« L’IA et l’automatisation ont un rôle décisif dans la détection des cyberattaques »

Ransomwares, phishing, vishing… face à l’étendue et la sophistication des menaces, les entreprises, quelle que soit leur taille, ont tout intérêt à s’armer. Fabrice Le Page, Senior Field et Channel Marketing Manager chez Bitdefender, revient sur l’évolution du secteur de la cybersécurité et en profite pour distribuer quelques bonnes pratiques pour éviter de subir une cyberattaque.

D’après l’Anssi (Agence nationale de la sécurité des systèmes d’information), les cyberattaques ont été multipliées par 4 en 2020. L’on répertorie également 760 incidents sur cette année. Quelles en sont les raisons ?

L’organisme de tests indépendants AV-Test a également recensé pas moins de 156 millions nouveaux logiciels malveillants sur ces 12 derniers mois. De manière générale, les ransomwares et les attaques de la chaîne logistique ont dominé le paysage des cybermenaces en 2021, et cela a entrainé dans le même temps une croissance exponentielle du nombre de fuites de données. Le profit étant toujours la source de motivation principale des cybercriminels, la donnée est aujourd’hui une véritable marchandise, qui a un prix. Le nombre de données augmente et les équipes IT ont de plus en plus de mal à les sécuriser, notamment avec la transition vers le cloud qui peut « éclater » leur localisation. Les responsables de la sécurité ont ainsi de moins en moins de visibilité sur les données qu’ils détiennent et où elles sont localisées.

En parallèle, nous pourrions aussi parler des dispositifs de l’IoT, dont l’adoption est en pleine croissance, et qui constituent une menace croissante pour les entreprises et la vie privée des utilisateurs. En effet, la plupart des appareils connectés à Internet écoutent, enregistrent et collectent en continu des informations, et ceux-ci ne sont généralement pas sécurisés.

L’explosion du télétravail explique-t-elle aussi la recrudescence des cyberattaques ?

Le télétravail vient en effet s’ajouter à cette difficile équation puisque les entreprises permettent désormais à leurs employés travaillant à l’extérieur d'interagir avec les données et les processus internes, ce qui peut avoir un impact négatif sur la sécurité et la confidentialité de l’organisation. Les utilisateurs travaillant à domicile prennent souvent la sécurité moins au sérieux et n'ont pas la vision de la sécurité au niveau du réseau. Associées à de nombreux appareils de l’IoT et à des équipements réseau mal configurés à domicile, les vulnérabilités du côté de l'employé peuvent entraîner des conséquences néfastes sur la sécurité de l'entreprise. Parmi les risques majeurs liés au télétravail, il y a l’augmentation des emails frauduleux qui incitent les victimes à divulguer des informations d'identification de l'entreprise ou qui intègrent pièces jointes contenant des ransomwares. Il y a aussi les risques de conformité liés au fait que les données ne sont pas chiffrées ou que des contrôles de sécurité sont manquants sur les ordinateurs personnels des employés à distance. Enfin, il y a la connexion à un environnement mal protégé, car contrairement aux configurations de réseaux d'entreprise, les réseaux domestiques sont un amalgame d'appareils qui se connectent souvent à un routeur obsolète et vulnérable.

Je pourrais ajouter aussi que la formation des employés à ce type de nouveaux usages est malheureusement quasiment inexistante au sein des entreprises. 

Si les dirigeants ont pris conscience de l’importance de s’armer contre les risques liés à la cybersécurité, ont-ils les moyens de le faire ?

Avec la sophistication des menaces, il est souvent nécessaire d’accroître le nombre d’outils utilisés et de recruter des profils spécialisés en cybersécurité. Clairement, toutes les organisations ne peuvent pas suivre cette évolution car cela ajoute de la complexité et la nécessité d’augmenter ses budgets en matière de cybersécurité. Si l’on est factuel, face à cette évolution des risques, la majorité des entreprises n'ont pas les moyens d’y faire face. 

