Risque cyber : tout le monde est concerné

Mettre la pression pour que la victime paye une rançon en cryptomonnaie afin de recouvrer ses données avant qu’elles ne fuitent sur Internet. Telle est la menace qui pèse sur toutes les entreprises. Aucun secteur n’est épargné, ni même les collectivités locales.

Il n’était pas rare jadis que le risque cyber soit ignoré au sein des comités de direction, car il n’était pas visible et n’avait aucun impact sur les revenus. De quoi parlait-on alors ? En dehors du cas particulier d’entreprises ayant la nécessité (ou l’obligation) de protéger des informations très sensibles, pour la très grande majorité d’entre elles le risque tel qu’il fût perçu par les instances dirigeantes se limitait alors à quelques postes de travail infectés et rapidement réinstallés par la DSI. Pas de quoi impressionner un financier.

Entre 2019 et 2020, les demandes de rançons ont été multipliées par quatre, selon les données de l’Anssi

Cela a brutalement changé avec l’émergence des attaques par rançongiciel, qui provoquent le plus souvent un arrêt brutal de l’activité sur une période étendue (entre 8 et 10 jours en moyenne, et parfois plus d’un mois). Un tel impact est inédit : aucun scénario de risque n’avait prévu, comme cela déjà été le cas, l’arrêt de la production de plusieurs usines du même groupe, bien qu’elles soient réparties en plusieurs endroits de la planète.

Et pourtant, l’attaque par rançongiciel met bien les victimes à l’arrêt et provoque des pertes d’activités pouvant s’élever à plusieurs millions d’euros par jour, ce qui est désormais impossible à ignorer pour un comité de direction… Et cela, aussi bien chez de petites entreprises que de grands groupes, des hôpitaux ou des collectivités locales…

Comment cela est-il possible ? « Les attaquants exploitent des erreurs de configuration ou des vulnérabilités dans les équipements d’accès afin de s’introduire dans le réseau comme un utilisateur légitime, et ils profitent ensuite que ce dernier est relativement ouvert pour s’y déplacer et en prendre le contrôle. Au final, ils utilisent peu de codes malveillants, mais quand ils le font, ceux-ci sont de plus en plus sophistiqués », explique Stéphane Brovadan, Bitdefender.

Beaucoup d’entreprises partagent en effet trop souvent la même faiblesse qu’est un réseau trop à plat, qui permet à quiconque ou presque d’atteindre un serveur dans une filiale à l’autre bout du monde. Les plus grandes parce que c’est pratique ou parce que leur topologie réseau est devenue très complexe au fil des acquisitions, et les plus petites, ou les hôpitaux, par manque d’expertise sécurité locale ou de budget pour appliquer les bonnes pratiques. « Il faut malgré tout savoir qu’il sera difficile d’arrêter un attaquant motivé simplement avec ces mesures de base, aussi nécessaires soient-elles. L’une des approches les plus efficaces est de compléter ces bonnes pratiques par une détection des comportements anormaux – notamment sur les postes de travail – qui peuvent trahir l’activité d’un intrus avant qu’il ne déclenche sa charge offensive », précise Julien Billochon, Cybereason.

Et pour aller plus loin, rien de tel que de rester informé des toutes dernières menaces, afin d’adapter sa protection de manière pragmatique. « La Threat Intelligence opère à différents niveaux, mais même pour les plus petites entreprises, le fait de connaître en permanence les éléments identifiables liés aux attaquants du moment permet de se protéger non pas de manière générique, mais spécifiquement, en étant totalement adapté à la menace du moment. C’est une approche extrêmement opérationnelle, très accessible et qui peut éviter de se disperser quand on n’a pas des moyens illimités », explique Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Julien Billochon, Cybereason : « La détection des comportements suspects sur les postes de travail devient essentielle tant les codes malveillants sont désormais sophistiqués. Elle est heureusement désormais accessible même aux petites structures »

Stéphane Brovadan, Bitdefender : « Les attaquants déploient moins de codes malveillants lors de leurs intrusions, mais ils sont de plus en plus furtifs et difficiles à identifier. Le niveau d’expertise requis pour les détecter a largement augmenté en quelques années »

Cyrille Badeau, ThreatQuotient : « Notre connaissance des différents groupes de cybercriminels confirme qu’ils peuvent désormais frapper toutes les entreprises, quel que soit la taille ou le secteur d’activité, à partir du moment où il y a la capacité de payer une rançon. Et bien souvent les pirates étudient les finances de la victime pour fixer le bon niveau de rançon »


Quelles leçons tirer en matière de sécurité Cloud et télétravail ?

Le télétravail massif est désormais bien enraciné dans les pratiques, et il se développe en synergie avec la migration des applications métiers dans le Cloud public. Ces deux facteurs se conjuguent pour créer la nécessité d’une approche de sécurité nouvelle

Le télétravail massif est probablement un facteur durable de la crise sanitaire COVID-19. Les entreprises sont désormais sorties de la frénésie des premiers jours de mars 2020, qui ont pu voir de mauvaises pratiques tant les déploiements des accès distants que dans leur gestion, tout simplement car il fallait faire face à l’urgence et permettre à l’ensemble des salariés de télétravailler. Aujourd’hui, les collaborateurs retrouvent certes le chemin du bureau, mais beaucoup demeurent en télétravail durable, quelques jours par semaine. Le défi des entreprises est donc de pérenniser ce qui a été déployé dans l’urgence, en faisant entrer cette nouvelle manière de travailler dans les bonnes pratiques de cybersécurité.

