Souveraineté numérique : quels enjeux pour la feuille de route du gouvernement à l’horizon 2025 ?

En septembre dernier, l’inauguration du nouveau bâtiment de 1700 m2 d’OVHcloud vient symboliquement marquer une nouvelle étape politique dans la stratégie de souveraineté numérique de l’Europe. Un nouveau comité stratégique de filière (CSF) intitulé « Numérique de confiance » vient même de voir le jour pour encourager l’offre française face aux solutions américaines.

Une série de mesures de soutien à l'écosystème français du cloud

Il est vrai qu’il était temps pour le gouvernement de marquer son soutien à notre chère souveraineté, lorsqu’il y a peu le large projet d’hébergement des données de santé des français était confié à Microsoft, que Renault choisissait Google Cloud pour la sécurité de ses données industrielles ou plus récemment, lorsqu’à la fin de l’année 2021, la SNCF annonçait avoir choisi le Cloud d’Amazon pour l’hébergement de la quasi-totalité de ses 7000 serveurs physiques et virtuels et 250 applications de son usine digitale. Un revirement qui a même de quoi en étonner plus d’un.

« Pour retrouver sa souveraineté numérique, la France doit valoriser tout l’écosystème mais aussi, et surtout, ses éditeurs de solutions logicielles. Et, à plus court terme, elle doit protéger l’émergence de solutions souveraines ou de confiance car les données traitées sont la véritable valeur des entreprises et des citoyens » selon Eric Houdet, Vice-président sales et marketing chez Quarkslab.

D’autres mesures devraient être annoncées dans les prochaines semaines, notamment autour du futur schéma de certification européen. Cette nouvelle législation inclurait de fortes exigences en matière de souveraineté numérique. Après les difficultés rencontrées par le projet GAIA-X, la filière attend avec impatience les mesures pour une UE indépendante des prestataires étrangers.

La pandémie nous a montré à quel point le numérique était un enjeu vital pour la résilience de notre économie, mais également à quel point nous en étions dépendants. La France est une puissance mondiale, et cela depuis la révolution industrielle du début du XXe siècle. « Mais nous avons manqué, il y a déjà bien longtemps, le virage de la révolution du numérique sur laquelle les États-Unis et la Chine se sont de leur côté très bien positionnés » selon Georges Lotigier, PDG de Vade.

Quelle politique industrielle pour la France et l’Europe ?

1000 licornes en 2030. C’est l’objectif du nouveau ministre délégué au Numérique.

Avec six fois plus de fonds levés en un an, 160 start-up françaises cyber, soit 10 de plus en un an, selon la dernière édition du radar des start-up françaises de la cybersécurité réalisé par Wavestone, l’objectif est-il atteignable ? Le dynamisme des startups n’est plus à prouver et les entrepreneurs français brillent par leur capacité à innover sur différents sujets de la cybersécurité. Les levées de fonds des start-up européennes ont atteint un nouveau record en 2021, avec près de 2 milliards d’euros. Mais celles-ci sont encore loin derrière les Etats-Unis, avec plus de 17 milliards. 

La création du poste de Secrétaire d’État à la Cybersécurité vise à favoriser l’écosystème et créer un véritable cercle vertueux voire une consolidation du secteur. Cette nouvelle fonction peut encourager les commandes et signatures de contrats avec des éditeurs français, inciter à une consommation locale du numérique et ainsi booster l’économie. Une PME ou un hôpital qui choisit une solution cyber française profite à tous car la société éditrice de cette solution va payer ses impôts en France, va payer les salaires de ses collaborateurs, qui eux-mêmes vont consommer majoritairement local … Cependant, le marché des solutions françaises n’est que résiduel. « Nous sommes trop prudents et perfectionnistes et vraiment trop frileux dans les notions de marketing et ou de packaging comparé aux Américains. Nous n’avons clairement pas à rougir devant les produits étrangers mais juste à oser. Aussi, il est temps de mettre fin à l’exode de nos ingénieurs et commerciaux. Si l’enseignement est de très bon niveau nous allons cruellement manquer de main d’œuvre dans les années à venir. Il est l’heure d’attirer et de fidéliser » ajoute Eric Houdet, Quarkslab.

De son côté, Georges Lotigier, Vade lance un appel : « Plusieurs grands fonds d’investissement de croissance devraient être spécialisés dans la cybersécurité et la Deep Tech des infrastructures IT et capables d’investir de 50 millions à 200 millions d’euros dans des sociétés de croissance qui ne sont pas encore à l’équilibre car en conquête de marché ». 

L’élargissement de la fonction de Bruno Lemaire va dans le bon sens. L’un des objectifs est de développer le tissu industriel français, qui est un levier formidable de croissance. Encore faut-il le faire de façon pérenne.

A moyen terme, pour retrouver la souveraineté numérique, il est donc clé de développer les éditeurs de solutions logicielles français et européens. Et, à plus court terme, il faut protéger la data avec des solutions souveraines ou de confiance, c’est une priorité : la data est maintenant la véritable valeur des entreprises françaises.

Le point de vue des experts cyber

Georges Lotigier, Vade« Il faut améliorer l’accès à la commande publique aux scale-up stratégiques et faciliter l’exit en Europe »

Zeina Zakhour, Atos « La souveraineté numérique est vitale pour que les organisations – qu’elles soient publiques ou privées – conservent le contrôle de leur environnement numérique, données, applications, logiciels et hardware. Pour faire de cette souveraineté une réalité, nous avons besoin d’une politique industrielle cohérente et ambitieuse. Celle-ci doit porter de forts investissements en R&D, mais aussi accélérer l’industrialisation des solutions de cybersécurité et développer les normes, certifications, réglementations nécessaires aux besoins de souveraineté. »

Eric Houdet, Quarkslab« Le poste de Secrétaire d’Etat à la cybersécurité verra-t-il enfin le jour ? »


Ciel mes données !

  • Cyberattaque et fuite de données : c’est désormais le combo gagnant des hackers. Un comble pour l’entreprise qui n’a plus accès à ses données alors que celles-ci se retrouvent publiées sur Internet.
  • La CNIL constate une nette progression des notifications de violation de données dont près de la moitié résultent d’une attaque par rançongiciel (+ de 2150 notifications de violations résultant d’une attaque par rançongiciel reçues en 2021, soit 43 % du volume total). Dans certains cas, les données personnelles des usagers peuvent être mises en ligne par les pirates. 

La double peine

Les cybercriminels du groupe Lockbit n’ont pas attendu longtemps avant de mettre leur menace à exécution : ils ont diffusé une partie des données (11 Go de contenus sensibles) volées lors de la cyberattaque de l’hôpital de Corbeil-Essonnes révélée fin août. 

