FIC 2022 : une Europe aux ambitions communes

L’écosystème européen de la cybersécurité s’est réuni à Lille pour échanger sur les enjeux de sécurité numérique sur fond de guerre en Ukraine et de montée des tensions internationales. Face à une double urgence, à la fois opérationnelle et politique, l’Europe doit plus que jamais garantir le développement d’un espace numérique sûr et de confiance.

Des campagnes d'espionnage difficiles à détecter

Nous luttons contre des campagnes d’espionnage de long terme particulièrement évoluées, difficiles à détecter” (Guillaume Poupard)

Selon le directeur général de l’ANSSI, l’espionnage étatique est aujourd’hui la principale menace, et représente 80% du travail de l’agence. 

Les acteurs malveillants, qu’ils s’agissent de cybercriminels attirés par l’appât du gain ou d’attaquants plus sophistiqués, menant des campagnes d’espionnage ou de déstabilisation, ne faiblissent pas et mobilisent quotidiennement les équipes de l’ANSSI. Toutes les 11 secondes, un rançongiciel frappe une organisation.

Au niveau national, on peut être satisfait de ce qu’on a construit avec les OIV” (Opérateurs d’Infrastructures Vitales), souligne Guillaume Poupard. Le niveau de sécurité de ces infrastructures ayant progressé, la menace affecte désormais l’ensemble des acteurs : PME, ETI, grands groupes, institutions, organisations publiques ou privées.

15 000 postes à pourvoir en France dans le domaine de la cybersécurité

Construire une sécurité de bout en bout, jusqu’à l’utilisateur final” (Guillaume Tissier)

Pour assurer la sécurité du dernier, ou plutôt du premier kilomètre évoqué par Guillaume Tissier, co-organisateur du FIC et associé AVISA Partners, lors de l’ouverture du Forum, Guillaume Poupard souhaite ce que l’on n’a « jamais réussi […] à faire véritablement » : une vraie campagne nationale de sensibilisation. « Mon rêve, c’est d’avoir 5 minutes du temps de cerveau de chaque Français à peu près au même moment”. 

Cette prise de conscience doit être accompagnée d’une augmentation massive des formations spécialisées et de ressources humaines qualifiées avec 15 000 postes manquants en France dans le domaine. La labellisation du Campus Cyber Hauts-de-France s’inscrit dans cette montée en puissance. Ce premier campus régional labellisé par le Campus Cyber national accueillera notamment le nouveau Centre National de Formation Cyber du Ministère de l’Intérieur (CNF-Cyber).   

Cet effort d’attractivité des métiers et compétences liées à la cybersécurité s’est incarné pendant 2 jours au travers de l’EC2 (European Cyber Cup), compétition de hacking éthique, qui a vu s’affronter 180 joueurs, tant étudiants que professionnels, au cours de 8 épreuves. 

Une Europe du numérique forte

Le FIC 2022, qui symboliquement vient clore la Présidence française du Conseil de l’Union Européenne (PFUE) a permis de souligner de belles avancées au niveau communautaire, notamment l’accord provisoire sur la révision de la directive NIS “un texte très ambitieux qui va permettre de sécuriser dix fois plus d’acteurs en France, dont les hôpitaux, collectivités, ETI…” selon Guillaume Poupard, directeur général de l’ANSSI.

Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, présente pour l’ouverture officielle de l’événement, a souligné l’avancée des dernières régulations, dont le Digital Market Act et “l’importance pour les entreprises d’être conformes à celui-ci d’ici début 2023”. Elle a également annoncé la construction d’une plateforme commune d’entraide entre pays-membres qui devrait voir le jour en 2023. “C’est la priorité dans les mois à venir : on a besoin de pouvoir aider un Etat membre attaqué. Pour cela, il faut impérativement s’appuyer sur le secteur privé”, confirme Guillaume Poupard, directeur général de l’ANSSI.

Alors que la crise Covid et le conflit ukrainien ont montré nos multiples dépendances, il est nécessaire de construire un environnement numérique qui corresponde à nos valeurs et à nos intérêts. D’où l’urgence de mobiliser tous les leviers disponibles en matière de politique industrielle : politique de la concurrence (Digital Market Act), politique commerciale, soutien à l’investissement, financement de l’innovation…

Au cœur des priorités, la cybersécurité, qui représente un marché de 146 milliards € au niveau mondial en 2022, en croissance de 10% par an, dont 34 milliards pour l’Europe et 8 milliards pour la France. 

LE FIC 2022 confirme sa dimension internationale

Le FIC, c’est VOUS !– Général Marc Watin-Augouard, fondateur du FIC.

Près de 14 000 visiteurs étaient présents à Lille (+35 % par rapport à l’édition 2021) et 550 exposants. Près de 5 000 participants ont également assisté aux échanges en ligne. Avec cette 14ème édition, le FIC, co-organisé par la Gendarmerie nationale et AVISA Partners, avec le soutien de la Région Hauts-de-France, confirme sa dimension internationale. La présence des plus hautes autorités européennes, Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, et Margaritis Schinas, Vice-président de la Commission européenne, ainsi que de nombreuses délégations internationales et institutions européennes (Europol, DG HOME, DG CONNECT, ENISA, ECSO…), soulignent l’importance de l’ambition européenne sur les enjeux de sécurité et de confiance numériques. Outre l’Europe, le FIC s’étend également à l’international en lançant un premier FIC Amérique du Nord.

Le FIC renforce enfin son ouverture vers des thématiques sectorielles grâce à de nombreux événements associés : ID&KYC Forum, Cybersecurity For Industry, e-CPF, Trust&Safety Forum et une journée OSINT qui a rassemblé plus de 300 personnes.

 

Prochains rendez-vous : les 1er et 2 novembre 2022, pour le premier FIC Amérique du Nord à Montréal et le FIC 2023, les 5, 6 et 7 avril à Lille.


Le bug bounty managé : l'avenir de la détection de vulnérabilité ?

