Est-ce que l'IA est la solution pour lutter contre les cybermenaces ?
Avec sa capacité de traiter et de prioriser de grandes quantités de données, l’IA est-elle le compagnon idéal des spécialistes humains noyés sous trop d’alertes quotidiennes ?
Branche la plus puissante de l’IA, le Deep Learning se classe plusieurs échelons au-dessus de l’apprentissage automatique. Il est actuellement utilisé dans le domaine de la cybersécurité via la création de réseaux neurologiques « entraînés » à partir d’échantillons de données brutes renfermant des millions de fichiers étiquetés à la fois malveillants et bénins. Au fil du temps, le réseau apprend à identifier instinctivement le code malveillant.
IA : un allié pour se concentrer sur l'essentiel des alertes cyber ?
La pénurie d’experts en cybersécurité se fait particulièrement sentir au sein des centres opérationnels de cybersécurité (SOC). Là, des veilleurs reçoivent et traitent les alertes issues de l’ensemble des équipements de l’entreprise et doivent être capables de réagir rapidement pour endiguer la menace avant que celle-ci ne devienne incontrôlable.
Hélas, submergés d’alertes peu ou pas priorisées, confrontés à la difficulté de contextualiser la menace globale à travers le prisme d’une simple détection, ils ont de plus en plus de mal à faire leur travail dans de bonnes conditions. Ajoutons à cela la difficulté chronique de recrutement, et la situation au sein des SOC est particulièrement tendue. Pourtant, ces « tours de contrôle » de la cybersécurité des entreprises jouent un rôle essentiel non seulement dans la détection, mais aussi dans la réponse aux attaques.
Pour leur venir en aide, le marché se tourne de plus en plus vers les promesses de l’Intelligence Artificielle. La machine, en effet, est capable, contrairement à l’humain, de traiter d’incroyables quantités de données quasiment instantanément, et de les trier, les prioriser, les enrichir et les présenter de manière claire pour qu’un analyste humain soit en mesure de décider de la suite à donner à une alerte. Grâce à l’IA, la charge de travail des analystes SOC se réduit, ainsi que le risque d’erreur : « Nos solutions à base de Deep Learning – la branche la plus poussée de l’IA – permettent en moyenne aux entreprises de réduire de 25% la quantité d’alertes quotidiennes à gérer, et de gagner jusqu’à 13 heures par jour de temps homme consacré à traiter des faux positifs », explique ainsi Rodolphe Moreno, Deep Instinct.
De son côté, l’éditeur français Vade mise lui aussi sur le Deep Learning pour faire face aux 100 millions d’emails qu’il doit analyser chaque jour afin de détecter les spams. « Nous avons beaucoup travaillé pour créer notre propre méthode et notre propre infrastructure capable d’apprendre massivement et de pouvoir identifier les spams à base d’images. Mais le résultat est là : sur les trois premiers mois de 2021, nous avons bloqué 500 millions de spams par cette méthode », explique Adrien Gendre, Vade.
Il reste cependant un rôle dans lequel l’humain est pour le moment indétrônable : celui de l’analyste. Mais là aussi, l’IA peut venir lui faciliter la vie en préparant le travail : « L’analyste a besoin d’enrichir l’information et de collecter du contexte pour faire son travail. Si l ‘analyse elle-même est une tâche humaine qui donne généralement lieu à une prise de décision, la machine est parfaite pour associer et agréger automatiquement l’ensemble du contexte disponible autour d’un « case » dans le but de faciliter son exploitation. Certaines décisions évidentes peuvent même faire l’objet de réponses automatisées basées sur la collecte de contexte correspondant aux critères d’un playbook écrit par l’analyste. », complète Cyrille Badeau, ThreatQuotient.
Les experts cyber nous donnent leur point de vue :
Adrien Gendre, Vade : « Il y a eu une amélioration significative des techniques de Computer Vision. La montée en puissance du Deep Learning et de la puissance hardware dédiée a largement contribué à ce phénomène. »
Rodolphe Moreno, Deep Instinct : « Avec le Deep Learning, plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données. Ses fondements s’inspirent du fonctionnement du cerveau humain. »
Cyrille Badeau, ThreatQuotient : « L’analyse des incidents cyber demeure une tâche majoritairement réservée à l’humain. Cependant, la machine est bien meilleure pour enrichir automatiquement l’information afin de faire gagner un temps précieux à l’humain qui peut ainsi lui déléguer les tâches répétitives et les prises de décisions évidentes. »
2011-2021 : retour sur les fondamentaux de la cybersécurité
Si la curiosité devant une technologie nouvelle était initialement la motivation des hackers, l’appât du gain, l’espionnage et le vol de données sont désormais les motivations d’une cybercriminalité organisée.
À trop vouloir élever le débat de la cybersécurité (ce qui n’est pas une mauvaise chose en soi, au demeurant !) on en vient parfois à oublier que l’on parle toujours aussi de « sécurité informatique ». Hélas, jusqu’à récemment le terme était tombé en désuétude avec l’avènement de l’expression « sécurité de l’information », puis celui du « Cyber », qui tente d’englober des pratiques aussi bien techniques qu’organisationnelles, de protection de l’information, de conformité et de gouvernance… jusqu’à ce qu’on en perde peut-être de vue les frontières.
Pour autant, la vague d’attaques par rançongiciels qui frappe les entreprises depuis quelques années avec un succès massif (l’on peut estimer les gains des pirates à plusieurs milliards de dollars) vient rappeler douloureusement que la cybersécurité, c’est encore aussi de la sécurité informatique. Avec, cependant, quelques évolutions !
Ainsi, du point de vue des techniques, une part importante de ces attaques trouve son origine dans les accès distants de type VPN ou RDP exposés par les entreprises. Exploités grâce à une vulnérabilité ou le vol d’identifiants, ces équipements permettent à un attaquant de prendre pied au cœur du système d’information de sa victime. Pour lutter contre ce type d’attaque, les réponses historiques et fondamentales que sont l’application des correctifs et le choix de mots de passe forts doublés d’une seconde authentification fonctionnent toujours et devraient être mises en œuvre immédiatement. C’est le « retour aux fondamentaux » et ce n’est pour autant pas assez suivi par les victimes.
