FireEye : activités offensives émanant des états nations, absence de risques et de règles d’engagement pour les attaquants, manque de ressources de sécurité
Kevin Mandia, CEO
L’environnement des cybers menaces et le monde de la cyber sécurité continuent d’évoluer à un rythme soutenu, mais à mon sens, trois tendances majeures auront sur eux un impact déterminant en 2019 et au-delà.
Des comportements de plus en plus offensifs des états nations
En 2019 et au-delà, il faut s’attendre à voir un nombre croissant d’états nations développer des cybers capacités offensives. Même si beaucoup s’insurgent contre ce type d’agissement, dans les cercles gouvernementaux à travers le monde, de plus en plus de responsables estiment que leur pays doit s’orienter vers des cyber opérations offensives sous peine de se retrouver en position de faiblesse.
Nous constatons également une détérioration des règles d’engagement entre les acteurs étatiques dans le cyber espace. Après des décennies passées à répondre à des intrusions, force est de constater que des nations changent aujourd’hui leurs comportements. Par exemple, nous avons récemment vu des acteurs russes affiner leur ciblage et lancer des cyber opérations plus agressives que par le passé. Aujourd’hui, presque toutes les nations doivent se poser des questions telles que : « Quelles sont les limites des cyber activités ? Que pouvons-nous faire ? Qu’est-ce qui est permis ? Quelles sont les règles à respecter ? La communauté mondiale dans son ensemble n’a aucune certitude sur la façon dont les choses vont évoluer, ce qui n’est certainement pas une situation confortable. Nous devons commencer à nous en préoccuper dans les années à venir.
Des attaquants toujours intouchables
Il y aura toujours des cyber attaques réussies, et ceux qui les commettent continueront de ne courir aucun risque. Les attaquants ne se réveillent pas le matin avec l’angoisse d’être arrêtés pour avoir volé des adresses email ou extorquer quelqu’un d’une grosse somme en crypto monnaie. Sans moyen de dissuasion efficace, ils continueront de cibler des réseaux et d’y pénétrer de façon frauduleuse. Un autre défi vient du fait que la plupart des cybers attaques exploitent la crédulité humaine. Aussi longtemps qu’Internet nous permettra de communiquer via email ou message texte, les vulnérabilités resteront légion. Un attaquant trouvera toujours un moyen de pousser une personne à cliquer sur un lien ou d’exécuter un malware à son insu.
Un manque persistant de ressources de sécurité
Un troisième défi persistant concerne le manque de compétences en matière de sécurité, et de moyens permettant d’étendre les défenses sur une grande échelle. Certes, les grandes entreprises disposent de ressources suffisantes et sont capables de mettre en œuvre une stratégie de sécurité mature avec un grand nombre d’outils, de procédures, et des équipes de techniciens formés et aguerris, ce qui ne les empêchent pas de subir des attaques. Mais il y a ensuite les petites et moyennes entreprises qui n’ont ni le personnel ni les ressources nécessaires. Ce qui veut dire qu’elles sont incapables de mettre en place les mesures de sécurité nécessaires dans le contexte actuel des menaces. Les PME sont les cibles les plus faciles à atteindre, et elles rassemblent les fournisseurs des plus grandes entreprises. Si ces petites entreprises sont compromises, tout le ‘supply chain’ l’est aussi et via cette ‘backdoor’, les attaquants peuvent s’introduire dans les réseaux des grandes entreprises, quelles que soient les performances des systèmes de sécurité en place.
Que faire face à ces nouvelles tendances ? Une action dans trois domaines peut permettre à la communauté mondiale de réduire la menace :
– La technologie
– Le partage de connaissances
– La diplomatie
Sur le front de la technologie, nous continuerons de nous concentrer sur notre cycle d’innovations. Nous pensons qu’il est critique pour quiconque crée du logiciel de reconnaître qu’un logiciel est l’automatisation de processus humains. Ce que nous devons faire chaque jour lorsque nous répondons à des attaques est avant tout de voir comment les défenses que nous utilisons couramment sont contournées. Puis nous créons un cycle d’innovations qui répondent à ces contournements. C’est une partie de la mission de FireEye. Nous intégrons ce que nous apprenons en contact direct avec les attaques dans nos propres solutions afin d’automatiser au maximum les processus humains, et ainsi offrir à tous de meilleurs moyens de se défendre. La technologie aussi doit adresser ce problème, et nous ferons tout ce qui est en notre pouvoir pour automatiser les principaux processus des SOC (Centres d’Opérations de Sécurité). Nous n’éliminerons probablement pas toute intervention humaine, mais nous pourrons la réduire grâce aux logiciels et à l’automatisation, afin que les techniciens puissent se consacrer aux décisions les plus stratégiques.
Le second domaine d’action est l’accroissement des capacités d’intervention grâce au partage de connaissances. Nous devons nous former les uns des autres, apprendre des uns et des autres, discuter des stratégies et tactiques des attaquants, et échanger sur les solutions et les services qui fonctionnent et sur celles qui ne fonctionnent pas. Nous devons faire en sorte que chacun dans notre industrie élève ses domaines de compétences, et sans doute plus important encore, les transmettre à la prochaine à la prochaine génération de spécialistes de la cyber sécurité.
La troisième priorité est la diplomatie. La cyber sécurité est un problème mondial, et nous sommes tous concernés. Le fait qu’un seul attaquant installé dans un pays donné puisse conduire instantanément une opération menaçant tous les ordinateurs connectés à Internet dans d’autres nations est un problème qui doit être adressé par le travail commun de nombreuses personnes. Nous devons nous concerter pour élaborer des règles d’engagement. Nous devons discuter en commun sur les moyens de faire respecter ces règles d’engagement, et imposer des risques pour les criminels ou les nations qui ferment les yeux sur ces actions. Nous ne pourrons probablement pas parvenir à des accords sur des comportements de cyber espionnage, mais nous pouvons communiquer des règles qui aideront à éviter le risque d’une escalade des agressions dans le cyber espace. Et nous pouvons avoir une communauté mondiale qui s’accorde sur un ensemble d’actions inacceptables et travaille ensemble afin qu’il existe un pouvoir de dissuasion pour éviter de telles actions.