Deep Instinct dévoile son premier rapport annuel Voice of SecOps

En moyenne, il faut 13 heures aux entreprises françaises pour traiter une alerte critique.

Paris, le 22 juin 2021 – Deep Instinct, première entreprise à appliquer le Deep Learning de bout en bout via le seul framework de Deep Learning spécialement conçu pour la cybersécurité, publie aujourd’hui son rapport Voice of SecOps. Ce rapport annuel est le premier à mettre en évidence les menaces actuelles et émergentes, leur impact sur la vie quotidienne des équipes SecOps et la façon dont l’automatisation jouera un rôle important à l’avenir. Dans cette nouvelle enquête de Deep Instinct réalisée auprès de 600 professionnels de l’informatique et de la cybersécurité, plus de la moitié des personnes interrogées dans les différents pays indiquent que les ransomwares et les attaques de type « Zero Day » constituent les principales menaces pour leur entreprise.

Le Deep Learning : nouvelles perpectives face aux logiciels malveillants ?

Qu’il s’agisse de cyberattaques à l’encontre des sociétés SolarWinds, Colonial Pipeline ou contre des organisations françaises (Airbus, Air France, EDF, Orange ou encore le ministère de la Justice), les ransomwares représentent une préoccupation mondiale. Selon 64 % des personnes interrogées, le problème réside dans l’incapacité de l’homme à faire face à la croissance exponentielle des menaces de cybersécurité. Pour ne rien arranger, les personnes interrogées lors de l’étude déclarent passer environ 10 heures par semaine à évaluer des alertes faussement positives. La France est largement au-dessus de cette moyenne : il faut environ 13 heures aux entreprises françaises pour traiter une alerte critique jusqu’à ce qu’elle soit corrigée, et seules 14 % d’entre elles peuvent traiter une alerte à corriger en moins d’une heure.

Sur la totalité des personnes interrogées, 69 % estiment que le nombre écrasant de faux positifs crée un phénomène d’accoutumance aux alertes qui affecte le moral du personnel. 80 % des personnes interrogées affirment en outre que le temps non investi dans les alertes est consacré à l’application de correctifs de sécurité et de mises à jour chronophages pour garantir l’efficacité des solutions.

« Suite à des événements majeurs récents, une priorité accrue a été accordée à la sécurité. Il est regrettable que ces menaces reçoivent seulement aujourd’hui l’attention mondiale qu’elles méritent depuis bien longtemps. Nous travaillons à la mise en place d’une couche de défense plus solide, mais il sera tout aussi important de protéger les collaborateurs qui œuvrent d’arrache-pied dans le SOC que de sécuriser l’entreprise », déclare Guy Caspi, PDG de Deep Instinct. « Les résultats de ce rapport mettent en lumière les défis difficiles auxquels les équipes chargées des opérations de sécurité sont aujourd’hui confrontées au quotidien. Conscients de la nécessité d’une nouvelle approche, nous avons entrepris de fournir à ces équipes toute l’aide dont elles ont désespérément besoin. »

À travers le prisme des équipes SecOps qui opèrent en première ligne, ce rapport examine les menaces stratégiques, les priorités essentielles et les défis quotidiens qui sont souvent passés sous silence. L’objectif est de comprendre quelles sont les capacités des entreprises à détecter et gérer une cyberattaque selon les professionnels du secteur, en s’intéressant à leur propre perception de la sécurité en cas de menace visant l’entreprise. Des RSSI travaillant au sein d’entreprises françaises ont été aussi interrogés sur la fiabilité de la performance de leur entreprise en termes de cybersécurité. Les résultats relèvent une faible confiance des professionnels dans leurs équipes de sécurité, ainsi qu’une importante perte de temps liée au traitement de certaines alertes :

  • Seuls 8% des répondants français estiment que leur centre d’opérations de sécurité est « très bien doté en personnel ».
  • En France, 1 professionnel (en matière de cybersécurité) sur 10 affirme ne pas être « très confiant » dans sa capacité à détecter rapidement et correctement les signaux faibles (c’est-à-dire de faible priorité) dans l’énorme flux d’alertes qu’il reçoit.
  • Parmi les professionnels de la cybersécurité interrogés, les RSSI adjoints sont ceux qui déclarent passer le plus de temps à traiter des alertes causées par de faux positifs : 12,47 heures de leur semaine de travail sont consacrées à cette tâche.

« Ce rapport annuel montre également une certaine méfiance des entreprises françaises vis-à-vis des systèmes de protection basés sur l’intelligence artificielle. Il révèle que parmi les entreprises françaises interrogées, plus d’une entreprise sur cinq n’a qu’une seule solution de cybersécurité fonctionnant via l’IA en cours d’exploitation, et que 12% n’en ont aucune. » précise Rodolphe Moreno, Directeur de l’Europe du Sud de Deep Instinct. « Les RSSI français semblent attendre une amélioration des solutions de protection utilisant l’intelligence artificielle : seul un quart d’entre eux affirme trouver l’IA complètement digne de confiance. L’objectif de Deep Instinct est d’apporter une autre vision des IA les plus avancées à ces utilisateurs. »

Le Deep Learning : la solution de sécurité efficace de demain ?

Quel que soit leur secteur d’activité, les entreprises ont besoin d’une protection fiable, automatisée et rapide, capable de stopper les menaces avant qu’elles ne causent des dommages et de leur faire ainsi économiser du temps et de l’argent. Selon 86 % des personnes interrogées au total, les outils reposant sur la data science (IA, apprentissage automatique, Deep Learning) auront un impact significatif sur la prévention des menaces inconnues et la réduction des faux positifs. Près de trois quarts des personnes interrogées dans les différents pays estiment même que l’automatisation de la cybersécurité est le seul moyen pour leur entreprise de contrer les cybermenaces.

 

Le rapport Voice of SecOps de Deep Instinct présente le point de vue de 600 professionnels de l’informatique (dont 100 français), dont 300 RSSI issus de plusieurs secteurs verticaux et zones géographiques.


Jeux olympiques : quand la cybersécurité s’invite sur le terrain…

Alors que les Jeux olympiques de Tokyo s’apprêtent à démarrer, le Comité international olympique, les organisateurs locaux et leurs nombreux sous-traitants doivent rester vigilants face aux multiples menaces qui pèsent sur la cybersécurité.

Dans les mois qui ont précédé les Jeux d’été, le porte-parole du gouvernement japonais, Katsunobu Kato, a souligné l’importance de chaque décision prise par le comité en expliquant qu’une attaque « pourrait ébranler les fondations de notre démocratie ».

L’histoire montre qu’il a raison de s’inquiéter, et que les spectateurs, athlètes et États participants devraient faire de même.

Retour vers le passé : le sport, un secteur à haut risque

Pas besoin de chercher bien loin pour trouver des preuves du risque encouru par les événements sportifs : en 2020, les agences de renseignement américaines et le National Cyber Security Centre (NCSC) du Royaume-Uni ont lancé une opération conjointe qui a permis de déjouer une cyberattaque menée par des militaires russes contre les Jeux de 2021.

En 2018, une cyberattaque a frappé dès le début des Jeux olympiques de Pyeongchang, obligeant les équipes de sécurité à se mettre en action dans la précipitation. Par chance, elles ont pu repérer les symptômes de l’attaque et l’éradiquer, probablement en raison des nombreuses années consacrées à l’élaboration des mesures de sécurité et de reprise de l’activité nécessaires. Pour autant, cette attaque a mis en lumière l’importance que les grands événements sportifs peuvent revêtir pour les hackers.

Les Jeux olympiques constituent en effet une cible de choix pour les cybercriminels politisés. Ils suscitent l’intérêt du monde entier et mobilisent immanquablement une technologie opérationnelle. En effet, une attaque réussie pourrait avoir des effets à la fois perceptibles physiquement, mais aussi médiatiquement.

Ces caractéristiques rendent les entreprises et événements sportifs plus exposés que jamais aux attaques. Dans un rapport publié en 2020, le NCSC révèle que parmi les 57 organisations sportives qu’il a interrogées, 70 % avaient été victimes d’au moins une attaque par an.