Les attaques de phishing ont augmenté de 85% en 2020

Et il y a urgence ! Car la crise sanitaire n’a finalement fait qu’accélérer pour certaines entreprises (celles qui s’en sont le mieux sorties) une migration des applications métiers dans le Cloud, et pour d’autres elle a été le révélateur des limites de l’approche traditionnelle à base d’accès distant par VPN dans un monde où les collaborateurs peuvent travailler en déplacement, et devoir accéder aussi bien des ressources dans le datacenter que sur Internet.

Car pour les attaquants, cette hybridation des applications Cloud et interne, et des usages mixtes, est une aubaine. Dans une étude d’août 2021, Varonis alerte ainsi sur le fait que les applications et logiciels d’entreprises dans le Cloud comme AWS, Box, GitHub, Google Drive, Salesforce, Slack, Zoom, etc. exposent très largement les entreprises. En particulier, 15 % des employés transfèrent des données critiques de l’entreprise sur leur compte personnel dans le cloud. « Lorsque vous avez des centaines ou des milliers de points d’extrémité qui accèdent aux données de l’entreprise depuis pratiquement n’importe où, votre périmètre est difficile à définir et plus difficile à surveiller », alerte Damien Frey, Varonis.

Les attaquants le savent bien, et ciblent de plus en souvent ce type d’accès : « L’émergence de l’environnement hybride, dans lequel les employés peuvent se connecter en tout lieu et à tout moment, offre aux cybercriminels une surface d’attaque plus étendue et de nouvelles vulnérabilités exploitables », confirme ainsi Hicham Bouali, One Identity.

C’est précisément pourquoi une nouvelle approche est nécessaire afin de prendre en compte la réalité des nouveaux usages hybrides, une approche qui ne mettrait pas à risque la totalité du système d’information avec la compromission d’un seul compte utilisateur, et qui tiendrait compte du large éventail d’applications internes et externes utilisées par l’entreprise. C’est notamment ce que propose le modèle Zero Trust : « Le modèle Zero Trust permet de sécuriser chacun des accès spécifiquement. Les utilisateurs accèdent ainsi aisément aux applications dont ils ont besoin, sans exposer le réseau à des menaces supplémentaires », explique Ivan Rogissart, zScaler. Bien entendu, la transition sera longue, car un tel changement de modèle n’est jamais simple. Mais la sortie de crise sanitaire, et le recours massif au télétravail, sont probablement la meilleure incitation qu’il soit pour s’y lancer !

Zoom sur l'avis de nos experts cyber

Damien Frey, Varonis : « 16 % de tous les utilisateurs du cloud effectuent des actions à privilèges, et 20 % d’entre eux ont accès à des données d’entreprise sensibles. Et pourtant 44 % des privilèges des utilisateurs du cloud sont mal configurés »

Ivan Rogissart, Zscaler : « Le modèle Zero Trust permet de sécuriser chacun des accès. Les utilisateurs accèdent ainsi aisément aux applications dont ils ont besoin, sans exposer le réseau à des menaces supplémentaires »

Hicham Bouali, One Identity : « Des attaques de phishing sur Twitter au piratage de SolarWinds, les pirates savent que les identifiants privilégiés sont un moyen d’accéder facilement aux données d’une entreprise dans le Cloud ou depuis l’intérieur, à mesure que les entreprises migrent vers un modèle hybride »


Est-ce que l'IA est la solution pour lutter contre les cybermenaces ?

Avec sa capacité de traiter et de prioriser de grandes quantités de données, l’IA est-elle le compagnon idéal des spécialistes humains noyés sous trop d’alertes quotidiennes ?

Branche la plus puissante de l’IA, le Deep Learning se classe plusieurs échelons au-dessus de l’apprentissage automatique. Il est actuellement utilisé dans le domaine de la cybersécurité via la création de réseaux neurologiques « entraînés » à partir d’échantillons de données brutes renfermant des millions de fichiers étiquetés à la fois malveillants et bénins. Au fil du temps, le réseau apprend à identifier instinctivement le code malveillant.

IA : un allié pour se concentrer sur l'essentiel des alertes cyber ?

La pénurie d’experts en cybersécurité se fait particulièrement sentir au sein des centres opérationnels de cybersécurité (SOC). Là, des veilleurs reçoivent et traitent les alertes issues de l’ensemble des équipements de l’entreprise et doivent être capables de réagir rapidement pour endiguer la menace avant que celle-ci ne devienne incontrôlable.

Hélas, submergés d’alertes peu ou pas priorisées, confrontés à la difficulté de contextualiser la menace globale à travers le prisme d’une simple détection, ils ont de plus en plus de mal à faire leur travail dans de bonnes conditions. Ajoutons à cela la difficulté chronique de recrutement, et la situation au sein des SOC est particulièrement tendue. Pourtant, ces « tours de contrôle » de la cybersécurité des entreprises jouent un rôle essentiel non seulement dans la détection, mais aussi dans la réponse aux attaques.

Pour leur venir en aide, le marché se tourne de plus en plus vers les promesses de l’Intelligence Artificielle. La machine, en effet, est capable, contrairement à l’humain, de traiter d’incroyables quantités de données quasiment instantanément, et de les trier, les prioriser, les enrichir et les présenter de manière claire pour qu’un analyste humain soit en mesure de décider de la suite à donner à une alerte. Grâce à l’IA, la charge de travail des analystes SOC se réduit, ainsi que le risque d’erreur : « Nos solutions à base de Deep Learning – la branche la plus poussée de l’IA – permettent en moyenne aux entreprises de réduire de 25% la quantité d’alertes quotidiennes à gérer, et de gagner jusqu’à 13 heures par jour de temps homme consacré à traiter des faux positifs », explique ainsi Rodolphe Moreno, Deep Instinct.

