Ransomware, ATP… Les nouvelles menaces semblent plus fortes que les outils des éditeurs de logiciels de cybersécurité. Qu’en pensez-vous ?
Dans la course entre les gendarmes et les voleurs, ce sont encore souvent les voleurs qui gagnent. Ce qui change, dans le paysage des menaces, c’est la très grande diversité des attaques et leurs motivations extrêmement variées. Pour la plupart, elles restent mercantiles et transposables aux fraudes classiques où les cyberattaques ne sont plus destinées à accomplir un simple exploit mais à voler des cartes bancaires, extorquer des fonds… Puis sont apparues les attaques étatiques. Il vrai qu’il est plus facile d’attaquer les systèmes d’information étatiques des pays fortement développés en matière de numérique que de leur envoyer des bombes ! Enfin, dans les années 2016 et 2017, la déferlante des rançongiciels (ransomware) a fortement affecté les entreprises. Côté cybercriminels, les campagnes ont été plus ou moins lucratives : de quelques dizaines à quelques centaines de milliers d’euros. C’est rien comparé à la gêne occasionnée.
Cette année, Wanacry Petya, NoPetya et industroyer, la menace s’est élevée d’un cran…
Avec ces menaces, nous entrons véritablement dans une nouvelle ère, celle des attaques à dégâts collatéraux massifs. Ici, il s’agit moins d’obtenir de l’argent que de nuire. Regardez ce qui est arrivé à Saint-Gobain… A qui profite le crime ? Au départ, la NSA découvre une faille dans les systèmes d’exploitation de Microsoft mais elle préfère la garder pour ses propres intérêts plutôt que de prévenir l’éditeur de Redmond. Au final, la NSA s’est fait voler sa souche virale qui a été récupérée par de vrais cybercriminels qui s’en sont servi pour perpétrer des campagnes massives étatiques ou non. Résultat, des sociétés comme Saint-Gobain ou Renault, en France, qui n’étaient pas forcément visées, ont fini par être massivement infectées.
Comment caractérisez-vous cette nouvelle époque ?
On peut véritablement la qualifier de cyberguerre. Les entreprises vont devoir se préparer au pire. Le pourcentage de chances de se faire attaquer s’élève considérablement. Jusqu’ici, l’impact de la plupart des vulnérabilités était, somme toute, assez mince. On pouvait les laisser de côté tant que tout le système d’information fonctionnait. Maintenant les faits s’inversent : on a plus de chances de faire attaquer lorsque que l’on se dispense de patcher le système d’information pour éviter les éventuels bugs dus à la mise à jour que lorsqu’on le fait. Jusqu’ici, le, directeur de la production, le directeur des ventes.. pouvaient préférer laisser de côté cette actualisation afin de préserver leur applications. Aujourd’hui, les priorités s’inversent.
Les éditeurs en devraient-ils pas mieux gérer leurs mises-à-jour ?
Peut-être mais il est devenu assez rare que les corrections liées à la sécurité perturbent les applications. Ensuite, lorsque les entreprises ont passé leur week-end à patcher à cause de Wannacry, leurs applications ont fonctionné dès la reprise du lundi matin sans voir fait des tests de non-regression. Surtout, il faut que les entreprises prévoient des processus à mettre en œuvre pour éviter les désagrément. A cet égard, on s’aperçoit qu’il leur arrive d’en faire trop !
Comment les éditeurs de sécurité ont fait évoluer leur offre ?
Force est de constater que, à partir du moment où les attaques réussissent dans les entreprises bien protégées, c’est que les outils des éditeurs sont perfectibles. On dit souvent que l’utilisateur est le maillon faible mais il a bon dos ! Lorsqu’on lui envoie un mail très bien fait avec un lien infecté sur lequel il est incité à cliquer, c’est que les barrières ont été faibles. A l’heure actuelle, la recherche et le développement des cyberpirates est supérieure à celle des éditeurs. Les premiers sont plus nombreux, mieux organisés et surtout partagent l’information entre eux. Une chose est sûre : les dispositifs de protection et de prévention des logiciels de sécurité ont atteint leurs limites.
Que faut-il faire ?