Mais pendant ce temps, le monde change : « Alors que les entreprises se préparent à la nouvelle réalité du travail, du « tout à distance » aux modèles hybrides, les équipes de sécurité doivent réévaluer les droits d’accès à privilèges accordés aux utilisateurs et leur durée. Celle-ci n’est pas censée être illimitée », explique Hicham Bouali, One Identity. Et c’est là le cœur de l’évolution pour la sécurité informatique : rester proche des fondamentaux, mais adapter ces derniers aux nouveaux modes de vie et de travail. Et l’une de ces adaptations passe forcément par ne plus faire de différence entre l’interne est l’externe, ce que propose le modèle Zero Trust : « Cette approche consiste à n’accorder aucune confiance implicite en les éléments qui se trouvent à l’intérieur comme à l’extérieur du réseau. Chaque élément est considéré comme potentiellement néfaste jusqu’à preuve de sa neutralité, et doit être analysé pour confirmer son caractère inoffensif », détaille Ivan Rogissart, zScaler. Autrement dit : ne surtout rien lâcher sur les fondamentaux, mais adapter la stratégie aux changements du monde.
Pour y parvenir, il faudra bien sûr faire un effort, et pas seulement technique : « Il est important d’investir dans la formation régulière des personnels à la cybersécurité, afin de s’assurer qu’ils soient acculturés aux dernières tendances technologiques et sensibilisés aux nouveaux risques qu’elles peuvent introduire – par exemple la gestion des droits dans le Cloud est très différente de ce que les équipes pratiquent sur site, et sans formation, il peut être facile de faire une erreur coûteuse », met en garde Jean-Claude Tapia, ATOS Digital Security.
Les experts pour en parler
Hicham Bouali, One Identity « Il est difficile pour les entreprises d’appliquer les mêmes principes de sécurité en interne et dans les environnements Cloud. Les fondamentaux sont toujours aussi importants, mais doivent être adaptés au modèle hybride »
Ivan Rogissart, zScaler “Dans un monde hypothétique où toutes les entreprises auraient adopté une approche Zero Trust, l’infrastructure sur laquelle repose Internet, à savoir les routeurs ou encore l’infrastructure DNS, sera, elle, toujours exposée. Une menace qui ne cessera de prendre de l’ampleur dans le monde Zero Trust de demain”
Jean-Claude Tapia, Atos Digital Security : « La transition vers le Cloud doit s’accompagner d’une solide formation des équipes de cybersécurité et, dans les premiers temps, d’audits réguliers des configurations et des droits d’accès, afin de limiter le risque d’erreurs dans ce nouvel environnement »
Les 10 tendances en cybersécurité pour l’année 2021
Guillaume Tissier, associé Avisa Partners et co-organisateur du FIC : « Les cyberattaques se sont accumulées ces derniers mois : vols de données, usurpations d’identité, espionnage… autant de réalités qui inquiètent et appellent des réponses urgentes. Le Forum International de la Cybersécurité qui s’est ouvert ce matin à Lille est l’occasion de revenir sur les 10 tendances clés de 2021 ».
La conflictualité dans l’espace numérique atteint un niveau préoccupant qui menace sa stabilité
En 2021, les attaques se sont multipliées, touchant désormais tous les secteurs d’activité et toutes les organisations. Phénomène grand public, la sensibilisation des utilisateurs est aujourd’hui indispensable.
1. En 2021 la cybercriminalité a explosé, principalement via le ransomware (+ 255% en 2020 selon ANSSI). Cette criminalité, opportuniste et motivée par un gain financier rapide, touche désormais tout le monde, y compris les PME, ETI, collectivités locales ou encore établissements de santé.
2. Les cyberattaques sont désormais un outil au service de politiques offensives de certains Etats. Les attaques sophistiquées, discrètes et furtives nécessitent souvent de longs mois de préparation. La réponse ne peut pas et ne doit pas être uniquement opérationnelle : elle doit aussi être diplomatique et politique. Il faut désormais accepter d’attribuer certaines attaques et d’y répondre avec un panel de mesures techniques, judiciaires et diplomatiques.
3. Qu’elles soient d’origine étatique ou non, les attaques “par rebond” (Kaseya, Exchange, SolarWind…) peuvent avoir des conséquences catastrophiques. Les éditeurs ont une responsabilité pour les contrer, en intégrant dès la conception des produits les enjeux de sécurité (“security by design”).
4. En 2021, la modification des habitudes et des usages a augmenté la surface d’exposition aux risques et le nombre de vulnérabilités – la security by design restant très théorique. La généralisation du télétravail a augmenté le périmètre d’attaques et multiplié les portes ouvertes (salariés non formés, porosité entre usages personnels et professionnels, absence de VPN).
5. Enfin, le manque de compétences en matière numérique et en matière de cybersécurité demeure un problème central. Au-delà des connaissances techniques, nécessaires à une bonne utilisation des technologies numériques, une acculturation des récepteurs complètera l’approche et permettra une lutte efficace contre les fake news.
Quelles solutions ? Vers une réponse collective et coopérative
Le cyberespace ne sera pas une zone de non-droit mais un espace régulé, riche, porteur de potentialités, sur la base de valeurs communes à ses utilisateurs.
6. La cybercriminalité n’est pas une fatalité. L’actualité récente montre qu’il est possible de lutter efficacement contre le phénomène cybercriminel en mobilisant plusieurs leviers :
- Une lutte anti-cybercriminalité efficace, notamment au plan judiciaire. Il y encore trop peu de poursuites judiciaires post-cyberattaques : 47% ont porté plainte auprès des autorités compétentes, mais cela n’a abouti que dans 15% des cas (Baromètre CESIN 2021).
- Des capacités d’investigation, notamment sur les paiements. L’exemple récent de Colonial Pipeline aux USA a prouvé qu’il était envisageable de s’en prendre aux attaquants via le maillon le plus sensible : le circuit financier leur permettant de monétiser leurs attaques. Des initiatives politiques et diplomatiques fortes : des sanctions doivent être prises si l’Europe ne veut pas devenir le “ventre mou” du cyberespace.