Alors que les applications évoluent rapidement et que la professionnalisation des attaques ne cesse de s’intensifier, le Bug Bounty, apparu pour la première fois en 1995, s’impose comme la suite logique et complémentaire des tests d’intrusions pour déceler les failles de sécurité de manière continue.

Le bug bounty fait appel à des chercheurs en sécurité informatique appelés également hackers éthiques situés aux quatre coins de la planète pour tester et renforcer la sécurité des applications d’une entreprise. Ce système, en forte expansion depuis quelques années, permet à ces « chasseurs de failles » ou « hunters » d’intervenir pour déceler des vulnérabilités et les remontent via des plateformes ou par le biais d’entreprises spécialisées.

Le bug bounty : avantages et inconvénients

Cette approche bénéficie de nombreux avantages : elle permet, par exemple, de mettre en parallèle diverses expertises complémentaires et profils qualifiés pour tester la sécurité des produits d’une entreprise. En diversifiant les opinions et les axes de recherche, une entreprise s’assure d’agir avec plus de précision et ce sur une plus longue période. Le bug bounty permet également à l’entreprise de reprendre le contrôle sur la publication des failles de sécurité, lui donnant la possibilité de synchroniser les résultats obtenus avec les outils de suivi de bugs internes pour lui permettre d’atteindre une certaine maturité en matière de sécurité vis-à-vis de ses clients.

Toutefois, le bug bounty n’est pas efficient dans toutes les situations. C’est tout d’abord un programme à définir avec précision. Ces programmes peuvent être compliqués à coordonner, et leur pilotage est une contrainte supplémentaire pour l’entreprise. De plus, contrairement à un audit classique, le budget dépend du nombre de vulnérabilités valides trouvées par les chercheurs, élément difficilement quantifiable dans le cadre d’un programme de bug bounty. Il est également connu pour faire face à de nombreux faux positifs, notamment avec des vulnérabilités trouvées révélées sous formes de doublons. Enfin, s’il est adapté aux périmètres externes tels que les applications Web ou mobiles, le bug bounty est difficilement envisageable lorsque l’on souhaite agir dans le cadre d’un périmètre interne.

Les différentes approches du bug bounty

Le bug bounty non managé est le bug bounty tel qu’on le connait sous sa forme classique, c’est-à-dire sans intermédiaire entre la plateforme de bug bounty et le client. Le fonctionnement est simple : l’entreprise cliente s’abonne à une plateforme, crée son programme de bug bounty puis invite des chercheurs à y participer. Ces derniers soumettent ensuite les vulnérabilités qu’ils ont découvertes à l’entreprise cliente, via la plateforme. Les équipes de l’entreprise collaborent avec les hackers éthiques, valident les rapports de vulnérabilités et les rémunèrent, avant de finalement faire intervenir leurs propres membres chargés de la sécurité pour corriger les vulnérabilités identifiées.

Le bug bounty managé est quant à lui une méthode plus récente. Une entreprise spécialisée en cybersécurité se positionne comme un intermédiaire entre l’entreprise cliente et les hackers éthiques. Ce sont les consultants de cette entreprise qui vont accompagner de A à Z l’entreprise cliente dans la création et la gestion de ses programmes de Bug Bounty. Cet aspect simplifie la mise en place de cette prestation qui peut s’avérer compliquée à gérer pour le client.

Les étapes structurant l’accompagnement d’un programme de bug bounty managé

  • Création : Concevoir un programme personnalisé aux besoins de l’entreprise, définir les cibles, définir la grille des récompenses en fonction du budget qui va statuer sur le niveau de rémunération des vulnérabilités trouvées par les chercheurs en fonction de leur sévérité ;
  • Lancement : Lancer le programme et envoyer les invitations aux chercheurs ayant l’expertise ad hoc sur le périmètre du programme ;
  • Triage : Rejouer les PoC (Proof of Concept) et transmettre les rapports de vulnérabilités valides au client avec pour chacun la sévérité, la description, l’impact et la remédiation associée. Validation de la récompense à payer au chercheur par le client après échange et accord avec l’équipe de triage ;
  • Remédiation : Conseiller le client dans la mise en place du correctif de la vulnérabilité et tester l’implémentation de cette dernière.

L’une des étapes clefs pour la réussite d’un programme de bug bounty managé est cette phase de traitement des vulnérabilités remontées (triage). L’entreprise spécialisée en cybersécurité va pouvoir vérifier les PoC, c’est à dire les preuves qu’apportent les hackers pour illustrer les vulnérabilités découvertes. Ainsi, le triager pourra valider la sévérité des vulnérabilités, et ce n’est qu’ensuite qu’il établira une estimation du montant des récompenses qui devra dans la plupart des cas, être validée par le client.

Le fait que les récompenses soient payées seulement aux premiers qui découvrent la vulnérabilité et en fonction de la sévérité de cette dernière, challenge les hunters. En effet, le premier chercheur qui identifie une vulnérabilité est rémunéré, mais pas le second (qui trouve cette même vulnérabilité alors considérée comme doublon ou « duplicate »). L’entreprise intermédiaire, de par son expérience et son expertise, conseille également le client pour garder le programme dynamique et attractif tout au long de son cycle de vie. Ceci est notamment réalisé à travers l’ajout de hunters au programme, la demande d’ajout de cibles au périmètre, la fourniture de comptes applicatifs ou encore l’augmentation des primes. A la fin du processus, les correctifs appliqués permettront de corriger les failles détectées et le triager pourra alors demander aux hunters une dernière vérification pour tester la bonne implémentation de ces correctifs.

Lorsqu’il est managé, le bug bounty est généralement plus simple à mettre en place que le bug bounty classique, et aide grandement une entreprise qui désire déceler les vulnérabilités présentes dans ses systèmes. Il permet notamment d’être accompagné dans la création des programmes et le traitement des rapports. Si le bug bounty possède toujours quelques inconvénients, son management permet une réelle valeur ajoutée et un gain de temps pour l’entreprise. L’expertise et l’expérience des chercheurs couplés à celle des consultants est un duo gagnant dans la sécurisation de l’infrastructure d’une société faisant d’un programme de bug bounty un nouvel outil efficace dans l’arsenal du RSSI.

