6 janvier 2025
La détection et la réponse aux menaces liées aux données (DDR) est une technologie de cybersécurité qui surveille et protège les données, quel que soit leur format et leur emplacement, dans des environnements sur site, cloud et multicloud.
Contrairement à d’autres outils de prévention des pertes de données (DLP) qui surveillent l’infrastructure réseau et les terminaux à la recherche d’activités suspectes, les outils DDR se concentrent sur les données elles-mêmes, en suivant leur mouvement et leur activité.
Pensée comme une approche proactive de la sécurité cloud, la DDR permet de détecter en temps réel les cybermenaces pesant sur les données au repos ou en mouvement. Elle permet également d’automatiser la réponse aux cyberattaques, afin que les violations de données, les attaques par rançongiciel et autres tentatives d’exfiltration puissent être neutralisées dès qu’elles se produisent.
Renforcez vos renseignements de sécurité
Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.
Les solutions de DDR sont importantes car elles permettent de remédier aux vulnérabilités des données cloud distribuées sur plusieurs plateformes, applications, entrepôts de données et environnements SaaS (logiciel en tant que service).
La nature ouverte et interconnectée du cloud computing peut mettre en danger des informations sensibles telles que les données clients, les données personnelles (PII) et les données financières.
Selon le rapport sur le coût d’une violation de données d’IBM, 40 % des violations de données concernent des données stockées dans plusieurs environnements. Les données volées dans les clouds publics ont entraîné le coût moyen de violation le plus élevé, soit 5,17 millions de dollars.
Avec la multiplication des réglementations sur la confidentialité des données et le coût sans précédent des violations de données à l’échelle mondiale, les entreprises doivent impérativement mettre en place des stratégies efficaces de sécurité des données dans le cloud.
Les solutions de sécurité telles que la détection et la réponse des terminaux (EDR), la détection et la réponse étendues (XDR) et les pare-feu protègent contre les menaces de données au niveau du réseau et des appareils. Cependant, comme les périmètres réseau sont souvent poreux dans les réseaux connectés au cloud, ces mesures de sécurité offrent une protection limitée lorsque les données circulent ou existent simultanément sur plusieurs systèmes.
La DDR, quant à elle, opère au-delà des périmètres réseau. Elle surveille et protège les données elles-mêmes, quel que soit leur emplacement.
Grâce à la découverte et à la classification des données, la DDR localise les données sensibles. Elle suit ensuite leur mouvement et leur utilisation dans les environnements multicloud.
Les capacités d’analytique avancée et de détection des anomalies permettent aux outils de DDR d’identifier les activités malveillantes ou les comportements suspects des utilisateurs. Ainsi, un accès non autorisé, des téléchargements massifs d’informations, des transferts de données tard dans la nuit ou une adresse IP provenant d’un emplacement inhabituel peuvent être le signe d’une cyberattaque.
La DDR est généralement déployée dans le cadre d’un système de data security posture management (gestion de la posture de sécurité des données, DSPM). Le DSPM fournit une vue centralisée des menaces potentielles dans les environnements cloud d’une organisation. La DDR assure la protection des données en temps réel pour détecter ces menaces et y répondre.
Les organisations peuvent également intégrer la DDR à d’autres outils de sécurité tels que la gestion de la posture de sécurité du cloud (CSPM), l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des informations et des événements de sécurité (SIEM) et les solutions de gestion des risques.
Une solution de détection et de réponse aux menaces liées aux données se compose de quatre éléments principaux :
- Surveillance
- Détection
- Alertes
- Réponse
La détection et réponse aux menaces sur les données (DDR) consiste à surveiller en permanence et en temps réel les journaux d’activité des données, afin d’identifier et d’isoler les incidents de sécurité dès qu’ils se produisent.
En suivant les flux de données et les interactions entre plusieurs plateformes cloud, la DDR s’appuie sur la traçabilité des données pour surveiller les menaces potentielles. La traçabilité des données indique la provenance, le parcours, la destination et la transformation des différents types de données. Ces informations aident la DDR à savoir si et quand des données sensibles peuvent être en danger, par exemple si des données sont transférées vers un système imprévu ou modifiées de manière inattendue.
Lorsqu’un outil de DDR surveille des données, il s’appuie sur le machine learning et l’analyse comportementale pour détecter les écarts par rapport aux activités de référence. Ainsi, une demande d’accès inhabituelle à des données, un téléchargement important d’informations sensibles ou une augmentation soudaine de l’activité d’un utilisateur peuvent être le signe d’un risque.
Ce type de détection des menaces gagne en précision au fil du temps, puisque la DDR apprend à reconnaître les écarts subtils par rapport aux habitudes et aux comportements normaux.