- Un dispositif d’alerte à destination des entreprises pour les inciter à mettre à jour et corriger leurs systèmes. La nature et le caractère contraignant de ce dispositif restent à déterminer. C’est la question du « droit d’injonction » évoqué par Guillaume Poupard, directeur général de l’ANSSI.
7. Les technologies progressent, notamment avec l’IA. Les technologies XDR (extended detection & response) permettent par exemple de détecter et de réagir plus rapidement aux incidents de sécurité en automatisant un certain nombre d’actions, permettant aux experts en cybersécurité de se concentrer sur les plus graves.
8. Qu’il s’agisse de malveillance ou d’événements accidentels, la cybersécurité devient progressivement un sujet C-level et n’est plus uniquement un sujet technique. Considérant les impacts potentiels d’une crise informatique, le sujet doit être traité au niveau COMEX.
9. La coopération se développe. Il est indispensable de compenser l’asymétrie traditionnelle entre l’attaquant et le défenseur par une plus grande collaboration et coopération de tous les acteurs, à tous les niveaux. Qu’il s’agisse des grands organes internationaux (ONU, OCDE), des forces de l’ordre nationales ou encore des acteurs académiques, la coopération internationale devient une vraie force.
10. La face « politique » de la cybersécurité est la « souveraineté numérique », sujet sur lequel la crise sanitaire a eu un effet d’accélérateur : nous avons pris conscience que le numérique était devenu systémique et que l’on ne pouvait totalement dépendre d’équipements, de solutions et de flux venant de l’étranger. L’Europe doit maitriser son destin numérique et construire un espace numérique correspondant à ses valeurs et à ses modes de vie. La Présidence française de l’UE qui débute en 2022 constitue de ce point de vue une opportunité historique.
[FIC 2021] Les retrouvailles de l’écosystème cyber européen à Lille sonnaient comme une nécessité
Après plusieurs reports et 20 mois d’attente, la communauté cyber s’est retrouvée à Lille pour échanger sur les bonnes pratiques d’un secteur mis en lumière par la récente crise sanitaire.
Lille, 09 septembre 2021 – Après plusieurs reports et 20 mois d’attente, la communauté cyber s’est retrouvée à Lille pour échanger sur les bonnes pratiques d’un secteur mis en lumière par la récente crise sanitaire.
“Ce que j’ai à vous dire tient en 5 lettres : ENFIN !” – Général Marc Watin-Augouard. Avec plus de 10 000 visiteurs et 450 exposants, la 13ème édition du Forum International de la Cybersécurité (FIC) a été le premier événement professionnel depuis mars 2020 et confirme son leadership en Europe. Ce rendez-vous incontournable a été ouvert par Xavier Bertrand, président du conseil régional des Hauts-de-France, et a accueilli Florence Parly, ministre des Armées, Cédric O, Secrétaire d’État chargé de la Transition numérique et des Communications électroniques, Margaritis Schinas, Vice-président de la Commission européenne, Guillaume Poupard, directeur général de l’ANSSI, ou encore Juhan Lepassaar, président de l’ENISA.
Alors que le numérique irrigue aujourd’hui l’ensemble de nos vies personnelles et professionnelles, élargissant la surface exposée et les potentielles attaques, les retrouvailles de l’écosystème cyber européen à Lille, les 7, 8 et 9 septembre sonnaient comme une nécessité.
“Ce n’est plus seulement un sujet technique, c’est une question de société, de souveraineté et de sécurité nationale” (Margaritis Schinas)
Cette 13ème édition a également souligné une fois encore l’absolue nécessité d’une collaboration européenne plus forte, comme en témoigne la mobilisation des institutions et des États européens. La signature d’un accord entre le FIC et les autorités de cybersécurité hollandaises a ainsi posé concrètement une des premières pierres de l’Europe de la cyber. “Le thème du FIC cette année – Pour une cybersécurité coopérative et collaborative – n’est pas un vœu pieux. Nous ne pourrons relever le défi qu’ensemble” a précisé Guillaume Tissier, directeur associé chez Avisa Partners.
Cet effort européen a résonné jusque dans l’Agora du FIC, think-tank dédié aux enjeux de sécurité et de confiance numérique, qui a publié un Livre blanc intitulé “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Objectif : préparer la Présidence française de l’UE qui s’ouvre en janvier 2022 en apportant 28 propositions couvrant les champs réglementaires, diplomatiques, industriels et technologiques. Parmi celles-ci : la régulation des vulnérabilités 0-days, la création d’un parquet cyber européen, la création d’un Buy Digital European Act, l’approfondissement de la collaboration UE/OTAN.
Autant de sujets qui seront abordés lors de la prochaine édition du FIC dont le thème sera « Shaping European Future ».
Pour maintenir le lien, le FIC lancera prochainement inCyber, plateforme d’information et d’échange de la communauté. Avec un objectif : maintenir le lien et continuer à progresser, ensemble. Et rendez-vous est pris : prochaines retrouvailles du cyber européen prévues du 7 au 9 juin 2022.
28 recommandations pour une ambition : faire de l’Europe une puissance numérique
L’Agora du FIC, think-tank du Forum International de la Cybersécurité qui rassemble tous les acteurs et toutes les expertises sur les sujets du numérique et de la cybersécurité présente, à l’occasion du FIC 2021, son livre blanc “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Les 28 recommandations, articulées autour de 6 domaines clefs, répondent à une seule et même ambition : accélérer la construction d’une Europe de la cybersécurité.
Paris, le 9 septembre 2021 – L’Agora du FIC, think-tank du Forum International de la Cybersécurité qui rassemble tous les acteurs et toutes les expertises sur les sujets du numérique et de la cybersécurité présente, à l’occasion du FIC 2021, son livre blanc “Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne”. Les 28 recommandations, articulées autour de 6 domaines clefs, répondent à une seule et même ambition : accélérer la construction d’une Europe de la cybersécurité.
Un numérique sûr et de confiance
Pendant la crise sanitaire, le numérique s’est définitivement imposé dans les vies quotidiennes : fruit d’un mouvement entamé depuis quelque temps, les usages et applications numériques ont permis de se soigner, de s’éduquer, de rester en contact et de maintenir l’économie.
