TRANSFORM'IT
MENU

Comment faire face à la menace quand la surface d’attaque s’est démultipliée ? Que faire quand la protection du château fort ne suffit plus et qu’il faut non seulement défendre toute une zone hétérogène autour du dit château mais aussi les villages et habitants de la région ? C’est la question que pose l’actualité de la cyber sécurité ces derniers mois.

Un coup d’œil au calendrier des attaques suffit pour s’en convaincre : fin janvier 2015 près de 20 000 sites sont attaqués en seulement 5 jours ; aux alentours de Noël 2015 ce sont les réseaux XBOX et PSN qui sont dans la ligne de mire ; début 2016, l’Ukraine fait face à une cyber-offensive de grande ampleur qui va jusqu’à perturber le fonctionnement de l’aéroport de Kiev. Ces attaques dont les médias ont rendu compte ne sont que les événements les plus visibles d’une tendance de fond : selon PwC, l’année 2015 a vu les cyber-attaques croitre de 38% dans le monde et de 51% en France.

Extension du domaine de la lutte

Qu’en déduire ? Tout simplement que malgré le recours aux dernières technologies, les entreprises n’ont pu éviter les fuites de données critiques et les indisponibilités de services coûteuses. Reconnaissons que la course semble perdue d’avance : les smartphones de 2016 sont plus puissants que les ordinateurs utilisés par la NASA en 1969, le supercalculateur reconnu comme le plus rapide du monde en 1996 a été dépassé 10 ans plus tard par… la PlayStation 3. Précision : le premier coûtait 55 millions de dollars tandis que la seconde arrivait dans le salon contre 500 dollars.

Résultat de cette accélération de ce monde hyper-connecté, la surface de cyber attaque s’est démultipliée. Et ce n’est que le début de l’histoire : les objets connectés pointent déjà le bout de leurs capteurs…  Autrement dit, l’extension du domaine de la lutte (contre la cyber menace) ne peut être rattrapée. En tous cas, pas de manière classique, pas en pensant « défense périmétrique ». Si cette approche a prévalu durant les 10 dernières années avec la multiplication sans fin de lignes de défense, elle ne correspond plus aux nouvelles menaces, plus complexes, plus volatiles et plus mobiles.

Cap sur l’Intelligence Driven Security

En clair, il ne suffit plus de contrer ce que l’on connait (ce que font très bien ces solutions) mais d’interpréter en temps réel une grande masse de données pour détecter « l’anomalie nouvelle ». Le challenge n’est pas seulement technologique : c’est le paradigme même de la cyber sécurité (donc la culture, et l’organisation qui en découlent) qu’il faut revoir. Avec, pour base du raisonnement, une évidence trop oubliée : l’utilisateur est le nouveau périmètre. Ce sont ses activités incessantes, et qui suivent des schémas non-déterministes, qu’il s’agit aujourd’hui d’analyser et de comprendre.

user-securité-data

Et c’est justement pour mettre l’utilisateur au centre de la réflexion que RSA a élaboré l’Intelligence Driven Security. Une approche qui repose sur 5 constats et principes :

1) Même les protections les plus avancées peuvent être contournées

Si tel n’était pas le cas, les attaques évoquées au début de cet article n’auraient pas eu lieu. Ces protections ne sont donc plus auto-suffisantes.

2) La « vue » sur l’environnement doit être la plus complète possible

Il s’agit de répondre à « Quoi ? », « Qui ? », « Où ? », « Quand ? » mais surtout à « Comment ? ». Si l’on pense souvent qu’un SIEM (Security Information Management System) peut suffire, dans la pratique, c’est une visibilité complète sur le réseau qui s’impose, en mode full packet, avec outre les logs une visibilité totale sur le EndPoint. Sans cela, les réponses aux questions posées seront toujours partielles.  Il est d’ailleurs assez signifiant lors d’un incident de voir de manière récurrente les analystes pressés de le clore au plus vite et éteindre le « feu » en nettoyant les serveurs compromis sans même comprendre les méthodes et techniques utilisées par les attaquants. Un exemple de comportement attaché à l’ancien paradigme et dont il va falloir se défaire.

3) Les identités sont dans l’œil du cyclone, leur gouvernance est un impératif

Selon le rapport DataBreach de Verizon, 95% des attaques passent par du détournement d’identités et d’habilitations. Le rapport souligne que la plupart du temps ces vols sont permis à l’origine par des erreurs humaines. Les vulnérabilités « 0 Day » (nom donné aux vulnérabilités qui n’ont fait l’objet d’aucune documentation ou correction) sont le vecteur de moins de la moitié des attaques. En témoigne les campagnes de phishing qui, pourtant peu sophistiquées, restent efficaces. Autrement dit, savoir qui a accès à quoi mais aussi qui a autorisé cet accès – s’appuyer donc sur une gouvernance des identités – est indispensable. Pendant une investigation un analyste doit pouvoir connaître le contexte métier des identités.