En novembre de la même année, Manchester United a fait les frais de cette statistique. Le club a en effet perdu des centaines de milliers de livres à cause d’un ransomware, notamment sous forme de perte de revenus.

Un vaste filet

Les technologies opérationnelles, l’intérêt international et les publications dans la presse font partie des raisons expliquant l’intérêt des hackers pour les organisations sportives. Toutefois, ce ne sont pas les seules.

Tout d’abord, ces organisations incluent une multitude d’acteurs dans leur supply chain, en tant que spectateur potentiel du flux en direct des Jeux olympiques. À mesure que la technologie numérique envahit le monde du sport, les vecteurs d’attaque possibles se multiplient, des drones caméras connectés à l’email.

La plupart des organisations sportives disposent de leurs propres ressources marketing et de plateformes de communication qui peuvent être exploitées, y compris des sites Web, des comptes bancaires en ligne et des serveurs cloud. D’une injection SQL classique à une attaque DDoS destructrice, les possibilités offertes aux auteurs de menaces semblent de plus en plus nombreuses.

C’est entendu, les cyberattaques peuvent fortement nuire à la réussite d’une entreprise. Pour autant, il ne faut pas croire qu’il en va autrement des organisations et événement sportifs. La seule différence, c’est qu’ils sont davantage exposés à l’œil du public et des politiques en raison de la valeur qu’elles peuvent générer. Mais le danger posé par les cyberattaques ne s’arrête pas là. Elles constituent aussi une vraie menace pour les fans du monde entier.

De graves conséquences

De nombreux fans rêvent de quitter leur poste de spectateur pour venir en découdre sportivement sur le terrain… mais pas d’être victimes d’une attaque. Et pourtant, les attaques ciblant le milieu sportif peuvent reposer uniquement sur eux.

Prenons l’exemple du hack de 2007 contre le site internet de l’équipe des Miami Dolphins : des hackers chinois ont exploité une vulnérabilité de Microsoft pour envoyer du code JavaScript malveillant aux visiteurs du site. Les malwares qui dérobent des mots de passe sont problématiques pour le grand public, mais la situation aurait pu être encore pire, car nombre d’amateurs de sport consultent régulièrement le programme et les résumés des matchs, ainsi que l’actualité de leurs équipes préférées, depuis des ordinateurs professionnels. Si l’attaque initiée à l’aide de ce code malveillant avait réussi, les mots de passe d’entreprises auraient pu être piratés, ouvrant la voie à de nouvelles violations, notamment la compromission de comptes.

Les fans de sports sont particulièrement vulnérables lorsque les émotions sont vives et les enjeux élevés, par exemple pendant ou avant les séries éliminatoires ou les championnats. Il s’agit d’une opportunité en or pour les hackers, qui peuvent lancer des attaques de phishing simples, mais efficaces, avec l’objectif final de voler de l’argent ou des mots de passe. Les fuites de données leur facilitent encore plus la tâche, car les informations personnelles issues des médias sociaux ne cachent rien de leurs utilisateurs, qu’il s’agisse de leur équipe préférée ou des clubs qu’ils suivent.

Le fait que les spectateurs puissent être vecteurs n’est pas le seul danger qui guette les fans de sport. Leur présence dans des lieux physiques est un autre facteur à prendre en compte.

Comme l’a signalé le Center for Long-Term Cybersecurity de l’université de Berkeley dans son rapport The Cybersecurity of Olympic Sports: New Opportunities, New Risks, les craintes liées aux attaques pendant des événements sportifs « se limitaient précédemment aux systèmes numériques, comme le réseau électrique, et l’équipement informatique de base, comme les sites Web et les téléphones. » Mais ça, c’était avant l’avènement de l’IoT. Désormais, le monde physique, le monde numérique et les composants opérationnels d’un événement sont liés de manière inextricable. Une attaque est bien plus à même de ruiner l’expérience des fans.

Tourniquet bloqué lors d’un match de Manchester United, coupure d’électricité dans un stade ou importante fuite de données sur un club, les effets physiques d’une cyberattaque peuvent être très concrets, personnels et graves.

Que le match commence

Les Jeux de 2020 ont bénéficié d’une année supplémentaire pour se préparer aux attaques de cybersécurité… mais les hackers également. Il est indispensable de garder un œil sur les événements de sécurité de l’été. Les organisations sportives ne doivent quant à elles pas perdre de vue ceux qui les entourent.

 

Adrien Gendre, Directeur Associé, Architecte Solutions chez Vade


Microsoft reste la marque la plus usurpée dans les tentatives de phishing (2ème trimestre 2021)

Check Point Research publie un rapport sur le phishing des marques au deuxième trimestre, qui met en lumière les principales marques que les pirates informatiques ont imitées pour tenter d’inciter les gens à communiquer leurs données personnelles.

 

Paris, le 19 juillet 2021 – Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd.(NASDAQ: CHKP), un des principaux fournisseurs mondiaux de solutions de cybersécurité, a publié son nouveau rapport de phishing de marques pour le deuxième trimestre  2021. Il met en évidence les marques les plus fréquemment imitées par les criminels et leur tentative de voler les informations personnelles ou les identifiants de paiement des particuliers en avril, mai et juin.

Au cours d’un trimestre qui a vu Microsoft  lancer une mise en garde contre une nouvelle campagne de phishing russe de type Nobelium, le géant technologique a de nouveau été la marque la plus fréquemment ciblée par les cybercriminels, comme au premier trimestre 2021 et au quatrième trimestre 2020. Quarante-cinq pour cent de toutes les tentatives de phishing de marque étaient liées à Microsoft au deuxième trimestre (soit six points de plus qu’au premier trimestre). La compagnie de transports DHL a conservé sa position de deuxième marque la plus usurpée, avec 26% de toutes les tentatives de phishing. Les criminels continuent de profiter de la généralisation des achats en ligne.

Le dernier rapport de CPR révèle que la technologie reste le secteur le plus susceptible d’être visé par le phishing de marque, suivi du transport et de la distribution. Au premier trimestre 2021, le secteur de la distribution a été dépassé par le secteur bancaire, mais il a maintenant repris sa place dans le trio de tête, sans doute grâce aux ventes du Prime Day d’Amazon.

 

« Les criminels continuent d’intensifier leurs tentatives pour voler les données personnelles des gens en se faisant passer pour des grandes marques. En fait, à l’approche du Prime Day d’Amazon au deuxième trimestre, plus de 2 300 nouveaux domaines ont été enregistrés sur le thème d’Amazon », a déclaré Omer Dembinsky, responsable du groupe de recherche sur les données chez Check Point Software. « Malheureusement, c’est le facteur humain qui, souvent, ne parvient pas à détecter les domaines mal orthographiés ou les textes et e-mails suspects. C’est pour cette raison que les cybercriminels continuent de se faire passer pour des marques de confiance afin d’inciter les gens à donner leurs informations personnelles. Au deuxième trimestre, nous avons également assisté à une recrudescence des attaques par ransomware, lesquelles se propagent souvent par le biais d’e-mails  Comme toujours, nous encourageons les utilisateurs à être prudents lorsqu’ils partagent des données personnelles et à réfléchir à deux fois avant d’ouvrir des pièces jointes ou de cliquer sur des liens, en particulier dans des emails qui prétendent provenir d’entreprises comme Microsoft, DHL ou encore des institutions bancaires les plus susceptibles d’être usurpées. »

 

Dans le cas d’une attaque par phishing de marque, les criminels tentent d’imiter le site web officiel d’une marque connue en utilisant un nom de domaine ou une URL et une présentation de page web similaires à ceux du site authentique Le lien vers le faux site web peut être envoyé aux personnes ciblées par email ou par SMS, un utilisateur peut être redirigé pendant sa navigation sur le web, ou il sera déclenché depuis une application mobile frauduleuse. Le faux site contient souvent un formulaire destiné à subtiliser les informations d’identification des utilisateurs, leurs coordonnées bancaires ou d’autres informations personnelles.