Plus que jamais, le numérique est un outil indispensable à la relance économique, qui ne sera possible qu’avec un numérique sûr et de confiance, condition sine qua non d’une transformation numérique efficace. C’est aussi un enjeu de puissance, où une Europe forte et indépendante doit se faire entendre. C’est enfin un territoire à apprivoiser, qui doit être le reflet des valeurs européennes, loin de modèles extérieurs imposés.
Marc Watin-Augouard, Général d’armée (2S), fondateur du Forum International de la Cybersécurité et co-auteur du livre blanc : “La cybersécurité européenne doit être à l’image de la « tortue romaine ». Chaque État membre est porteur de boucliers qui le protège et contribue à la cybersécurité commune. L’Europe doit tisser les liens, créer le liant, donner une cohérence à l’ensemble”.
28 recommandations, 1 ambition
Les 28 recommandations formulées dans le livre blanc, articulées en 6 domaines, constituent autant de leviers au service de la souveraineté numérique européenne.
Elles touchent aussi bien des sujets très concrets, comme la régulation du marché des 0-days, zone grise du cyberespace, à l’origine d’une instabilité permanente, ou la lutte contre les ransomwares avec la création d’un parquet européen sur le modèle du parquet financier, permettant de toucher les attaquants à la racine : la motivation financière.
D’autres thématiques responsabilisent la filière industrielle, en exigeant la sécurité “by design”, c’est-à-dire dès la conception des logiciels, ou exigent une politique publique forte. C’est l’enjeu du “Buy Digital European Act”, activant le levier de la commande publique pour stimuler la filière ou encore de l’indicateur de traçabilité.
Guillaume Tissier, associé Avisa Partners et co-auteur du livre blanc : “Ce livre blanc ouvre la séquence de la Présidence française de l’UE, qui débutera en janvier 2022. Il s’inscrit dans la suite logique de la présidence slovène qui prend fin : faire de l’Union européenne une puissance numérique ! La société numérique de demain ne pourra s’appuyer que sur des technologies et des infrastructures maîtrisées, souveraines, à la fois illustrations concrètes de la puissance stratégique de l’UE et miroirs d’un système de valeurs partagés, ouvert et protecteur des citoyens”.
Les pistes pour mieux protéger l'Europe de la cybermenace
Alors que Bruxelles a tiré vers le haut les défenses numériques de l’Europe, un rapport livre 28 recommandations pour accélérer pendant la présidence française du Conseil de l’Union européenne.
Paris, le 8 septembre juillet 2021 – En matière de cybersécurité, la France partage son destin avec l’Europe. « Si l’un d’entre nous [parmi les 27 pays européens, NDLR] est ciblé par une attaque, c’est potentiellement toute l’Europe qui peut être touchée », notait en juin dernier la ministre des Armées, Florence Parly. C’est pourquoi la Commission européenne tend à harmoniser et à tirer vers le haut les défenses numériques du continent.
Lire la suite sur Les Echos.
Les dix compétences essentielles d’un bon chasseur de bots
Les symptômes d’une attaque de bots sont bien connus : une augmentation des coûts d’infrastructure due à des pics de trafic illégitime et incontrôlé, un taux élevé de prise de contrôle de comptes (ATO) ou une hausse des piratages réussis de cartes-cadeaux, par exemple.
Et en creusant, on y trouve le plus souvent un problème de fraude, qui conduit ensuite à une réputation en baisse pour l’entreprise et une chute de la fidélité client. C’est généralement à ce moment que le service informatique tente de régler le problème de lui-même : en bloquant par exemple les adresses IP incriminées, voire même toutes celles provenant de la même zone géographique. En s’appuyant peut-être même sur des techniques un peu plus avancées telles que la réputation IP ou la prise d’empreinte du navigateur, l’intégration d’un CAPTCHA, voir même, dans les cas les plus désespérés, le recours à l’authentification multifactorielle (MFA).
Rapidement, cela devient une bataille sans fin pour essayer de devancer les attaquants et faire face à des clients frustrés qui ne peuvent terminer leurs achats en ligne.
Il est temps de faire appel à un chasseur de bots professionnel. Mais à quoi reconnaît-on le bon chasseur ? Aux dix compétences ci-dessous, qu’il se doit de maîtriser à la perfection :
- S’adapter sans cesse aux nouveaux outils des attaquants
Si le jeu en vaut la chandelle (la valeur des comptes clients à dérober, par exemple), les attaquants n’abandonneront probablement pas facilement la partie, mais se ré-outilleront continuellement et essaieront sans cesse de nouvelles approches.
Lorsqu’une contre-mesure de sécurité est mise en place, les attaquants motivés se ré-outilleront pour la contourner en utilisant diverses méthodes, de nouveaux outils et même des techniques à base d’intelligence artificielle. Les victimes du bourrage d’identifiants disent d’ailleurs que lutter contre les robots et l’automatisation revient à jouer au jeu du chat et de la souris. Le bon chasseur de bots doit savoir jouer à votre place… et mieux que vous !
- Se rendre presque invisible aux yeux des clients légitimes
Les CAPTCHA et le MFA (authentification multi facteurs) augmentent considérablement la friction pour les clients au moment de l’achat. Les taux d’échec humain à ces contrôles varient de 15 à 50 % et entraînent donc un taux élevé d’abandon de panier et une baisse de la satisfaction des utilisateurs. Et ces clients frustrés par l’incapacité de passer commande simplement peuvent ne jamais revenir, même après une seule expérience négative.
En outre ces mesures ne sont pas la panacée : les fraudeurs peuvent utiliser des outils et de la main-d’œuvre humaine pour résoudre les CAPTCHA, et exploiter les données personnelles compromises pour se faire passer pour des titulaires de compte (en appelant le support) afin récupérer les comptes et mener toutes sortes d’arnaques.
Le bon chasseur de bots se doit de ne pas introduire des frictions qui frustreront les utilisateurs, et que les attaquants peuvent souvent contourner de toute façon. Il doit être en mesure de proposer des solutions adaptées au niveau de la menace à un moment donné et les plus transparentes possibles pour l’utilisateur.
