Cet article appartient au dossier : Universwiftnet, Les relations banques-entreprises.

Système d'information

Quelles tendances pour la cybersécurité en 2018 ?

Comment réagir à des attaques informatiques de plus en plus fréquentes, aux impacts de plus en plus forts ? Les auteurs dressent l’état des lieux de la menace, rappellent les principes de base d’un dispositif de cybersécurité efficace et partagent de bons conseils pratiques pour se lancer !

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°366

Universwiftnet: les relations banques-entreprises

L'année 2017 a été riche en attaques informatiques et les premières semaines de 2018 promettent déjà un « grand cru » de la cybersécurité. Du côté des victimes, tout le monde est concerné : des entreprises de tous les secteurs, subissant des pertes de plusieurs millions à centaines de millions de devises ainsi que des indisponibilités de services, jusqu’aux citoyens dont les données privées sont révélées par des fuites record. Le secteur financier reste malheureusement la cible numéro 1, et en particulier les banques, qui offrent de multiples sources de gains directs pour les attaquants. Les plates-formes de paiement (e.g. accès au réseau SWIFT), la banque en ligne ou encore les distributeurs automatiques de billets permettent de rentabiliser plus rapidement le coût de l’attaque, en dérobant directement de l’argent – les attaquants informatiques, comme les entreprises, surveillent leur retour sur investissement !

Au-delà de gains financiers directs, les attaquants et leurs motivations peuvent être variés :

  • on y retrouve notamment l’acteur isolé, souvent labellisé « script kiddie » en référence à son (potentiel) jeune âge, profitant de son temps libre pour parcourir Internet pour apprendre et obtenir les moyens d’une attaque, « pour la gloire » ou « parce qu’il peut le faire » ;
  • viennent ensuite les groupes criminels organisés, pour leurs actes de protestation numérique (hacktivisme), par exemple en réaction à une décision politique ou économique déplaisante – ou plus directement pour des « cambriolages électroniques » d’institutions financières comme évoqué précédemment ;
  • enfin, les acteurs « étatiques », pour des raisons politiques – comme la perturbation des élections américaines ou de la sortie du film The Interview sur le chef d’État nord-coréen –, idéologiques ou économiques. L’attribution à un groupe étatique est pour autant loin d’être une science exacte : elle est souvent basée sur des ressemblances de code dans les malwares, pouvant tout autant être un indice qu’un hasard ou une diversion…

Du côté des attaques, au-delà des fuites de données et vulnérabilités critiques de plus en plus nombreuses, deux tendances ont émergé ces derniers mois.

La diffusion de ransomwares, utilisant un logiciel malveillant pour prendre en otage votre ordinateur personnel ou système d’information en chiffrant les données stockées, et réclamer une rançon contre la clef de déchiffrement. Certaines variantes devenant « destructrices » quand le paiement de la rançon est impossible, comme dans le cas du malware NotPetya l’été dernier. Dans tous les cas, payer la rançon n’est pas la solution : cela n’offre aucune garantie de restaurer son système, ne protège pas contre une attaque subséquente et incite surtout les attaquants à continuer !

La seconde tendance, plus récente, s’affranchit des problèmes de lourdeur du processus de paiement des ransomwares : les malwares mineurs de cryptomonnaie, une fois déployés, vont détourner la puissance de calcul des victimes pour produire directement de la cryptomonnaie, rémunérant l’attaquant de fait. Une sorte de « planche à billets » installée dans votre garage… à votre insu.

Le sujet cybersécurité est de plus en plus médiatisé, une aubaine pour éveiller les consciences ! Mais également grossir les rangs des attaquants… La menace promet d’être active pendant encore des années. En tant qu’entreprise, quelles mesures de défense pouvez-vous mettre en place pour en limiter les conséquences ?

Répondre à cette menace : un travail de longue haleine

Historiquement, la sécurité informatique se résumait à de la gestion de pare-feu, à savoir autoriser et interdire des connexions réseau. Il n’existait pas d’équipes dédiées à cette activité, laquelle incombait aux équipes d’infrastructure, telle une tâche parmi tant d’autres.

Avec l’évolution des menaces, la cybersécurité a pris de plus en plus d’importance. On est alors passé de simples mesures de protection à un cycle de traitement plus complet, abordant les phases en amont et en aval d’un incident.

