Êtes-vous prêts pour la prochaine attaque? Par Symantec

« Les espèces qui survivent ne sont pas les plus fortes, mais celles qui s’adaptent le mieux au changement », constatait Darwin. Le paysage des menaces sur Internet changent constamment, tout comme les nécessaires réponses technologiques à apporter aux différentes cyberattaques. Les entreprises et les états doivent développer et appliquer méthodologiquement une véritable stratégie pour appréhender au mieux les risques, et atteindre un objectif : la cyberrésilience.

Des menaces, toujours des menaces

Le rapport annuel des menaces sur Internet (ISTR) de Symantec, publié en avril et qui analyse l’ensemble des risques Internet détectés sur son réseau de surveillance, le plus grand au monde, montre une complexification des menaces et une véritable évolution dans le comportement des cybercriminels. En faits et chiffres, cela signifie une augmentation de 62% des violations de données, dont l’ampleur est sans cesse plus importante, des attaques de plus en plus ciblées qui croissent de 91% et durent en moyenne trois fois plus longtemps que les années précédentes, un nombre de vulnérabilités zero-day découvertes et d’attaques Linux en plein développement. La France se classe 15e au rang mondial des pays où la cybercriminalité est la plus active. Le pays connait une recrudescence des attaques ciblées, se classant au 8ème rang mondial et se distingue sur le phishing, au 7e rang mondial et 3e rang européen pour leur hébergement. Il occupe le 7e rang mondial des pays à l’origine des attaques contre les réseaux, et la 4e place européenne pour les attaques web.

Par conséquent, les entreprises de toutes tailles doivent réexaminer, repenser, voire redéfinir leur politique de sécurité.

L’antivirus est mort, mais encore ?

Repenser et redéfinir une politique de sécurité, oui, mais avec quels outils ? Devant la complexification et la multiplication des attaques, l’antivirus traditionnel basé sur des signatures est mort puisqu’intrinsèquement caduque devant l’évolution des menaces : il n’y a (presque) plus de virus. Ce type de logiciel doit désormais être intelligent, s’adapter aux différents supports sur lesquels sont utilisées les données, aux usages et surtout intégrer des technologies qui permettent une protection maximale grâce à une analyse permanente des menaces potentielles ou avérées. Il convient également de renforcer l’infrastructure de sécurité en misant sur des technologies éprouvées en matière de prévention des pertes de données, de protection des réseaux et points de contact, de cryptage et d’authentification.

« Atteindre la cyber-résilience au niveau national et européen, dans les secteurs public et privé » : objectif de l’Union Européenne et nécessité d’adopter une stratégie de sécurité et… de l’appliquer méthodologiquement.

Pour atteindre cet objectif, la réponse doit également être d’ordre stratégique et méthodologique, au-delà des technologies. La réponse tactique et approximative, combien même elle intègre une prévention et une restauration adaptée, est largement insuffisante. Il est nécessaire, pour une entreprise ou un état, tout d’abord de comprendre les modalités des attaques et savoir s’organiser en amont pour mieux y répondre. L’analyse d’une attaque répond nécessairement à trois questions : Qui ? Pourquoi ? Quelles cibles ? Les cyberattaquants se segmentent en effet toujours en trois catégories, selon leur motivation : l’exploit technologique, le profit et l’idéologie. Le but des attaques est de porter atteinte aux infrastructures, aux informations, aux identités. Enfin, massives ou ciblées, celles-ci visent les individus, les entreprises ou les gouvernements.

Une cyberattaque se déroule également systématiquement en cinq phases distinctes. Lors de la reconnaissance, l’attaquant récupère les informations sur la cible, pour mieux s’introduire dans l’infrastructure de celle-ci lors de l’incursion. Il va ensuite cartographier les différents systèmes pour mieux préparer son plan d’attaque lors de la phase de découverte. Suivent alors l’installation de maliciels et l’accès aux données lors de la capture, puis l’exfiltration des données ciblées.

Il convient également d’enclencher un véritable processus destiné à assurer la cyberrésilience qui commence par l’analyse des risques humains, économiques, sociaux, financiers et technologiques encourus lors d’une cyber-attaque. Il faut ensuite l’anticiper à travers un niveau d’information, de préparation et de collaboration avec les différentes parties prenantes, la prévenir si possible, ou du moins la contenir et permettre ainsi à l’entreprise ou à l’organisme de poursuivre ses missions critiques en dépit des circonstances, restaurer son fonctionnement et d’évoluer en continu vers un modèle toujours plus vigilent et plus sûr, en adéquation avec les nouvelles formes de menaces décelées et les nouveaux risques renseignés. La cyberrésilience passe donc par la nécessaire intégration d’une détection et d’une réponse rapides, une visibilité sur les attaques, et une efficacité opérationnelle, tant au niveau humain qu’au niveau technologique.

En conclusion : de la méthode à l’action

Si les particuliers doivent encore gagner en maturité face aux menaces de sécurité qui peuvent affecter leurs données, il est nécessaire que les états et entreprises considèrent la sécurité de l’ensemble de leurs informations, de leur infrastructure informatique et des identités à protéger. Il incombe également à l’industrie du logiciel, de proposer sans cesse une information en temps réel, la plus complète et la plus pertinente qu’il soit, de développer des solutions adaptées de détection et de réponse, tenant compte des menaces potentielles et constatées, et d’investir dans l’innovation et la recherche et développement, pour que chacun soit prêt à contrer la prochaine cyberattaque.