 

Principales marques de phishing au 2eme trimestre 2021

Ci-dessous les principales marques classées en fonction de leur apparition dans les tentatives de phishing de marques :

  1. Microsoft (lié à 45% de toutes les tentatives de phishing de marque au niveau mondial)
  2. DHL (26%)
  3. Amazon (11%)
  4. Bestbuy (4%)
  5. Google (3%)
  6. LinkedIn (3%)
  7. Dropbox (1%)
  8. Chase (1%)
  9. Apple (1%)
  10. Paypal (0,5%)


Ransomware : faut-il payer ou ne pas payer ?

Le nombre hebdomadaire moyen d’attaques par ransomware a augmenté de 93 % au cours des 12 derniers mois. Dans le monde, ce sont plus de 1 200 entreprises victimes chaque semaine d’une demande de rançon suite à une attaque par ransomware.

Cyberattaque : la démocratisation des demandes de rançon

D’après les données de Cybersecurity Ventures, les dommages causés par les rançongiciels atteindront environ 20 milliards de dollars cette année, soit 57 fois plus qu’en 2015. D’ici 2031, le coût des incidents liés aux ransomwares pourrait même dépasser le chiffre impressionnant de 265 milliards de dollars.

Le nombre d’attaques et demande de rançon augmente pour une raison simple : les pirates y gagnent de l’argent. La volonté d’être payé crée une spirale dangereuse et accentue la motivation des hackers. De plus, souscrire à une cyber assurance contre les cyber risques est de plus en plus courant. les entreprises victimes n’hésitent plus à répondre aux exigences des cybercriminels pour obtenir la clé de déchiffrement. Ce phénomène ne fait que renforcer la probabilité de se faire attaquer une seconde fois.

L’augmentation des attaques est également liée à la disponibilité des menaces. De nombreux groupes de cyberpirates proposent des ransomwares sous forme de service, de sorte que tout le monde peut « louer » ce type de menace. La rançon est ensuite répartie entre les «  associés ».

Pourtant, une attaque par ransomware ne commence pas forcément par un ransomware. Elle commence souvent par un « simple » e-mail de phishing. De plus, les groupes de hackers agissent ensemble. Pour les attaques de Ryuk, le malware Emotet a été utilisé pour infiltrer le réseau, avant de laisser la place à Trickbot. En dernier lieu, un ransomware a crypté les données.

D’autre part, les cybercriminels perfectionnent constamment leurs techniques pour intensifier la pression sur les entreprises victimes et exiger le paiement de la rançon. À l’origine, les rançongiciels cryptaient « simplement » les données et demandaient une rançon pour les déverrouiller. Les pirates ont rapidement ajouté une deuxième phase en substituant des informations précieuses avant le cryptage, tout en menaçant de les rendre publiques si la rançon n’était pas payée. Environ 40 % de toutes les nouvelles catégories de ransomware ont recours au vol de données en plus du cryptage. Mais une une troisième phase a été repérée, où les partenaires, les clients ou les journalistes sont également contactés. Notamment, les éditeurs de solutions de sécurité deviennent la cible privilégié des pirates pour atteindre le client final.

Demande de rançon : quelles sont les étapes clés à suivre ?

Il est recommandé de suivre les étapes suivantes lorsqu’une cyber attaque se produit :

1 – Garder la tête froide

Lorsqu’on est victime d’une attaque par ransomware, il est avant tout important de ne pas paniquer. Il faut immédiatement prévenir son équipe de sécurité et prendre une photo de la demande de rançon, elle servira aux forces de l’ordre et à la poursuite de l’enquête.

2 – Isoler les systèmes compromis

Déconnecter immédiatement les systèmes infectés du reste du réseau est important pour éviter d’autres problèmes. En même temps, il faut identifier la source de l’infection. Bien sûr, comme mentionné précédemment, une attaque par ransomware commence généralement par une autre menace. Les pirates sont peut-être dans le système depuis longtemps, couvrant progressivement leurs traces, de sorte que détecter le « patient zéro » n’est pas nécessairement quelque chose que la plupart des entreprises sont en mesure de faire sans aide extérieure.

3 – Gare aux sauvegardes

Les cyber attaquants savent pertinemment que les entreprises tenteront de récupérer leurs données dans des sauvegardes pour éviter de payer la rançon. C’est pourquoi l‘une des phases de l’attaque consiste souvent à tenter de localiser et de chiffrer ou effacer les sauvegardes. De même, ne jamais connecter de terminaux externes à des appareils infectés. La récupération de données cryptées peut provoquer une détérioration, en raison d’une clé défectueuse par exemple. Il peut donc être utile de faire des copies des données cryptées. Des outils de décryptage sont également progressivement mis au point et peuvent aider à déchiffrer des codes jusqu’alors inconnus. Si une entreprise a conservé des sauvegardes qui n’ont pas été cryptées, elle doit vérifier l’intégrité des données avant de procéder à une restauration complète.

4 – Pas de reboot ou de maintenance du système

Il est impératif de désactiver les mises à jour automatiques et autres activités de maintenance sur les systèmes infectés. La suppression des fichiers temporaires ou d’autres modifications pourraient compliquer inutilement les enquêtes et les mesures correctives. Dans le même temps, il ne faut pas redémarrer les systèmes, car certaines menaces peuvent alors commencer à supprimer des fichiers.

5 – Coopérer

Dans la lutte contre la cybercriminalité, et les ransomwares en particulier, la collaboration est essentielle. Il faut contacter les forces de l’ordre et les cyberautorités nationales, et ne pas hésiter à contacter l’équipe de réponse aux incidents d’une entreprise fiable de cybersécurité. Il est également important d’informer les employés de l’incident et de leur communiquer des instructions sur la façon de procéder en cas de comportement suspect.

6 – Identifier le type de ransomware

Si le message des cybercriminels ne précise pas directement de quel type de ransomware il s’agit, des informations peuvent être trouvées sur le site internet du projet No More Ransom, ou via un outil de décryptage adapté au ransomware concerné.

7 – Payer ou ne pas payer ?

Si l’attaque par ransomware aboutit, l’organisation est amenée à choisir de payer ou non la rançon. Dans un cas comme dans l’autre, les entreprises doivent toujours revenir au point de départ et chercher à déterminer pourquoi l’incident s’est produit. Que la défaillance soit due à des facteurs humains ou à la technologie, il vaut mieux passer en revue tous les processus et repenser l’ensemble de la stratégie pour faire en sorte qu’un incident similaire ne se reproduise jamais. Il est nécessaire de passer par ce cycle, indépendamment du fait que l’on paie ou non. On ne peut jamais se reposer sur le fait que des données ont été récupérées d’une manière ou d’une autre et considérer que l’incident est clos.

Comment limiter le risque d'être la prochaine victime d'un ransomware ?

