man-looking-at-laptop-screen-wearing glasses

Présentation de la Threat Interaction Map : découvrez le déroulement complet de l'attaque au sein de votre espace de travail agentique

Share with your network!

Principaux points à retenir

  • Fournie avec Proofpoint Collaboration Security Prime, la Threat Interaction Map réunit détection, réponse et visibilité au sein d'un tableau de bord unique.
  • Découvrez le déroulement complet de l'attaque sur l'ensemble des canaux et à toutes les étapes, et pas seulement à travers des alertes isolées.
  • Accélérez la réponse et réduisez la durée d'implantation grâce à un contexte instantané qui facilite la priorisation des investigations.

Un problème invisible : quand la protection ne suffit pas
Voici une vérité dérangeante qui empêche les responsables de la sécurité de dormir la nuit : même en déployant les meilleures protections qui soient sur tous les canaux, vous ne pouvez pas être sûr d'être réellement en sécurité.

Pourquoi ? Parce que les attaques les plus sophistiquées d'aujourd'hui ne se limitent pas à un seul domaine. Leur conception repose sur une approche multicanal et en plusieurs phases : elles commencent par utiliser un compte fournisseur compromis pour lancer une attaque de phishing, puis changent de cap via Microsoft Teams afin de compromettre le compte d'un collaborateur, avant d'établir leur persistance via la manipulation de l'authentification multifacteur (MFA), pour aboutir finalement à l'exfiltration de données via une application cloud. Chaque étape peut être détectée par un outil différent. Et chaque outil génère une alerte distincte dans une console qui n'est pas reliée aux autres.

Cette situation crée un angle mort dangereux. Certes, votre infrastructure de sécurité bloque sans doute certaines menaces. Mais sans une visibilité claire sur l'ensemble du cycle de vie de l'attaque, vous ne pouvez pas savoir ce qui vous échappe. Une protection sans visibilité n'est pas une protection fiable.

En d'autres termes, vous ne pouvez pas répondre avec certitude aux questions les plus importantes :

  • Un même cybercriminel cible-t-il plusieurs collaborateurs via différents canaux de communication ?
  • Le cybercriminel a-t-il réussi à étendre son accès après la compromission initiale ?
  • Quelles sont les relations de confiance – fournisseurs, partenaires, voire agents d'IA – exploitées ?
  • Qu'est-ce que nos contrôles automatisés ont permis de bloquer ? Et qu'est-ce qui nécessite une intervention humaine immédiate ?
  • Quelle a été l'ampleur de cette attaque au sein de notre écosystème de collaboration ?

À mesure que les entreprises adoptent l'espace de travail agentique – au sein duquel des assistants d'IA et des agents autonomes travaillent aux côtés des collaborateurs via la messagerie électronique, les plates-formes de collaboration et les environnements cloud –, ce défi s'accentue. En effet, la surface d'attaque s'étend, les relations de confiance se multiplient et les attaques couronnées de succès se propagent à la vitesse des machines. Et, dans le même temps, la capacité d'un cybercriminel à se déplacer latéralement au sein de votre environnement se renforce.

Une nouvelle approche : une visibilité unifiée sur l'ensemble de la chaîne d'attaque

Pour vous aider à relever ce défi, nous lançons la Threat Interaction Map. Intégrée au Threat Protection Workbench, qui fait partie de Proofpoint Collaboration Security Prime, cette fonctionnalité révolutionnaire transforme la manière dont les équipes de sécurité analysent les attaques modernes multicanales et en plusieurs phases, mènent l'enquête et y répondent.

La Threat Interaction Map ne se contente pas de détecter des menaces isolées. Elle retrace le déroulement complet de l'attaque. Pour ce faire, elle établit des corrélations entre les événements de sécurité au sein de l'ensemble de votre écosystème de collaboration, notamment :

  • Comptes email et cloud
  • Plates-formes de collaboration
  • Relations avec les fournisseurs
  • Clics des utilisateurs
  • Intégrations d'outils de sécurité tiers, tels que Microsoft Defender ou CrowdStrike Falcon

Ainsi, les analystes du centre d'opérations de sécurité (SOC) et les responsables de la sécurité disposent d'une chronologie visuelle unique et intuitive, où toutes les informations sont regroupées en un seul endroit. Ils bénéficient d'une visibilité sur divers éléments :

La source

D'où provenait l'attaque ? D'un compte fournisseur compromis ? D'un domaine malveillant ? D'un leurre de phishing généré par l'IA ? La Threat Interaction Map identifie le vecteur d'attaque initial et indique si des relations de confiance sont exploitées.

Le parcours

Qu'a fait ensuite le cybercriminel ?

Après avoir compromis un compte, a-t-il créé des règles de boîte email malveillantes ? Accédé à des fichiers sensibles dans SharePoint ? Lancé des attaques secondaires via Teams ? La carte permet de suivre en temps réel les déplacements latéraux à travers les différents canaux.

 

L'exposition

Quels sont les utilisateurs, les données ou les systèmes qui ont été exposés ? La Threat Interaction Map établit le lien entre la compromission initiale et l'impact potentiel sur les activités, afin de vous aider à évaluer votre exposition réelle avant que des dommages ne surviennent.

La réponse


Quelles menaces Proofpoint – ainsi que les contrôles tiers intégrés tels que Microsoft Defender ou CrowdStrike Falcon – a-t-il déjà bloquées ? Quelles sessions malveillantes ont été interrompues, quels emails ont été corrigés et quelles menaces ont été bloquées sur les endpoints ou au moment du clic ? Concrètement, quels sont les points que votre équipe doit analyser plus en profondeur ? La carte établit une distinction claire entre les menaces résolues et les incidents en cours.
 