Comme si cela ne suffisait pas d’être à l’arrêt pour cause de données chiffrées, les cybercriminels utilisent la double extorsion : menacer publiquement de publier les données (bien trop souvent sensibles) volées pour les revendre au plus offrant. Les victimes de fuites de données ne se comptent plus : Samsung, MBDA, Orange Cyberdefense, Uber, le Pôle universitaire Léonard de Vinci… Pour les entreprises victimes, cette situation peut constituer un risque de violation majeure des réglementations RGPD de l’UE et des lois sur la confidentialité des données. Les groupes de ransomware Conti et REvil figurant parmi les plus actifs en 2021 sont par exemple connus pour publier des données divulguées sur le Darknet si des rançons ne sont pas payées.

« 63 % des fuites de données sont le fait d’acteurs internes. Avec l’essor du télétravail, les entreprises peinent à gérer l’explosion à la fois des données et des identités ayant accès à leurs serveurs. Nous avons constaté que 85 % des employés ont un accès qui dépasse les besoins de leur rôle » complète Hicham Bouali, directeur technique One Identity. 

La dernière étude de ThreatQuotient, dont la publication intégrale est prévue pour la fin de l’année 2022, montre une progression de l’adoption de l’automatisation des opérations de sécurité, comme en témoigne l’augmentation des budgets y afférents dans 98 % des entreprises. Les statistiques indiquent également que les entreprises font de plus en plus confiance à l’automatisation. Elles sont plus de 88 % à être raisonnablement confiantes, contre seulement 59 % l’année précédente. En revanche, 98 % d’entre elles ont rencontré des problèmes lors de l’implémentation.

Et si justement le rançongiciel venait de l’intérieur ?

Si le rançongiciel semble être sur toutes les lèvres et la menace qui occupe tous les esprits, les organisations estiment d’ailleurs que les menaces externes font peser le risque le plus important à 49 % (IDC), elles sont 14 % à créditer les menaces internes d’un niveau de gravité supérieur. 

Les menaces internes ont un avantage énorme du simple fait qu’il est dans la nature humaine de présumer de bonnes intentions de son entourage. Mais le fait est que personne ne peut embaucher 50 ou 100 salariés sans courir le risque bien réel de tomber sur un ou deux collaborateurs malveillants. 

Or, un employé mécontent, qui veut nuire à son entreprise, peut enregistrer des fichiers sensibles sur une clé USB avant de claquer la porte. On craint même de plus en plus qu’il introduise des logiciels corrompus dans le système.

Aujourd’hui, un grand nombre d’attaques par ransomware pourraient en fait émaner de l’intérieur de l’organisation. Il est très facile pour un administrateur informatique de se créer un profil sur le Dark Web, de lui donner accès au système pour y installer un logiciel malveillant, puis de demander une rançon et, en tant qu’administrateur, de conseiller à l’entreprise de la payer. Et s’il ne le fait pas, d’autres pourront lui demander de le faire pour eux, moyennant rémunération (ce qui s’est déjà vu, notamment aux Etats-Unis où un salarié de la Giga Factory de Tesla s’est vu offrir un million de dollars pour ouvrir les portes du système d’information).

A titre d’exemple, selon un rapport de Varonis, un nouvel employé dans le secteur de la santé a accès à 31 000 fichiers sensibles dès son premier jour de travail. Un chiffre qui fait froid dans le dos… « Il s’agit donc de réduire au maximum le rayon d’action -les utilisateurs ne peuvent accéder qu’à ce dont ils ont besoin- et à détecter les accès inhabituels qui pourraient indiquer qu’une attaque est en cours. Chaque étape de validation supplémentaire est une nouvelle façon d’éloigner un attaquant ou un initié et ainsi potentiellement de contrecarrer une attaque » explique Damien Frey, expert en cybersécurité chez Varonis.

Zero Trust, maître-mot de la gestion des accès et des identités ?

Selon le dernier rapport de Varonis, toute entreprise ayant des données hébergées dans le cloud est confrontée à un risque de fuite de données dont le coût est estimé à 28 millions de dollars. L’étude indique qu’une gestion collaborative mal sécurisée, que des droits d’accès complexes et des configurations erronées telles que des comptes administrateur sans authentification multifactorielle (MFA), ont exposé une grande quantité de données hébergées dans le cloud à des menaces internes et à des cyberattaques.

Modèle éprouvé pour la mise en œuvre d’une sécurité robuste à grande échelle, le modèle Zero-Trust s’est rapidement imposé comme une nécessité pour la résilience des entreprises. Il y a quelques mois, une étude menée par One Identity révélait que 75 % des RSSI considéraient l’approche Zero Trust comme cruciale – ou à minima très importante – dans le renforcement de leur stratégie de cybersécurité globale. 

La première étape pour initier une telle démarche consiste à faire l’inventaire des données les plus critiques, c’est-à-dire celles que les attaquants chercheront à atteindre. Où se trouvent la propriété intellectuelle, le code source, les dossiers clients et employés ? L’étape suivante consiste à faire l’inventaire des contrôles qui entourent les données critiques. Les bonnes personnes y ont-elles accès, tant à l’intérieur qu’à l’extérieur de l’entreprise ? Êtes-vous en mesure de repérer toute activité inhabituelle sur ces données critiques ? Si une configuration critique était modifiée, qu’est-ce qui permettrait de la repérer et de la rétablir ? « Une fois que vous avez fait l’inventaire de vos données critiques et de leur contrôle, vous pouvez vous concentrer sur des mesures concrètes pour optimiser et maintenir ces contrôles » explique Damien Frey, expert en cybersécurité chez Varonis.

Le point de vue des experts cyber

Damien Frey, Varonis« Lorsque les équipes IT ne maîtrisent pas la gestion et la protection des données issues des applications utilisées en mode SaaS et IaaS, il leur est alors presque impossible d’empêcher les fuites de données »

Hicham Bouali, One Identity« Aujourd’hui, près de la moitié des entreprises utilisent plus de 25 systèmes différents pour gérer les droits d’accès, ce qui se traduit par une approche fragmentée de la sécurité des identités et une vulnérabilité importante aux attaques » 

Olivier Prompt, Atos « L’IDaaS est l’un des segments de marché en plus forte croissance, car il offre des intégrations adaptées au cloud pour étendre les contrôles IAM d’une entreprise et répondre aux exigences de sécurité d’un portefeuille SaaS en pleine expansion »


L’automatisation, remède miracle ?

  • Si en 2020, le nombre d’échantillons uniques de logiciels malveillants fluctuait autour de 400 échantillons par minute, l’année 2021 a connu une augmentation d’environ 550 échantillons par minute. L’année 2022 a également été extrêmement intense en termes d’attaques DDoS et ransomwares, la guerre entre la Russie et l’Ukraine s’étant intensifiée dans le cyberespace (source : Bitdefender).
  • Face à la pénurie généralisée des compétences dans le monde cyber et à la multiplication des attaques, l’automatisation des systèmes de sécurité informatique (SOAR) permet, notamment grâce à un temps de réactivité réduit, de mieux gérer les incidents cyber qui peuvent toucher une entreprise.

L’automatisation. L’une des réponses aux modes opératoires des attaquants ?