- Gérer les faux positifs
Un faux positif se produit lorsque le chasseur de bots marque un humain réel comme étant un bot. Un faux négatif, c’est lorsqu’un bot est considéré comme un humain.
Ils sont inévitables, et même les meilleurs chasseurs en auront. Mais le bon chasseur doit être très réactif au problème des faux positifs : le client doit pouvoir le contacter, expliquer le problème et obtenir une réponse sans délai !
- Repérer rapidement les bots qui contournent les défenses
Le bon chasseur de bot doit opérer constamment comme si un attaquant habile était sur le point de contourner toutes ses contre-mesures. Car cela peut arriver rapidement et avant même que l’entreprise n’en découvre les effets secondaires (prise de contrôle de comptes, fraude, analyses commerciales faussées, etc.) Le chasseur de bots devra alors être prêt à réagir et collaborer avec son client pour remédier au problème.
- Gérer la fraude manuelle (d’origine humaine)
Un attaquant déterminé et compétent saisira les informations d’identification à la main dans des navigateurs réels pour contourner les défenses anti-automatisation, ce qui peut conduire à une prise de contrôle du compte (ATO) et à la fraude. Le chasseur de bots doit être capable de déterminer si un humain est un client digne de confiance ou un fraudeur et de prendre les mesures appropriées.
- Empêcher une brèche de compte de s’étendre à tous les autres
Dans de nombreux cas, des politiques de détection et d’atténuation personnalisées devront être déployées d’un client à l’autre. Il est toutefois important de s’assurer que les toutes dernières politiques, qui correspondent bien souvent à un nouvel outil ou une nouvelle technique en cours de test par l’attaquant, soient immédiatement appliquées à tous les autres clients du chasseur de bots. Chaque client doit être isolé d’un ré-outillage contre un autre client.
- Garder de la visibilité même après une attaque réussie
Le bon chasseur collecte et analyse en permanence divers signaux télémétriques relatifs aux appareils, au réseau, à l’environnement et au comportement afin de maximiser la visibilité et d’identifier précisément les anomalies. Ainsi, même si une mesure de protection est contournée, l’analyse de la télémétrie permettra d’identifier la situation anormale et de mettre en œuvre d’autres mesures complémentaires. Et cela permet également, à plus long terme, d’alimenter à la fois les équipes de recherche anti-bots, mais aussi le centre des opérations de sécurité (SOC) de l’entreprise.
- Se déployer et se gérer facilement
L’utilisateur ou l’administrateur doit-il installer un client dédié ou la protection est-elle automatique ? S’il n’y a pas de présence au niveau du terminal, comment le chasseur de bots détecte-t-il les appareils mobiles compromis ? Comment détecte-t-il les attaques utilisant les derniers outils de sécurité et les données issues du Dark Web ? Qu’en est-il des API ?
- Détecter un large spectre d’anomalies
Les attaquants tirent constamment parti des bots, de l’automatisation et des données des comptes compromis pour les aider dans leurs opérations. Les mesures d’atténuation traditionnelles ne suffisent pas. Par exemple, les attaquants réutilisent certes les adresses IP, mais seulement 2,2 fois en moyenne ! Souvent, elles ne sont utilisées qu’une fois par jour ou une fois par semaine ! Le seul blocage des adresses IP est donc largement inefficace.
Les attaquants exploitent généralement quatre méthodes principales :
- L’usurpation du trafic réseau
- Émulation d’une variété de dispositifs et de navigateurs valides
- Utilisation d’informations d’identification volées, d’informations personnelles et d’identités synthétiques
- L’imitation de comportements humains réels
Un bon chasseur de bots s’appuiera donc sur une variété de signaux faibles et sur des techniques d’intelligence artificielle pour fournir des informations exploitables et détecter les comportements anormaux potentiellement indicateurs d’une fraude (par exemple les activités de copier-coller à la chaine, le basculement d’écran, l’utilisation étrange de la surface d’écran, l’usurpation d’environnement, les tentatives d’anonymisation de l’identité, etc.)
- Se remettre en question à toute vitesse
Lorsque l’attaquant se ré-outille pour contourner les contre-mesures actuelles, le chasseur de bots doit être capable de s’adapter aux nouvelles techniques (voir le point numéro 1). Mais à quelle vitesse saura-t-il le faire ? Et facturera-t-il un supplément s’il s’agit d’un attaquant persistant sophistiqué et que de multiples contre-mesures ou consultations avec le SOC sont nécessaires ? Le bon chasseur prendra tout cela à sa charge et produira une nouvelle contre-mesure dans les meilleurs délais.
Conclusion
Nous avons omis la question du coût dans ces dix critères, car celui-ci peut varier considérablement en fonction des modèles de déploiement (existe-t-il une option « cloud » ?) et des modèles de facturation (trafic propre ou facturation à l’heure ?). Sans parler des différents niveaux de service et des engagements associés (SLA).
Mais la priorité devrait être donnée à s’assurer qu’un bon chasseur de bots répond au maximum aux dix qualités présentées ici, et la discussion sur les tarifs et le modèle de déploiement, bien qu’importante, ne devrait pas être le premier critère.
FIC 2021 : construire une cybersécurité coopérative et collaborative
La 13ème édition du Forum International de la Cybersécurité (FIC) se tiendra les 7, 8 et 9 septembre 2021 à Lille Grand Palais.
Le FIC : un événement leader en Europe
Organisé conjointement par le Ministère de l’Intérieur et Avisa Partners, le Forum international de la cybersécurité est lancé en 2007, et n’a aujourd’hui pas d’équivalent en Europe.
La 12ème édition, qui s’est tenue du 28 au 30 janvier 2020, a réuni < 13 000 visiteurs et 500 partenaires, originaires de plus de 100 pays.
Un catalyseur de la collaboration public / privé en matière de cybersécurité
Le FIC, événement international de référence réunit tous les acteurs de la confiance numérique : représentants de la société civile, offreurs de services et de solutions de sécurité de confiance, utilisateurs finaux, monde public et sphère académique.
