qui prot\u00e8gent \u00e0 la fois les charges de travail cloud et sur site.  La plateforme Wazuh fonctionne avec un mod\u00e8le agent-serveur.  Les composants centraux de Wazuh (serveur, indexeur et tableau de bord) analysent les donn\u00e9es de s\u00e9curit\u00e9 des terminaux de votre infrastructure.  Dans le m\u00eame temps, l&#8217;agent Wazuh est d\u00e9ploy\u00e9 sur les terminaux pour collecter des donn\u00e9es de s\u00e9curit\u00e9 et assurer la d\u00e9tection et la r\u00e9ponse aux menaces.  L&#8217;agent Wazuh est l\u00e9ger et prend en charge plusieurs plates-formes.  Wazuh prend \u00e9galement en charge la surveillance sans agent sur les routeurs, les pare-feu et les commutateurs. <\/p>\n<h2 style=\"text-align: left;\">Capacit\u00e9s Wazuh XDR<\/h2>\n<p>Wazuh dispose de plusieurs fonctionnalit\u00e9s qui aident une organisation \u00e0 garder une longueur d&#8217;avance sur les menaces de s\u00e9curit\u00e9.  Certaines de ces fonctionnalit\u00e9s sont la d\u00e9tection des logiciels malveillants, la d\u00e9tection des vuln\u00e9rabilit\u00e9s, la surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers et la r\u00e9ponse automatis\u00e9e aux menaces, entre autres.  Les sections suivantes contiennent plus de d\u00e9tails sur les capacit\u00e9s de Wazuh qui aident \u00e0 prot\u00e9ger les infrastructures critiques.<\/p>\n<h4 style=\"text-align: left;\">Analyse des donn\u00e9es de journal<\/h4>\n<p>Le module d&#8217;analyse des donn\u00e9es de journal Wazuh collecte et analyse les donn\u00e9es de s\u00e9curit\u00e9 provenant de diverses sources.  Ces donn\u00e9es incluent les journaux d&#8217;\u00e9v\u00e9nements syst\u00e8me, les journaux d&#8217;application et les journaux de comportement anormal du syst\u00e8me.  Par cons\u00e9quent, les donn\u00e9es analys\u00e9es sont utilis\u00e9es pour la d\u00e9tection des menaces et la r\u00e9ponse automatis\u00e9e.  Cette fonctionnalit\u00e9 vous donne une visibilit\u00e9 sur les \u00e9v\u00e9nements qui se produisent \u00e0 diff\u00e9rents points de terminaison de votre infrastructure.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Tableau de bord Wazuh\" border=\"0\" data-original-height=\"343\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670424047_286_Comment-XDR-aide-a-proteger-les-infrastructures-critiques.png\" title=\"Tableau de bord Wazuh\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Fig 1 : \u00c9v\u00e9nements de s\u00e9curit\u00e9 d&#8217;un terminal surveill\u00e9 sur le tableau de bord Wazuh.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left;\">D\u00e9tection des logiciels malveillants<\/h4>\n<p>Wazuh poss\u00e8de plusieurs fonctionnalit\u00e9s qui aident \u00e0 la d\u00e9tection des logiciels malveillants.  De plus, Wazuh peut \u00eatre int\u00e9gr\u00e9 \u00e0 d&#8217;autres outils de s\u00e9curit\u00e9 comme <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/proof-of-concept-guide\/detect-malware-yara-integration.html\" target=\"_blank\">YARA<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/proof-of-concept-guide\/detect-remove-malware-virustotal.html\" target=\"_blank\">VirusTotal<\/a> pour d\u00e9tecter les logiciels malveillants.  En configurant correctement Wazuh <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/cdb-list.html\" target=\"_blank\">Listes de la base de donn\u00e9es constante (CDB)<\/a>, les valeurs des alertes d\u00e9cod\u00e9es telles que les utilisateurs, les hachages de fichiers, les adresses IP ou les noms de domaine peuvent \u00eatre compar\u00e9es aux enregistrements malveillants.  