Les cyberattaques deviennent incroyablement sophistiquées et discrètes, motivées par des objectifs financiers ou politiques. Pour en arriver à des attaques si élaborées, les cyberattaquants ont su tirer parti de l’évolution des tendances de la mobilité, du Cloud, de l’Internet des Objets et de la modernisation des réseaux (data center, postes de travail physiques, virtuels ou mobiles, etc.). En évoluant très rapidement, ces réseaux ont engendré de nouveaux types d’attaques ciblant les terminaux mobiles, les applications web et mobiles, les hyperviseurs, les navigateurs et même les véhicules.
Dans ce contexte, les professionnels de la sécurité doivent dorénavant faire face à des adversaires fortement motivés et armés, et à un hacking de plus en plus industrialisé. Les attaques plus basiques de l’année dernière, comme Blaster ou Slammer, ont ainsi laissé la place aux cyberattaques plus élaborées que nous observons aujourd’hui. Les hackers d’aujourd’hui utilisent des techniques basées sur l’utilisation de malwares, de spam, de phishing et autres cyberattaques, et sont guidés par des intentions et des objectifs stratégiques.
L’industrialisation du hacking a créé une économie criminelle plus rapide, plus efficace et plus stratégique qui se nourrit au quotidien d’attaques de nos infrastructures IT.
Les spécialistes de la sécurité s’accordent tous à dire que les attaques sont plus fréquentes et destructrices qu’avant. La question aujourd’hui n’est plus de savoir si une attaque va se produire, mais bien quand elle va se produire et combien de temps elle va durer. Dans son dernier Rapport, Cisco a observé une moyenne de 320 millions d’attaques par jour, soit 3700 attaques par seconde ! D’après le même Rapport, 75% de ces attaques n’ont besoin que de quelques minutes pour pénétrer le réseau et commencer à exfiltrer des données, alors que leur détection prend plus de temps. Plus de la moitié des attaques, persistent pendant plusieurs mois, parfois même plusieurs années, avant d’être découvertes. Et cela peut prendre des semaines, voire des mois pour que la faille de sécurité soit contenue et résolue.
Dans la période précédant la découverte d’une cyberattaque, l’organisation ciblée peut se faire dérober sa propriété intellectuelle la plus précieuse, des secrets d’Etats ou de clients sensibles, ou encore des informations importantes sur ses salariés, mettant ainsi en danger sa réputation, ses ressources ou son image. Selon Ponemon Institute, en 2014, le coût moyen d’une faille de sécurité dans une organisation était de 3,5 millions de dollars. Et cela n’inclut pas les dégâts immatériels.
La course à l’armement en matière de cybersécurité
L’industrialisation du hacking est à la fois le résultat de l’évolution naturelle entre les hackers qui lancent de nouveaux types d’exploits toujours plus complexes avec une fréquence soutenue et les défenseurs qui sont constamment à la recherche d’outils afin de conserver un temps d’avance. Par ailleurs, la perspective des gains toujours plus considérables a incité le hacking à se standardiser.
Dans les années 1990, les virus ciblaient principalement les systèmes d’exploitation. Une décennie plus tard a commencé une auto-propagation de vers, qui se déplacent de machine en machine à travers les réseaux des entreprises et via Internet. C’est ainsi qu’ont par exemple émergé les spywares et les rootkits, des logiciels malveillants connus pour obtenir un accès privilégié à un ordinateur et pour leur exécution très rapide. Les méthodes telles que l’encryptage de tunnels, les injecteurs ou « virus compte-goutte », l’évasion de sandbox, ou encore les menaces et techniques combinées, qui utilisent les réseaux sociaux, démontrent la technicité des moyens utilisés par les hackers pour pénétrer les systèmes d’information. Le Rapport annuel sur la Sécurité 2015 de Cisco, montre que les hackers sont plus compétents que jamais pour tirer profit des failles de sécurité, en dissimulant une activité malveillante. La technique de spam Snowshoe ou le spear phishing (« harponnage ») ne sont que quelques exemples des nouvelles tendances que les hackers ont mis en place en combinant un usage judicieux des technologies et infrastructures et une étude approfondie des comportements des utilisateurs, pour atteindre leurs objectifs.
Le résultat de cette évolution des cyberattaques et des efforts des professionnels de la sécurité pour les déjouer, c’est cette course à l’armement en matière de cybersécurité. Et force est de constater que de nombreuses entreprises ne parviennent pas à faire face aux hackers. Pourquoi ? Tout simplement parce que beaucoup d’organisations continuent de compter sur les outils de sécurité qui surveillent les attaques en un point précis du réseau pour détecter les actions malveillantes. Or les attaques ciblées ne se contentent plus de frapper en un point précis. Les cybercriminels font de gros efforts pour passer inaperçus en adaptant en permanence leurs attaques ainsi que leurs technologies et leurs méthodes, allant jusqu’à rendre presque imperceptibles les indicateurs de compromission (Indicator of compromises – IoCs). Les techniques traditionnelles de blocage et les techniques de prévention (par exemple les antivirus) – les signatures et mécanismes basés sur des règles (par exemple les firewall) influent sur la visibilité et le contrôle dont les responsables de la sécurité ont besoin pour définir et mettre en place une politique de sécurité efficace qui répond aux menaces avancées. Ainsi, beaucoup d’entreprises sont mal équipées pour détecter et faire face aux attaques et les hackers disposent de plus de temps pour agir et dérober des données compromettantes.
Un modèle de sécurité opérationnelle et centrée sur la menace
Dans ces conditions, que doit faire une entreprise pour se protéger ? Tout d’abord, elle doit accepter la nature de l’environnement des réseaux modernes et des terminaux, et comprendre comment les hackers pensent. L’entreprise doit également admettre qu’elle est dans un état d’infection persistante nécessitant une « réponse continue ».
Elle doit également définir une politique de sécurité prenant en compte l’ensemble des évolutions liées au BYOD, au cloud ou à ses initiatives en matière de mobilité, afin de gagner en visibilité sur son réseau.
Le RSSI doit ainsi se tourner vers des solutions avancées de surveillance des postes et des accès, et de contrôle de sécurité afin de mieux gérer la complexité du réseau, des connections liées à ses utilisateurs, des terminaux et des services cloud.
Les entreprises doivent ainsi mettre en place un modèle de sécurité opérationnelle et centrée sur la menace, plutôt qu’uniquement basé sur des règles de sécurité et de contrôle, afin d’avoir une vision complète de leur réseau et du continuum d’attaque – avant, pendant, après l’attaque – et afin de pouvoir intervenir à tout moment.
L’industrialisation du hacking est en plein essor. L’Internet des objets continu de s’étendre et Cisco estime à 50 milliards le nombre de dispositifs qui seront connectés au réseau d’ici à 2020. Dans ce monde où la connectivité est omniprésente, la sécurité de l’information est fondamentale pour permettre aux organisations de maximiser la valeur de ces connexions et doit être une priorité absolue. Le Gartner a d’ailleurs prédit une croissance des dépenses de sécurité dans le monde, passant de 62 milliards en 2012 à 86 milliards de dollars d’ici 2016.
Face à cette industrialisation, les entreprises sont loin d’être impuissantes. Les technologies ont progressé et les responsables de la sécurité peuvent être plus rapides et plus efficaces pour contrer les attaques.
_____________
Christophe Jolly, Directeur Sécurité Cisco France.