LE rendez-vous de l'écosystème de la sécurité numérique
Le FIC est né à Lille en 2007 sous l’impulsion du Général Marc Watin-Augouard, ancien conseiller des ministres de l’Intérieur de 2002 à 2005 et père de la lutte anti-cybercriminalité au sein de la Gendarmerie nationale, dans une région européenne par nature et au premier plan en matière cybersécurité. En Hauts-de-France, l’écosystème cybersécurité représente près de 80 entreprises spécialisées, 25 formations dédiées et 6500 emplois (Source : Euratechnologies).
Dans l’esprit, le FIC a posé les fondations du Campus Cyber voulu par le Président Macron qui sera inauguré fin 2021 : rassembler tout l’écosystème et accélérer la coopération. Tous les acteurs publics et privés de la sécurité numérique, experts techniques et décideurs, se donnent rendez-vous au FIC pour découvrir les dernières innovations technologiques, partager une vision des défis à relever, échanger avec leurs pairs, et même identifier de nouveaux talents. Tous n’ont qu’un seul objectif : améliorer la posture globale de notre sécurité numérique.
Le FIC est ainsi devenu un événement incontournable pour les acteurs français, européens et internationaux, venus aussi bien pour alimenter la réflexion académique ou stratégique, que pour s’engager dans une relation commerciale :
– Le FIC est un Forum, plateforme de débats.
L’ensemble des plénières et conférences est traduit en simultané.
– Le FIC est un Salon, marketplace dédiée aux technologies, solutions et produits de cybersécurité.
FIC 2021 : pour une cybersécurité collective et collaborative
La crise sanitaire majeure du COVID-19 illustre la nécessité de renforcer, à tous les niveaux, la coopération. Dans un monde interdépendant et interconnecté, le niveau de sécurité de l’ensemble correspond à celui du maillon le plus faible.
Face à des risques systémiques, quelles que soient leurs origines, la seule réponse qui vaille est donc :
– Collective, la sécurité de chacun fait la sécurité de tous, que ce soit à l’échelle d’une organisation (TPE, PME, grands groupes ou administrations), du pays ou au niveau européen (construction de l’Europe de la cybersécurité) et international (stabilité globale du cyberespace).
– Collaborative, la coopération et le partage d’informations sont essentiels pour compenser l’asymétrie entre « l’attaquant » et le « défenseur ». La collaboration est aussi une question d’interopérabilité des outils (juridiques, technologiques) et de collaboration de tous les acteurs (Etat, entreprises, société civile).
Le FIC 2021 s’articulera autour de plusieurs grandes thématiques, réparties dans le programme en track : Lutte anti-cybercriminalité – Protection des données et transformation numérique – Stabilité internationale – Gestion des risques et Sécurité opérationnelle.
Valoriser la filière et faire émerger de nouveaux talents
Le FIC donne aussi l’occasion aux nouveaux talents de se faire connaître et de rencontrer des professionnels.
Cette année, deux événements majeurs (et ludiques) permettront aux cyber experts de demain de se frotter à leurs pairs :
European Cyber Cup – EC2 : premier rendez-vous de e-gaming dédié au hacking éthique. L’EC2 se déroulera mercredi 8 septembre de 9h à minuit, suivie d’une soirée gaming de 20h à minuit.
Bug Bounty organisé avec YesWeHack : pour la troisième année consécutive, le FIC sera l’occasion d’organiser un bug bounty en direct. Durant deux jours, plusieurs entreprises et Civitech mettront leurs périmètres à l’épreuve des hunters qui seront récompensés par des primes calculées selon la gravité des failles trouvées, selon une thématique autour de l’humain.
Des side-events thématiques pour renforcer la confiance numérique
e-Consumer Protection Forum – Le FIC, en partenariat avec l’ALCCI, l’UNIFAB, la FEVAD et l’ALPA accueillera mardi 7 septembre le e-Consumer Protection Forum, cycle de rencontres thématiques autour de la lutte contre le commerce illicite en ligne et la protection du consommateur.
Cybersecurity For Industry – CFI – Les systèmes d’information opérationnels, ou « OT » pour Operational Technologies, au cœur de nos vies quotidiennes, servant à produire, transporter, protéger, fournir de l’énergie ou de l’eau… sont de plus en plus connectés et en conséquence, menacés. L’année 2021 accumule de nombreux exemples d’attaques contre ces infrastructures essentielles. A terme, ce sont les fondations de nos modes de vie et de nos sociétés qui sont menacées.
Dans ce contexte, et 10 ans après Stuxnet, le Forum International de la Cybersécurité accueillera mardi 7 septembre une journée d’échanges et de talks sur les enjeux de cybersécurité des systèmes industriels, le Cybersecurity For Industry, avec un objectif : développer la prise de conscience des décideurs sur le sujet.
Les principaux acteurs du secteur seront à Lille pour échanger et partager leurs retours d’expérience à travers une succession de tables-rondes et de talks. Tous les secteurs seront abordés de l’énergie à la santé, en passant par le traitement de l’eau et les télécommunications. Plusieurs grands témoins présenteront leur vision et leurs recommandations pour assurer un futur basé sur la sécurité et la confiance.
L’ID-Forum – L’application des règlements européens (eIDAS, RGPD), l’émergence de nouvelles technologies (reconnaissance faciale, intelligence artificielle, objets connectés, tokenisation des données) et la multiplication des usages (santé, banque, transport, éducation, économie, collaboration, professions juridiques, administration en ligne) mettent l’identité au coeur des activités économiques.
Pour discuter et débattre de ces nouveaux sujets, l’ID Forum propose une journée dédiée à l’identité numérique sous tous ses aspects. Un lieu d’échange et de rencontre où s’entre-croisent les connaissances et les expertises.
Le thème de cette année « Écosystèmes numérique : le nouveau visage de la société ? » permettra d’aborder l’identité numérique en France puis le cadre réglementaire européen lors de séances plénières, avant de décliner une approche thématique en tables-rondes. Santé, Fintech, documents d’identité, modèles alternatifs… autant d’angles qui suscitent le débat et permettront de se projeter dans l’identité de demain.
Deep Instinct dévoile son premier rapport annuel Voice of SecOps
En moyenne, il faut 13 heures aux entreprises françaises pour traiter une alerte critique.