  1. Être très vigilant pendant les weekends et en période de vacances. La plupart des attaques par ransomware de l’année dernière ont eu lieu pendant les week-ends ou les vacances, à un moment où les entreprises sont plus susceptibles d’être plus lentes à réagir à une menace.
  2. Programmer régulièrement les mises à jour et les correctifs. WannaCry a durement frappé les organisations du monde entier en mai 2017, infectant plus de 200 000 ordinateurs en trois jours. Pourtant, un correctif pour la vulnérabilité exploitée EternalBlue était disponible un mois avant. Les mises à jour et les correctifs s’installent immédiatement et automatiquement.
  3. Installer une solution de sécurité anti-ransomware. La protection contre les logiciels rançonneurs surveille toute activité inhabituelle telle que l’ouverture et le cryptage d’un grand nombre de fichiers. Si l’anti-ransomware détecte un comportement suspect, il peut réagir immédiatement et éviter des dégâts importants.
  4. La sensibilisation des collaborateurs est un élément essentiel de la protection contre les cyber menaces. De nombreuses cyberattaques commencent par un e-mail ciblé qui ne contient pas de logiciels malveillants, mais qui utilise les réseaux sociaux. La formation des utilisateurs est donc l’un des éléments les plus importants de la protection.
  5. Les attaques de ransomware ne commencent pas par un ransomware. Il faut donc se méfier des autres codes malveillants, tels que Trickbot ou Dridex, qui s’infiltrent dans les entreprises et préparent le terrain pour une attaque de ransomware ultérieure.
  6. Il est essentiel de sauvegarder et d’archiver les données. Il est nécessaire de sauvegarder et de récupérer facilement et rapidement les données en cas de problème. Il est indispensable d’effectuer des sauvegardes régulières, y compris de manière automatique sur les appareils des employés, et de ne pas compter sur eux pour se souvenir d’activer la sauvegarde eux-mêmes.
  7. Limiter l’accès aux seules données et informations nécessaires et les segmenter. Si l’objectif est de minimiser l’impact d’une attaque potentiellement réussie, il est important de veiller à ce que les utilisateurs n’aient accès qu’aux informations et aux ressources dont ils ont absolument besoin pour travailler. La segmentation réduit le risque de propagation incontrôlée des ransomwares sur le réseau. Il peut être difficile de gérer les conséquences d’une attaque par ransomware sur un seul système, mais réparer les dégâts après une attaque à l’échelle d’un réseau est beaucoup plus difficile.

Faut-il payer la rançon pour obtenir la clé de déchiffrement ?

La réponse n’est pas aussi simple. Si les montants sont parfois de l’ordre de centaines de milliers voire de millions de dollars, les pannes de systèmes critiques peuvent largement dépasser ces montants. Il est important de se rappeler, néanmoins, que même si l’entreprise victime paye la rançon, ses données, ou même une partie d’entre elles ne seront pas pour autant décryptées. Il existe même des cas avérés où les pirates ont introduit des bugs dans les codes de sorte qu’ils ne pouvaient pas récupérer les données, même s’ils le voulaient.

Il ne faut pas prendre de décision trop rapidement, et étudier soigneusement toutes les options. Payer la rançon doit rester le dernier recours.


Claroty lance sa nouvelle section de recherches sur les menaces, Team82

Claroty lance sa nouvelle section de recherches sur les menaces, Team82, et alerte sur des vulnérabilités critiques dans les plateformes de gestion ICS dans le Cloud.

Paris, le 21 juillet 2021Claroty, spécialiste de la cybersécurité industrielle, lance aujourd’hui Team82, sa nouvelle section qui fournit des recherches indispensables sur les vulnérabilités et les menaces aux clients de Claroty et aux défenseurs des réseaux industriels dans le monde entier. De plus, Team82 publie un nouveau rapport sur les vulnérabilités critiques trouvées dans les plateformes de gestion pour les systèmes de contrôle industriel (ICS), basées dans le Cloud, soulignant la montée en puissance des ICS dans le Cloud et le besoin croissant de sécuriser les implémentations Cloud dans les environnements industriels.

Team82, anciennement connu sous le nom de The Claroty Research Team, est un groupe primé à plusieurs reprises et connu pour son développement rapide de signatures de menaces industrielles, son analyse de protocoles propriétaires et sa découverte de vulnérabilités ICS.

Team82 est la référence mondiale en matière de recherches sur les vulnérabilités ICS, avec un total de 146 découvertes et divulgations de vulnérabilités à ce jour, et a été la première à développer et publier des signatures pour les fameuses vulnérabilités Ripple20 et Wibu-Systems CodeMeter et les acteurs de la menace qui les ciblent.

Dotée du laboratoire de test ICS le plus étendu du secteur, l’équipe travaille en étroite collaboration avec les principaux fournisseurs de solutions d’automatisation industrielle pour évaluer la sécurité de leurs produits.

Dans son dernier rapport, « Top-Down and Bottom-Up : Exploiting Vulnerabilities in the OT Cloud Era », Team82 a étudié l’exploitabilité des plateformes de gestion basées dans le Cloud et responsables de la surveillance des ICS, et a développé des techniques pour exploiter les vulnérabilités du serveur d’automatisation du fournisseur CODESYS et les vulnérabilités de la plateforme PLC WAGO. Les recherches de Team82 imitent les chemins descendants et ascendants qu’un attaquant emprunterait pour contrôler un dispositif de niveau 1 afin de compromettre éventuellement la console de gestion dans le Cloud ou, à l’inverse, pour réquisitionner le Cloud afin de manipuler tous les dispositifs de terrain en réseau.

Amir Preminger, VP recherches chez Claroty explique : « La dernière recherche de Team82 a été motivée par la réalité que les organisations de l’ère de l’industrie 4.0 intègrent la technologie du Cloud dans leur OT et IIoT pour une gestion simplifiée, une meilleure continuité de l’activité et une meilleure analyse des performances. Afin de profiter pleinement de ces avantages, les organisations doivent mettre en œuvre des mesures de sécurité rigoureuses pour sécuriser les données en transit et au repos, et verrouiller les permissions. Nous remercions les équipes de CODESYS et de WAGO pour leur réponse rapide, leurs mises à jour et leurs mesures d’atténuation qui profitent à leurs clients et au domaine ICS ».

 

Le nouveau centre de recherche Team82 (accessible en ligne ici : claroty.com/team82) comprend les derniers rapports de recherche de l’équipe, un tableau de bord des vulnérabilités pour suivre les dernières divulgations, sa politique de divulgation coordonnée pour travailler avec les fournisseurs concernés, sa clé PGP publique pour échanger en toute sécurité des informations sur les vulnérabilités et la recherche, ainsi que d’autres ressources.


Pourquoi il est urgent d’adapter son infrastructure IT à un modèle de travail hybride

Après avoir lutté contre les perturbations et les dommages causés par la Covid-19 au cours des 18 derniers mois, les entreprises sont désormais confrontées à une nouvelle bataille : la résistance des collaborateurs à revenir à la situation d’avant le début de la crise sanitaire. Alors que le passage forcé des collaborateurs au travail à distance presque du jour au lendemain a perturbé les normes de travail bien établies, la flexibilité et les avantages du travail à distance l’emportent désormais sur le désir des collaborateurs de retourner au bureau.

De nombreux collaborateurs ont fini par travailler à leur domicile et la majorité veut simplement continuer, à minima une partie de la semaine (d’après une étude du cabinet ELABE, 60% des salariés souhaitent que les entreprises mettent en place la possibilité de faire du télétravail sur une partie du temps de travail).

Avec des collaborateurs préférant parfois démissionner plutôt que de retourner au bureau, les entreprises sont confrontées à un obstacle majeur. Forcer tout le monde à revenir sans aucune flexibilité ou sans être attentif aux préoccupations en matière de sécurité, de garde d’enfants ou encore de bien-être, est la meilleure recette pour avoir des équipes démoralisées voire une fuite de talents.

Bien qu’il existe un désaccord sur l’impact exact du travail à distance sur la productivité, les dirigeants se rendent compte qu’un mix de travail à distance et au bureau (un modèle hybride) peut être la meilleure voie à suivre.

Alors que les DRH se réjouissent, les équipes IT et les DSI chargés de faire fonctionner ce modèle en douceur ne sont pas du même avis.

Le travail à distance, autrefois sporadique et temporaire, est bien là pour rester. Et en tant que nouvelle normalité, des changements importants d’infrastructure sont nécessaires dans la durée.

Le travail hybride : la nouvelle norme de demain ?

En quoi les considérations relatives à une infrastructure hybride diffèrent-elles des adaptations liées au travail à domicile que la plupart des entreprises ont adoptées par nécessité ?

À bien des égards, il s’agit d’état d’esprit. Avoir le temps de planifier, ce qui n’a pas été accordé lorsque la pandémie a frappé en 2020, offre des avantages opérationnels, sécuritaires et financiers. Nous avons également 18 mois de recul et d’expérience nous permettant d’analyser ce qui a fonctionné, ce qui n’a pas fonctionné et ce qui peut être amélioré dans la durée.