Figure 1

Figure 1. Exemple d'investigation portant sur un fournisseur compromis à l'aide de la Threat Interaction Map

Pourquoi la Threat Interaction Map change tout

Vous trouverez ci-dessous quelques-uns des avantages de la Threat Interaction Map.

1. Gagnez en confiance grâce à une clarté totale

Lorsque vous êtes en mesure de visualiser l'intégralité du cycle de vie d'une attaque – depuis la compromission initiale jusqu'aux tentatives de pivot et à la réponse automatisée –, vous acquérez quelque chose d'inestimable : la confiance. Vous savez que vous êtes protégé même contre les menaces les plus sophistiquées.

La Threat Interaction Map regroupe les fonctionnalités de Proofpoint Collaboration Security Prime, tous canaux et toutes étapes confondus, au sein d'une vue unifiée. Elle aide les analystes de votre SOC à comprendre la relation entre les événements. Elle leur permet en outre d'avoir la certitude que vos défenses fonctionnent comme prévu tout au long de la chaîne d'attaque.

2. Accélérez la réponse aux menaces et réduisez la durée d'implantation

Le temps est l'ennemi de la réponse moderne aux incidents. Plus un cyberpirate reste implanté longtemps dans votre environnement, plus les dégâts sont importants.

La Threat Interaction Map réduit considérablement la durée des investigations, qui passe de plusieurs heures à quelques minutes, en fournissant un contexte instantané. Les analystes du SOC n'ont plus besoin de passer d'une console à l'autre pour établir manuellement des corrélations entre les événements ou reconstituer la chronologie des faits. L'intégralité du déroulement de l'attaque est immédiatement visible. Les analystes peuvent ainsi prendre des décisions plus rapidement.

Un impact concret : les entreprises qui utilisent Proofpoint Collaboration Security Prime font état d'une amélioration de 75 % de l'efficacité de leur personnel en ce qui concerne les tâches d'investigation et de remédiation.

« Là où il nous fallait auparavant deux heures pour répondre à une alerte, l'automatisation nous permet désormais de le faire en quelques secondes. » – Client de Proofpoint Prime – Édition entreprise

En accélérant la détection et la réponse, les entreprises réduisent considérablement la durée d'implantation des cybercriminels. Cela limite la marge de manœuvre dont dispose un cybercriminel pour exfiltrer des données et se déplacer latéralement – et vous aide à éviter toute perturbation de vos activités.

3. Bénéficiez d'un contexte instantané à des fins de priorisation intelligente

Tous les incidents de sécurité n'ont pas le même niveau d'urgence. Le défi pour les équipes SOC débordées consiste à distinguer rapidement et avec précision les incidents critiques du bruit de fond.

La Threat Interaction Map fournit un contexte immédiat permettant de relever ce défi. Lorsqu'une alerte se déclenche, les analystes peuvent immédiatement voir :

  • S'agit-il d'un événement isolé ou s'il s'inscrit dans le cadre d'une campagne plus large
  • Quels autres utilisateurs ou systèmes sont concernés
  • Quels contrôles automatisés ont déjà permis de contenir la menace

Ces renseignements contextuels permettent de définir intelligemment les priorités. Votre équipe peut ainsi se concentrer sur ce qui compte vraiment : les menaces actives qui nécessitent l'intervention d'un être humain. Ce faisant, elle évite de perdre du temps à enquêter sur des faux positifs ou des menaces qui ont déjà été neutralisées par l'automatisation.

L'avenir des opérations de sécurité
La Threat Interaction Map marque un tournant majeur dans la manière dont les entreprises abordent les opérations de sécurité. Elle va au-delà de la détection isolée des menaces pour offrir une threat intelligence unifiée, en reliant les différents événements au sein de l'ensemble de votre écosystème de collaboration.

La Threat Interaction Map est une fonctionnalité conçue pour le paysage des menaces modernes. Elle vous offre les avantages suivants :

  • Une visibilité multicanale sur les emails et, à des niveaux supérieurs, sur la messagerie, les outils de collaboration, les comptes compromis et l'activité des fournisseurs
  • Une corrélation en plusieurs étapes qui relie les signaux d'attaque et cartographie la progression des menaces de bout en bout
  • Un contexte axé sur les analystes qui réduit la durée des investigations en regroupant les événements et les entités associés
  • Une vue unifiée des menaces qui remplace les alertes isolées par une compréhension globale des campagnes et de l'exposition aux risques
  • Une analyse des résultats des mesures correctives, montrant comment les actions (par exemple, le confinement des attaques ATO) ont eu un impact sur la menace

À mesure que les attaques gagnent en sophistication et que l'espace de travail agentique s'étend, ce niveau de visibilité devient essentiel.

Testez la Threat Interaction Map

La Threat Interaction Map est désormais disponible dans le cadre de Proofpoint Collaboration Security Prime. Les entreprises qui utilisent Proofpoint Prime bénéficient d'un accès immédiat à cette fonctionnalité révolutionnaire, ainsi qu'à la protection la plus complète du secteur contre les attaques multicanales et en plusieurs phases.

Testez la Threat Interaction Map ici ou, si vous êtes prêt à faire totalement confiance à vos défenses, planifiez une démonstration dès aujourd'hui.