Sanofi bloque une cyberattaque en temps réel grâce à Cognito

Sanofi bloque une cyberattaque en temps réel grâce à Cognito

Sanofi bloque une cyberattaque en temps réel grâce à Cognito

Sanofibloque une cyberattaque

en temps réel grâce à Cognito

Sanofibloque une cyberattaque

en temps réel grâce à Cognito

By:
投稿者:
Hitesh Sheth
February 10, 2021

Quel est le point commun entre l'usurpation d'identité, WhatsApp et un document Microsoft Word conçu à des fins malveillantes ? Pour répondre à cette question, permettez-moi de revenir un peu en arrière.

Près d'une année s'est écoulée depuis le début de la pandémie de COVID-19. Le secteur de la santé étant devenu une cible de choix pour le cybercrime organisé, les laboratoires pharmaceutiques doivent impérativement protéger leurs données. Le passage au télétravail a accéléré l'adoption des services cloud dans tous les secteurs, en particulier au sein des établissements de santé, en raison de la progression de la télémédecine et des nouvelles mesures de travail à distance.

Alors que tous les regards sont braqués sur le secteur de la santé, nous avons constaté que les cyberpirates redoublaient de créativité pour infiltrer les entreprises sans être repérés.  

Prenons l'exemple d'un cybercriminel qui se fait passer pour un recruteur à l'aide d'un profil LinkedIn frauduleux usurpant l'identité d'une personne forte d'une longue expérience dans le domaine du recrutement. Ce cyberpirate contacte des utilisateurs en leur faisant une offre d'emploi alléchante. Dès qu'il tient une cible, il entretient une relation avec elle via WhatsApp pendant plusieurs jours. La cible reçoit ensuite un document Word infecté qui, une fois ouvert, permet au cybercriminel d'accéder au système d'une entreprise. Cette technique d'ingénierie sociale permet au cyberpirate de cibler et de compromettre le personnel de l'entreprise. C'est exactement de cette façon qu'un employé peu méfiant de Sanofi, une multinationale pharmaceutique, est tombé dans le piège d'une attaque. C'est là que commence notre histoire.

J'ai eu la chance de rencontrer Jean-Yves Poichotte, Responsable de la cybersécurité chez Sanofi, et Richard Webster, Directeur du centre des opérations de cybersécurité de Sanofi, pour discuter du déroulement de cette attaque et leur expliquer pourquoi un partenariat avec Vectra était essentiel pour prévenir les violations de données.

Illustration translation : Vectra est un éditeur modèle… Il offredes fonctions performantes de détection et d'aide à la résolution desincidents.

« Nous travaillons avec de nombreux éditeurs, m'a expliqué Jean-Yves Poichotte. Rares sont ceux qui font preuve d'un tel engagement envers leurs partenariats. Vectra et son équipe les placent au cœur de leurs préoccupations. »

La valeur ajoutée de Cognito

Que se passe-t-il lorsque des comptes sont compromis et qu'un cyberpirate infiltre une entreprise par le biais d'outils et de processus légitimes ? Le comportement malveillant du cybercriminel passe inaperçu au milieu des nombreuses activités normales et n'est pas détecté par les analyses au niveau des terminaux. Dans pareil cas, les solutions de détection et d'aide à la résolution des incidents pour terminaux (EDR) ont déjà été infectées et ne sont plus en mesure de combattre la menace. C'est exactement le problème que Sanofi a pu résoudre en faisant appel à Vectra.  

Nous avons comblé une faille spécifique dans la stratégie de sécurité de Sanofi, en lui offrant une visibilité et une couverture complètes entre ses déploiements d'entreprise et cloud. Pendant les simulations d'attaques, il s'est révélé que Sanofi avait besoin d'une solution à même de détecter les attaques capables de contourner les outils existants, tels que les solutions EDR, ce que les systèmes de gestion des événements et des informations de sécurité (SIEM) ne permettent pas.  

La plate-forme Cognito de détection et d'aide à la résolution des incidents réseau (NDR) de Vectra applique des algorithmes d'apprentissage automatique pilotés par l'intelligence artificielle pour détecter, prioriser et contrer automatiquement les cyberattaques en cours. Cognito offre une visibilité haute fidélité sur l'ensemble du réseau et du cloud, ainsi que sur tous les systèmes d'exploitation, équipements et applications, y compris les équipements BYOD et de l'Internet des objets (IoT).

Illustration translation : La cybersécurité diffère des autres domaines informatiques.
Il ne suffit pas d'acheter une solution prête à l'emploi et de l'utiliser. Les attaques ne
cessent d'évoluer et nous devons constamment nous y adapter.

La capacité de Cognito à surveiller l'ensemble du trafic réseau et cloud en continu empêche les cyberpirates de contourner les défenses. Prioriser les menaces les plus dangereuses avec un degré de certitude élevé permet d'adopter une approche confiante de l'automatisation de la surveillance des menaces. Selon Richard Webster, c'est grâce à la technologie Cognito que Sanofi a pu détecter et stopper l'attaque.