 

Jérémy Caron, Atos Digital Security


Check Point Research (CPR) explique le fonctionnement d'une exploitation en temps réel de Log4j

CPR a détecté de nombreuses attaques exploitant la vulnérabilité Log4j, et donne un exemple détaillé du fonctionnement d’une attaque réelle. Tandis que la plupart des mineurs détectés exploitaient cette vulnérabilité pour le minage de crypto-monnaie sur Linux, les chercheurs de Check Point ont découvert une cyberattaque impliquant un malware non détecté, basé sur NET pour la première fois. Cette attaque spécifique vise aujourd’hui cinq victimes dans les secteurs de la finance, de la banque et des logiciels en Israël, aux États-Unis, en Corée du Sud, en Suisse et à Chypre. Le serveur qui contient les fichiers malveillants est situé aux États-Unis.

Paris, le 15 décembre 2021 – Ces attaques moins destructrices (axées sur la cryptographie) représentent les premiers stades des attaques à grande échelle (comme les ransomwares). Il s’agit en quelque sorte d’un « essai en direct » de la vulnérabilité et des dégâts potentiels sur les victimes, pour ensuite effectuer une offensive plus importante.

Une fois qu’un type de logiciel malveillant est injecté, il ne faut pas attendre longtemps pour que l’attaque ne prenne de l’ampleur. Les activités d’extraction de cryptomonnaies se transforment souvent en ransomware et autres types d’attaques majeures.

Log4j : CPR a recensé plus de 1 272 000 tentatives d'exploitation de cette vulnérabilité

L’attaque exploite la vulnérabilité de Log4j pour télécharger un Trojan, qui déclenche le téléchargement d’un fichier .exe, lequel installe à son tour un crypto-miner. Une fois ce dernier installé, il se met à utiliser les ressources de la victime afin de miner des cryptomonnaies au profit des attaquants, le tout à l’insu de la victime qui ne sait pas qu’elle a été compromise. Grâce aux techniques d’évasion du malware, toutes les fonctions et tous les noms de fichiers pertinents sont masqués pour éviter que les mécanismes d’analyse statique ne les détectent.

  • Jusqu’à présent, CPR a recensé plus de 1 272 000 tentatives d’attribution de la vulnérabilité. 46 % d’entre eux par des groupes de pirates informatiques malveillants connus.
  • Les tentatives d’exploitation ont été documentées sur plus de 44 % des réseaux d’entreprise dans le monde.

Log4j : un comportement qualifié de cyberpandémie

Lotem Finkelstein, responsable de la veille sur les menaces chez Check Point Software : « Nous avons détecté un nombre massif de tentatives d’exploitation au cours des derniers jours. Les attaquants recherchent activement des cibles potentiellement vulnérables, et de nouveaux outils d’analyse de cette vulnérabilité continuent de faire surface. Les attaques à petite échelle permettent de développer des attaques à plus grande échelle. Les acteurs de la menace aiment tester leurs outils et leurs cibles, entraînant des attaques plus dangereuses comme les ransomwares. »

Il s’agit clairement de l’une des vulnérabilités les plus graves de ces dernières années sur Internet, et elle se répand comme une traînée de poudre. À certains moments, CPR a vu plus de 100 piratages par minute liés à la vulnérabilité de LogJ4. Nous assistons à ce qui semble être une répression évolutive, avec l’introduction rapide de nouvelles variations de l’exploit original – plus de 60 en moins de 24 heures. Le nombre de combinaisons possibles pour l’exploiter donne à l’attaquant de nombreuses possibilités de contourner les protections nouvellement introduites. Cela signifie qu’une seule couche de protection est insuffisante, et que seule une stratégie de sécurité à plusieurs niveaux peut fournir une protection efficace.

Contrairement à d’autres cyberattaques majeures qui impliquent un logiciel ou un nombre limité de logiciels, Log4j est pratiquement intégré à chaque produit ou service web sur Java. Il est extrêmement difficile d’y remédier manuellement. Une fois l’exploration publiée (vendredi), des scans du réseau Internet ont été effectués (afin de déterminer les surfaces vulnérables en raison de cet incident). Les utilisateurs qui ne souhaitent pas installer de protection sont probablement déjà passés au crible par des acteurs malveillants. CPR a recensé plus de 1 272 000 attaques, au cours desquelles plus de 44 % des réseaux d’entreprise dans le monde ont été visés.

Cette vulnérabilité, vue la complexité de sa correction et de sa facilité d’exploitation, restera présente dans les années à venir, à moins que les entreprises et les services ne prennent des mesures immédiates pour prévenir les attaques contre leurs produits et installer une protection. C’est le moment d’agir. En cette période de vacances, quand les équipes de sécurité peuvent mettre plus de temps à mettre en place des mesures de protection, la menace est imminente. Ce phénomène se comporte comme une cyberpandémie : il est très contagieux, se propage rapidement et possède de multiples variantes, qui multiplient les moyens d’attaque.

 

Lire la suite sur France 24.


Cyberattaques & fournisseurs : le cheval de Troie des attaquants ?

Les attaques par ransomware ne doivent pas faire oublier pour autant celles, beaucoup plus perfectionnées, qui ont pour objectif l’espionnage ou le sabotage, et qui n’hésiteront pas à passer par un fournisseur ou un partenaire moins bien protégé.

Que peuvent nous apprendre les récentes attaques de Kaseya ou de Solarwinds ?

Des attaque cyber dans lesquelles des éditeurs de logiciel ont été compromis non pas pour les atteindre eux-mêmes, mais pour cibler leurs clients.

