À propos du client
Les erreurs commises par les employés peuvent entraîner la fuite d'identifiants, de clés API, de données personnelles et de propriété intellectuelle. Bien que ces risques ne soient pas motivés par une intention malveillante, ils peuvent causer autant de dommages qu'une cyberattaque et nécessitent des mesures d'atténuation actives.
Lorsque des dépôts privés sont rendus publics par erreur, ou que des acteurs malveillants infiltrent des dépôts qui devraient être restreints, ils peuvent voler des informations sensibles telles que des identifiants de connexion, des certificats et des clés API sur le web public.
La multiplication des sources de données à surveiller simultanément et la rapidité de leur mise en ligne représentent un défi de taille pour les équipes de sécurité aux ressources limitées. Par ailleurs, la fiabilité de la collecte et de la surveillance des données, ainsi que la précision du système d'alerte interne, sont essentielles à une gestion efficace des risques.
Les données brutes doivent être contextualisées afin de pouvoir évaluer rapidement leur criticité. La réduction du bruit est essentielle, car la quantité d'informations collectées rend la simple collecte et l'agrégation insuffisantes.
L'équipe de sécurité d'une grande banque peinait à surveiller efficacement et régulièrement les fuites de données manifestes dues à des erreurs humaines, comme celles provenant de GitHub. Lorsqu'elle en détectait une, une cellule de crise était mobilisée et la résolution durait des heures, faute de visibilité sur la fuite.
Défi : Augmenter les surfaces Web claires à surveiller
L'équipe de sécurité d'une grande banque savait qu'elle devait surveiller de près GitHub et d'autres plateformes de partage de données, mais cette tâche était souvent négligée en raison de la complexité du contenu. Périodiquement, un analyste de sécurité effectuait manuellement des recherches sur GitHub à partir de requêtes générales. Le nombre de résultats était considérable et l'identification des fuites potentielles exigeait un investissement en temps extrêmement important.
Des analystes de sécurité ou leurs collègues d'autres équipes ont découvert de multiples fuites de données, ce qui a déclenché des opérations de réponse aux incidents d'envergure. Généralement, une équipe de six personnes, composée d'analystes, de responsables et de directeurs, se réunissait pendant six à sept heures dans une salle de crise pour tenter de comprendre l'origine de la fuite de données en procédant comme suit :
- Trouver sa source
- Identifier les impacts potentiels
- Les identifiants et clés API à rotation continue
- Contacter d'autres employés actuels et anciens
Le responsable de la sécurité des systèmes d'information de la banque était également impliqué personnellement dans chaque incident, car le niveau de menace était toujours inconnu au début de l'incident.
Mise en œuvre : Flare élimine le bruit, contrairement à d'autres solutions.
L'équipe de sécurité a testé plusieurs solutions pour améliorer ses capacités de surveillance et de réponse, mais le niveau de bruit et de faux positifs a fait de nombreux outils une charge supplémentaire pour l'équipe.
Flare était la seule solution qui combinait des systèmes de collecte de données de pointe avec une réduction du bruit robuste et des alertes priorisées, leur fournissant le contexte nécessaire pour pouvoir instantanément classer le niveau de criticité de chaque fuite de données sans des centaines d'heures de travail.
L'équipe de sécurité a été opérationnelle en quelques heures et a profité de sa nouvelle capacité de traitement pour optimiser les processus en aval de la réponse aux incidents.
Avantage : Réduction significative des coûts de réponse aux incidents
Grâce à l'association de Flare et des nouveaux processus mis en place, l'équipe CTI est désormais opérationnelle et réagit de manière proactive aux fuites de données techniques. La cellule de crise n'est plus nécessaire et le RSSI est informé chaque semaine des mesures correctives prises. Son implication directe n'est requise que si la fuite est immédiatement classée comme présentant un risque très élevé.
Gérer un incident en 30 minutes avec une fusée éclairante
Flare a détecté des données sensibles publiées par un ancien employé. L'équipe de sécurité a rapidement identifié et informé le responsable de cet ancien employé, qui l'a contacté pour lui demander de supprimer le contenu. Moins de 30 minutes après l'alerte Flare, les informations sensibles ont été retirées de GitHub et l'incident a été maîtrisé.
Flare permet à la banque de cibler les fuites de données complexes et difficiles à détecter, même pour les experts du domaine (par exemple, une fuite de clé API dans un fichier de code où le nom de domaine de l'organisation n'apparaît pas). Cela augmente le nombre de détections tout en réduisant les alertes inutiles.