De son côté, l’éditeur français Vade mise lui aussi sur le Deep Learning pour faire face aux 100 millions d’emails qu’il doit analyser chaque jour afin de détecter les spams. « Nous avons beaucoup travaillé pour créer notre propre méthode et notre propre infrastructure capable d’apprendre massivement et de pouvoir identifier les spams à base d’images. Mais le résultat est là : sur les trois premiers mois de 2021, nous avons bloqué 500 millions de spams par cette méthode », explique Adrien Gendre, Vade.

Il reste cependant un rôle dans lequel l’humain est pour le moment indétrônable : celui de l’analyste. Mais là aussi, l’IA peut venir lui faciliter la vie en préparant le travail : « L’analyste a besoin d’enrichir l’information et de collecter du contexte pour faire son travail. Si l ‘analyse elle-même est une tâche humaine qui donne généralement lieu à une prise de décision, la machine est parfaite pour associer et agréger automatiquement l’ensemble du contexte disponible autour d’un « case » dans le but de faciliter son exploitation. Certaines décisions évidentes peuvent même faire l’objet de réponses automatisées basées sur la collecte de contexte correspondant aux critères d’un playbook écrit par l’analyste. », complète Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Adrien Gendre, Vade : « Il y a eu une amélioration significative des techniques de Computer Vision. La montée en puissance du Deep Learning et de la puissance hardware dédiée a largement contribué à ce phénomène. »

Rodolphe Moreno, Deep Instinct : « Avec le Deep Learning, plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données. Ses fondements s’inspirent du fonctionnement du cerveau humain. »

Cyrille Badeau, ThreatQuotient : « L’analyse des incidents cyber demeure une tâche majoritairement réservée à l’humain. Cependant,  la machine est bien meilleure pour enrichir automatiquement  l’information afin de faire gagner un temps précieux à l’humain qui peut ainsi lui déléguer les tâches répétitives et les prises de décisions évidentes. »


2011-2021 : retour sur les fondamentaux de la cybersécurité

Si la curiosité devant une technologie nouvelle était initialement la motivation des hackers, l’appât du gain, l’espionnage et le vol de données sont désormais les motivations d’une cybercriminalité organisée.

À trop vouloir élever le débat de la cybersécurité (ce qui n’est pas une mauvaise chose en soi, au demeurant !) on en vient parfois à oublier que l’on parle toujours aussi de « sécurité informatique ». Hélas, jusqu’à récemment le terme était tombé en désuétude avec l’avènement de l’expression « sécurité de l’information », puis celui du « Cyber », qui tente d’englober des pratiques aussi bien techniques qu’organisationnelles, de protection de l’information, de conformité et de gouvernance… jusqu’à ce qu’on en perde peut-être de vue les frontières.

Pour autant, la vague d’attaques par rançongiciels qui frappe les entreprises depuis quelques années avec un succès massif (l’on peut estimer les gains des pirates à plusieurs milliards de dollars) vient rappeler douloureusement que la cybersécurité, c’est encore aussi de la sécurité informatique. Avec, cependant, quelques évolutions !

Ainsi, du point de vue des techniques, une part importante de ces attaques trouve son origine dans les accès distants de type VPN ou RDP exposés par les entreprises. Exploités grâce à une vulnérabilité ou le vol d’identifiants, ces équipements permettent à un attaquant de prendre pied au cœur du système d’information de sa victime. Pour lutter contre ce type d’attaque, les réponses historiques et fondamentales que sont l’application des correctifs et le choix de mots de passe forts doublés d’une seconde authentification fonctionnent toujours et devraient être mises en œuvre immédiatement. C’est le « retour aux fondamentaux » et ce n’est pour autant pas assez suivi par les victimes.

Mais pendant ce temps, le monde change : « Alors que les entreprises se préparent à la nouvelle réalité du travail, du « tout à distance » aux modèles hybrides, les équipes de sécurité doivent réévaluer les droits d’accès à privilèges accordés aux utilisateurs et leur durée. Celle-ci n’est pas censée être illimitée », explique Hicham Bouali, One Identity. Et c’est là le cœur de l’évolution pour la sécurité informatique : rester proche des fondamentaux, mais adapter ces derniers aux nouveaux modes de vie et de travail. Et l’une de ces adaptations passe forcément par ne plus faire de différence entre l’interne est l’externe, ce que propose le modèle Zero Trust : « Cette approche consiste à n’accorder aucune confiance implicite en les éléments qui se trouvent à l’intérieur comme à l’extérieur du réseau. Chaque élément est considéré comme potentiellement néfaste jusqu’à preuve de sa neutralité, et doit être analysé pour confirmer son caractère inoffensif », détaille Ivan Rogissart, zScaler. Autrement dit : ne surtout rien lâcher sur les fondamentaux, mais adapter la stratégie aux changements du monde.

Pour y parvenir, il faudra bien sûr faire un effort, et pas seulement technique : « Il est important d’investir dans la formation régulière des personnels à la cybersécurité, afin de s’assurer qu’ils soient acculturés aux dernières tendances technologiques et sensibilisés aux nouveaux risques qu’elles peuvent introduire – par exemple la gestion des droits dans le Cloud est très différente de ce que les équipes pratiquent sur site, et sans formation, il peut être facile de faire une erreur coûteuse », met en garde Jean-Claude Tapia, ATOS Digital Security.

