Partager :
Face à la recrudescence de cyberattaques par ransomware, Pierre-Louis Lussan, directeur de Netwrix pour la France et le sud-ouest de l’Europe, explique que cette tendance va se poursuivre en 2020. Par ailleurs, de nouvelles menaces ciblent les systèmes de cybersécurités à base d’intelligence artificielle. Comment se défendre alors que les solutions n’existent pas ?
Pierre-Louis Lussan, directeur de Netwrix pour la France et le sud-ouest de l’Europe : « L’IA sera touchée par les cyberattaques. » © Netwrix
Vous estimez que les attaques par rançongiciel (ransomware) vont devenir plus sophistiquées et que les administrations publiques et le secteur de la santé en seront les principales cibles. Quelles en sont les raisons ?
Ces attaques continueront d’augmenter parce qu’elles sont efficaces et faciles à monétiser. En 2020, le ransomware deviendra encore plus élaboré et ciblé. Les principaux secteurs dans le viseur des cybercriminels seront les organismes de santé et les services publics. Lorsque la disponibilité des systèmes informatiques et des données est déterminante pour la vie des individus, les organisations sont plus susceptibles de payer une rançon afin de reprendre plus rapidement leurs activités, comme l’ont récemment montré certains incidents.
Comment les DSI et les RSSI pourront-ils lutter contre cette menace ?
Ils devront mettre en place des contrôles qui réduisent le risque d’infection par ransomware, assurer une détection rapide des attaques en cours et faciliter un redémarrage rapide des activités. À cette fin, ils vont devoir renforcer la formation des employés en matière de sécurité, exiger l’authentification multifactorielle pour tous les accès réseau à distance, assurer la création et la mise à l’essai fiable des sauvegardes et instaurer une gestion complète des correctifs.
De plus, il est important que les professionnels de la sécurité soient en mesure d’améliorer la détection des anomalies et les alertes en la matière. En effet, l’objectif est d’être capable de déterminer immédiatement quand des intrus tentent d’accéder au réseau, de passer en revue les systèmes et données que l’entreprise possède ou de désactiver les sauvegardes avant l’activation du ransomware.
Détecter le rançongiciel avant qu’il n’infecte le système d’information, c’est bien mais ne faut-il pas miser sur la sensibilisation et la formation en sécurité des salariés afin de les responsabiliser ?
Si bien sûr. D’ailleurs, de nombreuses entreprises envisagent de renforcer les services de formation et de conseil en cybersécurité. Pour justifier l’augmentation du budget, les DSI et les RSSI seront mis au défi de démontrer au conseil d’administration que cette formation est utile et efficace. En conséquence, il leur est conseillé d’impliquer les cadres supérieurs et intermédiaires pour s’assurer que le contenu et les méthodologies de formation correspondent aux besoins des différents groupes d’employés.
Ainsi la protection des données et de l’infrastructure de l’entreprise ne sera-t-elle plus uniquement le problème de l’équipe de sécurité. À mesure que l’ensemble des collaborateurs acquerront et développeront leurs connaissances en matière de cybersécurité, les organisations pourront comparer les performances des différentes équipes. Et cette course aux bonnes pratiques se traduira par une certaine amélioration du comportement des utilisateurs.
Les métiers du digital et de la cybersécurité sont pénuriques. Comment faire ?
Les équipes IT devront améliorer leur efficacité et leurs performances en se tournant vers des technologies telles que l’automatisation robotique des processus (RPA) afin de rationaliser les tâches routinières, notamment certains processus de sécurité et de conformité. Bien entendu, les organisations ont toujours cherché à automatiser ce type de tâche. Mais le manque important de personnel IT expérimenté pour les postes de sécurité vient renforcer l’urgence de la situation. Les DSI et les RSSI examineront plus sérieusement les outils d’automatisation afin de libérer les ressources IT et de se concentrer sur la nécessité inéluctable de protéger l’organisation et ses données.
Les solutions basées sur l’intelligence artificielle (IA), notamment les technologies de cybersécurité, deviendront-elles une nouvelle cible pour les cyberattaques ?
Oui. Les organisations dépendent de plus en plus de l’intelligence artificielle pour la prise de décision et l’automatisation des processus. La sécurité des employés et des clients peut également dépendre des indicateurs pilotés par l’IA qui permettent d’éviter les incidents ou de remplacer les pièces dégradées dans la chaîne de production, par exemple. L’analyse prédictive est quant à elle utilisée dans le diagnostic et la gestion de la santé.
En matière de cybersécurité, les solutions disponibles sur le marché s’appuient de plus en plus sur le Machine Learning pour atténuer les limites de la détection des logiciels malveillants basée sur les signatures ou des alertes basées sur des règles. Le coût de l’erreur peut s’avérer être très élevé dans chacune de ces applications. Cela introduit un tout nouvel ensemble de vecteurs d’attaque que la sécurité n’a pas encore compris. La qualité et l’adéquation des décisions d’un système basé sur l’IA dépendront surtout de l’ensemble des données utilisées pour l’apprentissage et des algorithmes eux-mêmes.
Comment protéger les systèmes d’information à base d’IA alors que les solutions n’existent pas ?
Il existe un ensemble de contrôles qui peuvent aider à protéger les systèmes basés sur l’IA. Il s’agit, entre autres, de préparer et réviser les ensembles de données pour l’apprentissage du système de Machine Learning ; de limiter l’accès au processus d’apprentissage et envisager des contrôles pour détecter toute intrusion non désirée ou inattendue ; de mettre en œuvre une analyse via une intervention humaine, et non automatisée, des décisions prises en matière d’IA pour en vérifier la qualité ou l’adéquation.
Selon le niveau de risque, il est possible d’effectuer des vérifications aléatoires au hasard ou de planifier une analyse continue dans le cadre du processus. Il faudra aussi envisager de limiter l’accès au système et aux contrôles pour assurer l’intégrité du code et de la logique de la solution. Enfin si une entité utilise une solution SaaS, elle doit collaborer avec son fournisseur de services cloud pour comprendre les processus et les contrôles de sécurité de ce dernier.
Propos recueillis par Erick Haehnsen
Commentez