Un important travail sur les ordinateurs : une majorité de collaborateurs utilisent leur ordinateur personnel pour travailler à domicile. Cela expose le réseau et les données de l’entreprise, et risque d’entraîner des fuites de données et une non-conformité réglementaire. Les menaces liées à l’utilisateur des ordinateurs personnels doivent donc être prises en compte.

Dès lors, il est important d’identifier les collaborateurs qui utilisent encore leurs propres ordinateurs et évaluer les options possibles. Comme par exemple, la fourniture d’un ordinateur pro ou d’un ordinateur portable mis à niveau qu’ils peuvent emporter avec eux lors de leurs emplacements. Ces ordinateurs peuvent être verrouillés au niveau administrateur pour sécuriser l’accès, les téléchargements et les installations.

Deuxième point important : l’inventaire des services et des solutions en mode cloud est-il vraiment complet ? Il est possible que les managers et les équipes aient créé par exemple de nouveaux comptes pour gérer leurs workflows à distance. Il est impératif que le service IT comprenne quels utilisateurs accèdent à quelles solutions pour garantir la conformité et la sécurité. Ce « shadow IT » peut entraîner des fuites de données que les responsables informatiques ignorent peut-être jusqu’à ce qu’il soit trop tard.

C’est également un excellent moment pour vérifier si les solutions en place sont toujours utilisées ou toujours nécessaires. Les collaborateurs qui les ont demandées ou utilisées sont-ils toujours employés dans l’entreprise ? Les statistiques d’utilisation justifient-ils les dépenses et la maintenance ? Réduire les licences ou éliminer les plates-formes obsolètes ou non pertinentes peut réduire les failles de sécurité et faire faire des économies.

Tout le monde est fatigué d’entendre parler des réunions en visioconférence. Mais avec le travail hybride, le besoin pour les équipes de se connecter de n’importe où restera présent. Il est donc important de déterminer si les systèmes (Slack, Teams, Zoom…) mis en place au début de la pandémie répondent toujours aux besoins ou si une autre plateforme pourrait les consolider afin de réduire la maintenance et les points d’accès ?

Après l’année que nous avons tous vécue, les entreprises sont plutôt dans un mode réactif. Au lieu de cela, rentrer dans un mode proactif procurerait de nombreux avantagesLa validation d’outils de collaboration émergents peut favoriser de nouvelles façons pour les équipes de collaborer. Un intranet ou un espace de collaboration partagé pourrait-il mettre les équipes à l’aise sur les procédures métiers de l’entreprise ? Peut-être qu’une seule plateforme pour les fonctions vidéo, chat et tableau blanc pourrait apporter de la productivité.

Le travail hybride implique une infrastructure IT hybride sécurisée

Les tests d’intrusion sont plus que jamais essentiels pour un plan de gestion des vulnérabilités solide. Lorsque le collaborateur travaille à domicile, on ne peut pas se soucier seulement de son ordinateur portable… Il travaille probablement à partir d’un réseau Wi-Fi ou mobile non sécurisé, auquel sont connectés une myriade d’appareils.

Des imprimantes aux thermostats intelligents, les menaces potentielles peuvent se faufiler dans les systèmes et les données. Il est donc important de prioriser la gestion des menaces en fonction de celles qui sont le plus susceptibles d’être malicieuses et prendre des mesures de protection à la fois à l’intérieur et à l’extérieur de son réseau. De même, les points de terminaison (serveurs, postes de travail, mobiles) sont des zones de risques très importants et beaucoup d’organisations n’ont pas une visibilité sur tous les points de terminaison existants dans leur réseau. Par conséquent, il devient impératif d’implémenter des tests de vulnérabilités pour identifier les points de terminaison qui ne sont pas encore identifiés voire qui n’ont peut-être même pas été envisagés.

Lors de la mise en œuvre des changements au sein de son infrastructure IT pour prendre en charge le modèle de travail hybride, il est important de garder à l’esprit la flexibilité et l’évolutivité. Les effectifs peuvent fluctuer à mesure que l’économie et le personnel s’adaptent à une nouvelle normalité.

Les espaces de travail hybride : un impact sur l'architecture informatique

Les dirigeants peuvent également envisager de réduire leur parc immobilier

Selon PWC, 87 % des dirigeants prévoient d’adapter leur stratégie immobilière au cours des prochaines années. Cela doit désormais être pris en compte lors des futurs achats d’équipements, réseau, et autres systèmes IT, pour peut-être opter pour des solutions plus flexibles et modernes (VoIP sur lignes fixes, 5G…) ce qui facilitera ces ajustements.

Les équipes IT peuvent apprécier le passage d’une approche de crise à une approche prospective avec un peu plus de temps pour s’adapter. Les espaces de travail hybrides de demain nécessitent l’empathie des dirigeants et l’adhésion des employés, mais ils ont également besoin d’une fondation technologique solide et de la sécurité appropriée pour les accompagner.

 

 

Didier Schreiber, Directeur marketing Europe du Sud de Zscaler


Cyberattaque : le temps est compté pour protéger son entreprise

En décembre dernier, 18 000 organisations, y compris des agences gouvernementales fédérales américaines, ont été exposées à des cyberattaques résultant d’une compromission des systèmes de la société SolarWinds dont elles utilisent les produits. À l’instar de Roger Bannister dans le domaine sportif, en informatique, les cyberattaques évoluent au rythme des innovations et viennent bousculer notre définition du « possible ».

Cyberattaques : la course aux nouveaux records est lancée

Suite à ces attaques cyber, il est, encore aujourd’hui, difficile d’estimer qui a réellement été compromis par le malware Orion, potentiellement inséré par les attaquants, lors de mises à jour des produits SolarWinds…

Quelques semaines plus tard, une nouvelle faille majeure touchait les serveurs Microsoft Exchange, exposant cette fois plus de 30 000 entreprises à travers le monde.

Dans les deux cas cités, des attaquants qualifiés, agissant vraisemblablement sur ordre d’un État, sont parvenus à prendre le contrôle de serveurs à l’intérieur même de réseaux d’entreprises et gouvernementaux, sans être détectés par les équipes de sécurité informatique.

Les deux attaques survenues coup sur coup, étaient en réalité liées, puisque les pirates à l’origine de l’attaque contre la chaîne d’approvisionnement de la société SolarWinds se seraient servis de leur accès pour consulter le code source d’Exchange chez Microsoft, et ainsi rechercher des vulnérabilités, avec le résultat que l’on connaît désormais (les 4 failles zero-day “Proxylon”).

Le risque cyber repose sur une série d’interdépendances

Les chaînes d’attaque, qui n’étaient autrefois que de la théorie, sont devenues une réalité. SolarWinds était en quelque sorte le « Roger Bannister des cyberattaques » : une fois le premier record battu, nul doute que d’autres suivront !

De plus, avec l’arrivée des cryptomonnaies, les attaquants sont aujourd’hui en mesure de monétiser facilement les données. Ils recherchent et exploitent sans relâche les failles pour s’implanter sur les systèmes et réseaux, puis accèdent aux données des entreprises et les monétisent en recourant au chiffrement et à l’extorsion. Et désormais, il n’est pas rare que les attaquants se vantent de leur succès et des sommes ainsi gagnées.

Leur stratégie consiste à tenter de forcer les serrures de la moindre porte ou fenêtre (à de multiples reprises) jusqu’à ce qu’ils trouvent un moyen d’entrer. Il n’est donc pas exagéré de partir du principe que tout système vulnérable connecté à Internet a déjà été compromis. Le moindre système Internet fonctionnant avec une connexion, vulnérable ou non, fait probablement l’objet d’une attaque dite « de force brute » en ce moment même. Les attaquants tentent d’innombrables combinaisons de noms d’utilisateur et de mots de passe jusqu’à en trouver une qui fonctionne.

Au cours de l’année écoulée, différents modes opératoires ont été observés : certaines attaques ont été lancées à partir de failles dans des dispositifs VPN, de serveurs d’accès à distance ou encore de serveurs de transfert de fichiers. 