Les experts pour en parler

Hicham Bouali, One Identity « Il est difficile pour les entreprises d’appliquer les mêmes principes de sécurité en interne et dans les environnements Cloud. Les fondamentaux sont toujours aussi importants, mais doivent être adaptés au modèle hybride » 

Ivan Rogissart, zScaler “Dans un monde hypothétique où toutes les entreprises auraient adopté une approche Zero Trust, l’infrastructure sur laquelle repose Internet, à savoir les routeurs ou encore l’infrastructure DNS, sera, elle, toujours exposée. Une menace qui ne cessera de prendre de l’ampleur dans le monde Zero Trust de demain”

Jean-Claude Tapia, Atos Digital Security : « La transition vers le Cloud doit s’accompagner d’une solide formation des équipes de cybersécurité et, dans les premiers temps, d’audits réguliers des configurations et des droits d’accès, afin de limiter le risque d’erreurs dans ce nouvel environnement  »


Les 10 tendances en cybersécurité pour l’année 2021

Guillaume Tissier, associé Avisa Partners et co-organisateur du FIC : « Les cyberattaques se sont accumulées ces derniers mois : vols de données, usurpations d’identité, espionnage… autant de réalités qui inquiètent et appellent des réponses urgentes. Le Forum International de la Cybersécurité qui s’est ouvert ce matin à Lille est l’occasion de revenir sur les 10 tendances clés de 2021 ».

La conflictualité dans l’espace numérique atteint un niveau préoccupant qui menace sa stabilité

En 2021, les attaques se sont multipliées, touchant désormais tous les secteurs d’activité et toutes les organisations. Phénomène grand public, la sensibilisation des utilisateurs est aujourd’hui indispensable.

1. En 2021 la cybercriminalité a explosé, principalement via le ransomware (+ 255% en 2020 selon ANSSI). Cette criminalité, opportuniste et motivée par un gain financier rapide, touche désormais tout le monde, y compris les PME, ETI, collectivités locales ou encore établissements de santé.

2. Les cyberattaques sont désormais un outil au service de politiques offensives de certains Etats. Les attaques sophistiquées, discrètes et furtives nécessitent souvent de longs mois de préparation. La réponse ne peut pas et ne doit pas être uniquement opérationnelle : elle doit aussi être diplomatique et politique. Il faut désormais accepter d’attribuer certaines attaques et d’y répondre avec un panel de mesures techniques, judiciaires et diplomatiques.

3. Qu’elles soient d’origine étatique ou non, les attaques “par rebond” (Kaseya, Exchange, SolarWind…) peuvent avoir des conséquences catastrophiques. Les éditeurs ont une responsabilité pour les contrer, en intégrant dès la conception des produits les enjeux de sécurité (“security by design”).

4. En 2021, la modification des habitudes et des usages a augmenté la surface d’exposition aux risques et le nombre de vulnérabilités – la security by design restant très théorique. La généralisation du télétravail a augmenté le périmètre d’attaques et multiplié les portes ouvertes (salariés non formés, porosité entre usages personnels et professionnels, absence de VPN).

5. Enfin, le manque de compétences en matière numérique et en matière de cybersécurité demeure un problème central. Au-delà des connaissances techniques, nécessaires à une bonne utilisation des technologies numériques, une acculturation des récepteurs complètera l’approche et permettra une lutte efficace contre les fake news.

Quelles solutions ? Vers une réponse collective et coopérative

Le cyberespace ne sera pas une zone de non-droit mais un espace régulé, riche, porteur de potentialités, sur la base de valeurs communes à ses utilisateurs.

6. La cybercriminalité n’est pas une fatalité. L’actualité récente montre qu’il est possible de lutter efficacement contre le phénomène cybercriminel en mobilisant plusieurs leviers :

  • Une lutte anti-cybercriminalité efficace, notamment au plan judiciaire. Il y encore trop peu de poursuites judiciaires post-cyberattaques : 47% ont porté plainte auprès des autorités compétentes, mais cela n’a abouti que dans 15% des cas (Baromètre CESIN 2021).
  • Des capacités d’investigation, notamment sur les paiements. L’exemple récent de Colonial Pipeline aux USA a prouvé qu’il était envisageable de s’en prendre aux attaquants via le maillon le plus sensible : le circuit financier leur permettant de monétiser leurs attaques. Des initiatives politiques et diplomatiques fortes : des sanctions doivent être prises si l’Europe ne veut pas devenir le “ventre mou” du cyberespace.
  • Un dispositif d’alerte à destination des entreprises pour les inciter à mettre à jour et corriger leurs systèmes. La nature et le caractère contraignant de ce dispositif restent à déterminer. C’est la question du « droit d’injonction » évoqué par Guillaume Poupard, directeur général de l’ANSSI.

7. Les technologies progressent, notamment avec l’IA. Les technologies XDR (extended detection & response) permettent par exemple de détecter et de réagir plus rapidement aux incidents de sécurité en automatisant un certain nombre d’actions, permettant aux experts en cybersécurité de se concentrer sur les plus graves.

8. Qu’il s’agisse de malveillance ou d’événements accidentels, la cybersécurité devient progressivement un sujet C-level et n’est plus uniquement un sujet technique. Considérant les impacts potentiels d’une crise informatique, le sujet doit être traité au niveau COMEX.

9. La coopération se développe. Il est indispensable de compenser l’asymétrie traditionnelle entre l’attaquant et le défenseur par une plus grande collaboration et coopération de tous les acteurs, à tous les niveaux. Qu’il s’agisse des grands organes internationaux (ONU, OCDE), des forces de l’ordre nationales ou encore des acteurs académiques, la coopération internationale devient une vraie force.

10. La face « politique » de la cybersécurité est la « souveraineté numérique », sujet sur lequel la crise sanitaire a eu un effet d’accélérateur : nous avons pris conscience que le numérique était devenu systémique et que l’on ne pouvait totalement dépendre d’équipements, de solutions et de flux venant de l’étranger. L’Europe doit maitriser son destin numérique et construire un espace numérique correspondant à ses valeurs et à ses modes de vie. La Présidence française de l’UE qui débute en 2022 constitue de ce point de vue une opportunité historique.