4) Partager les sources de données améliore l’intelligence

N’est-on jamais mieux servi que par soi-même en matière de sécurité ? Non, pas vraiment. L’enrichissement des données avec des sources d’intelligence externes permet de détecter, d’analyser et surtout d’identifier la nature de la menace au plus vite. Le rôle de la communauté est critique pour étoffer la connaissance autour de nouvelle tactiques, de nouveaux comportements. Dans un monde où la surface d’attaque s’étend de manière continue, la connaissance, doit se partager, elle aussi, de manière continue.

5) Tous les risques ne peuvent être traités de la même manière : il faut prioriser

Il est illusoire de penser que l’on peut être capable de traiter les risques et alertes avec la même attention et énergie. Une véritable gestion des risques doit vous permettre de prioriser vos efforts, de contraster les moyens engagés par exemple entre un serveur de test et un serveur sensible. Pas de recette universelle ici : chaque entreprise est unique et chacun sait ce qui est important de défendre en premier lieu.

De nouveaux challenges de sécurité en 2016

keep-calm-the-challenge-sécurité

Ces principes de l’Intelligence Driven Security fonctionnent-ils ? Oui et nous avons pu observer des bénéfices tangibles dans les organisations qui les ont appliqués. Suffisent-ils à répondre à tous les challenges de la cyber sécurité ? Restons modeste et, surtout, prudent car l’année 2016 voit déjà émerger de nouvelles tendances. Parmi elles :

L’altération et manipulation de données stratégiques

La donnée est le socle de nos décisions. Imaginez un instant que des données de reporting d’une activité (des données de vente d’une entreprise aux données statistiques d’une étude qui doit déboucher par exemple sur des mesures sanitaires) soient altérées. Ces modifications influenceront donc directement nos décisions avec des conséquences qui peuvent être lourdes. La « data » (versus les « systèmes ») devient une cible privilégiée des attaques.

La croissance des attaques sur les fournisseurs de services et applications

Les attaquants cherchent des effets de leviers et, à l’heure du cloud et de l’économie des APIs, il n’est pas compliqué de le trouver. Mieux vaut s’en prendre au fournisseur d’un service largement sollicité plutôt qu’à quelques utilisateurs de ces services. Hébergeurs d’infrastructures cloud mais aussi fournisseurs de services cloud banalisés deviennent des cibles de choix.

L’extension de la surface d’attaque des hacktivists

Si mener une cyber attaque pouvait autrefois demander des moyens conséquents et donc représenter un coût important, ce n’est plus nécessairement le cas. Des outils et services ont permis de baisser sensiblement le ticket d’entrée de la cyber menace. En outre, le gain financier n’est plus l’unique motivation des assaillants. La liste des cibles potentielles des hacktivists a donc tendance à s’allonger…

Des tentatives multipliées contre des systèmes de contrôle industriels

Enfin, autre tendance de cette année 2016, la multiplication des attaques contre des systèmes de contrôle industriels dans les secteurs du traitement des eaux, de l’électricité ou encore des transports. Les intrusions dans ces domaines ont été multipliées par 17 ces trois dernières années. Le nombre croissant de capteurs connectés à des systèmes automatisés étend, là aussi, la surface d’attaque potentielle.

Le constat est clair. Si 2015 s’est démarquée par la croissance du nombre d’attaques, 2016 est bien engagée pour inaugurer de nouvelles formes de menaces. Une raison de plus pour repenser en profondeur le paradigme de la sécurité.

Pour aller plus loin :

Des questions ? > contactez moi via Linkedin

Découvrez mon intervention au FIC 2016 > Vidéo conférence FIC 2016



Bernard Montel

Spécialiste en informatique, sécurité et réseaux depuis plus d’une dix ans, Bernard est aujourd’hui Directeur Technique chez RSA, division sécurité d’EMC France, où il a en charge l’encadrement des équipes techniques intervenant sur les projets clients auprès de clients grands-comptes. Il avait intégré RSA au poste de consultant avant-vente. Avant de rejoindre RSA, Bernard Montel était consultant en commerce électronique chez Control Data, où il a participé à la refonte du système de messagerie chez Renault. Il a également travaillé comme ingénieur d’étude spécialisé Télécoms chez Astek S.A Bernard, 38 ans, est Ingénieur diplômé d’état spécialisé en réseaux et sécurité

COMMENTAIRES