D’abord qu’il existe bel et bien deux niveaux d’attaque cyber aujourd’hui. Si l’actualité est monopolisée par les attaques de type ransomware, force est de constater que celles-ci sont rarement très avancées techniquement, et qu’elles reposent plutôt sur des vulnérabilités connues et tirent parti de mauvaises pratiques de la part des victimes.

Détecter les comportements suspects réduit l'impact d'une cyberattaque

Plutôt que de réagir une fois l’impact de l’attaque découvert… mieux vaut être en capacité de détecter les comportements suspects

Tandis que les opérations d’espionnage sont conduites par des équipes motivées qui n’hésitent pas à dérouler leur attaque sur plusieurs mois jusqu’à arriver à leurs fins. « Des opérations comme celles de Kaseya et SolarWinds démontrent qu’il n’est pas toujours possible de contrer de telles attaques, et que face à de tels adversaire il vaut mieux se mettre en capacité de détecter les activités suspectes et d’y répondre immédiatement, sans laisser le temps à l’attaquant de dérouler son playbook » explique Julien Billochon, Cybereason.

La capacité de détection des anomalies est vitale face à de tels acteurs malveillants, car ils n’utilisent pas ou peu d’outils ou de codes aisément repérables. Leurs traces seront plutôt liées à des signaux faibles, une suite de petits incidents ou d’actions anormales mais bénignes. « Les RSSI doivent être conscients de ce type d’attaque et de la difficulté à les contrer. Ils devraient suivre l’approche « assume breach ». C’’est-à-dire partir du principe que tout et tout le monde peut être compromis à tout moment. Une fois cet état de fait accepté, ils pourront commencer réduire l’impact et les dégâts d’une attaque de ce type réussie. Notamment en améliorant la capacité de détection des activités anormales des applications ou des technologies dont ils dépendent et qui pourraient se retourner contre eux », conseille Jérôme Soyer, Varonis.

Enfin, au-delà de ces exemples, les entreprises devraient mettre en œuvre de vrais programmes de suivi du niveau de sécurité de leurs fournisseurs ou de leurs sous-traitants les plus critiques (notamment ceux qui disposent d’un accès ou d’une interconnexion forte avec leurs propres systèmes). Une première approche de type déclaratif peut être suffisant pour amorcer le programme, mais il faudra à terme aller plus loin, notamment en cas d’incident chez les fournisseurs : « Il est important d’être informé rapidement des incidents de sécurité qui peuvent se produire chez les fournisseurs et les sous-traitants, et de prendre connaissance des techniques utilisées par l’attaquant, du mode opératoire et bien entendu des indicateurs de compromission. En centralisant toutes ces informations au sein d’une plateforme unique de partage de l’information, le donneur d’ordre sera en mesure de croiser des indicateurs ou des modes opératoires et, peut-être, identifier une opération dirigée contre lui-même menée par un acteur identique contre plusieurs de ses partenaires », explique Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Julien Billochon, Cybereason : « Nous devons passer d’une réponse réactive aux attaques à une posture d’anticipation par l’identification des comportements suspects dès les premiers stades de l’opération malveillante. Il faut s’intéresser aux débuts de l’attaque »

Jérôme Soyer, Varonis : « La chaîne d’approvisionnement de l’entreprise représente une surface d’attaque énorme, qui expose de nombreux points d’entrée : la vulnérabilité du produit lui-même, mais aussi toute l’infrastructure du fournisseur, le processus CI/CD pour les applications SaaS et en bout de chaîne, le prestataire qui distribue et gère la technologie chez ses clients »

Cyrille Badeau, ThreatQuotient : « De multiples petits incidents chez plusieurs fournisseurs peuvent être le signe d’une attaque coordonnée contre le donneur d’ordre. Il est important de centraliser et d’enrichir ces informations afin qu’une équipe d’analystes cyber puisse travailler de concert sur ces différentes alertes en apparence distinctes »


Risque cyber : tout le monde est concerné

Mettre la pression pour que la victime paye une rançon en cryptomonnaie afin de recouvrer ses données avant qu’elles ne fuitent sur Internet. Telle est la menace qui pèse sur toutes les entreprises. Aucun secteur n’est épargné, ni même les collectivités locales.

Il n’était pas rare jadis que le risque cyber soit ignoré au sein des comités de direction, car il n’était pas visible et n’avait aucun impact sur les revenus. De quoi parlait-on alors ? En dehors du cas particulier d’entreprises ayant la nécessité (ou l’obligation) de protéger des informations très sensibles, pour la très grande majorité d’entre elles le risque tel qu’il fût perçu par les instances dirigeantes se limitait alors à quelques postes de travail infectés et rapidement réinstallés par la DSI. Pas de quoi impressionner un financier.

Entre 2019 et 2020, les demandes de rançons ont été multipliées par quatre, selon les données de l’Anssi

Cela a brutalement changé avec l’émergence des attaques par rançongiciel, qui provoquent le plus souvent un arrêt brutal de l’activité sur une période étendue (entre 8 et 10 jours en moyenne, et parfois plus d’un mois). Un tel impact est inédit : aucun scénario de risque n’avait prévu, comme cela déjà été le cas, l’arrêt de la production de plusieurs usines du même groupe, bien qu’elles soient réparties en plusieurs endroits de la planète.

Et pourtant, l’attaque par rançongiciel met bien les victimes à l’arrêt et provoque des pertes d’activités pouvant s’élever à plusieurs millions d’euros par jour, ce qui est désormais impossible à ignorer pour un comité de direction… Et cela, aussi bien chez de petites entreprises que de grands groupes, des hôpitaux ou des collectivités locales…

Comment cela est-il possible ? « Les attaquants exploitent des erreurs de configuration ou des vulnérabilités dans les équipements d’accès afin de s’introduire dans le réseau comme un utilisateur légitime, et ils profitent ensuite que ce dernier est relativement ouvert pour s’y déplacer et en prendre le contrôle. Au final, ils utilisent peu de codes malveillants, mais quand ils le font, ceux-ci sont de plus en plus sophistiqués », explique Stéphane Brovadan, Bitdefender.