Les employés ouvrent la porte de leur réseau aux cybercriminels en cliquant sur des liens qui les incitent à divulguer des informations d’identification ou à télécharger un code malveillant. Si un attaquant ne souhaite pas s’introduire lui-même dans un système, il peut aussi acheter son entrée sur le Dark Web. 

Les données sont ensuite utilisées comme une arme contre l‘entreprise et la laissent face à une décision : faut-il payer la rançon suite à une cyberattaque ?

Quelles sont les étapes clés suivies par les cyber attaquants ?

Une fois que les attaquants ont pris le contrôle d’un serveur ou d’un terminal, ils suivent généralement le même mode d’emploi :

  • Tout d’abord la mise en place un système de contrôle (Command and control) pour utiliser le premier serveur comme point de départ,
  • Puis une reconnaissance de base du réseau avec des techniques furtives bien connues,
  • Pour ensuite compromettre des comptes disposant de privilèges plus important, en exploitant des faiblesses internes, des failles ou en recourant à des attaques par force brute,
  • Ces comptes sont ensuite utilisés pour voler des données et installer des portes dérobées,
  • Et enfin le chiffrement des données, et l’envoi d’une demande de rançon. Bien entendu ces rançons sont à payer en cryptomonnaies. En échange d’une clé de déchiffrement… et d’une garantie douteuse que les données volées ne seront pas divulguées.

La plupart des entreprises sont totalement prises au dépourvu lorsqu’elles reçoivent une demande de rançon.

Une faille dans Active Directory, baptisée « Zerologon », a ainsi permis le détournement d’un contrôleur de domaine entier : deux heures ayant suffi alors aux attaquants pour passer de l’email de phishing initial à la prise de contrôle totale. 

Aux yeux des attaquants, l’entreprise est une véritable banque d’informations

Les entreprises génèrent et stockent de plus en plus de données, les transformant de fait en véritable banque d’informations pour les cyberattaquants. Et puisque l’entreprise tient aujourd’hui plus que tout à ses données, elle les échangera facilement contre de l’argent… Le cheminement est certes plus long mais la cible – la donnée – bien plus facile à capturer.

Comment limiter l'impact d'une cyber attaque ?

  • Commencer par la fin : le coffre-fort.
    Les attaquants ciblent les données, car c’est ce qu’ils peuvent monétiser le plus facilement.
    Où se trouvent les coffres-forts de données les plus stratégiques et les plus à risque ?
    Il faut veiller à ce que les données sensibles se trouvent dans le coffre-fort, et surtout que seules les personnes autorisées puissent y accéder. Il est également fortement recommandé que l’on puisse repérer un utilisateur effectuant un retrait inhabituel.
  • Déterminer son « rayon d’impact ».
    Si une faille touche l’un des systèmes ou des utilisateurs, à quelle vitesse sera déterminé le « rayon de l’impact » ?
    Quelles sont les données vulnérables, et quelles sont celles qui ont déjà été récupérées par les hackers ? Le fait de réduire le rayon d’impact en amont d’une attaque complique la tâche des cybercriminels. En optant pour un modèle de sécurité que l’on appelle « Zero Trust » les utilisateurs ou comptes ont accès uniquement aux systèmes et applications dont ils ont besoin. Bien sûr, cela s’applique également aux données, en particulier aux données sensibles. Si les utilisateurs n’ont pas besoin d’accéder au coffre-fort, ils n’en ont donc ni les clés ni la combinaison.Plus le rayon d’impact est petit et le comportement quotidien des utilisateurs contrôlé, plus les contrôles de détection seront efficaces. Si les utilisateurs humains ne sont pas censés utiliser de comptes d’application, le fait qu’un ordinateur portable se connecte à un autre système avec un compte va immédiatement alerter. De même, si les administrateurs n’effectuent des modifications que pendant les heures de travail classiques et à partir de certains systèmes, l’accès en dehors de ces systèmes et plages horaires attirera tout de suite l’attention.
  • S’entraîner à répondre. Si des malfaiteurs se sont introduits dans la banque et que l’un des postes de travail, serveurs ou passerelles est compromis, il faut essayer de détecter la phase suivante de l’attaque. Voit-on la reconnaissance ? Repère-t-on une activité inhabituelle dans l’annuaire Active Directory ? Un accès inhabituel aux données ou aux systèmes ? Cela nécessite l’établissement d’une base de référence du comportement « normal » des utilisateurs. Les exercices de type attaque/défense (Red team/Blue Team) peuvent aider à appréhender le risque encouru.
  • Démultiplier la force utilisée pour parer les attaques.En matière de sécurité informatique, l’approximation n’est plus de mise. La moindre faille connue fera l’objet d’une tentative d’attaque. Trop de services informatiques ne sont pas en mesure de suivre l’application des correctifs. Si un site exige uniquement la saisie d’un nom d’utilisateur et d’un mot de passe, il sera ciblé par des hackers tentant de deviner la combinaison requise. De plus, un trop grand nombre d’entreprises autorise l’authentification à facteur unique sur des services en ligne.

En suivant ces conseils, les chances que l’entreprise s’en sorte face à des attaquants compétents et fortement motivés sont multipliées. Il n’est tout simplement pas réaliste de se contenter de vouloir les tenir à distance. De toute façon, avec la présence des ressources sur le Cloud et l’essor du télétravail, « l’extérieur » n’est plus qu’une donnée théorique.

Mettre ses données importantes à l’abri dans le coffre-fort. Le verrouiller. Le surveiller.

C’est à ces conditions qu’il faudra plus de quelques minutes à des pirates informatiques pour s’emparer des données sensibles, et les empêcher d’établir de nouveaux records…

Yaki Faitelson, PDG, co-fondateur de Varonis


Phisher's Favorites : montée en flèche du phishing, notamment dans le secteur financier

Rapport Vade – Le Crédit Agricole est l’une des marques les plus usurpées, devant les géants américains de la tech : Facebook et Microsoft.

Paris – 22 juillet 2021 : Vade, leader international de la défense prédictive des emails, avec un milliard de messageries protégées dans le monde, dévoile son classement Phishers’ Favorites pour le premier semestre 2021. Ce rapport révèle une hausse considérable des attaques de phishing, avec un pic de 281 % observé en mai, et un autre de 284 % en juin, pour un total de 4,2 milliards d’emails de phishing détectés par Vade pour le seul mois de juin. Pour donner une idée de l’ampleur du phénomène : Vade a scanné plus de 49 milliards d’emails au cours de la même période.

Le rapport Phishers’ Favorites établit un classement des 25 marques les plus usurpées lors des attaques de phishing. Il analyse les URL de phishing uniques détectées par la technologie de Vade (disponible sur www.IsItPhishing.AI). Au cours de ces six mois, Vade a identifié le Crédit Agricole comme l’une des marques les plus usurpées, avec 17 555 URL de phishing uniques, suivie de près par Facebook, avec 17 338 URL, et par Microsoft, avec 12 777. Vade ne se contente pas d’un classement des marques les plus détectées, mais utilise également des algorithmes de machine learning pour identifier les tendances qui caractérisent les attaques, comme les emails sur le COVID ciblant des comptes d’entreprise, et dont le nombre s’élevait à 6,5 millions. À y regarder de plus près, 10 % des emails sur le COVID envoyés aux États-Unis et dans l’UE étaient malveillants.

Le Crédit Agricole est l’une des huit institutions financières à intégrer le top 25

Au premier semestre, le Crédit Agricole se trouvait pour la première fois au sommet de la liste. Pour autant, son classement n’a rien de surprenant dans un contexte incertain où l’économie fait sans cesse les gros titres. En février 2021, le Crédit Agricole annonçait un « retour à la normale » après avoir accordé de très nombreuses suspensions de paiement sur les prêts des entreprises et des consommateurs pendant la pandémie de COVID-19. Contre toute attente, au 2ème trimestre 2021, les URL de phishing du Crédit Agricole ont pourtant augmenté de 296 %, tandis que les URL de La Banque Postale bondissaient de 831 %, propulsant l’établissement de la 18e à la 5e place du classement. Dans ce top 25, on retrouve par ailleurs d’autres marques des services financiers telles que PayPal, Chase et Wells Fargo. Au total, les institutions financières représentaient 36 % de toutes les URL détectées.