[FIC 2021] Les retrouvailles de l’écosystème cyber européen à Lille sonnaient comme une nécessité

Après plusieurs reports et 20 mois d’attente, la communauté cyber s’est retrouvée à Lille pour échanger sur les bonnes pratiques d’un secteur mis en lumière par la récente crise sanitaire.

Lille, 09 septembre 2021 – Après plusieurs reports et 20 mois d’attente, la communauté cyber s’est retrouvée à Lille pour échanger sur les bonnes pratiques d’un secteur mis en lumière par la récente crise sanitaire.

Ce que j’ai à vous dire tient en 5 lettres : ENFIN !” – Général Marc Watin-Augouard. Avec plus de 10 000 visiteurs et 450 exposants, la 13ème édition du Forum International de la Cybersécurité (FIC) a été le premier événement professionnel depuis mars 2020 et confirme son leadership en Europe. Ce rendez-vous incontournable a été ouvert par Xavier Bertrand, président du conseil régional des Hauts-de-France, et a accueilli Florence Parly, ministre des Armées, Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques, Margaritis Schinas, Vice-président de la Commission européenne, Guillaume Poupard, directeur général de l’ANSSI, ou encore Juhan Lepassaar, président de l’ENISA.

Alors que le numérique irrigue aujourd’hui l’ensemble de nos vies personnelles et professionnelles, élargissant la surface exposée et les potentielles attaques, les retrouvailles de l’écosystème cyber européen à Lille, les 7, 8 et 9 septembre sonnaient comme une nécessité.

Ce n’est plus seulement un sujet technique, c’est une question de société, de souveraineté et de sécurité nationale” (Margaritis Schinas)

Cette 13ème édition a également souligné une fois encore l’absolue nécessité d’une collaboration européenne plus forte, comme en témoigne la mobilisation des institutions et des États européens. La signature d’un accord entre le FIC et les autorités de cybersécurité hollandaises a ainsi posé concrètement une des premières pierres de l’Europe de la cyber.  “Le thème du FIC cette année – Pour une cybersécurité coopérative et collaborative – n’est pas un vœu pieux. Nous ne pourrons relever le défi qu’ensemble” a précisé Guillaume Tissier, directeur associé chez Avisa Partners. 

Cet effort européen a résonné jusque dans l’Agora du FIC, think-tank dédié aux enjeux de sécurité et de confiance numérique, qui a publié un Livre blanc intitulé “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Objectif : préparer la Présidence française de l’UE qui s’ouvre en janvier 2022 en apportant 28 propositions couvrant les champs réglementaires, diplomatiques, industriels et technologiques. Parmi celles-ci : la régulation des vulnérabilités 0-days, la création d’un parquet cyber européen, la création d’un Buy Digital European Act, l’approfondissement de la collaboration UE/OTAN.

Autant de sujets qui seront abordés lors de la prochaine édition du FIC dont le thème sera « Shaping European Future ».

Pour maintenir le lien, le FIC lancera prochainement inCyber, plateforme d’information et d’échange de la communauté. Avec un objectif : maintenir le lien et continuer à progresser, ensemble. Et rendez-vous est pris : prochaines retrouvailles du cyber européen prévues du 7 au 9 juin 2022.


28 recommandations pour une ambition : faire de l’Europe une puissance numérique

L’Agora du FIC, think-tank du Forum International de la Cybersécurité qui rassemble tous les acteurs et toutes les expertises sur les sujets du numérique et de la cybersécurité présente, à l’occasion du FIC 2021, son livre blanc “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Les 28 recommandations, articulées autour de 6 domaines clefs, répondent à une seule et même ambition : accélérer la construction d’une Europe de la cybersécurité.

Paris, le 9 septembre 2021 – L’Agora du FIC, think-tank du Forum International de la Cybersécurité qui rassemble tous les acteurs et toutes les expertises sur les sujets du numérique et de la cybersécurité présente, à l’occasion du FIC 2021, son livre blanc “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Les 28 recommandations, articulées autour de 6 domaines clefs, répondent à une seule et même ambition : accélérer la construction d’une Europe de la cybersécurité.

Un numérique sûr et de confiance

Pendant la crise sanitaire, le numérique s’est définitivement imposé dans les vies quotidiennes : fruit d’un mouvement entamé depuis quelque temps, les usages et applications numériques ont permis de se soigner, de s’éduquer, de rester en contact et de maintenir l’économie.

Plus que jamais, le numérique est un outil indispensable à la relance économique, qui ne sera possible qu’avec un numérique sûr et de confiance, condition sine qua non d’une transformation numérique efficace. C’est aussi un enjeu de puissance, où une Europe forte et indépendante doit se faire entendre. C’est enfin un territoire à apprivoiser, qui doit être le reflet des valeurs européennes, loin de modèles extérieurs imposés.

Marc Watin-Augouard, Général d’armée (2S), fondateur du Forum International de la Cybersécurité et co-auteur du livre blanc : “La cybersécurité européenne doit être à l’image de la « tortue romaine ». Chaque État membre est porteur de boucliers qui le protège et contribue à la cybersécurité commune. L’Europe doit tisser les liens, créer le liant, donner une cohérence à l’ensemble”.

28 recommandations, 1 ambition

Les 28 recommandations formulées dans le livre blanc, articulées en 6 domaines, constituent autant de leviers au service de la souveraineté numérique européenne.

Elles touchent aussi bien des sujets très concrets, comme la régulation du marché des 0-days, zone grise du cyberespace, à l’origine d’une instabilité permanente, ou la lutte contre les ransomwares avec la création d’un parquet européen sur le modèle du parquet financier, permettant de toucher les attaquants à la racine : la motivation financière.