Beaucoup d’entreprises partagent en effet trop souvent la même faiblesse qu’est un réseau trop à plat, qui permet à quiconque ou presque d’atteindre un serveur dans une filiale à l’autre bout du monde. Les plus grandes parce que c’est pratique ou parce que leur topologie réseau est devenue très complexe au fil des acquisitions, et les plus petites, ou les hôpitaux, par manque d’expertise sécurité locale ou de budget pour appliquer les bonnes pratiques. « Il faut malgré tout savoir qu’il sera difficile d’arrêter un attaquant motivé simplement avec ces mesures de base, aussi nécessaires soient-elles. L’une des approches les plus efficaces est de compléter ces bonnes pratiques par une détection des comportements anormaux – notamment sur les postes de travail – qui peuvent trahir l’activité d’un intrus avant qu’il ne déclenche sa charge offensive », précise Julien Billochon, Cybereason.

Et pour aller plus loin, rien de tel que de rester informé des toutes dernières menaces, afin d’adapter sa protection de manière pragmatique. « La Threat Intelligence opère à différents niveaux, mais même pour les plus petites entreprises, le fait de connaître en permanence les éléments identifiables liés aux attaquants du moment permet de se protéger non pas de manière générique, mais spécifiquement, en étant totalement adapté à la menace du moment. C’est une approche extrêmement opérationnelle, très accessible et qui peut éviter de se disperser quand on n’a pas des moyens illimités », explique Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Julien Billochon, Cybereason : « La détection des comportements suspects sur les postes de travail devient essentielle tant les codes malveillants sont désormais sophistiqués. Elle est heureusement désormais accessible même aux petites structures »

Stéphane Brovadan, Bitdefender : « Les attaquants déploient moins de codes malveillants lors de leurs intrusions, mais ils sont de plus en plus furtifs et difficiles à identifier. Le niveau d’expertise requis pour les détecter a largement augmenté en quelques années »

Cyrille Badeau, ThreatQuotient : « Notre connaissance des différents groupes de cybercriminels confirme qu’ils peuvent désormais frapper toutes les entreprises, quel que soit la taille ou le secteur d’activité, à partir du moment où il y a la capacité de payer une rançon. Et bien souvent les pirates étudient les finances de la victime pour fixer le bon niveau de rançon »


Quelles leçons tirer en matière de sécurité Cloud et télétravail ?

Le télétravail massif est désormais bien enraciné dans les pratiques, et il se développe en synergie avec la migration des applications métiers dans le Cloud public. Ces deux facteurs se conjuguent pour créer la nécessité d’une approche de sécurité nouvelle

Le télétravail massif est probablement un facteur durable de la crise sanitaire COVID-19. Les entreprises sont désormais sorties de la frénésie des premiers jours de mars 2020, qui ont pu voir de mauvaises pratiques tant les déploiements des accès distants que dans leur gestion, tout simplement car il fallait faire face à l’urgence et permettre à l’ensemble des salariés de télétravailler. Aujourd’hui, les collaborateurs retrouvent certes le chemin du bureau, mais beaucoup demeurent en télétravail durable, quelques jours par semaine. Le défi des entreprises est donc de pérenniser ce qui a été déployé dans l’urgence, en faisant entrer cette nouvelle manière de travailler dans les bonnes pratiques de cybersécurité.

Les attaques de phishing ont augmenté de 85% en 2020

Et il y a urgence ! Car la crise sanitaire n’a finalement fait qu’accélérer pour certaines entreprises (celles qui s’en sont le mieux sorties) une migration des applications métiers dans le Cloud, et pour d’autres elle a été le révélateur des limites de l’approche traditionnelle à base d’accès distant par VPN dans un monde où les collaborateurs peuvent travailler en déplacement, et devoir accéder aussi bien des ressources dans le datacenter que sur Internet.

Car pour les attaquants, cette hybridation des applications Cloud et interne, et des usages mixtes, est une aubaine. Dans une étude d’août 2021, Varonis alerte ainsi sur le fait que les applications et logiciels d’entreprises dans le Cloud comme AWS, Box, GitHub, Google Drive, Salesforce, Slack, Zoom, etc. exposent très largement les entreprises. En particulier, 15 % des employés transfèrent des données critiques de l’entreprise sur leur compte personnel dans le cloud. « Lorsque vous avez des centaines ou des milliers de points d’extrémité qui accèdent aux données de l’entreprise depuis pratiquement n’importe où, votre périmètre est difficile à définir et plus difficile à surveiller », alerte Damien Frey, Varonis.

Les attaquants le savent bien, et ciblent de plus en souvent ce type d’accès : « L’émergence de l’environnement hybride, dans lequel les employés peuvent se connecter en tout lieu et à tout moment, offre aux cybercriminels une surface d’attaque plus étendue et de nouvelles vulnérabilités exploitables », confirme ainsi Hicham Bouali, One Identity.

C’est précisément pourquoi une nouvelle approche est nécessaire afin de prendre en compte la réalité des nouveaux usages hybrides, une approche qui ne mettrait pas à risque la totalité du système d’information avec la compromission d’un seul compte utilisateur, et qui tiendrait compte du large éventail d’applications internes et externes utilisées par l’entreprise. C’est notamment ce que propose le modèle Zero Trust : « Le modèle Zero Trust permet de sécuriser chacun des accès spécifiquement. Les utilisateurs accèdent ainsi aisément aux applications dont ils ont besoin, sans exposer le réseau à des menaces supplémentaires », explique Ivan Rogissart, zScaler. Bien entendu, la transition sera longue, car un tel changement de modèle n’est jamais simple. Mais la sortie de crise sanitaire, et le recours massif au télétravail, sont probablement la meilleure incitation qu’il soit pour s’y lancer !