Dans un contexte où les modes opératoires des cybercriminels sont largement automatisés afin de rendre les attaques largement profitables, que les attaquants s’appuient sur une gamme d’outils de test offensifs industrialisés pour analyser les surfaces d’attaque de leurs cibles et se propager à l’intérieur de leur réseau, les organisations doivent elles aussi automatiser leur sécurité informatique, dans le but d’accélérer la détection et le traitement des incidents, et automatiser une gestion simplifiée de ses différents outils de sécurité.

« Alors que le paysage des menaces poursuit son expansion et gagne en complexité, et que la pénurie de talents dans le domaine de la cybersécurité continue de s’aggraver, les entreprises vont être amenées à s’appuyer de plus en plus sur des processus de sécurité automatisés. Elles pourront ainsi libérer des ressources en automatisant certaines fonctions de sécurité, notamment celles liées aux tâches routinières et répétitives », précise Laurent Tombois, Country manager France chez Bitdefender.

La dernière étude de ThreatQuotient, dont la publication intégrale est prévue pour la fin de l’année 2022, montre une progression de l’adoption de l’automatisation des opérations de sécurité, comme en témoigne l’augmentation des budgets y afférents dans 98 % des entreprises. Les statistiques indiquent également que les entreprises font de plus en plus confiance à l’automatisation. Elles sont plus de 88 % à être raisonnablement confiantes, contre seulement 59 % l’année précédente. En revanche, 98 % d’entre elles ont rencontré des problèmes lors de l’implémentation.

La nouvelle génération de SOCs tient-elle ses promesses ?

La recrudescence d’attaques de plus en plus sophistiquées, parfois automatisées, a remis en cause la pertinence du modèle du SOC traditionnel. Mais face à l’évolution de la menace, le SOC se transforme lui aussi. La “nouvelle génération”, automatisée, intégrant plus systématiquement le renseignement sur la menace, plus proactive donc, permet de mieux prévenir et anticiper les attaques et d’y répondre plus rapidement et plus efficacement. Les SOC “next gen” sont ainsi censés réduire les coûts opérationnels, humains et financiers liés au traitement des incidents. 

« Le temps et l’argent consacrés à l’automatisation sont considérés comme des mesures clés de la réussite. Celle-ci peut se mesurer en déterminant dans quel délai il est possible de neutraliser une attaque à compter de sa détection et en s’assurant qu’elle ne se propage pas » explique Cyrille Badeau, Vice-Président of International Sales chez ThreatQuotient.

D’autres considèrent comme une réussite le simple fait que le système de l’entreprise fonctionne toujours le lendemain d’une attaque. Le but n’est pas de neutraliser tous les dangers, mais de s’assurer que la menace pour l’entreprise est grandement réduite. L’absence de faux positifs peut en être un indicateur. Elle est également perçue comme une mesure de la réussite dans certaines entreprises.

Des tâches qui étaient autrefois assurées par des professionnels hautement qualifiés, telles que la recherche de vulnérabilités, l’analyse de journaux de logs et la mise en conformité peuvent être standardisées et exécutées de manière automatique, avec pour effet de réduire les temps de détection et de réponse aux incidents.

Le point de vue des experts cyber

Laurent Tombois, Bitdefender« Les attaques sont souvent complexes, multidimensionnelles et lancées en plusieurs étapes, rendant difficile pour les équipes de sécurité de les identifier et de les stopper »

Cyrille Badeau, ThreatQuotient : « Le temps entre lever une alerte et le temps d’informer le client doit être d’une heure » 

David Bernard, Atos : « L’avenir du SOC, basé sur des solutions MDR – Managed Detection and Response – passe par une practice de renseignement automatisée »


Cyber assurance : difficile de mettre tout le monde d’accord

  • Alors qu’en mai 2021, il n’était pas question d’indemniser les victimes de ransomware, le ministère de l’Économie et des Finances fait marche arrière en inscrivant dans un cadre réglementaire la possibilité de se faire indemniser. Les victimes devront alors porter plainte pour bénéficier de réparations.
  • Si tout le monde ou presque s’accorde à dire que payer, c’est financer l’industrie du cybercrime, quelle est la place pour l’assurance dans la démarche de gestion du risque cyber dans l’entreprise ?

Le constat est sans appel : le marché de l’assurance cyber a du mal à se structurer

La forte sinistralité enregistrée sur les risques cyber affecte la rentabilité des assureurs. À ce point tel que certains grands acteurs ont déjà abandonné leurs premières offres de garanties. Le volume des primes a bondi de 49 % et le ratio des sinistres sur primes a atteint 167 % en 2020, contre 84 % l’année précédente. Conséquence : les primes d’assurance pour couvrir les risques cyber explosent à la hausse, parallèlement aux niveaux de couverture qui, eux, sont revus à la baisse. 

Pour les entreprises déjà assurées, c’est-à-dire majoritairement les grandes entreprises (87% des grandes entreprises seraient couvertes, estime l’AMRAE), le coût d’une assurance cyber s’est envolé, en offrant, moins de garanties pour une franchise plus élevée. Onze grandes entreprises françaises ont ainsi stoppé leur assurance cyber en 2021. L’État cherche donc à mieux encadrer ce marché pour à la fois aider les assureurs à mieux cerner les risques et à partager le risque, et convaincre les plus petites entreprises d’y souscrire.

Le projet de loi qui relance le débat

Le 22 août 2022, les médias s’emparent de ce qui semble être la plus grande demande de rançon à ce jour : l’hôpital de Corbeil-Essonnes est paralysé et le groupe LockBit lui demande de payer une rançon de 10 millions de dollars s’il veut récupérer les données de ses patients, sous peine de les voir publier sur le darkweb. Le GIGN est appelé pour négocier, faisant tomber les exigences à 1 million de dollars. Bien loin du montant médian d’une rançon de 6400 € selon les données de la police et de la gendarmerie en 2021 (mais qui inclue les “petites” rançons de quelques milliers d’euros demandées à de très petites entreprises). Mais entre-temps, la menace a commencé à être mise à exécution et des données administratives, dont le numéro de sécurité sociale des patients se sont retrouvées sur le darkweb.

« En dehors de la rançon, les données personnelles sont un business lucratif et la quantité d’informations privées que détiennent les hôpitaux – adresse, pathologie, pièce d’identité, carte vitale – peut se revendre à bon prix », indique Damien Frey, Varonis

Le projet de loi du ministère de l’Intérieur présenté le 7 septembre dernier acte le principe d’indemniser les rançons demandées par les cybercriminels aux organisations frappées par un ransomware. Seule condition : l’entreprise doit porter plainte. Les objectifs de ce projet de loi : éviter que les entreprises souscrivent des contrats auprès d’acteurs non régulés en France, éviter que les entreprises françaises ne soient attaquées dans leurs implantations à l’étranger et créer un observatoire de la menace cyber ont, en effet, de quoi surprendre.

