Les attaques informatiques ont connu une croissance exponentielle ciblant aussi bien les entreprises que les gouvernements.
Les menaces de type APT (Advanced Persistent Threats) sont des scénarios où des attaquants avancés compromettent un système d'information et y restent actifs pendant des années sans pour autant être détectés. Comment une entreprise peut-elle déterminer si un attaquant a déjà contourné son dispositif de sécurité ? En particulier, comment peut-elle reconnaître une attaque avancée et persistante (APT) que les solutions de sécurité les plus répandues ne détectent pas ?
Compromise Discovery est une solution développée par PwC qui vous permet d'avoir une approche proactive d'identification des éventuelles compromissions de votre SI, en analysant des signaux faibles sur un large périmètre.
Les bénéfices de Compromise Discovery
Facile à déployer à l'échelle. Pas d'agent spécifique à installer.
Recense les comportements à risque et les traces suspectes pouvant indiquer une attaque en cours ou passée.
Fournit une analyse précise de la conformité de votre parc informatique.
Nous avons développé la solution Compromise Discovery suite à une question fréquente de nos clients, posée à la suite de nos évaluations de sécurité : "Je sais désormais que je suis en risque, mais est-ce déjà trop tard ?". Notre approche a permis d'identifier des attaques discrètes sur les périmètres les plus à risques de nos clients : on peut citer la présence d'un malware bancaire sur le poste d'un trésorier de filiale, un accès distant à l'environnement d'un assistant de direction ou la présence de solutions non sécurisées d'accès distant laissées sur un serveur critique par un fournisseur.
Jamal Basrire, Associé, Cybersécurité chez PwC France et Maghreb
- Définition du périmètre de machines du SI à analyser
- Première collecte de données nécessaires à la détection d'une compromission
- Analyse limitée à 500 endpoints
- Détection des comportements suspects & des signaux faibles
- Remise d'un rapport avec une vue globale du SI
- Définition du périmètre de machines du SI à analyser
- Collecte initiale + collecte mensuelle pendant un an
- Analyse limitée à 500 endpoints
- Détection des comportements suspects & des signaux faibles
- Remise d'un rapport initial avec une vue globale du SI puis d'une mise à jour mensuelle permettant de suivre l'évolution
- Définition du périmètre de machines du SI à analyser
- Collecte initiale + collecte mensuelle pendant un an
- Analyse limitée à 1000 endpoints
- Détection des comportements suspects & des signaux faibles
- Remise d'un rapport avec une vue globale du SI
- Accès à notre service de Réponse à incident (mobilisable 7j/7), 2 premiers jours d'analyse inclus
- Accès à notre plateforme de veille sur les menaces Threat Watch
Réservez une démo
F.A.Q
Qu'est-ce qu'un indicateur de compromission ?
Les « indicateurs de compromission » sont des artéfacts ou comportements techniques dont la présence témoigne d’une activité malicieuse sur le système d’information
Quels sont les indicateurs de compromission les plus connus ?
- Traces de tentatives d'authentification avortées sur un ensemble de serveurs
- Comportement anormal des processus Windows conventionnels
Comment fonctionne la solution de collecte Compromise Collector de PwC ?
Le collecteur de PwC est basé sur l'utilitaire DFIR-ORC développé par l'ANSSI. Il peut être lancé via diverses méthodes d'exécution, la méthode privilégiée étant le déploiement par GPO. L'exécution du collecteur génère un fichier zip contenant des exports d'artefacts au format texte, et qui est ensuite récupéré sur un serveur de fichier pour analyse par PwC. La collecte ne nécessite aucun accès distant de PwC, une fois configurée par le client.
Quels types d'analyses sont réalisés par PwC dans sa plateforme ?
La plateforme Compromise Analytics est un environnement modulaire, mis continuellement à jour avec de nouveaux tests et de nouvelles analyses. Elle repose sur plusieurs types de traitements :
- Enrichissement avec des bases internes ou externes de Threat Intelligence (comparaison sur base de signatures ou d'indicateurs techniques, les données du clients ne sont pas envoyées chez des tiers)
- Recherche de comportements suspects connus (techniques) ou de comportements divergeants par rapport à un fonctionnement nominal d'un système
- Analyses statistiques à l'échelle du parc (comportements ou fichiers peu répandus, comportement divergeant par rapport au reste du parc).
Une fois ces tests réalisés, les écarts sont analysés manuellement par un expert PwC afin d'éliminer les faux positifs et d'investiguer dans les données pour comprendre l'étendue d'une potentielle compromission.