D’autres thématiques responsabilisent la filière industrielle, en exigeant la sécurité “by design”, c’est-à-dire dès la conception des logiciels, ou exigent une politique publique forte. C’est l’enjeu du “Buy Digital European Act”, activant le levier de la commande publique pour stimuler la filière ou encore de l’indicateur de traçabilité.

Guillaume Tissier, associé Avisa Partners et co-auteur du livre blanc : “Ce livre blanc ouvre la séquence de la Présidence française de l’UE, qui débutera en janvier 2022. Il s’inscrit dans la suite logique de la présidence slovène qui prend fin : faire de l’Union européenne une puissance numérique ! La société numérique de demain ne pourra s’appuyer que sur des technologies et des infrastructures maîtrisées, souveraines, à la fois illustrations concrètes de la puissance stratégique de l’UE et miroirs d’un système de valeurs partagés, ouvert et protecteur des citoyens”.


Les pistes pour mieux protéger l'Europe de la cybermenace

Alors que Bruxelles a tiré vers le haut les défenses numériques de l’Europe, un rapport livre 28 recommandations pour accélérer pendant la présidence française du Conseil de l’Union européenne.

Paris, le 8 septembre juillet 2021 – En matière de cybersécurité, la France partage son destin avec l’Europe. « Si l’un d’entre nous [parmi les 27 pays européens, NDLR] est ciblé par une attaque, c’est potentiellement toute l’Europe qui peut être touchée », notait en juin dernier la ministre des Armées, Florence Parly. C’est pourquoi la Commission européenne tend à harmoniser et à tirer vers le haut les défenses numériques du continent.

 

Lire la suite sur Les Echos.


Les dix compétences essentielles d’un bon chasseur de bots

Les symptômes d’une attaque de bots sont bien connus : une augmentation des coûts d’infrastructure due à des pics de trafic illégitime et incontrôlé, un taux élevé de prise de contrôle de comptes (ATO) ou une hausse des piratages réussis de cartes-cadeaux, par exemple.

Et en creusant, on y trouve le plus souvent un problème de fraude, qui conduit ensuite à une réputation en baisse pour l’entreprise et une chute de la fidélité client. C’est généralement à ce moment que le service informatique tente de régler le problème de lui-même : en bloquant par exemple les adresses IP incriminées, voire même toutes celles provenant de la même zone géographique. En s’appuyant peut-être même sur des techniques un peu plus avancées telles que la réputation IP ou la prise d’empreinte du navigateur, l’intégration d’un CAPTCHA, voir même, dans les cas les plus désespérés, le recours à l’authentification multifactorielle (MFA).

Rapidement, cela devient une bataille sans fin pour essayer de devancer les attaquants et faire face à des clients frustrés qui ne peuvent terminer leurs achats en ligne.

Il est temps de faire appel à un chasseur de bots professionnel. Mais à quoi reconnaît-on le bon chasseur ? Aux dix compétences ci-dessous, qu’il se doit de maîtriser à la perfection :

 

  1. S’adapter sans cesse aux nouveaux outils des attaquants

Si le jeu en vaut la chandelle (la valeur des comptes clients à dérober, par exemple), les attaquants n’abandonneront probablement pas facilement la partie, mais se ré-outilleront continuellement et essaieront sans cesse de nouvelles approches.

Lorsqu’une contre-mesure de sécurité est mise en place, les attaquants motivés se ré-outilleront pour la contourner en utilisant diverses méthodes, de nouveaux outils et même des techniques à base d’intelligence artificielle. Les victimes du bourrage d’identifiants disent d’ailleurs que lutter contre les robots et l’automatisation revient à jouer au jeu du chat et de la souris. Le bon chasseur de bots doit savoir jouer à votre place… et mieux que vous !

  1. Se rendre presque invisible aux yeux des clients légitimes

Les CAPTCHA et le MFA (authentification multi facteurs) augmentent considérablement la friction pour les clients au moment de l’achat. Les taux d’échec humain à ces contrôles varient de 15 à 50 % et entraînent donc un taux élevé d’abandon de panier et une baisse de la satisfaction des utilisateurs. Et ces clients frustrés par l’incapacité de passer commande simplement peuvent ne jamais revenir, même après une seule expérience négative.

En outre ces mesures ne sont pas la panacée : les fraudeurs peuvent utiliser des outils et de la main-d’œuvre humaine pour résoudre les CAPTCHA, et exploiter les données personnelles compromises pour se faire passer pour des titulaires de compte (en appelant le support) afin récupérer les comptes et mener toutes sortes d’arnaques.

Le bon chasseur de bots se doit de ne pas introduire des frictions qui frustreront les utilisateurs, et que les attaquants peuvent souvent contourner de toute façon. Il doit être en mesure de proposer des solutions adaptées au niveau de la menace à un moment donné et les plus transparentes possibles pour l’utilisateur.

  1. Gérer les faux positifs

Un faux positif se produit lorsque le chasseur de bots marque un humain réel comme étant un bot. Un faux négatif, c’est lorsqu’un bot est considéré comme un humain.

Ils sont inévitables, et même les meilleurs chasseurs en auront. Mais le bon chasseur doit être très réactif au problème des faux positifs : le client doit pouvoir le contacter, expliquer le problème et obtenir une réponse sans délai !

  1. Repérer rapidement les bots qui contournent les défenses

Le bon chasseur de bot doit opérer constamment comme si un attaquant habile était sur le point de contourner toutes ses contre-mesures. Car cela peut arriver rapidement et avant même que l’entreprise n’en découvre les effets secondaires (prise de contrôle de comptes, fraude, analyses commerciales faussées, etc.) Le chasseur de bots devra alors être prêt à réagir et collaborer avec son client pour remédier au problème.