« En l’état et sans un encadrement strict, c’est la porte ouverte au cybercrime. Ce texte va à l’encontre des chiffres : toutes les 11 secondes, un rançongiciel frappe une organisation, y compris des hôpitaux, des collectivités et des PME et la cybercriminalité va doubler d’ici 2025 » souligne Adrien Merveille, Check Point

Sans compter que l’écart entre les grandes entreprises, structurées pour leur permettre de déposer plainte et les plus petites, en manque de moyens ne pourra que se creuser, en l’état du projet de loi. Si le dépôt de plainte permet d’agréger des données et enrichir les dossiers des enquêteurs, jusqu’à parvenir à des arrestations, les forces de l’ordre et les autorités compétentes sont-elles prêtes pour faire face à une déferlante de dépôts de plaintes ? Autant de questions auxquelles le groupe de travail sur l’assurance du risque cyber qui sera mis en place fin septembre devra répondre pour tenter de convaincre les acteurs de la cybersécurité encore surpris par l’annonce de ce projet de loi.

« Déployer des solutions anti-ransomware efficaces est plus facile à dire qu’à faire, et les pirates le savent bien. Après avoir subi une première attaque par ransomware, les organisations ont besoin de temps pour évaluer leur niveau de sécurité, déterminer quels sont les bons outils à déployer, puis trouver le budget pour payer » explique Joël Mollo, Cybereason.

Se concentrer sur la prévention des risques

Sans compter que ce projet de loi vient en quelque sorte anéantir les nombreux efforts de sensibilisation et les recommandations des professionnels de la filière, qui s’accordent à dire que payer la rançon revient à financer l’industrie du cybercrime. 

A contrario, s’assurer d’une sauvegarde régulière permet, même en cas d’attaque, de recouvrer ses données sans céder au double chantage (payer une rançon pour récupérer ses données et se voir menacer que celles-ci soient publier sur le darknet) – sensibiliser ses collaborateurs aux risques cyber et notamment sur une porte d’entrée bien connue des cybercriminels : la messagerie, via les e-mails de phishing – rappeler régulièrement l’importance de choisir des mots de passe forts – mettre à jour les logiciels pour limiter les vulnérabilités… permet d’éliminer une large majorité des attaques.

Les spécialistes appellent également à investir massivement dans la prévention et la détection des attaques. « 100 % des entreprises et des collectivités vont se faire attaquer. La question n’est pas de savoir si cela va arriver, mais quand. Les cas du CHU de Corbeil-Essonnes et de la Ville de Caen montrent bien qu’on est dans une phase ascendante du nombre d’attaques et cela ne va faire que s’intensifier », met en garde Joël Mollo, Cybereason.

Le point de vue des experts cyber

Joël Mollo, Cybereason« Dans plus de 60 % des cas, lorsqu’une entreprise se fait attaquer, elle subit une deuxième attaque voire trois ou quatre après avoir payé la rançon »

Damien Frey, Varonis« Généralement, les malfaiteurs commencent par du chantage en publiant quelques extraits sur un site ou un forum, avant de discuter avec d’autres groupes pour voir les plus offrants »

Adrien Merveille, Check Point« Le montant réclamé par les attaquants est parfois bien moins élevé que les pertes financières liées à l’arrêt de l’activité »


Ransomware : peut-on mettre fin à un business model bien huilé ?

  • L’année 2022 a été marquée par une évolution de la menace cyber : le nombre d’attaques par rançongiciel s’est stabilisé à un niveau significatif (190 cyberattaques avec rançongiciels en août selon Lemag IT ), mais les attaques moins visibles à des fins d’espionnage et de déstabilisation persistent et se complexifient.
  • La progression des cyberattaques par rançongiciel, s’explique en grande partie par un rapport risque/rentabilité très attractif. Pour inverser la tendance, il s’agirait de s’attaquer à leur modèle économique en renchérissant leur coût (et la complexité de l’attaque) et en diminuant la probabilité des gains.

Plusieurs portes d’entrée possibles

Un email de phishing avec une pièce-jointe vérolée envoyé à des centaines d’employés, un ordinateur mal sécurisé ou des failles de sécurité applicative non corrigées sur un VPN… le ransomware n’a que l’embarras du choix pour arriver à ses fins et faire chanter ses victimes. « Le principal accès pour une cyberattaque, c’est la messagerie » indique Adrien Gendre, Chief Tech & Product Officer chez Vade. 

Fin août, le CH Sud Francilien de Corbeil-Essonnes en fait les frais. Et il est loin d’être le seul : « 80 piratages d’hôpitaux officiellement revendiqués par des pirates pour le premier semestre de l’année » révèle Félix Aimé, chercheur en cybersécurité chez Sekoia.io.

Les attaques par rançongiciel se professionnalisent

L’appât du gain. A n’en pas douter, c’est la motivation des groupes de cybercriminels bien rodés, qui agissent comme de véritables entreprises. Avec l’industrie du ransomware as a service, les logiciels de rançon sont commercialisés clé en main sur le darkweb, avec même un support technique par chat pour les victimes ! Pendant que certains développent les attaques, d’autres les vendent et d’autres encore les exécutent. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Cependant, la riposte s’organise. « Des outils de détection permettent de stopper et de contrer les attaques au plus tôt, tandis que des plans de continuité renforcent la résilience des organisations », précise Laurent Tombois, Country manager France Bitdefender.

XDR - Comment s’y retrouver entre fausses promesses et réalités ?

Perçues comme l’évolution naturelle des technologies EDR, les technologies XDR doivent permettre de faire face à des attaques toujours plus ciblées, parfois simultanées, et utilisant des TTPs (techniques, outils et procédures) de plus en plus sophistiqués. Les promesses des technologies XDR sont nombreuses : surface de protection étendue, vision complète et en temps réel du paysage des menaces, capacités de détection augmentées, réponse à incident plus cohérente, investigations et remédiation plus efficace, optimisation des ressources et réduction des coûts opérationnels… si bien que tous les spécialistes de la détection et de la réponse à incident sont loin d’être tous d’accord sur sa définition. Alors, comment le RSSI peut-il s’y retrouver ? Selon David Bizeul, Chief Scientific Officer chez Sekoia.io : « Les clients ne se soucient pas d’un produit de cybersécurité, ils se soucient de ne pas avoir à s’en soucier ».

Ainsi, le XDR doit réunir trois fonctions indissociables : « Une détection efficace – capable de repérer dans les événements du système d’information ceux qui sont les plus intéressants et qui présentent une caractérisation de menace. L’investigation simplifiée – i.e. permettant de resserrer progressivement les mailles du filet jusqu’à cibler la cause initiale de la menace. Et la réponse rapide et complète – i.e. disposer de plans de réponses automatisables et pouvant s’appliquer à tous les composants du système d’information ».

Les menaces modernes étant plus insaisissables que jamais, de nouvelles technologies telles que l’XDR collectent et mettent en corrélation des données depuis plusieurs couches de sécurité : les emails, les endpoints, les serveurs, les charges de travail dans le cloud et le réseau. Laurent Tombois, Country manager France Bitdefender : « Avant de procéder à la protection et à l’application de correctifs, il est également extrêmement important pour les organisations de disposer d’un inventaire exhaustif des actifs et de leur état – vous ne pouvez pas protéger ce que vous ne savez pas que vous possédez ».

