Janvier 2024 : un tiers non autorisé a accédé aux données personnelles sensibles d'environ 16,6 millions de clients de LoanDepot. Août 2025 : Allianz Life a été victime d'une cyberattaque qui a compromis les données personnelles de plus d'un million de clients. Février 2026 : une attaque par ransomware contre BridgePay Network Solutions a rendu inaccessible le portail de facturation en ligne de la ville de Palm Bay, en Floride.
Une tendance claire se dessine, les institutions financières étant devenues une cible de choix pour les pirates informatiques.
Ces opérations sont souvent menées par des groupes criminels organisés spécialisés dans la cybercriminalité ou par des acteurs soutenus par des États, qui cherchent à en tirer des gains financiers importants ou à perturber le marché. Si vous travaillez dans le secteur financier et que vous pensez être à l'abri de ces risques, c'est que vous ne faites pas attention.
Le point d'entrée est rarement sophistiqué. Dans de nombreux cas, tout commence par un e-mail de hameçonnage. À partir de là, les pirates se déplacent latéralement, explorant les systèmes internes, élargissant leurs droits d'accès et se rapprochant de leur objectif initial : les infrastructures de paiement, les plateformes de trading et les données clients.
C'est là que de nombreuses institutions financières perdent le contrôle de la situation : si la visibilité sur le réseau est limitée, ces mouvements peuvent passer inaperçus jusqu'à ce qu'il soit trop tard ; le délai moyen de détection peut atteindre 181 jours.
Tel était le défi auquel était confrontée une grande institution financière, qui cherchait à combler ses lacunes en matière de visibilité et à renforcer ses systèmes de détection et de réaction. Pour ce faire, elle a fait appel à OPSWAT MetaDefender NDR, qu'elle a déployé sur les segments critiques de son infrastructure afin d'obtenir une meilleure visibilité sur le trafic réseau et de détecter les menaces plus tôt.
Voici leur histoire.
Le manque de visibilité sur le réseau a exposé les systèmes du client à des mouvements latéraux
Le client disposait d'outils de surveillance traditionnels, principalement axés sur les alertes au niveau des terminaux et la protection du périmètre. Ces outils fonctionnaient très bien pour détecter les logiciels malveillants connus ou les tentatives de connexion suspectes, mais leurs capacités en matière de visibilité du réseau laissaient à désirer.
Le réseau agissait donc comme une zone invisible, là où les systèmes de sécurité étaient justement les plus vulnérables et où les équipes du SOC étaient le moins bien équipées pour gérer les incidents. Ces angles morts ont entraîné :
Latence dans la détection des mouvements latéraux
Dans les banques et autres institutions financières, la propagation latérale désigne généralement la phase au cours de laquelle les pirates passent d'un poste de travail initialement compromis (comme l'ordinateur portable d'un guichetier ou un poste de travail du back-office) vers des systèmes de grande valeur. Ces systèmes peuvent aller du traitement des paiements à l'infrastructure SWIFT, en passant par les bases de données bancaires centrales.
Pour notre client, le retard était dû au fait qu’il s’appuyait sur des alertes de périmètre, qui arrivaient trop tard ou ne se déclenchaient tout simplement pas. Avec plus de 50 000 employés, les pirates disposaient de nombreuses occasions de s’introduire dans les systèmes. Un risque que le client n’était pas prêt à prendre.
Des processus d'analyse judiciaire lents
Dans les établissements financiers, les enquêtes techniques menées après une violation sont souvent ralenties par la fragmentation des sources de données, les équipes SOC devant parfois recouper les journaux des pare-feu, les alertes des terminaux ou les journaux d'authentification. Même sous la pression d'agir rapidement, ces équipes peuvent encore avoir du mal à déterminer ce qui s'est réellement passé et à définir la meilleure stratégie pour contenir la violation.
Pour faire simple, les équipes SOC avaient les yeux bandés, et des pirates potentiels auraient pu en profiter.
CommentMetaDefender NDR la détection et l'analyse forensic
MetaDefender NDR a comblé ce manque de visibilité ; spécialement conçu pour la chasse aux menaces sur le réseau, MetaDefender NDR les fonctionnalités de visibilité réseau et les outils d'analyse qui faisaient défaut à notre client.
MetaDefender NDR
MetaDefender NDR les entreprisesNDR détecter, analyser et contrer plus rapidement les menaces réseau sans perturber leurs activités.
En analysant les données de télémétrie du réseau afin d'identifier les schémas de trafic anormaux, il détecte les mouvements latéraux entre les systèmes et met au jour les communications liées aux cyberattaques.