Lorsqu’une violation ou une anomalie potentielle est détectée, la DDR déclenche une alerte pour avertir les équipes de sécurité concernées. Les alertes sont générées par ordre de priorité afin que le personnel ne soit pas submergé de notifications ou de faux positifs. En général, seules les menaces pesant sur des données sensibles déclenchent une alerte, ce qui permet aux équipes d’enquêter rapidement et de résoudre le problème.
La réponse aux incidents est la dernière composante de la détection et de la réponse aux menaces liées aux données. Les capacités de réponse automatisée de DDR permettent de prendre des mesures immédiates pour contenir les violations de données. Ces mesures peuvent inclure l’isolement des systèmes affectés, la suspension du trafic réseau et le blocage des autorisations des utilisateurs.
La DDR peut également générer des rapports d’incident détaillés pour aider les équipes à comprendre les causes des violations de données afin qu’elles puissent mettre à jour leurs politiques de sécurité en conséquence.
Prévenir l’exfiltration de données
L’exfiltration de données est le transfert non autorisé d’informations depuis les systèmes internes d’une organisation. Un employé peut par exemple tenter de télécharger des informations confidentielles ou des secrets commerciaux avant de quitter l’entreprise pour rejoindre un concurrent. Un cybercriminel peut également voler des données personnelles pouvant être utilisées pour commettre une fraude à la carte bancaire.
La DDR empêche l’exfiltration en surveillant et en détectant les activités de données suspectes en temps réel. Sa capacité de réponse automatisée permet de prévenir tout téléchargement de données malveillant et d’en alerter les équipes de sécurité afin qu’elles prennent des mesures supplémentaires.
Détecter les menaces internes
Les menaces internes peuvent être difficiles à détecter car elles proviennent d’utilisateurs autorisés de l’organisation, tels que des employés, des sous-traitants et des partenaires commerciaux. Les cybercriminels peuvent parfois dérober des identifiants vérifiés afin de s’en servir.
Plus une menace interne reste longtemps non détectée, plus les dommages causés par le vol ou la manipulation de données à des fins malveillantes peuvent être importants.
La DDR offre l’avantage de détecter les menaces internes plus rapidement que les solutions traditionnelles. Au lieu de détecter le vol de données après coup, elle peut repérer les signes avant-coureurs des menaces internes. Grâce à l’analyse comportementale et à la détection des anomalies, la DDR identifie les comportements suspects des utilisateurs autorisés, déclenche des alertes de sécurité et répond aux menaces avant ou pendant qu’elles se produisent.
Atténuer les attaques par ransomware
Les ransomwares sont des logiciels malveillants qui chiffrent les données sensibles d’une entreprise et les détiennent contre rançon. C’est l’une des formes les plus courantes de logiciels malveillants et elle peut coûter des millions de dollars aux entreprises touchées. Selon le rapport sur le coût d’une violation de données, les attaques par ransomware coûtent en moyenne 4,91 millions de dollars aux entreprises.
La DDR peut atténuer les attaques par ransomware en surveillant et en identifiant les anomalies dans l’accès aux données et l’activité des données en temps réel.
Ainsi, elle peut détecter le chiffrement imprévu de gros volumes d’informations, souvent le signe d’une attaque par ransomware. La DDR peut alors isoler automatiquement le système affecté pour contenir l’attaque et alerter les équipes de sécurité afin qu’elles prennent des mesures supplémentaires.
Contrôle et gestion de la conformité
Les entreprises sont soumises à des pressions pour se conformer aux réglementations en matière de protection des données, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) et le Règlement général sur la protection des données (RGPD). Le non-respect de ces obligations peut entraîner des amendes, des sanctions et une atteinte à la réputation de la marque.
La DDR aide les entreprises à gérer la conformité des données en surveillant en permanence les données, en effectuant des audits de données et en contrôlant les journaux d’accès. Cette fonctionnalité aide les entreprises à adapter leurs capacités de protection des données aux exigences réglementaires. Toute lacune en matière de protection ou toute violation éventuelle peut être rapidement identifiée et corrigée.
Ressources
Avec l’IBM X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Protégez votre organisation contre les menaces mondiales grâce à l’équipe IBM X-Force composée de hackers, d’intervenants, de chercheurs et d’analystes spécialistes des menaces.
Les coûts liés aux violations de données ont atteint un nouveau sommet. Découvrez comment aider vos équipes informatiques et de sécurité à mieux gérer les risques et à limiter les pertes.
Restez au fait des dernières tendances et actualités en matière de sécurité.