Ne pas se laisser distancer!
Stratégies de défense contre les cyberattaques
Personne n’est à l’abri d’une cyberattaque. Les assaillants ne cessent de faire évoluer leurs méthodes. Les victimes potentielles sont donc constamment confrontées à de nouvelles menaces. Mais les techniques de défense progressent, elles aussi.
Afin d’anticiper les menaces futures, il est parfois utile de regarder en arrière. Ce précepte vaut également dans le domaine de la cybercriminalité. Il y a une quinzaine d’années, les clients bancaires figuraient parmi les premières victimes des criminels, qui cherchaient à pénétrer les services d’e-banking en utilisant des «chevaux de Troie». Grâce aux progrès réalisés, les banques sont aujourd’hui mieux en mesure de détecter si l’ordinateur d’un client est infecté et de parer l’attaque.
Les cybercriminels sont avant tout des opportunistes: s’ils rencontrent une résistance trop forte, ils cherchent une autre victime ou une autre faille. C’est la raison pour laquelle de plus en plus d’entreprises de toutes tailles et de toutes branches sont ciblées avec des ransomwares. Lorsque l’attaque réussit, c’est en général l’ensemble du réseau informatique de l’entreprise qui est touché. En échange de la clé de chiffrement des données prises en otage, les bandes, qui opèrent le plus souvent depuis l’étranger, tentent d’extorquer une rançon à payer en bitcoin. La recherche des auteurs de ces méfaits est coûteuse et n’aboutit que rarement.
«Piratage» des humains plutôt que des machines
Le phénomène de «social engineering» ou «ingénierie sociale», que l’on peut aussi traduire par «manipulation psychologique», gagne en importance. Il consiste, pour les assaillants, à exploiter des traits de personnalité tels que la candeur. Le nombre d’entreprises qui livrent spontanément des informations – susceptibles portes d’entrée pour les intrus – est impressionnant. Une description de poste publiée sur le site Internet de l’entreprise, qui mentionne les logiciels utilisés, peut déjà constituer une faille exploitable: un assaillant peut, par exemple, se faire passer au téléphone pour un employé du développeur de logiciels et annoncer qu’il ou elle enverra un document contenant d’importantes informations de mise à jour. Si la tromperie est présentée de façon plausible, il est probable que le destinataire ouvre le document, permettant dès lors à un logiciel malveillant de faire son nid sur le réseau de l’entreprise. Dans ce cas, le talon d’Achille du système n’était pas la technologie, mais l’humain.
L’ingénierie sociale revêt également d’autres formes, notamment la manipulation de vidéos au moyen de l’intelligence artificielle pour modifier les visages (deepfakes). Cette technique permet de faire tenir à une personne des propos qu’elle n’aurait jamais tenus dans la réalité.
La confiance seule ne suffit pas
L’interconnexion du monde numérique et les interdépendances qu’elle crée offrent constamment de nouvelles opportunités aux pirates informatiques. Le cas de l’entreprise américaine Solarwinds, spécialisée dans les logiciels de gestion de réseau, avait fait la une des journaux. En 2019, un serveur insuffisamment protégé – le mot de passe était trop faible – a permis à des agresseurs d’infecter la mise à jour d’une des applications de l’entreprise avec un code malveillant, et ainsi de surveiller pendant plusieurs mois les clients de Solarwinds sans être détectés. Une technique classique d’«attaque de la chaîne d’approvisionnement». Cet exemple met en évidence qu’une seule faille de sécurité au sommet de la chaîne d’approvisionnement suffit pour infiltrer tous les systèmes qui en dépendent. La leçon à tirer de cet incident: la confiance est une bonne chose, mais elle ne garantit pas, à elle seule, la sécurité dans le cyberespace.
Ce principe vaut également lorsque l’on externalise le traitement des données ou que l’on utilise des solutions informatiques dématérialisées (cloud). Des vérifications approfondies s’imposent pour s’assurer que le partenaire externe applique bien les normes de sécurité reconnues et certifiées. En outre, il convient de s’informer sur les dispositions légales du pays dans lequel le partenaire a son siège ou traite les données qui lui sont confiées. Les fournisseurs de services informatiques américains, par exemple, sont tenus par la loi – le «Cloud Act» – d’accorder aux autorités américaines l’accès aux données stockées, même si ces données proviennent de l’étranger.
Se résigner n’est pas une option
Ces dernières années, les entreprises et les institutions ont appris à faire face à la cybercriminalité. Elles ont davantage pris conscience qu’elles pouvaient se retrouver à tout moment dans le viseur de pirates informatiques. Néanmoins, la question du rapport coût-utilité continue de se poser lors de la planification de mesures préventives. Les technologies de pointe offrent une bonne protection, mais elles sont onéreuses. Et il faut garder à l’esprit que la sécurité absolue n’existe pas. Sachant cela, la pire option serait cependant de faire l’autruche. Les assaillants et les défenseurs se rendent coup pour coup, l’avantage changeant sans cesse de camp. C’est une situation avec laquelle nous devons apprendre à vivre. À cet égard, la Confédération a défini une norme minimale pour les TIC (technologies de l’information et de la communication); cet instrument peut faciliter l’identification des besoins au sein de sa PME et permettre de planifier les mesures défensives appropriées.
L’analyse des données: un défi à relever
Toute personne qui croit encore qu’un pare-feu et un programme antivirus peuvent empêcher l’accès à son réseau d’entreprise doit se remettre en question. Pour être efficaces, les mesures de défense requièrent la surveillance permanente de tous les systèmes et réseaux, ce qui pose un défi majeur: comment traiter rapidement les quantités de données que cela représente? Il s’agit en effet d’une condition essentielle pour que des contremesures puissent être déclenchées avant que le logiciel malveillant ne cause des dommages.
Une approche innovante consiste à analyser les données à l’aide de méthodes reposant sur des algorithmes d’apprentissage automatique. La majorité des logiciels malveillants ne sont en effet pas entièrement nouveaux, et utilisent certains éléments issus de malwares existants. Mais avant de les neutraliser, il faut les repérer, un procédé très long et onéreux dans le cadre d’une analyse manuelle. Grâce à une technologie d’analyse développée par Threatray, un spin-off de la BFH, il est désormais possible de mettre très rapidement en évidence les similarités entre les données traitées et les menaces connues. Pour y parvenir, l’outil doit être alimenté en permanence avec toutes les informations disponibles sur les logiciels malveillants déjà connus.
Tirer profit du partage des connaissances
L’échange de connaissances et d’informations sur le plan national et international constitue un facteur de plus en plus important dans la défense contre les cyberattaques. Il existe aujourd’hui dans presque tous les secteurs d’activité des communautés de renseignement sur les menaces (Threat intelligence Communities), dans le cadre desquelles des spécialistes dépêchés par les différents membres relèvent ensemble des défis communs. Dans le cas des fournisseurs d’électricité, par exemple, il s’agit du centre sectoriel d’échange et d’analyse d’informations EE-ISAC (European Energy – Information Sharing & Analysis Center). Il met à disposition des informations de base et recommande des actions à entreprendre, et ce, également aux non-membres.
En outre, les entreprises et les organisations devraient tirer parti du savoir-faire des établissements d’enseignement suisses. Les écoles polytechniques ainsi que diverses universités et hautes écoles spécialisées effectuent des recherches dans les domaines de la cybersécurité et de la criminalistique numérique. De nouvelles formations sont continuellement ajoutées, telles que la filière MAS Digital Forensics & Cyber Investigation à la Haute école spécialisée bernoise en 2020. Le savoir-faire acquis est mis à disposition de partenaires privés pour le développement d’applications pratiques.
Commentaire