Le point de vue des experts cyber

Adrien Gendre, Vade « Une entreprise aura beau mettre en place le système de sécurité anti-ransomware le plus sophistiqué qui soit, il ne la protégera pas si les collaborateurs ne savent pas comment éviter les risques » 

David Bizeul, Sekoia.io « Les solutions actuelles de détection et de réponse centrées exclusivement sur le poste de travail ne sont pas suffisantes en termes de couverture et de performance, tout simplement parce qu’il existe, dans la plupart des infrastructures modernes, des objets d’intérêt cyber que les EDR ne peuvent tout bonnement pas voir ».

Laurent Tombois, Bitdefender « L’XDR offre aux équipes de sécurité une visibilité totale sur leur organisation et les aide à minimiser les temps de réponse aux cyberattaques ».


« La menace n’est pas une fatalité » Guillaume Poupard, ANSSI

  • La prise de conscience est là. Pourtant, si les entreprises ont bel et bien compris que « ça n’arrive pas qu’aux autres », pour un bon nombre d’entre elles, notamment les PME et les collectivités, par faute de moyens humains, techniques et financiers, la protection du SI demeure au second plan dans la liste des priorités. 
  • Une Europe ambitieuse. Le renforcement de l’arsenal législatif, notamment avec l’accord trouvé le 12 mai dernier autour de NIS 2, vise à renforcer la coopération entre les États membres.

Tout le monde est attaqué

En 2021, l’ANSSI relevait en moyenne un incident par semaine dans un établissement de santé. L’attaque récente subie par l’hôpital de Corbeil-Essonnes et celle qui a frappé les institutions gouvernementales du Monténégro ne laissent aucun doute : les cybercriminels n’ont pas de scrupules. Et ils frappent là où « c’est facile ». Avec des infrastructures informatiques vieillissantes, les hôpitaux (entre autres) sont des cibles de choix. 

« C’est un travail de longue haleine qui prend parfois des mois, voire des années. Ils attendent un maximum de temps pour avoir un maximum d’emprise sur l’entreprise qu’ils attaquent. Ensuite, ils arrivent à bloquer le réseau en entier, dans son intégralité » explique Adrien Merveille, expert en cybersécurité chez Check Point.

Les signaux positifs d’une Europe normative

Face à une numérisation qui progresse et à la croissance du nombre de secteurs touchés par la numérisation, l’Union européenne a décidé d’élargir le périmètre de la première directive NIS de 2016 en ajoutant à la liste des OSE de nouveaux secteurs comme l’agroalimentaire, le traitement des déchets, l’industrie pharmaceutique ou les services numériques grand public. Aves NIS 2, qui vraisemblablement verra le jour en 2024, l’UE vise le renforcement des obligations en matière de cybersécurité des entreprises et des collectivités essentielles : gestion des risques cyber, sécurisation de la chaîne d’approvisionnement, programmes de sensibilisation, notification obligatoire des incidents et encourager la divulgation des vulnérabilités… tout (ou presque ?) des priorités du volet cyber y est, pour permettre aux entreprises et aux collectivités européennes de faire face à la menace cyber.  

« Avec la directive NIS 2, le durcissement des obligations de cybersécurité décidées par l’UE vise non seulement à consolider la transformation numérique des entreprises mais aussi à faire prendre conscience de l’ampleur des attaques et de l’urgence de la situation » précise Adrien Merveille, expert cybersécurité chez Check Point.

Au-delà de vouloir faire peur, NIS 2 devrait pouvoir faire prendre conscience aux dirigeants de la nécessité d’augmenter les budgets alloués à la cybersécurité.

Et le texte prévoit un vrai régime d’obligations, y compris pour les États avec par exemple une stratégie nationale tous les 5 ans – et de sanctions (pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial). A l’UE maintenant de veiller à une transposition homogène entre les États membres si elle veut parvenir à une solidarité et coopération européenne.

« Les agences de sécurité nationales auront les moyens de réaliser des audits sur les entreprises concernées et les sanctions pourront aller jusqu’à l’interdiction d’exercer pour les dirigeants » indique Jean-Baptiste Guglielmine, expert en cybersécurité chez Cybereason.

Face au double risque de la sanction et de la cyberattaque, anticiper et s’entraîner deviennent les maître-mots

Ne pas rester les bras croisés. Alors que les menaces informatiques se multiplient, les organisations (entreprises, institutions, associations…) doivent se tenir prêtes pour faire face aux crises d’origine cyber. Une seule solution : anticiper et s’entraîner pour ne plus subir. « Mais aussi être capable de maintenir ses activités face à une cyberattaque et réduire les impacts en cas de crise » précise Félix Aimé, expert en cybersécurité chez Sekoia.io. L’amélioration de la résilience numérique par l’entraînement à la gestion de crise est une nécessité pour toutes les organisations ». 

Au coeur de la crise, improviser n’est pas une solution. Lors d’une attaque réussie, pas le temps de paniquer ou de réfléchir trop longtemps. La moindre seconde peut faire la différence, et pour l’entreprise, cela se chiffre en centaines de milliers ou en millions d’euros de dommages. Il faut absolument disposer d’un plan de réponse aux incidents clairement défini, de procédures, de responsabilités et de contacts précis… et l’avoir testé lors d’exercices réguliers !

Enfin, la communication ne doit pas être le parent pauvre de la gestion de crise cyber, au risque que l’absence de communication, ou pire, une mauvaise communication, nuise à la confiance dans l’organisation et à sa réputation.

Le point de vue des experts cyber

Félix Aimé, Sekoia.io « Il y a ceux qui vont commettre l’attaque, il y a des développeurs qui vont créer des programmes malveillants, et un service qu’on pourrait appeler ‘service après-vente’ qui va marchander avec la victime » 

Guillaume Valadon, Quarkslab « Le risque cyber fait partie de la gouvernance stratégique des entreprises ce qui revient pour les équipes IT, produits et métiers à plébisciter une approche offensive pour colmater les brèches, mais surtout à imaginer et donc à anticiper les nouvelles formes d’attaque”

Adrien Merveille, Check Point « De nombreuses attaques sont automatisées, de sorte qu’elles ne sont pas nécessairement dirigées contre une entreprise en particulier. D’ailleurs, près de la moitié des cyberattaques visent les petites entreprises »


FIC 2022 : une Europe aux ambitions communes

L’écosystème européen de la cybersécurité s’est réuni à Lille pour échanger sur les enjeux de sécurité numérique sur fond de guerre en Ukraine et de montée des tensions internationales. Face à une double urgence, à la fois opérationnelle et politique, l’Europe doit plus que jamais garantir le développement d’un espace numérique sûr et de confiance.