Microsoft est la marque Cloud dont l’identité est la plus usurpée

Après avoir trôné à la première place pendant quatre trimestres consécutifs, la marque Microsoft est retombée à la deuxième place au 1er trimestre 2021, puis à la 4e au trimestre suivant, pour arriver en troisième place à la fin du semestre. Si le nombre d’URL de phishing Microsoft a bien décliné, le phishing de Microsoft a, quant à lui, gagné en sophistication.

En juin, Vade a détecté une attaque de phishing avancée qui utilisait un logo et des images d’arrière-plan publics pour afficher automatiquement les visuels de l’entreprise sur des pages frauduleuses usurpant l’identité de Microsoft 365. D’un simple appel à une API, les cybercriminels étaient en mesure de déterminer si une victime de phishing était bien leur cible, puis affichaient la marque de son employeur sur une page de phishing au nom de Microsoft. Netflix (no 13), Adobe (no 14) et Docusign (no 23) ont également rejoint Microsoft sur la liste des marques Cloud les plus usurpées.

Facebook toujours en tête du phishing des médias sociaux

Facebook, qui ne quitte jamais le top 5, dominait encore une fois le classement Phishers’ Favorites des marques de médias sociaux les plus usurpées, arrivant à la deuxième place de la liste. Après un ralentissement au dernier trimestre 2020, le phishing de Facebook a augmenté de 137 % au 1er trimestre 2021. Malgré une baisse de 13 % des URL de phishing Facebook au 2ème trimestre, le réseau social s’est tout de même illustré par un nombre d’URL de phishing plus de deux fois supérieur à la deuxième marque la plus usurpée, WhatsApp, qui comptait 8 727 URL à la même période.


4 critères pour évaluer les applications de demain

Sommes-nous devenus dépendants du numérique ? Ce n’est pas vraiment un scoop : nombre d’entre nous font désormais des achats, effectuent des opérations bancaires, travaillent et communiquent même avec leurs amis et leur famille grâce au numérique, sans se déplacer. Est-ce être dépendant ou plus libre ? Ce qui est sûr, en revanche, c’est que le mouvement s’accélère. La crise sanitaire, en particulier, a fait plus qu’augmenter notre recours à ces services numériques – il a également accéléré la numérisation de ce qui était auparavant encore majoritairement des expériences physiques. Qu’il s’agisse de la consultation d’un médecin, de la visite d’une nouvelle maison ou du travail dans un atelier de fabrication, toutes ces expériences nécessitaient autrefois une présence physique et deviennent de plus en plus et irréversiblement numériques.

Satya Nadella, PDG de Microsoft, a déclaré en avril de l’année dernière que le monde avait vécu deux ans de transformation numérique en deux mois. Il s’est écoulé tout juste une année depuis, et le rythme de la numérisation n’a fait qu’augmenter.

Et quel est le point commun de toutes ces expériences numériques ? Elles sont fournies par le biais d’applications.

Les applications sont devenues le vecteur premier, et le plus visible, de l’expérience numérique. C’est la première, et souvent la seule, chose que voit un client. Alors, autant les soigner !

Et c’est là que cette évolution pose de vrais problèmes aux entreprises, qui ont parfois du mal à suivre le rythme. Car la fourniture et la sécurisation des applications impliquent de naviguer à travers une combinaison de réseaux locaux et étendus, de clouds publics ou privés, de CDN (réseaux de distribution de contenu) et d’autres infrastructures situées à la périphérie.

Aujourd’hui, la plupart des entreprises assemblent manuellement la logique applicative et les technologies de diffusion et de sécurité dans ces environnements, application par application, brique par brique, souvent sans disposer d’une vision globale du produit fini. Cette approche crée hélas de nouvelles surfaces d’attaque, ouvre la porte à de nouvelles menaces et engendre en prime une incroyable complexité opérationnelle – source de coût accru.

Les solutions de périphérie de première génération (que nous appellerons « Edge 1.0 » par simplicité) étaient surtout des CDN conçus pour améliorer la diffusion de contenus lourds (souvent vidéo) avec une faible latence, afin qu’ils puissent être mis en cache physiquement au plus près de l’utilisateur final. En évoluant, ces CDN (appelons-les désormais « Edge 1.5 »), ont ensuite ajouté des capacités de calcul en périphérie pour héberger des contenus plus dynamiques, ont même été « SaaS-ifiés » et on leur a ajouté une sécurité « suffisante » (oui, les guillemets ont leur importance !). Mais ces offres Edge 1.0 et Edge 1.5 demeurent des solutions périphériques fermées, dont la capacité est limitée à celle de leur propre infrastructure physique. Et elles créent finalement un nœud ou un saut supplémentaire dans la voie de livraison des applications.

Cela oblige entre autres les entreprises à adapter leurs applications à chaque fournisseur de solutions périphériques.

Mais ce n’est pas le pire : en fait, ces CDN sont avant tout conçus pour diffuser du contenu (souvenez-vous : les vidéos !). Et même si leur évolution « 1.5 » a permis de mieux prendre en charge le modèle SaaS et le dynamisme applicatif, ils ne répondent pas entièrement aux besoins des applications complexes les plus dynamiques, ils ne font pas de l’efficacité de la sécurité une priorité absolue et n’ont pas été conçus pour simplifier la gestion et les opérations dans un paysage multicloud hétérogène. Bref, ils ne sont plus adaptés aux réalités des applications modernes et leur paysage opérationnel.

Quels sont les besoins en la matière ? Avant tout de pouvoir exécuter des containers applicatifs standards n’importe où, dans n’importe quel cloud public, privé comme dans le centre de données de l’entreprise. Le container est le plus petit dénominateur standard commun, et à l’intérieur est hébergée toute l’intelligence et toutes les spécificités de l’application – mais lui-même demeure parfaitement standard.

Et ce container doit pouvoir être déplacé, déployé, fourni selon les modes opératoires choisis par l’entreprise, sans préférence. Et le tout doit pouvoir bénéficier des dernières avancées en matière de sécurité (dont le filtrage applicatif, la protection contre le bourrage d’identifiants, etc.), de manière là aussi standard.

Cela pourrait être le « Edge 2.0 », qui perpétue la tradition tout en s’adaptant au monde actuel, dont l’une des particularités est un fort niveau d’hybridation entre infrastructures on-premise, modèle SaaS, et Cloud public et privé, en mode PaaS notamment pour la construction des applications.

En particulier, l’un des aspects les plus passionnants de Edge 2.0 est la manière dont il fera progresser la notion d’applications « adaptatives ». Des applications qui s’adaptent naturellement à leur environnement – en grandissant, en se réduisant, en se défendant et en se soignant – afin que les entreprises puissent se concentrer sur leur cœur de métier.

L’approche Edge 2.0 permettra d’atteindre ces objectifs grâce à plusieurs fonctions importantes :

  • Automatiser les processus redondants : Edge 2.0 doit s’appuyer sur une plateforme universelle de livraison d’applications. « Construire une fois, déployer globalement » doit devenir le leitmotiv des développeurs et des opérations. Cela permettra d’automatiser la distribution des applications à travers le centre de données, le cloud et la périphérie sans distinction et sans refaire le travail. Cela signifie donc la fin de l’intégration manuelle et fastidieuse des applications traditionnelles dans les environnements multicloud.
  • Offrir une sécurité de premier plan et de bout en bout : qu’il s’agisse de protéger les applications elles-mêmes contre l’usurpation des identités et l’exploitation de vulnérabilités ou plus globalement de lutter contre la fraude, il est vital que chaque déploiement, chaque application, puisse avoir accès aux meilleures technologies de sécurité, où qu’elle se trouve (y compris à la périphérie), en mode SaaS.
  • Augmenter l’agilité applicative : à l’aide de conteneurs et d’API standard, les applications peuvent être mises sur le marché et s’adapter aux conditions changeantes beaucoup plus rapidement et de façon transparente, par rapport aux modèles de développement et de déploiement traditionnels.
  • Capitaliser sur la connaissance des applications : avec Edge 2.0, il est possible d’avoir une vue de bout en bout des performances et de la sécurité des applications. Et c’est justement cette précieuse télémétrie qui permettra en définitive de rendre les applications plus intelligentes, plus perspicaces et surtout plus adaptables (grâce à des règles qui permettront d’adapter le niveau de sécurité, la puissance de l’hébergement ou agir sur d’autres paramètres en fonction des informations remontées par l’application).

