Les cybercriminels se portent bien, surtout en période de confinement. Le télétravail ouvre des brèches dans les réseaux d’entreprises et d’institutions, dont celles travaillant sur les vaccins anti-Covid. Comment les prévenir ou, mieux, les bloquer ?

Profitant de la situation de crise sanitaire, les cyberpirates n’ont jamais été aussi actifs : « Nous faisons face à des attaques de plus en plus sophistiquées. Le confinement et la généralisation du télétravail ont incité les hackers à exploiter des vulnérabilités non « patchées » [mises à jour de logiciels non effectuées] sur les outils de connexion à distance », observe Bertrand Trastour, directeur commercial BtoB chez Kaspersky France.

Bertrand Trastour, directeur commercial chez Kaspersky France

Le marché noir ou dark web constitue aujourd’hui un véritable écosystème de l’ombre où hackers, pirates et escrocs font leurs emplettes. « Blanchir des bitcoins est aussi facile qu’acheter des malwares de type botnet [réseau de logiciels robots qui infectent des machines transformées en “zombies”] », affirme cet éditeur.

Les ransomwares (ou rançongiciels) ont le vent en poupe. Car beaucoup d’entreprises, contre l’avis de l’Anssi (en France), ont accepté de payer une rançon pour récupérer leurs données chiffrées – la somme étant souvent supportable (200 ou 300 euros, dit-on). Depuis peu, la tendance est au big name hunting : la chasse au gros gibier, à savoir les grandes marques susceptibles de payer beaucoup plus.

 

Un incroyable écosystème fantôme

Tout un univers parallèle s’est constitué, comme l’a résumé Ivan Kwiatkowski, expert chez Kaspersky, interviewé par Place de l’IT lors des Assises de la sécurité 2020 à Monaco. Les pirates continuent de fignoler leurs packers et restent invisibles. Ils coopèrent avec des botmasters chargés du déploiement sur des machines infectées. Un vendeur de comptes (account seller) détecte les brèches de sécurité sur les réseaux d’entreprise. Des red teams achètent aux botmasters des portefeuilles de brèches dans des sociétés triées sur le volet. Ce sont ces red teams qui s’exercent à y pénétrer pour récupérer des mots de passe d’administrateurs IT. Il reste à un analyste la mission de cibler les données intéressantes qui seront verrouillées par chiffrement. Ensuite intervient une équipe qui négocie les rançons. Ce n’est pas tout : un blanchisseur (launderer) encaisse les bitcoins virtuels pour les transformer en achats de services ou de biens (voitures de sport, paraît-il).

 

Le FBI donne l’alerte

Les plus hautes instances sont en alerte aux États-Unis, le FBI et la CISA (Cybersecurity & Infrastructure Security Agency) viennent de publier un document expliquant comment les cybercriminels s’y prennent pour utiliser les rançongiciels Ryuk et Conti ou encore le malware TrickBot (Anchor) ou la panoplie baptisée BazarLoader !

Comment rester sur ses gardes ? Chez Kaspersky, on invoque la threat intelligence, un flux d’informations permettant de rehausser la protection et d’anticiper la menace. « Il faut pouvoir donner l’alerte le plus tôt possible », explique Xavier Duros, CTO de Check Point Software Technologies, qui propose une solution d’« intelligence partagée » (Infinity SOC) reposant sur une plateforme (ThreatCloud). Elle serait capable d’inspecter 2,5 milliards d’attaques et 3 milliards de sites web et fichiers par jour !

L’intelligence artificielle (IA) est attendue. Un rapport d’Oracle et KPMG (Cloud threat report 2020) relève que 87 % des professionnels de l’informatique considèrent l’IA et l’apprentissage machine (machine learning) comme bientôt essentiels pour la sécurité de leur entreprise.

L’éditeur Kaspersky préfère parler du concept «humachine» : « C’est un mix de machine learning, combiné au big data et à la threat intelligence et orchestré par des experts analystes », explique Bertrand Trastour.

