Le forensic se développe, même en entreprise. Initialement, il s'appliquait principalement à la résolution de problèmes de sécurité et à enquêter sur les cybermalveillants.
Mais, ces dernières années, les outils et techniques forensic ont été appliqués à un plus grand nombre de cas d'utilisation et de types d'incidents, lit-on dans le “State of Enterprise DFIR” de Magnet Forensics, qui développe des outils forensic.
Exfiltration de données
Si l'on considère les quelque 500 réponses à l'enquête d'un point de vue général, on constate que trois éléments se dégagent :Premièrement, le forensic dans le monde de l'entreprise concerne de plus en plus la réponse à incidents (RI), dans le contexte plus large des programmes de cybersécurité de l'entreprise.
D’ailleurs, 60 % des répondants à l'enquête font partie de l'organisation des opérations de sécurité (SecOps), où leur expertise est mise à profit pour enquêter sur les attaques de ransomware, l'exfiltration de données / le vol de propriété intellectuelle d'entreprise
(BEC- business email compromise).
Deuxièmement, en plus d'investir dans des outils modernes qui peuvent aider les praticiens de la DFIR (Digital Forensics & incident Response) à enquêter plus en profondeur sur les incidents, les entreprises doivent adopter l'automatisation dans le contexte spécifique du forensic.
Principale raison avancée : gagner du temps. Alors que 17 % des personnes interrogées déclarent qu'il faut moins de 24 heures en moyenne pour déterminer la cause première, plus d'un tiers (36 %) ont déclaré que cela prend entre un jour et une semaine.
Plus inquiétant encore, 22 % ont indiqué qu'il faut entre une semaine et un mois mois, et 21 % ont indiqué que la recherche de la cause profonde prend encore plus de temps.
Épuisement
Mais cette enquête confirme deux autres constats relevés par d’autres études : 54 % des personnes interrogées se sentent épuisées et près des deux tiers déclarent que le recrutement, l'embauche et l'intégration de professionnels qualifiés constituent un défi majeur. Or selon cette étude, l'un des principaux facteurs d'épuisement professionnel est le manque d'automatisation.Enfin, troisième point mis en avant par cette enquête, le leadership de la DFIR n'a jamais été plus précieux. 37 % des praticiens soulignent l'absence d'une stratégie cohérente en matière de RI.
Les personnes interrogées indiquent également qu'ils ont du mal à interpréter et à s'adapter à l'ensemble des exigences réglementaires en constante évolution qui influent sur leur rôle.
Compte tenu des coûts et des conséquences, les répondants à l'enquête ont indiqué que les endpoints infectés par des ransomwares ont l’impact le plus important sur leurs organisations ou clients respectifs.
Malheureusement, un écosystème de ransomware a prospéré et les attaquants (par exemple LockBit, Alphv et Black Basta pour ne citer qu'eux) savent faire pression pour obtenir des paiements.