 

En fin de compte, le passage du modèle « Edge 1.5 » à « Edge 2.0 » est bien plus que la simple incrémentation que ne le suggère le nom : c’est une redéfinition de la manière dont les applications sont déployées et interagissent, afin de les rendre capables de répondre aux enjeux naissants d’un monde ou l’application devient le centre de l’interaction entre l’entreprise et ses (futurs) clients !

 

Arnaud Lemaire, directeur technique F5 France


Plan “cybersécurité” : des maux et des actes

1 milliard ! Jeudi 19 février dernier le Président de la République annonçait un plan d’investissement de 1 milliard d’euros en faveur de la cybersécurité. Cet engagement, inédit en France hors périmètre Défense, doit évidemment être salué. Il est la réponse à une déferlante d’actualités dans un secteur en perpétuel mouvement (vague massive de cyberattaques visant les hôpitaux français, cyberattaque majeure aux USA, fusion-acquisition de sociétés) et s’articule autour de deux axes.

Le premier vise à améliorer rapidement et significativement la cyberprotection d’organisations devenues des  cibles de choix dans un contexte tendu de crise sanitaire et de tensions géopolitiques (350 millions € d’investissement direct via le Ségur de la Santé, le financement de missions d’audits et d’accompagnement des collectivités locales par l’ANSSI et ses prestataires de confiance, obligation de consacrer entre 5 et 10% des budgets IT à la cybersécurité pour l’ensemble des administrations). Il s’agit donc ici d’agir sur la demande et de pallier aux besoins prioritaires de secteurs qui, faute de budgets et/ou de ressources et/ou d’incompréhension des enjeux aux niveaux décisionnels avaient fait de la cybersécurité la grande oubliée de leur transformation numérique, elle-même parfois menée à marche forcée. Le second axe tend quant à lui à préparer l’avenir par le financement de l’innovation, le soutien à la recherche et le développement des compétences. Il vise à accélérer fortement la filière française de cybersécurité, d’une part en se fixant des objectifs clairs (un chiffre d’affaires consolidé de 25 milliards € d’ici 2025 (contre 7 milliards aujourd’hui), doublement des emplois dans le secteur, 3 licornes cyber, hausse de 20% des brevets) et, d’autre part, en renforçant les dispositifs existants (budget additionnel pour l’ANSSI, création de CERT Régionaux, lancement du Campus Cyber avec une enveloppe de 70 millions €, poursuite du Grand Défi Cyber etc.). En clair, développer in fine l’offre commerciale française de produits et solutions de cybersécurité sur un marché que dominent largement des acteurs non-Européens, afin de renforcer notre autonomie stratégique numérique.

Mais si ces mesures apparaissent absolument nécessaires, et salutaires, sont-elles suffisantes ? Les logiques qui prévalent pourraient en effet être prolongées afin de pérenniser durablement la dynamique initiée et éviter que l’effort budgétaire engagé ne soit un coup d’épée dans l’eau. Alors qu’à partir de 2013 la Loi de Programmation Militaire (LPM) a contribué à augmenter significativement le marché de la cybersécurité auprès des infrastructures critiques (OIV), privées comme publiques, le plan d’investissement dédié à l’amélioration la cyberprotection ne s’adresse ici qu’au seul périmètre de l’État (administrations déconcentrées, collectivités locales ou territoriales). Après le “bâton” (LPM, NIS ou le RGPD indirectement) pourquoi ne pas créer la “carotte” pour soutenir la demande ? Objectif : favoriser l’achat de solutions de cybersécurité françaises par les grands groupes qui ne sont que 52% à avoir déjà contractualisé avec des start-up cyber selon le dernier baromètre innovation du FIC. Certains évoquent ainsi la création d’un crédit-impôt cybersécurité, permettant aux “grands oubliés de la cybersécurité”, ces milliers de PME ou ETI tout autant touchées par la vague sans précédent de ransomwares que nous connaissons, de rehausser ou d’initier leur posture cyber. Des dispositifs régionaux (Hauts-de-France, Région Sud) d’accompagnement gratuits ont d’ailleurs été déployés, au plus près du tissu économique local, et connaissent un certain succès. Une politique volontariste d’accroissement du marché domestique sera aussi une des conditions de la réussite de la politique “d’offre” de soutien à la filière industrielle française et d’augmentation du nombre d’emplois dans le secteur. La question des débouchés commerciaux est centrale, y compris à l’échelle européenne avec la construction encore balbutiante d’un véritable marché intérieur, et c’est là en partie la force de nos compétiteurs anglo-américains.

Financer la recherche afin de favoriser l’innovation, et donc la compétitivité du secteur dans les batailles à venir, est absolument nécessaire d’autant plus avec les ruptures technologiques présentes (cloud, big data), à venir (edge computing, informatique quantique) ou “appliquées” (véhicule autonome, villes intelligentes, industrie 4.0 etc.). Développer ces briques innovantes de cybersécurité n’a de sens d’un point de vue commercial que si elles peuvent parfaitement s’intégrer dans l’écosystème déjà très lourd et complexe des outils de cybersécurité dont disposent les clients, et en premier lieu les RSSI, et leur simplifier la tâche. L’accent doit donc aussi être mis sur la concentration et le regroupement de nos start-up afin de proposer une offre intégrée as-a-service sur les différents segments de marché, autre grande force de nos différents compétiteurs internationaux. Néanmoins, le véritable enjeu pour nos start-ups réside dans le financement de leurs séries A, B, C ou D ! Si les capacités d’investissement des acteurs publics (BPI France) ou privées (VCs) sont globalement bonnes pour des tickets inférieurs à 10M€, nous sommes encore incapables de financer nos pépites cyber sur des montants supérieurs à 20M€. Les exemples de Sqreen mais surtout d’Alsid (rachetée par Tenable pour un montant de 96M€) en sont sans doute les meilleures illustrations. On ne pourra raisonnablement espérer atteindre 3 licornes françaises de cybersécurité d’ici 2025 qu’à la condition qu’elles puissent trouver en Europe des financements à la hauteur de ces ambitions ou des acteurs industriels, éditeurs ou entreprises de services numériques, susceptibles de consolider le marché.

A l’aube d’une nouvelle décennie, ce plan d’investissement massif doit donc marquer le passage de l’adolescence des années 2010 (première mention dans le Livre Blanc pour la Sécurité et la Défense Nationale de 2007 puis création de l’ANSSI en 2009) à l’âge adulte de la cybersécurité française. Espace privilégié de la conflictualité entre états et far-west moderne pour mafias internationales désormais très structurées, le numérique se traduit aussi par des menaces qui montent en intensité, en agressivité et en complexité. Les Etats-Unis, première puissance mondiale numérique et cyber, ont connu il y a quelques semaines un des plus grosses faillites de leur histoire moderne avec l’affaire Solarwind. Les pansements et rustines ne suffisent plus, il est temps de changer de paradigmes dans notre manière de concevoir le numérique et ses applications. Pour paraphraser Georges Clemenceau, la cybersécurité est désormais une chose trop sérieuse pour la laisser aux (seuls) informaticiens.

 

Guillaume Tissier, Associé Avisa Partners, co-organisateur du Forum International de la Cybersécurité