  1. Gérer la fraude manuelle (d’origine humaine)

Un attaquant déterminé et compétent saisira les informations d’identification à la main dans des navigateurs réels pour contourner les défenses anti-automatisation, ce qui peut conduire à une prise de contrôle du compte (ATO) et à la fraude. Le chasseur de bots doit être capable de déterminer si un humain est un client digne de confiance ou un fraudeur et de prendre les mesures appropriées.

  1. Empêcher une brèche de compte de s’étendre à tous les autres 

Dans de nombreux cas, des politiques de détection et d’atténuation personnalisées devront être déployées d’un client à l’autre. Il est toutefois important de s’assurer que les toutes dernières politiques, qui correspondent bien souvent à un nouvel outil ou une nouvelle technique en cours de test par l’attaquant, soient immédiatement appliquées à tous les autres clients du chasseur de bots. Chaque client doit être isolé d’un ré-outillage contre un autre client.

  1. Garder de la visibilité même après une attaque réussie

Le bon chasseur collecte et analyse en permanence divers signaux télémétriques relatifs aux appareils, au réseau, à l’environnement et au comportement afin de maximiser la visibilité et d’identifier précisément les anomalies. Ainsi, même si une mesure de protection est contournée, l’analyse de la télémétrie permettra d’identifier la situation anormale et de mettre en œuvre d’autres mesures complémentaires. Et cela permet également, à plus long terme, d’alimenter à la fois les équipes de recherche anti-bots, mais aussi le centre des opérations de sécurité (SOC) de l’entreprise.

  1. Se déployer et se gérer facilement

L’utilisateur ou l’administrateur doit-il installer un client dédié ou la protection est-elle automatique ? S’il n’y a pas de présence au niveau du terminal, comment le chasseur de bots détecte-t-il les appareils mobiles compromis ? Comment détecte-t-il les attaques utilisant les derniers outils de sécurité et les données issues du Dark Web ? Qu’en est-il des API ?

  1. Détecter un large spectre d’anomalies

Les attaquants tirent constamment parti des bots, de l’automatisation et des données des comptes compromis pour les aider dans leurs opérations. Les mesures d’atténuation traditionnelles ne suffisent pas. Par exemple, les attaquants réutilisent certes les adresses IP, mais seulement 2,2 fois en moyenne ! Souvent, elles ne sont utilisées qu’une fois par jour ou une fois par semaine ! Le seul blocage des adresses IP est donc largement inefficace.

Les attaquants exploitent généralement quatre méthodes principales :

  • L’usurpation du trafic réseau
  • Émulation d’une variété de dispositifs et de navigateurs valides
  • Utilisation d’informations d’identification volées, d’informations personnelles et d’identités synthétiques
  • L’imitation de comportements humains réels

Un bon chasseur de bots s’appuiera donc sur une variété de signaux faibles et sur des techniques d’intelligence artificielle pour fournir des informations exploitables et détecter les comportements anormaux potentiellement indicateurs d’une fraude (par exemple les activités de copier-coller à la chaine, le basculement d’écran, l’utilisation étrange de la surface d’écran, l’usurpation d’environnement, les tentatives d’anonymisation de l’identité, etc.)

  1. Se remettre en question à toute vitesse

Lorsque l’attaquant se ré-outille pour contourner les contre-mesures actuelles, le chasseur de bots doit être capable de s’adapter aux nouvelles techniques (voir le point numéro 1). Mais à quelle vitesse saura-t-il le faire ? Et facturera-t-il un supplément s’il s’agit d’un attaquant persistant sophistiqué et que de multiples contre-mesures ou consultations avec le SOC sont nécessaires ? Le bon chasseur prendra tout cela à sa charge et produira une nouvelle contre-mesure dans les meilleurs délais.

 

Conclusion

Nous avons omis la question du coût dans ces dix critères, car celui-ci peut varier considérablement en fonction des modèles de déploiement (existe-t-il une option « cloud » ?) et des modèles de facturation (trafic propre ou facturation à l’heure ?). Sans parler des différents niveaux de service et des engagements associés (SLA).

Mais la priorité devrait être donnée à s’assurer qu’un bon chasseur de bots répond au maximum aux dix qualités présentées ici, et la discussion sur les tarifs et le modèle de déploiement, bien qu’importante, ne devrait pas être le premier critère.


FIC 2021 : construire une cybersécurité coopérative et collaborative

La 13ème édition du Forum International de la Cybersécurité (FIC) se tiendra les 7, 8 et 9 septembre 2021 à Lille Grand Palais.

Le FIC : un événement leader en Europe

Organisé conjointement par le Ministère de l’Intérieur et Avisa Partners, le Forum international de la cybersécurité est lancé en 2007, et n’a aujourd’hui pas d’équivalent en Europe.

La 12ème édition, qui s’est tenue du 28 au 30 janvier 2020, a réuni < 13 000 visiteurs et 500 partenaires, originaires de plus de 100 pays.

Un catalyseur de la collaboration public / privé en matière de cybersécurité

Le FIC, événement international de référence réunit tous les acteurs de la confiance numérique : représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique.

LE rendez-vous de l'écosystème de la sécurité numérique

Le FIC est né à Lille en 2007 sous l’impulsion du Général Marc Watin-Augouard, ancien conseiller des ministres de l’Intérieur de 2002 à 2005 et père de la lutte anti-cybercriminalité au sein de la Gendarmerie nationale, dans une région européenne par nature et au premier plan en matière cybersécurité. En Hauts-de-France, l’écosystème cybersécurité représente près de 80 entreprises spécialisées, 25 formations dédiées et 6500 emplois (Source : Euratechnologies).