D’un point de vue humain, le personnel en cybersécurité est très complexe et coûteux à recruter, avec en plus une rotation constante de ce type de personnel. Des études montrent par exemple que 62% des entreprises n’arrivent pas à trouver les bonnes compétences en cybersécurité. Dans le même temps, les analystes en sécurité sont épuisés par leur rythme de travail avec de plus en plus d’outils à utiliser et de plus en plus d’alertes à analyser. Alors que les attaques se complexifient, on estime que plus de 70% des entreprises trient encore les alertes manuellement. Au final une toute petite partie des alertes sont réellement analysées…

La menace des ransomwares semble évoluer, voire exploser. Vous confirmez ?

Ce type de malware est de plus en plus courant avec la prolifération de ce qu’on appelle les « ransomware-as-a-service ». Le principe est que des groupes de cybercriminels créent et commercialisent des ransomwares sur des marchés parallèles. Cette démocratisation de l'accès aux ransomwares a eu un impact important sur la sécurité et la confidentialité des données, car les attaquants exfiltrent également les informations dérobées comme mécanisme supplémentaire de chantage. On peut citer par exemple Solar Winds, The Colonial Pipeline, Kaseya ou Brenntag qui sont des grands noms impliqués dans des attaques par ransomwares, que le Trésor américain a liées à des paiements d'une valeur de 5,2 milliards de dollars au cours de 2021.

Quelles sont les autres cybermenaces les plus courantes ?

Il y a aussi ce qu’on appelle le « phishing » (hameçonnage par e-mail) et « vishing » (hameçonnage par téléphone). Ces techniques, utilisées depuis de nombreuses années, exploitent l'élément humain pour accéder illégalement à des systèmes ou à des infrastructures. Les comptes de domaine peuvent être utilisés tels quels ou échangés (éventuellement vendus) sur des forums clandestins. Un type d'attaque spécifique, appelé Business Email Compromise (BEC), abuse de l'accès illégal ou de l'usurpation d'identité pour générer des fraudes financières et amener les décideurs à transférer de grandes quantités d'argent de leurs entreprises à des cybercriminels.

On peut aussi citer les violations de données, qui sont devenues la nouvelle norme, car les attaquants profitent d’accès illégaux pour voler des informations de clients, des éléments de propriété intellectuelle ou des secrets commerciaux qui seront vendus ou échangés sur des forums clandestins spécialisés. Enfin, n’oublions pas les attaques parrainées par des États, dans un contexte de tensions politiques, qui ont un impact important sur le cyberespace. Par exemple, les « Killwares » seront sans doute de plus en plus une arme de choix, puisqu'ils peuvent être déployés en utilisant des tactiques similaires à celles des APT (Advanced Persistent Threat) classiques et qu'ils sont efficaces contre les réseaux électriques, les usines d'eau et d'assainissement ou les transports publics.

Quelles sont les stratégies de défense des entreprises ? Et que doivent-elles faire pour prévenir ces attaques ?

Il y a quelques recommandations qui peuvent être appliquées rapidement par les entreprises pour réduire leur surface d’attaque. Les données sensibles, telles que la propriété intellectuelle et les dossiers du personnel, ne doivent être accessibles qu'aux groupes les plus restreints d'utilisateurs qui en ont besoin. Pour garantir des niveaux d'accès appropriés, il peut être mis en œuvre des politiques d'autorisation et d'authentification strictes et bien définies. Des mots de passe forts pour toutes les ressources sont nécessaires. La base est aussi de déployer une protection des endpoints adaptée. Les entreprises ne peuvent plus se fier uniquement aux pare-feux et aux outils antivirus traditionnels. Bien qu'ils soient toujours nécessaires, ces contrôles ne sont pas conçus pour identifier les nouvelles menaces. La sécurité des endpoints nécessite des modèles d'apprentissage automatique (Machine Learning) formés sur des fichiers collectés à travers le paysage des cybermenaces pour bloquer des menaces inconnues jusqu'alors. Il est aussi conseillé d’envisager de déployer une plateforme de détection et de réponse pour endpoints (EDR). L'EDR offre des capacités d'analyse et de corrélation d'événements pour identifier les attaques impliquant plusieurs endpoints, ainsi que des capacités d’analyse (forensics) qui expliquent les événements ayant conduit à une violation et aident à prévenir de futurs incidents.

Et que fait-on pour prévenir la menace des ransomwares ? 