Zoom sur l'avis de nos experts cyber

Damien Frey, Varonis : « 16 % de tous les utilisateurs du cloud effectuent des actions à privilèges, et 20 % d’entre eux ont accès à des données d’entreprise sensibles. Et pourtant 44 % des privilèges des utilisateurs du cloud sont mal configurés »

Ivan Rogissart, Zscaler : « Le modèle Zero Trust permet de sécuriser chacun des accès. Les utilisateurs accèdent ainsi aisément aux applications dont ils ont besoin, sans exposer le réseau à des menaces supplémentaires »

Hicham Bouali, One Identity : « Des attaques de phishing sur Twitter au piratage de SolarWinds, les pirates savent que les identifiants privilégiés sont un moyen d’accéder facilement aux données d’une entreprise dans le Cloud ou depuis l’intérieur, à mesure que les entreprises migrent vers un modèle hybride »


Est-ce que l'IA est la solution pour lutter contre les cybermenaces ?

Avec sa capacité de traiter et de prioriser de grandes quantités de données, l’IA est-elle le compagnon idéal des spécialistes humains noyés sous trop d’alertes quotidiennes ?

Branche la plus puissante de l’IA, le Deep Learning se classe plusieurs échelons au-dessus de l’apprentissage automatique. Il est actuellement utilisé dans le domaine de la cybersécurité via la création de réseaux neurologiques « entraînés » à partir d’échantillons de données brutes renfermant des millions de fichiers étiquetés à la fois malveillants et bénins. Au fil du temps, le réseau apprend à identifier instinctivement le code malveillant.

IA : un allié pour se concentrer sur l'essentiel des alertes cyber ?

La pénurie d’experts en cybersécurité se fait particulièrement sentir au sein des centres opérationnels de cybersécurité (SOC). Là, des veilleurs reçoivent et traitent les alertes issues de l’ensemble des équipements de l’entreprise et doivent être capables de réagir rapidement pour endiguer la menace avant que celle-ci ne devienne incontrôlable.

Hélas, submergés d’alertes peu ou pas priorisées, confrontés à la difficulté de contextualiser la menace globale à travers le prisme d’une simple détection, ils ont de plus en plus de mal à faire leur travail dans de bonnes conditions. Ajoutons à cela la difficulté chronique de recrutement, et la situation au sein des SOC est particulièrement tendue. Pourtant, ces « tours de contrôle » de la cybersécurité des entreprises jouent un rôle essentiel non seulement dans la détection, mais aussi dans la réponse aux attaques.

Pour leur venir en aide, le marché se tourne de plus en plus vers les promesses de l’Intelligence Artificielle. La machine, en effet, est capable, contrairement à l’humain, de traiter d’incroyables quantités de données quasiment instantanément, et de les trier, les prioriser, les enrichir et les présenter de manière claire pour qu’un analyste humain soit en mesure de décider de la suite à donner à une alerte. Grâce à l’IA, la charge de travail des analystes SOC se réduit, ainsi que le risque d’erreur : « Nos solutions à base de Deep Learning – la branche la plus poussée de l’IA – permettent en moyenne aux entreprises de réduire de 25% la quantité d’alertes quotidiennes à gérer, et de gagner jusqu’à 13 heures par jour de temps homme consacré à traiter des faux positifs », explique ainsi Rodolphe Moreno, Deep Instinct.

De son côté, l’éditeur français Vade mise lui aussi sur le Deep Learning pour faire face aux 100 millions d’emails qu’il doit analyser chaque jour afin de détecter les spams. « Nous avons beaucoup travaillé pour créer notre propre méthode et notre propre infrastructure capable d’apprendre massivement et de pouvoir identifier les spams à base d’images. Mais le résultat est là : sur les trois premiers mois de 2021, nous avons bloqué 500 millions de spams par cette méthode », explique Adrien Gendre, Vade.

Il reste cependant un rôle dans lequel l’humain est pour le moment indétrônable : celui de l’analyste. Mais là aussi, l’IA peut venir lui faciliter la vie en préparant le travail : « L’analyste a besoin d’enrichir l’information et de collecter du contexte pour faire son travail. Si l ‘analyse elle-même est une tâche humaine qui donne généralement lieu à une prise de décision, la machine est parfaite pour associer et agréger automatiquement l’ensemble du contexte disponible autour d’un « case » dans le but de faciliter son exploitation. Certaines décisions évidentes peuvent même faire l’objet de réponses automatisées basées sur la collecte de contexte correspondant aux critères d’un playbook écrit par l’analyste. », complète Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Adrien Gendre, Vade : « Il y a eu une amélioration significative des techniques de Computer Vision. La montée en puissance du Deep Learning et de la puissance hardware dédiée a largement contribué à ce phénomène. »

Rodolphe Moreno, Deep Instinct : « Avec le Deep Learning, plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données. Ses fondements s’inspirent du fonctionnement du cerveau humain. »

Cyrille Badeau, ThreatQuotient : « L’analyse des incidents cyber demeure une tâche majoritairement réservée à l’humain. Cependant,  la machine est bien meilleure pour enrichir automatiquement  l’information afin de faire gagner un temps précieux à l’humain qui peut ainsi lui déléguer les tâches répétitives et les prises de décisions évidentes. »


2011-2021 : retour sur les fondamentaux de la cybersécurité

Si la curiosité devant une technologie nouvelle était initialement la motivation des hackers, l’appât du gain, l’espionnage et le vol de données sont désormais les motivations d’une cybercriminalité organisée.

À trop vouloir élever le débat de la cybersécurité (ce qui n’est pas une mauvaise chose en soi, au demeurant !) on en vient parfois à oublier que l’on parle toujours aussi de « sécurité informatique ». Hélas, jusqu’à récemment le terme était tombé en désuétude avec l’avènement de l’expression « sécurité de l’information », puis celui du « Cyber », qui tente d’englober des pratiques aussi bien techniques qu’organisationnelles, de protection de l’information, de conformité et de gouvernance… jusqu’à ce qu’on en perde peut-être de vue les frontières.