Renforcer ces dispositifs de détection, déceler que l’on est attaqué et avoir un processus de réaction. Il n’y a pas si longtemps, il fallait, en moyenne, 180 jours pour détecter qu’une attaque ciblée avait eu lieu dans l’entreprise. C’est insupportable. Il faut donc renforcer les moyens de détection et d’éradication des infections ou des attaques ciblées et avancées.
Intelligence artificielle, Big Data, Machine Learning, Deep Learning… Ces technologies sont-elles en train de changer la donne ?
Détecter les attaques, c’est engranger des milliards de logs pour retrouver une aiguille dans une botte de foin. Sans laisser tomber les outils de protection (anti-virus, anti-ATP…)- car, admettons-le, ils ont encore leur utilité – les entreprises ont intérêt à se préparer à gérer une crise qui les obligera à prendre des mesures de remédiation prévue à l’avance. On ne le dira jamais assez, il est indispensable de se préparer au pire comme les rançongiciels, avoir les sauvegardes les plus récentes possibles.
Comment voyez-vous la gestion de crise ?
Tout d’abord, la crise conduit parfois à revenir à la gomme et au crayon, à utiliser le téléphone personnel ou les réseaux sociaux privés pour communiquer avec les clients ! La première chose à faire, c’est d’éviter l’improvisation en préparant avec la direction de la communication les, éléments de langage à fournir aux différents publics. Avec la direction juridique, on pré-organise les processus de déclarations et de plaintes et on identifie les responsabilités susceptibles d’être engagées. Avec la direction des systèmes d’information (DSI), il faut insister pour qu’elle ne remette pas le système d’information immédiatement en état de marche au risque d’abîmer la scène de crime afin de pouvoir mener l’enquête forensique et, éventuellement, remonter jusqu’aux origines de l’attaque.
Que penser des systèmes de gestion des identités et des accès (IAM) ?
Les grandes entreprises ont mené pendant des années des projets d’IAM. Il s’agissait de rassembler au sein d’un même système les identités et les accès aux applications des utilisateurs. Un grand nombre de ces projets sotn toujours en cours. Mais, aujourd’hui, beaucoup d’applications sont dans le cloud. La gestion des accès devient plus complexe. Du coup, on se retrouve dans la situation d’avant les IAM. Si l’entreprise utilise 50 applications SaaS (Software as a Service), on se retrouve, si l’on ne fait rien, avec 50 processus d’habilitation différents. Et lorsqu’un collaborateur quitte l’entreprise, surtout si c’est rapidement, comment supprimer 50 comptes chez 50 fournisseurs différents ? Il faut donc réinventer le modèle dans le Cloud. Car on a la nécessité absolue d’avoir un seul et unique point d’entrée et non pas 50. Bien sûr, certains outils, comme la signature unique [Single Sign On (SSO)] fonctionnent très bien mais rares sont les entreprises qui les mettent en œuvre. Les entreprises doivent absolument repenser leurs modèles des années 2000.
Dans la foulée, est-il temps également de revisiter l’intérêt du BYOD ?
Aujourd’hui, un télétravailleur ou un travailleur mobile occasionnel dispose de solutions efficaces : il se connecte en 4G avec son téléphone via son VPN et une authentification forte. C’est éprouvé et efficace. A condition d’utiliser le téléphone de l’entreprise car celle-ci pourra administrer et contrôler sa flotte. Pour l’heure, les attaques via téléphone portable sont assez rares et les entreprises investissent moins dans la sécurisation de leurs smartphones que dans celle qu’ils ont consacré à leurs PC et serveurs. Mais il y a encore des marges de progrès pour accroître le niveau de protection des mobiles. Et il en va différemment du BYOD [Bring Your Own Device ; utilisation des équipements personnels en entreprise] qui apporte plus de problèmes qu’il n’en résout avec, finalement, un faible gain économique. En effet, le service support, qui doit alors connaître un très grand nombre de marques différentes, devient trop cher. Sans compter que ces appareils peuvent ramener des vulnérabilités. Messieurs les décideurs et les DSI, calculez le vrai ROI [Retour sur investissement] et vous reviendrez sans doute au bon vieil équipement d’entreprise ! Certaines sociétés ont préféré le COPE [Corporate Owned Personally Enabled] qui permet, en toute sécurité, d’utiliser le téléphone professionnel à des fins personnelles sans trop brider l’utilisateur.
Propos recueillis par Erick Haehnsen
Commentez