Voici un article de blog qui montre comment <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/detecting-and-responding-to-malicious-files-using-cdb-lists-and-active-response\/\" target=\"_blank\">Wazuh peut \u00eatre int\u00e9gr\u00e9 aux listes CDB<\/a> pour d\u00e9tecter et r\u00e9pondre aux fichiers malveillants.  Cette capacit\u00e9 Wazuh vous aide \u00e0 d\u00e9tecter les logiciels malveillants sur divers terminaux surveill\u00e9s.<\/p>\n<h4 style=\"text-align: left;\">Surveillance de l&#8217;int\u00e9grit\u00e9 des fichiers<\/h4>\n<p>Le module Wazuh File Integrity Monitoring (FIM) surveille un syst\u00e8me de fichiers de point de terminaison pour d\u00e9tecter les modifications dans les fichiers et r\u00e9pertoires pr\u00e9d\u00e9finis.  Des alertes sont d\u00e9clench\u00e9es lorsqu&#8217;un fichier est cr\u00e9\u00e9, modifi\u00e9 ou supprim\u00e9 dans des r\u00e9pertoires surveill\u00e9s.  Vous pouvez voir comment ce module est utilis\u00e9 pour d\u00e9tecter les modifications apport\u00e9es \u00e0 un fichier de cl\u00e9 SSH dans le billet de blog <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/detecting-illegitimate-crypto-miners-on-linux-endpoints\/#:~:text=Detect%20modification%20to%20SSH%20keys%20file\" target=\"_blank\">D\u00e9tection des crypto-mineurs ill\u00e9gitimes sur les terminaux Linux<\/a>.  \u00c0 l&#8217;aide du module Wazuh FIM, vous pouvez d\u00e9tecter les modifications apport\u00e9es aux fichiers de configuration sur les syst\u00e8mes critiques et d\u00e9terminer si l&#8217;activit\u00e9 est autoris\u00e9e ou malveillante.<\/p>\n<h4 style=\"text-align: left;\">D\u00e9tection de vuln\u00e9rabilit\u00e9<\/h4>\n<p>Wazuh utilise le module de d\u00e9tection de vuln\u00e9rabilit\u00e9 pour trouver des vuln\u00e9rabilit\u00e9s sur un terminal surveill\u00e9.  La d\u00e9tection des vuln\u00e9rabilit\u00e9s fonctionne en effectuant des audits logiciels.  Ces audits sont rendus possibles en tirant parti des flux de vuln\u00e9rabilit\u00e9s index\u00e9s \u00e0 partir de sources telles que Canonical, Debian, Red Hat, Arch Linux, ALAS (Amazon Linux Advisories Security), Microsoft et la base de donn\u00e9es nationale des vuln\u00e9rabilit\u00e9s.  Ces flux sont corr\u00e9l\u00e9s par Wazuh avec les informations de l&#8217;inventaire des applications du terminal.  Les administrateurs doivent commencer la correction imm\u00e9diatement apr\u00e8s la d\u00e9tection des vuln\u00e9rabilit\u00e9s avant que des acteurs malveillants ne puissent les exploiter.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Tableau de bord Wazuh\" border=\"0\" data-original-height=\"346\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670424047_733_Comment-XDR-aide-a-proteger-les-infrastructures-critiques.png\" title=\"Tableau de bord Wazuh\"\/><\/div>\n<h4 style=\"text-align: left;\">R\u00e9ponse automatis\u00e9e aux menaces<\/h4>\n<p>Le module de r\u00e9ponse active Wazuh peut \u00eatre configur\u00e9 pour ex\u00e9cuter automatiquement des contre-mesures lorsque des \u00e9v\u00e9nements correspondent \u00e0 des crit\u00e8res sp\u00e9cifiques.  