Paris, le 22 juin 2021 – Deep Instinct, première entreprise à appliquer le Deep Learning de bout en bout via le seul framework de Deep Learning spécialement conçu pour la cybersécurité, publie aujourd’hui son rapport Voice of SecOps. Ce rapport annuel est le premier à mettre en évidence les menaces actuelles et émergentes, leur impact sur la vie quotidienne des équipes SecOps et la façon dont l’automatisation jouera un rôle important à l’avenir. Dans cette nouvelle enquête de Deep Instinct réalisée auprès de 600 professionnels de l’informatique et de la cybersécurité, plus de la moitié des personnes interrogées dans les différents pays indiquent que les ransomwares et les attaques de type « Zero Day » constituent les principales menaces pour leur entreprise.
Le Deep Learning : nouvelles perpectives face aux logiciels malveillants ?
Qu’il s’agisse de cyberattaques à l’encontre des sociétés SolarWinds, Colonial Pipeline ou contre des organisations françaises (Airbus, Air France, EDF, Orange ou encore le ministère de la Justice), les ransomwares représentent une préoccupation mondiale. Selon 64 % des personnes interrogées, le problème réside dans l’incapacité de l’homme à faire face à la croissance exponentielle des menaces de cybersécurité. Pour ne rien arranger, les personnes interrogées lors de l’étude déclarent passer environ 10 heures par semaine à évaluer des alertes faussement positives. La France est largement au-dessus de cette moyenne : il faut environ 13 heures aux entreprises françaises pour traiter une alerte critique jusqu’à ce qu’elle soit corrigée, et seules 14 % d’entre elles peuvent traiter une alerte à corriger en moins d’une heure.
Sur la totalité des personnes interrogées, 69 % estiment que le nombre écrasant de faux positifs crée un phénomène d’accoutumance aux alertes qui affecte le moral du personnel. 80 % des personnes interrogées affirment en outre que le temps non investi dans les alertes est consacré à l’application de correctifs de sécurité et de mises à jour chronophages pour garantir l’efficacité des solutions.
« Suite à des événements majeurs récents, une priorité accrue a été accordée à la sécurité. Il est regrettable que ces menaces reçoivent seulement aujourd’hui l’attention mondiale qu’elles méritent depuis bien longtemps. Nous travaillons à la mise en place d’une couche de défense plus solide, mais il sera tout aussi important de protéger les collaborateurs qui œuvrent d’arrache-pied dans le SOC que de sécuriser l’entreprise », déclare Guy Caspi, PDG de Deep Instinct. « Les résultats de ce rapport mettent en lumière les défis difficiles auxquels les équipes chargées des opérations de sécurité sont aujourd’hui confrontées au quotidien. Conscients de la nécessité d’une nouvelle approche, nous avons entrepris de fournir à ces équipes toute l’aide dont elles ont désespérément besoin. »
À travers le prisme des équipes SecOps qui opèrent en première ligne, ce rapport examine les menaces stratégiques, les priorités essentielles et les défis quotidiens qui sont souvent passés sous silence. L’objectif est de comprendre quelles sont les capacités des entreprises à détecter et gérer une cyberattaque selon les professionnels du secteur, en s’intéressant à leur propre perception de la sécurité en cas de menace visant l’entreprise. Des RSSI travaillant au sein d’entreprises françaises ont été aussi interrogés sur la fiabilité de la performance de leur entreprise en termes de cybersécurité. Les résultats relèvent une faible confiance des professionnels dans leurs équipes de sécurité, ainsi qu’une importante perte de temps liée au traitement de certaines alertes :
- Seuls 8% des répondants français estiment que leur centre d’opérations de sécurité est « très bien doté en personnel ».
- En France, 1 professionnel (en matière de cybersécurité) sur 10 affirme ne pas être « très confiant » dans sa capacité à détecter rapidement et correctement les signaux faibles (c’est-à-dire de faible priorité) dans l’énorme flux d’alertes qu’il reçoit.
- Parmi les professionnels de la cybersécurité interrogés, les RSSI adjoints sont ceux qui déclarent passer le plus de temps à traiter des alertes causées par de faux positifs : 12,47 heures de leur semaine de travail sont consacrées à cette tâche.
« Ce rapport annuel montre également une certaine méfiance des entreprises françaises vis-à-vis des systèmes de protection basés sur l’intelligence artificielle. Il révèle que parmi les entreprises françaises interrogées, plus d’une entreprise sur cinq n’a qu’une seule solution de cybersécurité fonctionnant via l’IA en cours d’exploitation, et que 12% n’en ont aucune. » précise Rodolphe Moreno, Directeur de l’Europe du Sud de Deep Instinct. « Les RSSI français semblent attendre une amélioration des solutions de protection utilisant l’intelligence artificielle : seul un quart d’entre eux affirme trouver l’IA complètement digne de confiance. L’objectif de Deep Instinct est d’apporter une autre vision des IA les plus avancées à ces utilisateurs. »
Le Deep Learning : la solution de sécurité efficace de demain ?
Quel que soit leur secteur d’activité, les entreprises ont besoin d’une protection fiable, automatisée et rapide, capable de stopper les menaces avant qu’elles ne causent des dommages et de leur faire ainsi économiser du temps et de l’argent. Selon 86 % des personnes interrogées au total, les outils reposant sur la data science (IA, apprentissage automatique, Deep Learning) auront un impact significatif sur la prévention des menaces inconnues et la réduction des faux positifs. Près de trois quarts des personnes interrogées dans les différents pays estiment même que l’automatisation de la cybersécurité est le seul moyen pour leur entreprise de contrer les cybermenaces.
Le rapport Voice of SecOps de Deep Instinct présente le point de vue de 600 professionnels de l’informatique (dont 100 français), dont 300 RSSI issus de plusieurs secteurs verticaux et zones géographiques.
Jeux olympiques : quand la cybersécurité s’invite sur le terrain…
Alors que les Jeux olympiques de Tokyo s’apprêtent à démarrer, le Comité international olympique, les organisateurs locaux et leurs nombreux sous-traitants doivent rester vigilants face aux multiples menaces qui pèsent sur la cybersécurité.