Une solution NDR renforce le centre SOC

Bien que l'architecture de sécurité de Sanofi soit conçue pour gérer les opérations complexes, cette attaque a réussi à échapper aux outils déjà en place. Richard Webster a expliqué : « Je n'arrête pas de répéter à mon équipe que nous devons constamment mettre en place de nouveaux systèmes de détection. Nous ajoutons sans cesse de nouvelles couches de systèmes de détection, mais seuls deux d'entre eux ont été efficaces contre cette attaque. » Les deux systèmes auxquels il fait référence sont les solutions EDR et NDR.

Lorsque j'ai demandé à Jean-Yves Poichotte et à Richard Webster de choisir entre une solution EDR et NDR, le Directeur du centre des opérations de cybersécurité a répondu que les deux étaient essentielles pour garantir la sécurité d'un environnement. « Il m'est impossible de choisir entre l'une ou l'autre. Il me faut les deux. Je souhaite bénéficier de la meilleure visibilité possible et pouvoir procéder à des investigations numériques poussées avec les technologies EDR et NDR. » Et de préciser que les cyberpirates peuvent compromettre le terminal et désactiver la solution EDR, ce qu'ils ne peuvent pas faire avec la solution NDR. « Il est plus difficile de neutraliser la solution NDR », a-t-il affirmé.

Illustration translation: Il est indispensable que nous puissions collaborer
étroitement avec nos éditeurs. Nous devons établir une relation de confiance
avec les experts derrière les solutions que nous utilisons. C'est la clé pour une
sécurité renforcée. Cette relation de confiance, nous l'avons avec Vectra.

Si une solution EDR est essentielle pour protéger les terminaux, une solution NDR est essentielle pour protéger le réseau. Sanofi a utilisé Cognito Detect et Cognito Recall en tandem pour détecter les menaces et suivre la progression de l'attaque. Si Cognito Detect a permis d'intervenir en temps réel, Cognito Recall a aidé l'équipe Sanofi à effectuer des investigations numériques par la suite. « Au cours de cette attaque, nous avons pu accéder à Recall et voir ligne par ligne quelles actions étaient exécutées, a continué Richard Webster. Nous pouvions voir les ouvertures de fichiers, les fichiers lus, les noms des fichiers, le nombre d'octets, etc. » Cette visibilité complète sur la progression de l'attaque a ensuite permis à l'équipe de créer des cadres de détection pour se prémunir contre les futures attaques employant des tactiques similaires.

Sanofi et Vectra : l'union fait la force

Jean-Yves Poichotte, Richard Webster et moi-même avons terminé notre conversation en soulignant la qualité du partenariat entre nos entreprises. Cette attaque a démontré que lorsqu'un cyberpirate parvient à dérober des identifiants et à contourner les solutions traditionnelles de protection des terminaux, une solution NDR s'avère efficace.

Cette attaque n'aurait jamais pu être déjouée sans une collaboration enthousiaste entre nos équipes. Vectra met à disposition la plate-forme, tandis que Sanofi apporte ses cas d'utilisation uniques, ce qui nous permet d'innover ensemble, de résoudre les problèmes et de partager notre savoir-faire technique.  

À mesure que Sanofi continue à s'adapter au cloud et à renforcer sa sécurité, Jean-Yves Poichotte et Richard Webster espèrent poursuivre leur partenariat avec Vectra. Jean-Yves Poichotte a ajouté : « Vectra nous fait profiter de ses capacités d'innovation et de son expertise technique. Mon équipe chez Sanofi formule des commentaires sur les solutions. Ensemble, nous avançons sur le chemin du progrès et de la maturité. »

Nous avons conclu notre conversation par une session de questions-réponses avec le public. Bien que nous n'ayons pas pu traiter toutes les questions en direct, nous y avons répondu dans ce document, qui inclut les commentaires de Jean-Yves Poichotte et Richard Webster.  

Découvrez les méthodes qu'ont employé les cyberpirates pour lancer l'attaque, en tirant parti de LinkedIn, WhatsApp et Microsoft Word, et comment les solutions Cognito Detect et Cognito Recall de Vectra ont permis à Sanofi de la stopper net.  

Écoutez ma conversation avec Jean-Yves Poichotte et Richard Webster, et regardez notre vidéo à la demande.

About the author

Hitesh Sheth

Hitesh Sheth is the president and CEO of Vectra. Previously, he held the position of chief operating officer at Aruba Networks. Hitesh joined Aruba from Juniper Networks, where he was EVP/GM for its switching business and before that, SVP for the Service Layer Technologies group, which included security. Prior to Juniper, he held a number of senior management positions in the switching organization at Cisco, including running its metro Ethernet business. Before Cisco, he held executive and engineering management positions at Liberate Technologies and Oracle Corporation. He started his career as a Unix programmer at the Santa Cruz Operation. Hitesh holds a BA degree in Computer Science from the University of Texas at Austin.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

How a Global Retailer Passed Red Team Tests with Vectra

April 30, 2021
Read blog post
Cybersecurity

2021年の挑戦:サイバーセキュリティと女性

March 8, 2021
Read blog post
Cybersecurity

Choosing to Challenge 2021: Women in Cybersecurity

March 7, 2021
Read blog post