Cyberattaques

à qui le tour ?

On pouvait autrefois se demander si cela nous arriverait un jour… aujourd’hui la question ne se pose plus en ces termes, mais plutôt de cette manière : quand est-ce que cela va nous arriver ?

Nous vivons dans un monde où les menaces informatiques, les cyberattaques, sont de plus en plus nombreuses et où elles revêtent des formes très différentes. Ransomware, adware, cryptolocker et DDoS, pour ne citer que ces noms-là, font désormais parti de notre paysage quotidien.

Force est de constater que ces petits bouts de code relèvent pour certain de l’orfèvrerie tant ils sont sophistiqués. Car si tout un chacun peut aujourd’hui développer des virus dans son salon, il suffit de se connecter sur le darkweb pour avoir accès à tout l’outillage nécessaire, il faut cependant reconnaître que quelques-uns sont particulièrement recherchés. En effet, parmi les 390 000 nouveaux logiciels malveillants qui font leur apparition quotidiennement, certains mettent en avant une incroyable intelligence habillement cachée par des écrans de fumée et/ou enveloppée dans du code de telle sorte qu’ils soient totalement indétectables des outils de surveillances classiques.

Le dernier exemple très parlant en date est bien entendu Wannacry. Ce ransomware a fait trembler le monde informatique pendant plusieurs jours et des entreprises vont s’en rappeler pendant encore longtemps au regard de l’impact financier de cet attaque.

Cyberattaques : tous concernés

Les entreprises sont donc confrontées quotidiennement à des cyberattaques et bien souvent sans même le savoir. En effet, dans plus de 60% des cas, une entreprise apprend qu’elle est infectée par une entreprise tierce et fini généralement par découvrir que l’intrusion remonte à plus de… 200 jours ! Bien entendu, il ne s’agit pas dans ce cas de ransomware qui vont crypter des fichiers pour vous demander de l’argent en contrepartie de vos données, mais tout simplement de logiciels malveillants écoutant ce qui se passe dans l’entreprise… parfois pour négocier une affaire, un rachat… etc. En d’autres termes, faire du cyber-espionnage. Dans ce dernier cas, la découverte de cette activité malveillante est généralement bien trop tardive pour faire machine arrière par rapport à certaines décisions prises par la direction, faisant ainsi le bonheur de concurrents ou potentiels acquéreurs… Car évidemment, le logiciel qui a écouté ce qui se passe dans l’entreprise aura veillé à envoyer à ses développeurs quantité de données qui pourront donc être analysées et utilisées soit dans un but compétitif soit pour être revendues.

On estime qu’en 2016, ce sont 1,4 milliards de données qui ont été dérobées au nez et à la barbe des entreprises et, dans ce contexte, cyberattaque et cyber-espionnage sont difficilement dissociables. Pour rappel, la technique favorite des pirates et cyber-espions est le phishing, ou hameçonnage reposant sur de l’usurpation d’identité, puisqu’elle représente 43% des violations des données l’an passé.

Malware : quelle sera la prochaine étape ?

Crypter vos données c’est bien, pour les pirates bien évidemment, cela peut rapporter de l’argent, beaucoup d’argent. Mais si l’entreprise a fait des sauvegardes, elle peut toujours revenir à une situation antérieure. Toutefois, cela ne sera possible que si les sauvegardes fonctionnent quotidiennement (ce que les entreprises vérifient très/trop rarement) et… que si ces dernières ne sont pas, elles non plus, cryptées. Si les professionnels recommandent de faire des sauvegardes externalisées, ce n’est pas parce que c’est une mode, mais bien parce qu’elle cela s’inscrit dans la panoplie d’actions à mettre en œuvre pour se prémunir efficacement d’un tel danger.

Il faut bien comprendre que la récente attaque WannaCry est un événement marquant dans l’histoire de la Cyber-sécurité. En effet, il s’agit ni plus ni moins que du premier Ransomworm, malware conçu pour être bien plus dangereux que les ransomwares traditionnels. Pourquoi ? D’abord parce qu’il n’encrypte pas seulement le poste local mais également les lecteurs réseaux attachés à la machine, et ensuite parce que sa propagation se fait à une vitesse impressionnante, empêchant l’isolement des postes infectés pour la stopper. Pour faire simple, d’ici peu, une attaque de ce type paralysera toute une entreprise en quelques minutes, des postes de travail aux serveurs. L’activité étant alors stoppée nette… il faudra passer à la caisse car il n’y aura aucun moyen de continuer une activité quelconque, même dégradée… s’il n’y a pas de système de défense efficace pour parer l’attaque ou des sauvegardes opérationnelles.

Protection quel avenir ?

Sans essayer de lire dans une boule de cristal, on voit bien que l’avenir de la protection informatique passe notamment par l’analyse comportementale sur le poste de travail et des systèmes dits « de bac à sable » (sandbox) pour tester les fichiers reçus par internet avant de les ouvrir localement sur les postes. Il ne va donc pas y avoir un logiciel unique ou miracle à mettre en place, mais bien une stratégie de cyber sécurité globale à penser et à orchestrer avec une suite logicielle permettant de couvrir les différents types d’attaques tout en étant capable de faire des corrélations entre les différents comportements identifiés sur les machines.

Le problème majeur est donc, pour les entreprises, d’arrêter de dépenser des sommes importantes dans des systèmes de défense classique, totalement dépassés, et qui ne sont absolument pas adaptés au monde dans lequel nous venons d’entrer de plein pied.

Face à l’enjeu de la vitesse, l’Intelligence Artificielle, qui pointe activement son nez dans ce secteur, semble être une réponse incontournable. En effet, 7 brevets ont déjà été octroyés pour le recours à des algorithmes de Machine Learning dans la détection des malwares et autres menaces en ligne. Les techniques d’apprentissage et de détection basée sur les anomalies constituent une aide précieuse dans la lutte proactive contre les cyber-menaces toujours plus sophistiquées. L’IA s’annonce donc comme un atout majeur dans la course à la montre pour détecter une intrusion et la bloquer avant qu’elle ne paralyse toute l’entreprise.

En conclusion

Il est important d’avoir une stratégie de défense globale couverte par une suite logicielle de dernière génération mais aussi de sensibiliser et former activement les employés des entreprises aux cyberattaques afin que les bons réflexes soient développés. Si la technologie ne peut pas vous garantir à 100% de l’inviolabilité des systèmes, le respect de certaines pratiques permet de faire la différence pour décourager les cybercriminels. La cyber-sécurité est une « culture » d’entreprise à développer et nécessite un accompagnement global de l’entreprise, pas seulement technologique… sachant que ceux qu’il faut convaincre, ce sont souvent les PDG afin qu’ils comprennent que « cela n’arrive pas qu’aux autres ». Mais qu’on se le dise : aucun secteur ne va être épargné ! Si la santé, le secteur financier et les services publics sont des cibles privilégiées aujourd’hui, le secteur industriel, celui de l’ingénierie comme de la recherche ne sont pas en reste !

Alors un conseil : n’attendez pas pour réagir, mais anticiper avant que la facture ne soit vertigineuse.

L’équipe SRMI.