La Réponse Autonome de Darktrace neutralise les ransomwares

« Le ransomware et les cyberattaques avancées vont s’accroître cette année en lien avec les conflits géo-politiques. Il faut apprendre à vivre avec », recommande Hippolyte Fouque, directeur chez Darktrace France.
En 2021, les 7 000 clients de l’éditeur ont signalé 150 000 attaques sur leur chaîne de valeurs. Dernière tendance des ransomwares observés par Darktrace, après la menace de publier des données exfiltrées, la triple-extorsion consiste à faire chanter les entreprises tierces de l’écosystème concerné par les données dérobées.

Détecter des signaux faibles en amont

L’IA Auto-Apprenante agrège de grandes masses de données en temps réel pour réaliser un profilage des machines et des utilisateurs. Elle contribue à mieux connaître le contexte propre à chaque organisation et à détecter les moindres signaux faibles qui précèdent une potentielle infection.

Une réaction immédiate et proportionnée devient ainsi possible, de façon continue ; c’est la Réponse Autonome. « Les technologies brevetées de Darktrace ciblent le segment de connexion posant un problème, en quelques secondes, sans imposer un blocage grossier et indiscriminé comme peuvent le faire la plupart des solutions de cybersécurité, » ajoute-t-il.

Par exemple, le téléchargement suspect d’un fichier en arrière-plan pourra être stoppé mais pas les autres processus en cours. Les activités métiers peuvent ainsi se poursuivent, sans interruption, durant la mise en place de contre-mesures.

Faire confiance à l’IA par étapes

Plutôt que d’identifier le malware lui-même, la stratégie consiste à reconnaître une étape préalable à son déclenchement. Mais comment accorder sa confiance aux nouveaux algorithmes d’IA ? « On n’est pas obligé de tout protéger avec la Réponse Autonome tout de suite. On peut commencer en mode confirmation durant les heures de travail. Le RSSI reçoit alors une alerte sur son smartphone si un lien quelconque peut poser un problème ; il décidera alors de le bloquer en un clic. La Réponse Autonome peut intervenir durant certaines heures de la journée, ou sur un périmètre critique du S.I., » précise-t-il.
L’IA a déjà démontré son efficacité en prévention de ransomwares comme Sodinokibi du groupe REvil, en stoppant le téléchargement silencieux d’exécutables ou en détectant une connexion inhabituelle au contrôleur de domaine avant un envoi de fichiers vers l’extérieur. En effet, l’exfiltration de données est une technique souvent adoptée pour menacer de divulguer des données volées et chiffrées à l’insu de l’organisation ciblée.

« L’entreprise croule sous les alertes d’outils fonctionnant en silo, difficiles à orchestrer entre eux. Il faut retenir des technologies plus englobantes qui simplifient la visibilité, mettent à profit l’intelligence humaine et prennent à leur charge les tâches chronophages et répétitives. »

Si vous souhaitez plus d’informations sur le sujet, visionnez le replay de la slot Darktrace à l’occasion de la Silicon Week.