Cybersecurity Report 2019: les menaces avancées persistantes restent d’actualité
L’humain est de nouveau l’élément clé de la sécurité informatique
Les cyberattaques visant les entreprises sont de plus en plus subtiles. Les menaces avancées persistantes ciblées exigent en particulier de nouvelles mesures de défense comme le montre le Swisscom Cybersecurity Report mais aussi une intervention humaine.
Texte: Andreas Heer, 15 mars 2019
L’attaque est minutieusement préparée. Lors de recherches durant plusieurs mois, les cybercriminels espionnent l’environnement de l’entreprise: les personnes importantes, leurs contacts et leurs préférences, l’activité et l’infrastructure informatiques, tels qu’ils se présentent de l’extérieur. Ce n’est qu’ensuite que les assaillants jettent leur dévolu sur deux ordinateurs de la victime choisie avec soin en ayant recours au spearphishing, à des e-mails d’hameçonnage sur mesure et à du malware. Les assaillants contournent les mesures de sécurité de l’entreprise en utilisant des connaissances récentes et des technologies sophistiquées. A l’aide d’un script, ils accèdent à l’ordinateur au travers d’une faille Zero Day sans laisser de traces suspectes sous forme de fichiers.
Menaces avancées persistantes difficiles à détecter
Lors des mois suivants, les assaillants investissent, sans être remarqués, le réseau et les systèmes de l’entreprise jusqu’à ce qu’ils aient atteint leur objectif et accédé aux données confidentielles des clients et aux informations sur des projets. Ils récupèrent les documents de l’entreprise via des canaux bien dissimulés.
C’est ainsi que pourrait se dérouler une cyberattaque subtile et ciblée. Les menaces avancées persistantes, des attaques s’appuyant sur d’énormes ressources et un savoir-faire technique exceptionnel, sont encore et toujours d’actualité dans le monde de la cybercriminalité comme le montre le Swisscom Cybersecurity Report 2019.
Du fait de cette configuration de départ, de telles attaques sont difficiles à détecter. Le prestataire de sécurité Kaspersky Lab observe actuellement plus de 100 groupes de menaces avancées persistantes qui procèdent à de telles attaques. Ils portent des noms amusants tels que LuckyMouse, OceanLotus ou Comment Crew et agissent probablement avec l’appui de gouvernements. Les assaillants visent les organisations étatiques, les gouvernements et les entreprises qui travaillent dans des domaines sensibles. Ils sont motivés par l’espionnage, le vol de données ou le sabotage comme l’a montré l’attaque qui a frappé l’infrastructure des Jeux olympiques d’hiver de Corée du sud.
Changer de réflexion dans la stratégie de sécurité informatique
Des mesures classiques de sécurité informatique telles que la protection du périmètre à elles seules ne suffisent pas pour se défendre contre les attaques des menaces avancées persistantes. Les entreprises doivent mieux orienter leur sécurité informatique vers des assaillants qui ont déjà pénétré le réseau de l’entreprise, affirme Costin Raiu dans une interview publiée dans le Swisscom Cybersecurity Report.
Le responsable de l’équipe de recherche et d’analyse Kaspersky GReAT se prononce en faveur d’un changement de paradigme. Les assaillants passent en effet la majeure partie de leur temps à se déplacer dans le réseau de l’entreprise et à voler des données. Les entreprises devraient donc orienter leurs mesures de protection sur ces activités.
Une importante mesure consiste à surveiller continuellement les processus, les opérations de fichiers et les connexions. Une telle surveillance permettrait de détecter des actes suspects. Les informations issues de la Threat Intelligence permettent aussi d’identifier des schémas typiques et les adresses Internet de cyberassaillants. Le revers de la médaille? La mise en œuvre de telles mesures de surveillance est plus coûteuse et utilise plus de ressources qu’une sécurité de périmètre classique.
Agir comme une personne
Des mesures purement techniques ne suffisent toutefois pas à juguler les menaces avancées persistantes. L’humain joue un rôle important dans la défense. Les responsables et les spécialistes de la sécurité devraient se mettre dans la peau d’un assaillant pour comprendre sa manière de penser, recommande Costin Raiu. Comme les menaces avancées persistantes représentent des attaques déclenchées manuellement, leur déroulement est souvent empreint de la main de l’homme. Il est donc utilise de se poser des questions telles que: «En quoi mon entreprise est-elle intéressante pour les menaces avancées persistantes?», «Quelles informations et quels systèmes sont intéressants pour l’espionnage et le sabotage?», «A quoi pourrait ressembler un e-mail de hameçonnage ou une attaque d’ingénierie sociale tournée vers le directeur financier?».
Une telle focalisation permet aussi de reconnaître des schémas typiques dans les fichiers log, car la recherche d’éléments inhabituels peut être organisée en fonction de l’objectif, par exemple en surveillant particulièrement bien le trafic réseau de l’ordinateur du responsable financier ou de l’ERP.
Dans le cas de mécanismes de défense humains, la lutte contre les menaces avancées persistantes incombe à un Security Operations Center (SOC). Un tel centre abrite des spécialistes qui peuvent donner un sens aux schémas enregistrés et exposer les assaillants humains, et qui sont capables de se mettre dans la peau d’un assaillant grâce à leurs connaissances techniques. Comprendre l’approche de réflexion de cybercriminels hautement professionnalisés et connaître leurs outils sont des éléments importants de la défense contre les menaces avancées persistantes.
En savoir plus sur les services de cybersécurité de Swisscom.
En savoir plus sur ce thème