Des campagnes d'espionnage difficiles à détecter

Nous luttons contre des campagnes d’espionnage de long terme particulièrement évoluées, difficiles à détecter” (Guillaume Poupard)

Selon le directeur général de l’ANSSI, l’espionnage étatique est aujourd’hui la principale menace, et représente 80% du travail de l’agence. 

Les acteurs malveillants, qu’ils s’agissent de cybercriminels attirés par l’appât du gain ou d’attaquants plus sophistiqués, menant des campagnes d’espionnage ou de déstabilisation, ne faiblissent pas et mobilisent quotidiennement les équipes de l’ANSSI. Toutes les 11 secondes, un rançongiciel frappe une organisation.

Au niveau national, on peut être satisfait de ce qu’on a construit avec les OIV” (Opérateurs d’Infrastructures Vitales), souligne Guillaume Poupard. Le niveau de sécurité de ces infrastructures ayant progressé, la menace affecte désormais l’ensemble des acteurs : PME, ETI, grands groupes, institutions, organisations publiques ou privées.

15 000 postes à pourvoir en France dans le domaine de la cybersécurité

Construire une sécurité de bout en bout, jusqu’à l’utilisateur final” (Guillaume Tissier)

Pour assurer la sécurité du dernier, ou plutôt du premier kilomètre évoqué par Guillaume Tissier, co-organisateur du FIC et associé AVISA Partners, lors de l’ouverture du Forum, Guillaume Poupard souhaite ce que l’on n’a « jamais réussi […] à faire véritablement » : une vraie campagne nationale de sensibilisation. « Mon rêve, c’est d’avoir 5 minutes du temps de cerveau de chaque Français à peu près au même moment”. 

Cette prise de conscience doit être accompagnée d’une augmentation massive des formations spécialisées et de ressources humaines qualifiées avec 15 000 postes manquants en France dans le domaine. La labellisation du Campus Cyber Hauts-de-France s’inscrit dans cette montée en puissance. Ce premier campus régional labellisé par le Campus Cyber national accueillera notamment le nouveau Centre National de Formation Cyber du Ministère de l’Intérieur (CNF-Cyber).   

Cet effort d’attractivité des métiers et compétences liées à la cybersécurité s’est incarné pendant 2 jours au travers de l’EC2 (European Cyber Cup), compétition de hacking éthique, qui a vu s’affronter 180 joueurs, tant étudiants que professionnels, au cours de 8 épreuves. 

Une Europe du numérique forte

Le FIC 2022, qui symboliquement vient clore la Présidence française du Conseil de l’Union Européenne (PFUE) a permis de souligner de belles avancées au niveau communautaire, notamment l’accord provisoire sur la révision de la directive NIS “un texte très ambitieux qui va permettre de sécuriser dix fois plus d’acteurs en France, dont les hôpitaux, collectivités, ETI…” selon Guillaume Poupard, directeur général de l’ANSSI.

Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, présente pour l’ouverture officielle de l’événement, a souligné l’avancée des dernières régulations, dont le Digital Market Act et “l’importance pour les entreprises d’être conformes à celui-ci d’ici début 2023”. Elle a également annoncé la construction d’une plateforme commune d’entraide entre pays-membres qui devrait voir le jour en 2023. “C’est la priorité dans les mois à venir : on a besoin de pouvoir aider un Etat membre attaqué. Pour cela, il faut impérativement s’appuyer sur le secteur privé”, confirme Guillaume Poupard, directeur général de l’ANSSI.

Alors que la crise Covid et le conflit ukrainien ont montré nos multiples dépendances, il est nécessaire de construire un environnement numérique qui corresponde à nos valeurs et à nos intérêts. D’où l’urgence de mobiliser tous les leviers disponibles en matière de politique industrielle : politique de la concurrence (Digital Market Act), politique commerciale, soutien à l’investissement, financement de l’innovation…

Au cœur des priorités, la cybersécurité, qui représente un marché de 146 milliards € au niveau mondial en 2022, en croissance de 10% par an, dont 34 milliards pour l’Europe et 8 milliards pour la France. 

LE FIC 2022 confirme sa dimension internationale

Le FIC, c’est VOUS !– Général Marc Watin-Augouard, fondateur du FIC.

Près de 14 000 visiteurs étaient présents à Lille (+35 % par rapport à l’édition 2021) et 550 exposants. Près de 5 000 participants ont également assisté aux échanges en ligne. Avec cette 14ème édition, le FIC, co-organisé par la Gendarmerie nationale et AVISA Partners, avec le soutien de la Région Hauts-de-France, confirme sa dimension internationale. La présence des plus hautes autorités européennes, Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, et Margaritis Schinas, Vice-président de la Commission européenne, ainsi que de nombreuses délégations internationales et institutions européennes (Europol, DG HOME, DG CONNECT, ENISA, ECSO…), soulignent l’importance de l’ambition européenne sur les enjeux de sécurité et de confiance numériques. Outre l’Europe, le FIC s’étend également à l’international en lançant un premier FIC Amérique du Nord.

Le FIC renforce enfin son ouverture vers des thématiques sectorielles grâce à de nombreux événements associés : ID&KYC Forum, Cybersecurity For Industry, e-CPF, Trust&Safety Forum et une journée OSINT qui a rassemblé plus de 300 personnes.

 

Prochains rendez-vous : les 1er et 2 novembre 2022, pour le premier FIC Amérique du Nord à Montréal et le FIC 2023, les 5, 6 et 7 avril à Lille.


Le bug bounty managé : l'avenir de la détection de vulnérabilité ?

Alors que les applications évoluent rapidement et que la professionnalisation des attaques ne cesse de s’intensifier, le Bug Bounty, apparu pour la première fois en 1995, s’impose comme la suite logique et complémentaire des tests d’intrusions pour déceler les failles de sécurité de manière continue.

Le bug bounty fait appel à des chercheurs en sécurité informatique appelés également hackers éthiques situés aux quatre coins de la planète pour tester et renforcer la sécurité des applications d’une entreprise. Ce système, en forte expansion depuis quelques années, permet à ces « chasseurs de failles » ou « hunters » d’intervenir pour déceler des vulnérabilités et les remontent via des plateformes ou par le biais d’entreprises spécialisées.

Le bug bounty : avantages et inconvénients

Cette approche bénéficie de nombreux avantages : elle permet, par exemple, de mettre en parallèle diverses expertises complémentaires et profils qualifiés pour tester la sécurité des produits d’une entreprise. En diversifiant les opinions et les axes de recherche, une entreprise s’assure d’agir avec plus de précision et ce sur une plus longue période. Le bug bounty permet également à l’entreprise de reprendre le contrôle sur la publication des failles de sécurité, lui donnant la possibilité de synchroniser les résultats obtenus avec les outils de suivi de bugs internes pour lui permettre d’atteindre une certaine maturité en matière de sécurité vis-à-vis de ses clients.