Dans l’esprit, le FIC a posé les fondations du Campus Cyber voulu par le Président Macron qui sera inauguré fin 2021 : rassembler tout l’écosystème et accélérer la coopération. Tous les acteurs publics et privés de la sécurité numérique, experts techniques et décideurs, se donnent rendez-vous au FIC pour découvrir les dernières innovations technologiques, partager une vision des défis à relever, échanger avec leurs pairs, et même identifier de nouveaux talents. Tous n’ont qu’un seul objectif : améliorer la posture globale de notre sécurité numérique.

Le FIC est ainsi devenu un événement incontournable pour les acteurs français, européens et internationaux, venus aussi bien pour alimenter la réflexion académique ou stratégique, que pour s’engager dans une relation commerciale :

– Le FIC est un Forum, plateforme de débats.

L’ensemble des plénières et conférences est traduit en simultané.

– Le FIC est un Salon, marketplace dédiée aux technologies, solutions et produits de cybersécurité.

FIC 2021 : pour une cybersécurité collective et collaborative

La crise sanitaire majeure du COVID-19 illustre la nécessité de renforcer, à tous les niveaux, la coopération. Dans un monde interdépendant et interconnecté, le niveau de sécurité de l’ensemble correspond à celui du maillon le plus faible.

Face à des risques systémiques, quelles que soient leurs origines, la seule réponse qui vaille est donc :

Collective, la sécurité de chacun fait la sécurité de tous, que ce soit à l’échelle d’une organisation (TPE, PME, grands groupes ou administrations), du pays ou au niveau européen (construction de l’Europe de la cybersécurité) et international (stabilité globale du cyberespace).

Collaborative, la coopération et le partage d’informations sont essentiels pour compenser l’asymétrie entre « l’attaquant » et le « défenseur ». La collaboration est aussi une question d’interopérabilité des outils (juridiques, technologiques) et de collaboration de tous les acteurs (Etat, entreprises, société civile).

Le FIC 2021 s’articulera autour de plusieurs grandes thématiques, réparties dans le programme en track : Lutte anti-cybercriminalité – Protection des données et transformation numérique – Stabilité internationale – Gestion des risques et Sécurité opérationnelle.

Valoriser la filière et faire émerger de nouveaux talents

Le FIC donne aussi l’occasion aux nouveaux talents de se faire connaître et de rencontrer des professionnels.

Cette année, deux événements majeurs (et ludiques) permettront aux cyber experts de demain de se frotter à leurs pairs :

European Cyber Cup – EC2 : premier rendez-vous de e-gaming dédié au hacking éthique.  L’EC2 se déroulera mercredi 8 septembre de 9h à minuit, suivie d’une soirée gaming de 20h à minuit.

Bug Bounty organisé avec YesWeHack : pour la troisième année consécutive, le FIC sera l’occasion d’organiser un bug bounty en direct.  Durant deux jours, plusieurs entreprises et Civitech mettront leurs périmètres à l’épreuve des hunters qui seront récompensés par des primes calculées selon la gravité des failles trouvées, selon une thématique autour de l’humain.

Des side-events thématiques pour renforcer la confiance numérique

e-Consumer Protection Forum – Le FIC, en partenariat avec l’ALCCI, l’UNIFAB, la FEVAD et l’ALPA  accueillera mardi 7 septembre le e-Consumer Protection Forum, cycle de rencontres thématiques autour de la lutte contre le commerce illicite en ligne et la protection du consommateur.

Cybersecurity For Industry – CFI – Les systèmes d’information opérationnels, ou « OT » pour Operational Technologies, au cœur de nos vies quotidiennes, servant à produire, transporter, protéger, fournir de l’énergie ou de l’eau… sont de plus en plus connectés et en conséquence, menacés. L’année 2021 accumule de nombreux exemples d’attaques contre ces infrastructures essentielles. A terme, ce sont les fondations de nos modes de vie et de nos sociétés qui sont menacées.

Dans ce contexte, et 10 ans après Stuxnet, le Forum International de la Cybersécurité accueillera mardi 7 septembre une journée d’échanges et de talks sur les enjeux de cybersécurité des systèmes industriels, le Cybersecurity For Industry, avec un objectif : développer la prise de conscience des décideurs sur le sujet.

Les principaux acteurs du secteur seront à Lille pour échanger et partager leurs retours d’expérience à travers une succession de tables-rondes et de talks. Tous les secteurs seront abordés de l’énergie à la santé, en passant par le traitement de l’eau et les télécommunications. Plusieurs grands témoins présenteront leur vision et leurs recommandations pour assurer un futur basé sur la sécurité et la confiance.

L’ID-Forum – L’application des règlements européens (eIDAS, RGPD), l’émergence de nouvelles technologies (reconnaissance faciale, intelligence artificielle, objets connectés, tokenisation des données) et la multiplication des usages (santé, banque, transport, éducation, économie, collaboration, professions juridiques, administration en ligne) mettent l’identité au coeur des activités économiques.

Pour discuter et débattre de ces nouveaux sujets, l’ID Forum propose une journée dédiée à l’identité numérique sous tous ses aspects. Un lieu d’échange et de rencontre où s’entre-croisent les connaissances et les expertises.

Le thème de cette année « Écosystèmes numérique : le nouveau visage de la société ? » permettra d’aborder l’identité numérique en France puis le cadre réglementaire européen lors de séances plénières, avant de décliner une approche thématique en tables-rondes. Santé, Fintech, documents d’identité, modèles alternatifs… autant d’angles qui suscitent le débat et permettront de se projeter dans l’identité de demain.