Pourquoi y aura-t-il toujours des cyberattaques (qui réussissent)?

Le prix très modeste des données volées sur le dark web montre que l’offre dépasse la demande. ©EPA

La sophistication toujours plus grande des cyberdéfenses placées par les entreprises n’a l’air d’avoir que peu de prise sur la cybermenace. Les cyberintrusions font régulièrement l’actualité. Faut-il accepter cette fatalité? Oui, car elle donne le bon état d’esprit pour mieux se défendre.

Charles Cuvelliez et Olivier Markowitch
Professeurs au sein du master en cybersécurité, membres de Secure, ULB

La cybermenace se porte mieux aujourd’hui qu’il y a 10 ans. Cela tient d’abord au périmètre à protéger: auparavant, l’IT d’une entreprise, c’était un réseau bien délimité, des serveurs physiques et des PC (laptops) qui y accédaient tranquillement, plus quelques pages web à maintenir. Aujourd’hui, bien perspicace celui qui peut tracer une frontière nette entre l’intérieur et l’extérieur du réseau IT de la firme. Tout est interconnecté à tout, smartphones, mobiles, laptops, depuis un WiFi public, les serveurs sont dans des clouds, connectés à des prestataires extérieurs pour préparer les commandes, enregistrer les paiements. Viendra bientôt s’ajouter l’internet des objets qui permettra aux entreprises de réinventer le service après-vente mais au prix d’une couche en plus.

Jonglerie

Ces interconnexions sont des opportunités formidables d’innovation, mais sécuriser ce plat de spaghetti sera déprimant si on s’attache aux recettes d’hier: des pare-feu aux frontières du réseau de l’entreprise, des antivirus dans les appareils terminaux (qui sont parfois ceux des employés et non de l’employeur). Le "shadow IT", des mini–IT autonomes mises en place par des équipes qui ne veulent plus dépendre du département informatique trop lent à leurs yeux, achève ce tableau.

Aujourd’hui, les attaques pénètrent de manière ciblée via un employé, une vulnérabilité non patchée, une cible identifiée à l’avance.
Charles Cuvelliez et Olivier Markowitch

Hier, les attaques étaient souvent aléatoires: on injectait sur internet des malwares tout venant qui finissaient par atteindre quelqu’un. Aujourd’hui, les attaques pénètrent de manière ciblée via un employé, une vulnérabilité non patchée, une cible identifiée à l’avance.

Il y a 20 ans, gérer l’IT était l’affaire d’administrateurs réseaux expérimentés. Aujourd’hui, de nombreuses tâches sont automatisées. Un seul administrateur réseau peut désormais gérer 10 à 100 fois plus de machines sauf que le nombre de ces machines a aussi été multiplié par 100. L’effort requis pour maintenir ce parc hétérogène à jour, proprement configuré, renforcé et défendu est devenu titanesque, ce qui génère une myriade d’occasions pour qu’une erreur ou un incident survienne, ce qui laissera des portes grandes ouvertes pour un attaquant.

L’administrateur réseau doit jongler avec son collègue administrateur du cloud, avec celui en charge des serveurs, avec un autre qui gère les applicatifs parfois virtualisées, sans compter l’équipe qui gère les plateformes web d’e-commerce… Ce sont autant de domaines à sécuriser en même temps pour eux-mêmes mais aussi à leurs interfaces car on pense souvent à tort que le voisin s’en est occupé.

On a été pollués par l’idée qu’un antivirus suffisait à protéger un PC, donc que la prévention suffisait et que l’objectif était de mettre en échec toutes les attaques.
Charles Cuvelliez et Olivier Markowitch

On fait aussi trop confiance aux normes de cybersecurité: elles sont là pour vérifier qu’on n’a rien oublié, sans plus. Elles n’indiquent pas comment régler les cybertechnologies dans le contexte IT de l’entreprise concernée. Et le personnel mis à l’œuvre pour se faire certifier, c’est autant d’experts en moins pour la vraie cybersécurité. Les normes cyber sont surtout là pour réduire la responsabilité de l’entreprise après une attaque réussie.

Le piège du "pas maintenant"

Les hackers ont une position enviable: ils n’ont pas de cyberbudget à défendre. Ils ne doivent pas batailler pour avoir accès aux ressources IT. Ils se partagent instantanément les bons plans et se revendent les outils dans le dark web. Les biais comportementaux des utilisateurs eux-mêmes font le reste. Le biais du "pas maintenant" est le pire car on postpose alors indéfiniment des mises à jour que l’IT n’ose plus forcer… Le biais de la preuve sociale, qui veut qu’un individu qui n’a pas d’avis sur une question précise, aura tendance à suivre les autres, produit d’importants dégâts dans le cadre de la cybervigilance.

Une cyberattaque est souvent une cyberintrusion. Un point d’entrée est créé dans le réseau d’une entreprise suite à un malencontreux clic là où il ne fallait pas. Un bel exemple nous est venu des très nombreux e-mails qu’on a tous reçus pour renouveler un consentement oublié à une newsletter ou un service souscrit il y a longtemps. Beaucoup ont cliqué sur des liens dont l’émetteur ne leur disait plus grand-chose. Parfois, le point d’entrée se fait via une vulnérabilité non patchée sur un PC, un laptop ou un serveur. Une fois dans la machine, le hacker peut exécuter des commandes. Il cherchera à augmenter ses privilèges d’accès et commencera à découvrir la topologie du réseau. Cela peut lui prendre des semaines mais finalement, s’il reste non détecté, il pourra trouver le serveur et les données qui intéressaient le commanditaire de l’attaque ou qui sont tout simplement monétisables.

Les normes cyber sont surtout là pour réduire la responsabilité de l’entreprise après une attaque réussie.
Charles Cuvelliez et Olivier Markowitch

Le prix très modeste des données volées sur le dark web montre que l’offre dépasse la demande. Commence alors son grand œuvre: voler ces données, saboter le système informatique ou le réseau, modifier l’intégrité des données, chiffrer les données à des fins de racket,…

Ce portrait noir n’est pas fataliste. Il est noir parce qu’on a mis trop longtemps tous ses œufs dans le même panier de la prévention. On a été pollués par l’idée qu’un antivirus suffisait à protéger un PC, donc que la prévention suffisait et que l’objectif était de mettre en échec toutes les attaques. La sécurité physique n’a jamais eu une telle naïveté. Une barrière, une alarme, une meilleure serrure n’a jamais stoppé un voleur. On le retarde pour avoir le temps d’appeler la police ou venir soi-même. On met des détecteurs et des caméras pour le détecter. On recommande de ne pas isoler sa maison sous de grandes haies afin de rendre le voleur bien visible du voisinage et de la rue.

Moins de prévention aveugle, plus de mesure de son efficacité, plus de détection (grâce à l’intelligence artificielle): ce sont les nouvelles voies de la cybersécurité. Si votre architecture IT ne les a pas dans ses tripes, revoyez-la d’urgence.

Lire également

Publicité
Publicité

Echo Connect