Toutefois, le bug bounty n’est pas efficient dans toutes les situations. C’est tout d’abord un programme à définir avec précision. Ces programmes peuvent être compliqués à coordonner, et leur pilotage est une contrainte supplémentaire pour l’entreprise. De plus, contrairement à un audit classique, le budget dépend du nombre de vulnérabilités valides trouvées par les chercheurs, élément difficilement quantifiable dans le cadre d’un programme de bug bounty. Il est également connu pour faire face à de nombreux faux positifs, notamment avec des vulnérabilités trouvées révélées sous formes de doublons. Enfin, s’il est adapté aux périmètres externes tels que les applications Web ou mobiles, le bug bounty est difficilement envisageable lorsque l’on souhaite agir dans le cadre d’un périmètre interne.

Les différentes approches du bug bounty

Le bug bounty non managé est le bug bounty tel qu’on le connait sous sa forme classique, c’est-à-dire sans intermédiaire entre la plateforme de bug bounty et le client. Le fonctionnement est simple : l’entreprise cliente s’abonne à une plateforme, crée son programme de bug bounty puis invite des chercheurs à y participer. Ces derniers soumettent ensuite les vulnérabilités qu’ils ont découvertes à l’entreprise cliente, via la plateforme. Les équipes de l’entreprise collaborent avec les hackers éthiques, valident les rapports de vulnérabilités et les rémunèrent, avant de finalement faire intervenir leurs propres membres chargés de la sécurité pour corriger les vulnérabilités identifiées.

Le bug bounty managé est quant à lui une méthode plus récente. Une entreprise spécialisée en cybersécurité se positionne comme un intermédiaire entre l’entreprise cliente et les hackers éthiques. Ce sont les consultants de cette entreprise qui vont accompagner de A à Z l’entreprise cliente dans la création et la gestion de ses programmes de Bug Bounty. Cet aspect simplifie la mise en place de cette prestation qui peut s’avérer compliquée à gérer pour le client.

Les étapes structurant l’accompagnement d’un programme de bug bounty managé

  • Création : Concevoir un programme personnalisé aux besoins de l’entreprise, définir les cibles, définir la grille des récompenses en fonction du budget qui va statuer sur le niveau de rémunération des vulnérabilités trouvées par les chercheurs en fonction de leur sévérité ;
  • Lancement : Lancer le programme et envoyer les invitations aux chercheurs ayant l’expertise ad hoc sur le périmètre du programme ;
  • Triage : Rejouer les PoC (Proof of Concept) et transmettre les rapports de vulnérabilités valides au client avec pour chacun la sévérité, la description, l’impact et la remédiation associée. Validation de la récompense à payer au chercheur par le client après échange et accord avec l’équipe de triage ;
  • Remédiation : Conseiller le client dans la mise en place du correctif de la vulnérabilité et tester l’implémentation de cette dernière.

L’une des étapes clefs pour la réussite d’un programme de bug bounty managé est cette phase de traitement des vulnérabilités remontées (triage). L’entreprise spécialisée en cybersécurité va pouvoir vérifier les PoC, c’est à dire les preuves qu’apportent les hackers pour illustrer les vulnérabilités découvertes. Ainsi, le triager pourra valider la sévérité des vulnérabilités, et ce n’est qu’ensuite qu’il établira une estimation du montant des récompenses qui devra dans la plupart des cas, être validée par le client.

Le fait que les récompenses soient payées seulement aux premiers qui découvrent la vulnérabilité et en fonction de la sévérité de cette dernière, challenge les hunters. En effet, le premier chercheur qui identifie une vulnérabilité est rémunéré, mais pas le second (qui trouve cette même vulnérabilité alors considérée comme doublon ou « duplicate »). L’entreprise intermédiaire, de par son expérience et son expertise, conseille également le client pour garder le programme dynamique et attractif tout au long de son cycle de vie. Ceci est notamment réalisé à travers l’ajout de hunters au programme, la demande d’ajout de cibles au périmètre, la fourniture de comptes applicatifs ou encore l’augmentation des primes. A la fin du processus, les correctifs appliqués permettront de corriger les failles détectées et le triager pourra alors demander aux hunters une dernière vérification pour tester la bonne implémentation de ces correctifs.

Lorsqu’il est managé, le bug bounty est généralement plus simple à mettre en place que le bug bounty classique, et aide grandement une entreprise qui désire déceler les vulnérabilités présentes dans ses systèmes. Il permet notamment d’être accompagné dans la création des programmes et le traitement des rapports. Si le bug bounty possède toujours quelques inconvénients, son management permet une réelle valeur ajoutée et un gain de temps pour l’entreprise. L’expertise et l’expérience des chercheurs couplés à celle des consultants est un duo gagnant dans la sécurisation de l’infrastructure d’une société faisant d’un programme de bug bounty un nouvel outil efficace dans l’arsenal du RSSI.

 

Jérémy Caron, Atos Digital Security


Check Point Research (CPR) explique le fonctionnement d'une exploitation en temps réel de Log4j

CPR a détecté de nombreuses attaques exploitant la vulnérabilité Log4j, et donne un exemple détaillé du fonctionnement d’une attaque réelle. Tandis que la plupart des mineurs détectés exploitaient cette vulnérabilité pour le minage de crypto-monnaie sur Linux, les chercheurs de Check Point ont découvert une cyberattaque impliquant un malware non détecté, basé sur NET pour la première fois. Cette attaque spécifique vise aujourd’hui cinq victimes dans les secteurs de la finance, de la banque et des logiciels en Israël, aux États-Unis, en Corée du Sud, en Suisse et à Chypre. Le serveur qui contient les fichiers malveillants est situé aux États-Unis.

Paris, le 15 décembre 2021 – Ces attaques moins destructrices (axées sur la cryptographie) représentent les premiers stades des attaques à grande échelle (comme les ransomwares). Il s’agit en quelque sorte d’un « essai en direct » de la vulnérabilité et des dégâts potentiels sur les victimes, pour ensuite effectuer une offensive plus importante.

Une fois qu’un type de logiciel malveillant est injecté, il ne faut pas attendre longtemps pour que l’attaque ne prenne de l’ampleur. Les activités d’extraction de cryptomonnaies se transforment souvent en ransomware et autres types d’attaques majeures.

Log4j : CPR a recensé plus de 1 272 000 tentatives d'exploitation de cette vulnérabilité

L’attaque exploite la vulnérabilité de Log4j pour télécharger un Trojan, qui déclenche le téléchargement d’un fichier .exe, lequel installe à son tour un crypto-miner. Une fois ce dernier installé, il se met à utiliser les ressources de la victime afin de miner des cryptomonnaies au profit des attaquants, le tout à l’insu de la victime qui ne sait pas qu’elle a été compromise. Grâce aux techniques d’évasion du malware, toutes les fonctions et tous les noms de fichiers pertinents sont masqués pour éviter que les mécanismes d’analyse statique ne les détectent.

  • Jusqu’à présent, CPR a recensé plus de 1 272 000 tentatives d’attribution de la vulnérabilité. 46 % d’entre eux par des groupes de pirates informatiques malveillants connus.
  • Les tentatives d’exploitation ont été documentées sur plus de 44 % des réseaux d’entreprise dans le monde.