Pour autant, la vague d’attaques par rançongiciels qui frappe les entreprises depuis quelques années avec un succès massif (l’on peut estimer les gains des pirates à plusieurs milliards de dollars) vient rappeler douloureusement que la cybersécurité, c’est encore aussi de la sécurité informatique. Avec, cependant, quelques évolutions !

Ainsi, du point de vue des techniques, une part importante de ces attaques trouve son origine dans les accès distants de type VPN ou RDP exposés par les entreprises. Exploités grâce à une vulnérabilité ou le vol d’identifiants, ces équipements permettent à un attaquant de prendre pied au cœur du système d’information de sa victime. Pour lutter contre ce type d’attaque, les réponses historiques et fondamentales que sont l’application des correctifs et le choix de mots de passe forts doublés d’une seconde authentification fonctionnent toujours et devraient être mises en œuvre immédiatement. C’est le « retour aux fondamentaux » et ce n’est pour autant pas assez suivi par les victimes.

Mais pendant ce temps, le monde change : « Alors que les entreprises se préparent à la nouvelle réalité du travail, du « tout à distance » aux modèles hybrides, les équipes de sécurité doivent réévaluer les droits d’accès à privilèges accordés aux utilisateurs et leur durée. Celle-ci n’est pas censée être illimitée », explique Hicham Bouali, One Identity. Et c’est là le cœur de l’évolution pour la sécurité informatique : rester proche des fondamentaux, mais adapter ces derniers aux nouveaux modes de vie et de travail. Et l’une de ces adaptations passe forcément par ne plus faire de différence entre l’interne est l’externe, ce que propose le modèle Zero Trust : « Cette approche consiste à n’accorder aucune confiance implicite en les éléments qui se trouvent à l’intérieur comme à l’extérieur du réseau. Chaque élément est considéré comme potentiellement néfaste jusqu’à preuve de sa neutralité, et doit être analysé pour confirmer son caractère inoffensif », détaille Ivan Rogissart, zScaler. Autrement dit : ne surtout rien lâcher sur les fondamentaux, mais adapter la stratégie aux changements du monde.

Pour y parvenir, il faudra bien sûr faire un effort, et pas seulement technique : « Il est important d’investir dans la formation régulière des personnels à la cybersécurité, afin de s’assurer qu’ils soient acculturés aux dernières tendances technologiques et sensibilisés aux nouveaux risques qu’elles peuvent introduire – par exemple la gestion des droits dans le Cloud est très différente de ce que les équipes pratiquent sur site, et sans formation, il peut être facile de faire une erreur coûteuse », met en garde Jean-Claude Tapia, ATOS Digital Security.

Les experts pour en parler

Hicham Bouali, One Identity « Il est difficile pour les entreprises d’appliquer les mêmes principes de sécurité en interne et dans les environnements Cloud. Les fondamentaux sont toujours aussi importants, mais doivent être adaptés au modèle hybride » 

Ivan Rogissart, zScaler “Dans un monde hypothétique où toutes les entreprises auraient adopté une approche Zero Trust, l’infrastructure sur laquelle repose Internet, à savoir les routeurs ou encore l’infrastructure DNS, sera, elle, toujours exposée. Une menace qui ne cessera de prendre de l’ampleur dans le monde Zero Trust de demain”

Jean-Claude Tapia, Atos Digital Security : « La transition vers le Cloud doit s’accompagner d’une solide formation des équipes de cybersécurité et, dans les premiers temps, d’audits réguliers des configurations et des droits d’accès, afin de limiter le risque d’erreurs dans ce nouvel environnement  »


Les 10 tendances en cybersécurité pour l’année 2021

Guillaume Tissier, associé Avisa Partners et co-organisateur du FIC : « Les cyberattaques se sont accumulées ces derniers mois : vols de données, usurpations d’identité, espionnage… autant de réalités qui inquiètent et appellent des réponses urgentes. Le Forum International de la Cybersécurité qui s’est ouvert ce matin à Lille est l’occasion de revenir sur les 10 tendances clés de 2021 ».

La conflictualité dans l’espace numérique atteint un niveau préoccupant qui menace sa stabilité

En 2021, les attaques se sont multipliées, touchant désormais tous les secteurs d’activité et toutes les organisations. Phénomène grand public, la sensibilisation des utilisateurs est aujourd’hui indispensable.

1. En 2021 la cybercriminalité a explosé, principalement via le ransomware (+ 255% en 2020 selon ANSSI). Cette criminalité, opportuniste et motivée par un gain financier rapide, touche désormais tout le monde, y compris les PME, ETI, collectivités locales ou encore établissements de santé.

2. Les cyberattaques sont désormais un outil au service de politiques offensives de certains Etats. Les attaques sophistiquées, discrètes et furtives nécessitent souvent de longs mois de préparation. La réponse ne peut pas et ne doit pas être uniquement opérationnelle : elle doit aussi être diplomatique et politique. Il faut désormais accepter d’attribuer certaines attaques et d’y répondre avec un panel de mesures techniques, judiciaires et diplomatiques.

3. Qu’elles soient d’origine étatique ou non, les attaques “par rebond” (Kaseya, Exchange, SolarWind…) peuvent avoir des conséquences catastrophiques. Les éditeurs ont une responsabilité pour les contrer, en intégrant dès la conception des produits les enjeux de sécurité (“security by design”).

4. En 2021, la modification des habitudes et des usages a augmenté la surface d’exposition aux risques et le nombre de vulnérabilités – la security by design restant très théorique. La généralisation du télétravail a augmenté le périmètre d’attaques et multiplié les portes ouvertes (salariés non formés, porosité entre usages personnels et professionnels, absence de VPN).

5. Enfin, le manque de compétences en matière numérique et en matière de cybersécurité demeure un problème central. Au-delà des connaissances techniques, nécessaires à une bonne utilisation des technologies numériques, une acculturation des récepteurs complètera l’approche et permettra une lutte efficace contre les fake news.