Dans les mois qui ont précédé les Jeux d’été, le porte-parole du gouvernement japonais, Katsunobu Kato, a souligné l’importance de chaque décision prise par le comité en expliquant qu’une attaque « pourrait ébranler les fondations de notre démocratie ».
L’histoire montre qu’il a raison de s’inquiéter, et que les spectateurs, athlètes et États participants devraient faire de même.
Retour vers le passé : le sport, un secteur à haut risque
Pas besoin de chercher bien loin pour trouver des preuves du risque encouru par les événements sportifs : en 2020, les agences de renseignement américaines et le National Cyber Security Centre (NCSC) du Royaume-Uni ont lancé une opération conjointe qui a permis de déjouer une cyberattaque menée par des militaires russes contre les Jeux de 2021.
En 2018, une cyberattaque a frappé dès le début des Jeux olympiques de Pyeongchang, obligeant les équipes de sécurité à se mettre en action dans la précipitation. Par chance, elles ont pu repérer les symptômes de l’attaque et l’éradiquer, probablement en raison des nombreuses années consacrées à l’élaboration des mesures de sécurité et de reprise de l’activité nécessaires. Pour autant, cette attaque a mis en lumière l’importance que les grands événements sportifs peuvent revêtir pour les hackers.
Les Jeux olympiques constituent en effet une cible de choix pour les cybercriminels politisés. Ils suscitent l’intérêt du monde entier et mobilisent immanquablement une technologie opérationnelle. En effet, une attaque réussie pourrait avoir des effets à la fois perceptibles physiquement, mais aussi médiatiquement.
Ces caractéristiques rendent les entreprises et événements sportifs plus exposés que jamais aux attaques. Dans un rapport publié en 2020, le NCSC révèle que parmi les 57 organisations sportives qu’il a interrogées, 70 % avaient été victimes d’au moins une attaque par an.
En novembre de la même année, Manchester United a fait les frais de cette statistique. Le club a en effet perdu des centaines de milliers de livres à cause d’un ransomware, notamment sous forme de perte de revenus.
Un vaste filet
Les technologies opérationnelles, l’intérêt international et les publications dans la presse font partie des raisons expliquant l’intérêt des hackers pour les organisations sportives. Toutefois, ce ne sont pas les seules.
Tout d’abord, ces organisations incluent une multitude d’acteurs dans leur supply chain, en tant que spectateur potentiel du flux en direct des Jeux olympiques. À mesure que la technologie numérique envahit le monde du sport, les vecteurs d’attaque possibles se multiplient, des drones caméras connectés à l’email.
La plupart des organisations sportives disposent de leurs propres ressources marketing et de plateformes de communication qui peuvent être exploitées, y compris des sites Web, des comptes bancaires en ligne et des serveurs cloud. D’une injection SQL classique à une attaque DDoS destructrice, les possibilités offertes aux auteurs de menaces semblent de plus en plus nombreuses.
C’est entendu, les cyberattaques peuvent fortement nuire à la réussite d’une entreprise. Pour autant, il ne faut pas croire qu’il en va autrement des organisations et événement sportifs. La seule différence, c’est qu’ils sont davantage exposés à l’œil du public et des politiques en raison de la valeur qu’elles peuvent générer. Mais le danger posé par les cyberattaques ne s’arrête pas là. Elles constituent aussi une vraie menace pour les fans du monde entier.
De graves conséquences
De nombreux fans rêvent de quitter leur poste de spectateur pour venir en découdre sportivement sur le terrain… mais pas d’être victimes d’une attaque. Et pourtant, les attaques ciblant le milieu sportif peuvent reposer uniquement sur eux.
Prenons l’exemple du hack de 2007 contre le site internet de l’équipe des Miami Dolphins : des hackers chinois ont exploité une vulnérabilité de Microsoft pour envoyer du code JavaScript malveillant aux visiteurs du site. Les malwares qui dérobent des mots de passe sont problématiques pour le grand public, mais la situation aurait pu être encore pire, car nombre d’amateurs de sport consultent régulièrement le programme et les résumés des matchs, ainsi que l’actualité de leurs équipes préférées, depuis des ordinateurs professionnels. Si l’attaque initiée à l’aide de ce code malveillant avait réussi, les mots de passe d’entreprises auraient pu être piratés, ouvrant la voie à de nouvelles violations, notamment la compromission de comptes.
Les fans de sports sont particulièrement vulnérables lorsque les émotions sont vives et les enjeux élevés, par exemple pendant ou avant les séries éliminatoires ou les championnats. Il s’agit d’une opportunité en or pour les hackers, qui peuvent lancer des attaques de phishing simples, mais efficaces, avec l’objectif final de voler de l’argent ou des mots de passe. Les fuites de données leur facilitent encore plus la tâche, car les informations personnelles issues des médias sociaux ne cachent rien de leurs utilisateurs, qu’il s’agisse de leur équipe préférée ou des clubs qu’ils suivent.
Le fait que les spectateurs puissent être vecteurs n’est pas le seul danger qui guette les fans de sport. Leur présence dans des lieux physiques est un autre facteur à prendre en compte.
Comme l’a signalé le Center for Long-Term Cybersecurity de l’université de Berkeley dans son rapport The Cybersecurity of Olympic Sports: New Opportunities, New Risks, les craintes liées aux attaques pendant des événements sportifs « se limitaient précédemment aux systèmes numériques, comme le réseau électrique, et l’équipement informatique de base, comme les sites Web et les téléphones. » Mais ça, c’était avant l’avènement de l’IoT. Désormais, le monde physique, le monde numérique et les composants opérationnels d’un événement sont liés de manière inextricable. Une attaque est bien plus à même de ruiner l’expérience des fans.
Tourniquet bloqué lors d’un match de Manchester United, coupure d’électricité dans un stade ou importante fuite de données sur un club, les effets physiques d’une cyberattaque peuvent être très concrets, personnels et graves.
Que le match commence
Les Jeux de 2020 ont bénéficié d’une année supplémentaire pour se préparer aux attaques de cybersécurité… mais les hackers également. Il est indispensable de garder un œil sur les événements de sécurité de l’été. Les organisations sportives ne doivent quant à elles pas perdre de vue ceux qui les entourent.
Adrien Gendre, Directeur Associé, Architecte Solutions chez Vade