Log4j : un comportement qualifié de cyberpandémie

Lotem Finkelstein, responsable de la veille sur les menaces chez Check Point Software : « Nous avons détecté un nombre massif de tentatives d’exploitation au cours des derniers jours. Les attaquants recherchent activement des cibles potentiellement vulnérables, et de nouveaux outils d’analyse de cette vulnérabilité continuent de faire surface. Les attaques à petite échelle permettent de développer des attaques à plus grande échelle. Les acteurs de la menace aiment tester leurs outils et leurs cibles, entraînant des attaques plus dangereuses comme les ransomwares. »

Il s’agit clairement de l’une des vulnérabilités les plus graves de ces dernières années sur Internet, et elle se répand comme une traînée de poudre. À certains moments, CPR a vu plus de 100 piratages par minute liés à la vulnérabilité de LogJ4. Nous assistons à ce qui semble être une répression évolutive, avec l’introduction rapide de nouvelles variations de l’exploit original – plus de 60 en moins de 24 heures. Le nombre de combinaisons possibles pour l’exploiter donne à l’attaquant de nombreuses possibilités de contourner les protections nouvellement introduites. Cela signifie qu’une seule couche de protection est insuffisante, et que seule une stratégie de sécurité à plusieurs niveaux peut fournir une protection efficace.

Contrairement à d’autres cyberattaques majeures qui impliquent un logiciel ou un nombre limité de logiciels, Log4j est pratiquement intégré à chaque produit ou service web sur Java. Il est extrêmement difficile d’y remédier manuellement. Une fois l’exploration publiée (vendredi), des scans du réseau Internet ont été effectués (afin de déterminer les surfaces vulnérables en raison de cet incident). Les utilisateurs qui ne souhaitent pas installer de protection sont probablement déjà passés au crible par des acteurs malveillants. CPR a recensé plus de 1 272 000 attaques, au cours desquelles plus de 44 % des réseaux d’entreprise dans le monde ont été visés.

Cette vulnérabilité, vue la complexité de sa correction et de sa facilité d’exploitation, restera présente dans les années à venir, à moins que les entreprises et les services ne prennent des mesures immédiates pour prévenir les attaques contre leurs produits et installer une protection. C’est le moment d’agir. En cette période de vacances, quand les équipes de sécurité peuvent mettre plus de temps à mettre en place des mesures de protection, la menace est imminente. Ce phénomène se comporte comme une cyberpandémie : il est très contagieux, se propage rapidement et possède de multiples variantes, qui multiplient les moyens d’attaque.

 

Lire la suite sur France 24.


Cyberattaques & fournisseurs : le cheval de Troie des attaquants ?

Les attaques par ransomware ne doivent pas faire oublier pour autant celles, beaucoup plus perfectionnées, qui ont pour objectif l’espionnage ou le sabotage, et qui n’hésiteront pas à passer par un fournisseur ou un partenaire moins bien protégé.

Que peuvent nous apprendre les récentes attaques de Kaseya ou de Solarwinds ?

Des attaque cyber dans lesquelles des éditeurs de logiciel ont été compromis non pas pour les atteindre eux-mêmes, mais pour cibler leurs clients.

D’abord qu’il existe bel et bien deux niveaux d’attaque cyber aujourd’hui. Si l’actualité est monopolisée par les attaques de type ransomware, force est de constater que celles-ci sont rarement très avancées techniquement, et qu’elles reposent plutôt sur des vulnérabilités connues et tirent parti de mauvaises pratiques de la part des victimes.

Détecter les comportements suspects réduit l'impact d'une cyberattaque

Plutôt que de réagir une fois l’impact de l’attaque découvert… mieux vaut être en capacité de détecter les comportements suspects

Tandis que les opérations d’espionnage sont conduites par des équipes motivées qui n’hésitent pas à dérouler leur attaque sur plusieurs mois jusqu’à arriver à leurs fins. « Des opérations comme celles de Kaseya et SolarWinds démontrent qu’il n’est pas toujours possible de contrer de telles attaques, et que face à de tels adversaire il vaut mieux se mettre en capacité de détecter les activités suspectes et d’y répondre immédiatement, sans laisser le temps à l’attaquant de dérouler son playbook » explique Julien Billochon, Cybereason.

La capacité de détection des anomalies est vitale face à de tels acteurs malveillants, car ils n’utilisent pas ou peu d’outils ou de codes aisément repérables. Leurs traces seront plutôt liées à des signaux faibles, une suite de petits incidents ou d’actions anormales mais bénignes. « Les RSSI doivent être conscients de ce type d’attaque et de la difficulté à les contrer. Ils devraient suivre l’approche « assume breach ». C’’est-à-dire partir du principe que tout et tout le monde peut être compromis à tout moment. Une fois cet état de fait accepté, ils pourront commencer réduire l’impact et les dégâts d’une attaque de ce type réussie. Notamment en améliorant la capacité de détection des activités anormales des applications ou des technologies dont ils dépendent et qui pourraient se retourner contre eux », conseille Jérôme Soyer, Varonis.

Enfin, au-delà de ces exemples, les entreprises devraient mettre en œuvre de vrais programmes de suivi du niveau de sécurité de leurs fournisseurs ou de leurs sous-traitants les plus critiques (notamment ceux qui disposent d’un accès ou d’une interconnexion forte avec leurs propres systèmes). Une première approche de type déclaratif peut être suffisant pour amorcer le programme, mais il faudra à terme aller plus loin, notamment en cas d’incident chez les fournisseurs : « Il est important d’être informé rapidement des incidents de sécurité qui peuvent se produire chez les fournisseurs et les sous-traitants, et de prendre connaissance des techniques utilisées par l’attaquant, du mode opératoire et bien entendu des indicateurs de compromission. En centralisant toutes ces informations au sein d’une plateforme unique de partage de l’information, le donneur d’ordre sera en mesure de croiser des indicateurs ou des modes opératoires et, peut-être, identifier une opération dirigée contre lui-même menée par un acteur identique contre plusieurs de ses partenaires », explique Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Julien Billochon, Cybereason : « Nous devons passer d’une réponse réactive aux attaques à une posture d’anticipation par l’identification des comportements suspects dès les premiers stades de l’opération malveillante. Il faut s’intéresser aux débuts de l’attaque »

Jérôme Soyer, Varonis : « La chaîne d’approvisionnement de l’entreprise représente une surface d’attaque énorme, qui expose de nombreux points d’entrée : la vulnérabilité du produit lui-même, mais aussi toute l’infrastructure du fournisseur, le processus CI/CD pour les applications SaaS et en bout de chaîne, le prestataire qui distribue et gère la technologie chez ses clients »

Cyrille Badeau, ThreatQuotient : « De multiples petits incidents chez plusieurs fournisseurs peuvent être le signe d’une attaque coordonnée contre le donneur d’ordre. Il est important de centraliser et d’enrichir ces informations afin qu’une équipe d’analystes cyber puisse travailler de concert sur ces différentes alertes en apparence distinctes »