Quelles solutions ? Vers une réponse collective et coopérative

Le cyberespace ne sera pas une zone de non-droit mais un espace régulé, riche, porteur de potentialités, sur la base de valeurs communes à ses utilisateurs.

6. La cybercriminalité n’est pas une fatalité. L’actualité récente montre qu’il est possible de lutter efficacement contre le phénomène cybercriminel en mobilisant plusieurs leviers :

  • Une lutte anti-cybercriminalité efficace, notamment au plan judiciaire. Il y encore trop peu de poursuites judiciaires post-cyberattaques : 47% ont porté plainte auprès des autorités compétentes, mais cela n’a abouti que dans 15% des cas (Baromètre CESIN 2021).
  • Des capacités d’investigation, notamment sur les paiements. L’exemple récent de Colonial Pipeline aux USA a prouvé qu’il était envisageable de s’en prendre aux attaquants via le maillon le plus sensible : le circuit financier leur permettant de monétiser leurs attaques. Des initiatives politiques et diplomatiques fortes : des sanctions doivent être prises si l’Europe ne veut pas devenir le “ventre mou” du cyberespace.
  • Un dispositif d’alerte à destination des entreprises pour les inciter à mettre à jour et corriger leurs systèmes. La nature et le caractère contraignant de ce dispositif restent à déterminer. C’est la question du « droit d’injonction » évoqué par Guillaume Poupard, directeur général de l’ANSSI.

7. Les technologies progressent, notamment avec l’IA. Les technologies XDR (extended detection & response) permettent par exemple de détecter et de réagir plus rapidement aux incidents de sécurité en automatisant un certain nombre d’actions, permettant aux experts en cybersécurité de se concentrer sur les plus graves.

8. Qu’il s’agisse de malveillance ou d’événements accidentels, la cybersécurité devient progressivement un sujet C-level et n’est plus uniquement un sujet technique. Considérant les impacts potentiels d’une crise informatique, le sujet doit être traité au niveau COMEX.

9. La coopération se développe. Il est indispensable de compenser l’asymétrie traditionnelle entre l’attaquant et le défenseur par une plus grande collaboration et coopération de tous les acteurs, à tous les niveaux. Qu’il s’agisse des grands organes internationaux (ONU, OCDE), des forces de l’ordre nationales ou encore des acteurs académiques, la coopération internationale devient une vraie force.

10. La face « politique » de la cybersécurité est la « souveraineté numérique », sujet sur lequel la crise sanitaire a eu un effet d’accélérateur : nous avons pris conscience que le numérique était devenu systémique et que l’on ne pouvait totalement dépendre d’équipements, de solutions et de flux venant de l’étranger. L’Europe doit maitriser son destin numérique et construire un espace numérique correspondant à ses valeurs et à ses modes de vie. La Présidence française de l’UE qui débute en 2022 constitue de ce point de vue une opportunité historique.


[FIC 2021] Les retrouvailles de l’écosystème cyber européen à Lille sonnaient comme une nécessité

Après plusieurs reports et 20 mois d’attente, la communauté cyber s’est retrouvée à Lille pour échanger sur les bonnes pratiques d’un secteur mis en lumière par la récente crise sanitaire.

Lille, 09 septembre 2021 – Après plusieurs reports et 20 mois d’attente, la communauté cyber s’est retrouvée à Lille pour échanger sur les bonnes pratiques d’un secteur mis en lumière par la récente crise sanitaire.

Ce que j’ai à vous dire tient en 5 lettres : ENFIN !” – Général Marc Watin-Augouard. Avec plus de 10 000 visiteurs et 450 exposants, la 13ème édition du Forum International de la Cybersécurité (FIC) a été le premier événement professionnel depuis mars 2020 et confirme son leadership en Europe. Ce rendez-vous incontournable a été ouvert par Xavier Bertrand, président du conseil régional des Hauts-de-France, et a accueilli Florence Parly, ministre des Armées, Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques, Margaritis Schinas, Vice-président de la Commission européenne, Guillaume Poupard, directeur général de l’ANSSI, ou encore Juhan Lepassaar, président de l’ENISA.

Alors que le numérique irrigue aujourd’hui l’ensemble de nos vies personnelles et professionnelles, élargissant la surface exposée et les potentielles attaques, les retrouvailles de l’écosystème cyber européen à Lille, les 7, 8 et 9 septembre sonnaient comme une nécessité.

Ce n’est plus seulement un sujet technique, c’est une question de société, de souveraineté et de sécurité nationale” (Margaritis Schinas)

Cette 13ème édition a également souligné une fois encore l’absolue nécessité d’une collaboration européenne plus forte, comme en témoigne la mobilisation des institutions et des États européens. La signature d’un accord entre le FIC et les autorités de cybersécurité hollandaises a ainsi posé concrètement une des premières pierres de l’Europe de la cyber.  “Le thème du FIC cette année – Pour une cybersécurité coopérative et collaborative – n’est pas un vœu pieux. Nous ne pourrons relever le défi qu’ensemble” a précisé Guillaume Tissier, directeur associé chez Avisa Partners. 

Cet effort européen a résonné jusque dans l’Agora du FIC, think-tank dédié aux enjeux de sécurité et de confiance numérique, qui a publié un Livre blanc intitulé “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Objectif : préparer la Présidence française de l’UE qui s’ouvre en janvier 2022 en apportant 28 propositions couvrant les champs réglementaires, diplomatiques, industriels et technologiques. Parmi celles-ci : la régulation des vulnérabilités 0-days, la création d’un parquet cyber européen, la création d’un Buy Digital European Act, l’approfondissement de la collaboration UE/OTAN.

Autant de sujets qui seront abordés lors de la prochaine édition du FIC dont le thème sera « Shaping European Future ».

Pour maintenir le lien, le FIC lancera prochainement inCyber, plateforme d’information et d’échange de la communauté. Avec un objectif : maintenir le lien et continuer à progresser, ensemble. Et rendez-vous est pris : prochaines retrouvailles du cyber européen prévues du 7 au 9 juin 2022.