Leur prévention nécessite une approche spécifique et à plusieurs niveaux : une surveillance constante du réseau et des endpoints, l’identification des e-mails de phishing, le blocage des accès à des URL et des pièces jointes malveillantes, l’identification et la prévention des exploits Zero-day, la réalisation de sauvegardes de fichiers inviolables qui permettent de reprendre rapidement vos activités si les attaquants parviennent à déployer une charge utile. La gestion des correctifs (Patch Management) est également essentielle pour bloquer les ransomwares en maintenant les outils et les applications de sécurité à jour.

Les employés sont-ils sensibilisés aux cybermenaces ?

C’est un sujet qui est de plus en plus pris à bras le corps par les entreprises. Aucune stratégie de cybersécurité n'est complète sans la sensibilisation des employés. Les programmes de formation à la cybersécurité comprenant des simulations d’envois d’email de phishing sont essentiels pour sensibiliser les utilisateurs aux cyber-risques et aux conséquences de cliquer sur des URL et des pièces jointes malveillantes. La formation de sensibilisation à la cybersécurité doit être continue et interactive, en utilisant différentes méthodes telles que des vidéos pédagogiques et des emails pour retenir l’attention des utilisateurs.

Quelles sont les industries les plus touchées par les cybertattaques ?

Les industries de la finance, de la santé ou encore de l’IT sont parmi les plus exposées aux cyberattaques parce qu’elles  traitent de nombreuses données. Mais il faut avoir en tête qu’aucune industrie n’est épargnée et que les petites entreprises sont aussi des cibles de choix, car plus à même de payer des rançons suite à une attaque par ransomware, afin de ne pas bloquer leur activité. Les cybercriminels se moquent de la taille de l’organisation : si celle-ci traite des données, certaines d'entre elles ont forcément une grande valeur : secrets d’entreprises, dossiers personnels, données confidentielles de partenaires commerciaux, contrats gouvernementaux, données clients…

L’erreur humaine est-elle toujours la source de risque la plus importante en matière de cyberattaque ? La donne a-t-elle changé ? 

Je confirme : les risques humains restent l’une des portes d’entrée principale pour les attaquants. IBM avançait même le chiffre de 95% des incidents de sécurité qui seraient liés à une erreur humaine (rapport IBM Cyber Security Intelligence Index 2021). Ce n’est pas étonnant sachant que les employés sont souvent à l’origine des mauvaises configurations et une utilisation à risque des équipements. Le contrôle des accès, les logiciels obsolètes ou les services mal exposés sur le réseau peuvent ouvrir de nouvelles voies d'attaque. L'analyse des risques liés aux endpoints, intégrant les risques liés aux humains et les audits de sécurité jouent un rôle essentiel dans l'identification des erreurs de configuration et dans le colmatage des brèches avant que les attaquants n'accèdent au réseau.

Quelles sont les dernières tendances en matière de cybersécurité ? Que propose Bitdefender ?

La généralisation du télétravail et la migration vers le cloud avec des données qui peuvent être éparpillées dans le monde entier font de la cybersécurité un enjeu encore plus stratégique pour les entreprises et leur direction. Face à une pénurie avérée de compétences dans ce secteur, l’innovation technologique et notamment l’IA et l’automatisation, mais aussi les SOC managés ont vocation à jouer un rôle décisif dans la détection et la réponse aux cyber-attaques. L’approche différenciante de Bitdefender sur le marché est d’appréhender l’infrastructure dans son ensemble afin d’unifier sa sécurisation. Avec une seule console d’administration et un seul agent, la solution Bitdefender GravityZone est capable de couvrir l’ensemble de l’environnement informatique des entreprises : endpoints physiques et virtualisés, datacenters, clouds privés/publics/hybrides, appareils mobiles, e-mails, appareils de IoT… Pour l’ensemble de ces dispositifs, GravityZone assure à la fois la gestion des risques, la prévention, la détection, l’investigation et la réponse. Nous proposons aussi un service de SOC managé MDR (Managed Detection and Response) afin que nos clients puissent se reposer 7j/7, 24h24, sur notre équipe d’experts, qui a travaillé pour des entités gouvernementales telles que la NSA, la Navy ou encore l’US Air Force. Cette équipe est capable de répondre à des attaques critiques en moins de 30 minutes et soulage nos clients au quotidien dans le traitement et l’analyse des alertes.