Il peut ex\u00e9cuter des actions d\u00e9finies par l&#8217;utilisateur, telles qu&#8217;un blocage ou une suppression de pare-feu, la mise en forme ou la limitation du trafic, le verrouillage de compte, l&#8217;arr\u00eat du syst\u00e8me, etc. Le module de r\u00e9ponse actif a \u00e9t\u00e9 configur\u00e9 pour refuser la connexion r\u00e9seau \u00e0 partir d&#8217;une source malveillante identifi\u00e9e dans le billet de blog. <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/responding-to-network-attacks-with-suricata-and-wazuh-xdr\/\" target=\"_blank\">R\u00e9pondre aux attaques r\u00e9seau avec Suricata et Wazuh XDR<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Tableau de bord Wazuh\" border=\"0\" data-original-height=\"353\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjBGcrgFfidGQ2gaCaP_TRm0Lp4z9NsREwVCyZGmfZbWMX0RxY2e1Rr1Oh1itJiVfiaTFSVjPmG6EtoxJ1lmjBnBFaaIOlG8sF_V05zKupSRWfgH9KIW7LeZZdgBI4acWAXcBoeVrXu5oWUP9CUyXVJKRmcCyoFIKHWp-frEAiREZXZd4cElDMK4zmt\/s728-e1000\/wazuh-1.png\" title=\"Tableau de bord Wazuh\"\/><\/div>\n<h2 style=\"text-align: left;\">Conclusion<\/h2>\n<p>La mise en \u0153uvre de la s\u00e9curit\u00e9 sur plusieurs couches d&#8217;infrastructures critiques r\u00e9duit la surface d&#8217;attaque d&#8217;une organisation.  Nous avons mis l&#8217;accent sur quelques facteurs \u00e0 garder \u00e0 l&#8217;esprit pour maintenir une posture de s\u00e9curit\u00e9 appropri\u00e9e.  Pour prot\u00e9ger vos actifs num\u00e9riques, nous sugg\u00e9rons une solution qui fonctionne bien avec divers terminaux, syst\u00e8mes et technologies. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/\" target=\"_blank\">Wazuh<\/a> est une solution XDR gratuite et open source.  Il inclut les fonctionnalit\u00e9s n\u00e9cessaires pour d\u00e9couvrir les vuln\u00e9rabilit\u00e9s, d\u00e9terminer l&#8217;\u00e9tat de la configuration du syst\u00e8me et r\u00e9pondre aux menaces sur vos actifs num\u00e9riques.  Wazuh prend \u00e9galement en charge les normes de conformit\u00e9 telles que PCI DSS, HIPAA, NIST et GDPR.  Wazuh a une croissance constante <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/community\/\" target=\"_blank\">communaut\u00e9<\/a> o\u00f9 l&#8217;assistance est fournie aux utilisateurs.  D\u00e9couvrez le Wazuh <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/index.html\" target=\"_blank\">Documentation<\/a> pour plus d&#8217;informations.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/how-xdr-helps-protect-critical.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les infrastructures essentielles sont importantes pour l&#8217;existence, la croissance et le d\u00e9veloppement de la soci\u00e9t\u00e9. Les soci\u00e9t\u00e9s d\u00e9pendent des services fournis par des secteurs d&#8217;infrastructures critiques comme les t\u00e9l\u00e9communications, l&#8217;\u00e9nergie, les soins de sant\u00e9, les transports et les technologies de l&#8217;information. La s\u00fbret\u00e9 et la s\u00e9curit\u00e9 sont n\u00e9cessaires au fonctionnement optimal de ces infrastructures critiques. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":499686,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1156,767,4168,5729,4158,4165,4161,6121,4157,4159,4171,4170,65,4167,4160,4163,4162,2169,4172,4169,4166,4164,33574],"class_list":["post-499685","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aide","tag-comment","tag-comment-pirater","tag-critiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-infrastructures","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-proteger","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-xdr"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/499685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=499685"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/499685\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/499686"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=499685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=499685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=499685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}