Pour sa part, Wallix, éditeur français spécialisé dans la sécurisation des accès et identités numériques (200 personnes, présent dans toute l’Europe), insiste sur le principe de « confiance zéro » (zero trust). Sa solution Bastion (v.8) fait en sorte que les autorisations d’accès soient strictement encadrées et proportionnées en fonction des profils utilisateurs et limitées dans le temps. L’authentification, très forte, est étendue à tout le périmètre : des postes de travail aux serveurs. Un algorithme détecte les comportements anormaux. « Nous sommes dans la phase intermédiaire, pré-IA », considère Xavier Lefaucheux, directeur commercial EMEA de Wallix.

Xavier Lefaucheux, directeur commercial EMEA de Wallix

 

La poussée des outils d’IA

L’IA s’avère intéressante car elle doit permettre de détecter les signaux faibles : « Les analystes pourront se dégager du temps et progresser sur les attaques les plus sophistiquées », souligne Thomas Roccia, chercheur sécurité chez McAfee. « Le machine learning va beaucoup aider à la détection des menaces, par exemple en repérant des échanges de code. »

Check Point confirme : « L’embauche de mathématiciens et d’experts a conduit à élaborer des algorithmes permettant d’éviter des faux positifs. Avec des dizaines de milliards de requêtes par jour, on parvient à cerner deux postes infectés, grâce à la pertinence des analyses big data », explique Xavier Duros.

Plusieurs start-up n’ont pas manqué de se positionner sur ce créneau de l’IA. Parmi elles, figure la « licorne » Darktrace, créée à Cambridge (R.-U.) en 2013. Elle compte aujourd’hui 1 300 collaborateurs et accompagne déjà 150 entreprises en France. Ses fondateurs, pour certains issus de la société Autonomy, ont développé un principe d’immunité, par analogie avec les organismes vivants. Sa solution (DCIP) détecterait automatiquement les cybermenaces émergentes pour immédiatement les bloquer. Elle est fondée sur des calculs de probabilités associés à de l’auto-apprentissage machine, ce qui nécessite un laps de temps pour apprendre le « mode de vie » du réseau. « Il faut en priorité lutter contre les menaces provenant de l’intérieur de l’organisation. Avec une surveillance de 24 heures sur 24, l’IA permet de détecter des signaux quasi imperceptibles, des comportements inhabituels qui pourraient être le signe d’une cyberattaque. Il faut tout passer au crible : postes de travail, smartphones, réseau, cloud, objets connectés à internet… », observe Emily Orton, CMO, cofondatrice de Darktrace.

Automatiser la remise en ordre

« L’automatisation des dispositifs de protection avance à grands pas. Ainsi Check Point a introduit un dispositif de surveillance en temps réel, Sandblast. Dès la détection d’une anomalie, il enclenche une mise en quarantaine des équipements suspectés », explique Xavier Duros.

Chez Oracle, on mise sur CloudGuard qui, là aussi, examine en permanence les éléments de configuration critiques de manière pro-active ; et, pour les données les plus sensibles, un dispositif « maximum security » fait en sorte que personne ne puisse déroger aux règles de sécurité.

En résumé, appliquer les règles et respecter les bonnes pratiques, cela reste le premier commandement en matière de cybersécurité. La protection à 100 % n’existe pas. Beaucoup d’experts estiment utile de s’intéresser aux nouveaux acteurs qui émergent ici et là. Mais attention à l’envahissement des consoles et des outils. Selon l’étude KPMG/Oracle, déjà citée, 78 % des entreprises utilisent plus de 50 solutions de cybersécurité et 37 % en utilisent plus de 100 ! Un de nos témoins conclut : il serait plus sage de travailler avec 5 ou 6 fournisseurs, pas avec 10 ou plus. Pas de panique : l’heure est aussi à la rationalisation.

 

<<< A lire également : Les Femmes Dans La Cybersécurité Sont Un Enjeu Crucial De Demain ! >>>