La plateforme vise à étendre les connaissances spécialisées d'un analyste SOC classique. Grâce à ses modèles de détection assistés par l'IA, elle analyse en permanence les comportements du réseau afin d'identifier les anomalies subtiles susceptibles d'indiquer une activité malveillante à un stade précoce du cycle de vie de l'attaque.
Pour notre client, la plateforme a permis de résoudre les principaux problèmes qui nuisaient aux performances du SOC.
Détection des mouvements latéraux
Plutôt que de se concentrer sur les terminaux pour rendre compte de l'activité, MetaDefender NDR en permanence le trafic est-ouest au niveau du réseau, tout en analysant les flux de trafic entre les systèmes internes. Il est ainsi capable de détecter des schémas tels que des tentatives d'authentification répétées, des connexions inhabituelles ou des communications entre des systèmes qui n'interagissent normalement jamais.
La latence est réduite grâce à la combinaison d'une analyse de référence des comportements de la communication interne normale et d'une détection des anomalies appliquée en temps quasi réel.
Des enquêtes criminalistiques plus rapides
MetaDefender NDR enregistreNDR les métadonnées du trafic et permet une analyse rétrospective. Dès qu'un IOC (indicateur de compromission) est détecté, le système peut remonter dans le temps et vérifier si des systèmes internes ont communiqué avec lui par le passé.
Désormais, les équipes SOC n'ont plus besoin de tenter de reconstituer le trafic du jour de l'incident ni de rechercher d'anciens journaux ; les analystes peuvent interroger directement les données de télémétrie réseau stockées, ce qui s'avère particulièrement utile dans le secteur financier où un délai trop long après une attaque peut entraîner des infractions réglementaires.
De plus, les processus d'investigation assistés par l'IA ont permis aux analystes de mettre en corrélation les alertes, de hiérarchiser les incidents à haut risque et de réduire le temps consacré aux investigations manuelles, ce qui a permis à l'établissement de passer d'une détection réactive à une surveillance proactive du réseau.
Impact mesurable sur la visibilité du SOC et la détection des menaces
MetaDefender NDR la visibilité à la couche réseau et a appliqué l'analyse comportementale au trafic interne, ce qui s'avère particulièrement efficace dans les environnements financiers segmentés. Cette solution a également permis aux analystes de consacrer moins de temps à la collecte de données et davantage à la prise de décisions.
Voici les résultats obtenus dans tous les domaines :
| Zone d'impact | Résultat mesurable |
|---|---|
| Visibilité du réseau | A permis d'obtenir une visibilité approfondie sur les communications au sein du système financier interne. |
| Vitesse de détection des menaces | L'analyse assistée par l'IA a permis de détecter plus tôt les activités suspectes et les mouvements latéraux. |
| Efficacité des enquêtes | Réduction du temps nécessaire aux analystes SOC pour examiner les alertes. |
| Protection opérationnelle | Une meilleure capacité à détecter les menaces avancées présentes au sein du réseau. |
| Réponse aux incidents | Une réaction rapide face à d'éventuelles attaques avant qu'elles ne s'aggravent. |
| Préparation à la conformité | Il est nécessaire de renforcer les capacités de surveillance afin de satisfaire aux exigences en matière de contrôle réglementaire financier. |
Si les menaces agissent dans l'ombre, la visibilité devient essentielle
On l'a vu dans les films de braquage et on l'a vu dans la vraie vie. Pour les institutions financières, la faille initiale n'est pas dangereuse en soi. Si elle est détectée à temps, elle ne peut pas causer beaucoup de dégâts, si ce n'est mettre en évidence les points faibles de l'entreprise.
Cependant, le danger est réel lorsque des pirates parviennent à s'introduire dans un système sans pour autant se faire remarquer immédiatement. Au contraire, ils observent, agissent en toute discrétion et finissent par se retrouver à proximité de ce qui compte le plus : les paiements ou les données sensibles des clients.
C'est pourquoi la sécurité ne peut se limiter au périmètre. Sinon, les indicateurs de compromission (IOC) passent inaperçus jusqu'à ce qu'il soit trop tard.
Grâce à la mise en place de MetaDefender NDR, notre client est passé d'une détection ponctuelle à une surveillance continue du réseau. Ses équipes du SOC sont désormais en mesure de repérer les comportements suspects dès leur apparition, de relier les signaux du réseau pour en dégager des schémas récurrents et d'intervenir avant que les anomalies ne se transforment en incidents.
Si votre entreprise est en train de repenser sa manière de détecter les menaces au-delà du périmètre et d'y répondre, il est peut-être temps de dépasser les contrôles traditionnels et d'envisager une approche au niveau du réseau. Contactez-nous pour découvrir comment MetaDefender NDR vous aider.