Aujourd’hui, les équipes de direction n’ont pas d’autres choix raisonnables que de considérer la cybersécurité comme un enjeu majeur dans leurs feuilles de route. Il ne faut pour autant pas se précipiter. Les « buzz words » attirent, les initiatives se multiplient sans se clôturer, la course aux technologies « dernier cri » est omniprésente, les budgets se consomment très (trop) vite, et pourtant, les fondamentaux ne sont pas maîtrisés.

De qui doit-on se prémunir et que doit-on protéger ?

Il est essentiel de commencer par connaître son adversaire et ses ressources critiques. Pour ce faire, une analyse de risque doit être réalisée en adoptant par exemple l’une des méthodes reconnues : MEHARI (Clusif), EBIOS (ANSSI), ISO, etc. Cette étude permet d’aboutir sur une liste claire des risques encourus par l’entreprise et des ressources internes les plus sensibles. Ces éléments doivent rester au centre des décisions afin d’assurer des efforts intelligents.

Ensuite, une série de mesures classiques mais essentielles peuvent être considérées. Elles forment les « fondations » de la sécurité de son système d’information.

On retient notamment :

  • prévenir par l’éducation au quotidien de ses utilisateurs, la sensibilisation sur les dernières nouveautés, l’entraînement par des cas d’école concrets et leur évaluation régulière ;
  • continuer à se protéger en limitant les connexions à Internet, en isolant les informations entre elles, en sauvegardant les plus critiques, en limitant leur accès à des besoins essentiels et en désactivant les fonctionnalités inutilisées ;
  • détecter en surveillant les activités sensibles, en sachant identifier un comportement légitime d’un comportement illégitime et en possédant un processus de remontée d’alerte adéquat ;
  • enfin, réagir efficacement en s’entraînant régulièrement dans des conditions réelles, en apprenant les bons réflexes pour les « premiers secours », en ayant des ressources suffisantes et disponibles à tout moment, en sachant communiquer au bon niveau et en impliquant les bons interlocuteurs.

Une fois ces « piliers » en place, on peut alors aborder la suite en allant un cran plus loin. À titre d’exemple, revenons sur trois tendances prometteuses.

Threat Intelligence : comprendre pour mieux agir

La Threat Intelligence – en français, renseignement sur la menace – regroupe des activités de veille technique, technologique et stratégique. Elles permettent de fournir une matière riche en information, permettant de mieux assimiler l’écosystème cybercriminel dans lequel on évolue quotidiennement et d’adapter ses plans d’action en conséquence.

Cyber-résilience : adapter son Plan de continuité d’activité (PCA) aux attaques modernes

Principalement construits autour d’enjeux de disponibilité́, les PCA historiques n’intègrent pas les impacts directs qu’une cyberattaque peut générer aujourd’hui. Puis-je avoir confiance dans mon site de secours en cas d’incident ? Est-il également compromis ? Difficile à dire. Plusieurs solutions sont alors envisageables, à coût variable. Elles forment aujourd’hui de véritables challenges pour les responsables PCA !

Prévention d’urgence : gérer une crise avant la crise

Les cybercriminels étant de plus en plus rapides, il devient aujourd’hui indispensable d’être capable de réagir efficacement à l’annonce d’une nouvelle menace (malware, vulnérabilité, campagne d’attaques, etc.). Si votre voisin vient d’être touché, il se pourrait bien que vous soyez le prochain sur la liste. Il faut alors se mettre immédiatement en ordre de marche : connaître le périmètre impacté, dresser les options de traitement envisageables, appliquer les patchs de sécurité si disponibles, assurer les sauvegardes, surveiller constamment pour lever l’alerte au bon moment, etc. Bref, une crise avant la crise ! Nous pouvons d’ailleurs citer de récents exemples avec les découvertes des failles Windows et Intel, ou encore les dernières vagues de ransomwares WannaCry ou NotPetya.

Enjeux réglementaires

Force est de constater qu’une infinité d’initiatives existent pour faire face à cette menace ravageuse. Le secteur réglementaire s’empare également du sujet. De nouvelles réglementations dédiées à la cybersécurité voient le jour, avec notamment la loi de programmation militaire, la directive européenne NIS [1], le RGPD [2] et de multiples réglementations bancaires locales. De ce fait, si certains investissent et font déjà de ce combat un élément clef stratégique, les autres n’auront bientôt plus le choix. Même si ces réglementations sont souvent complexes à interpréter, elles ont a minima le mérite de faire avancer tout le monde dans la bonne direction.

En pratique, par où commencer ?

Au-delà de ce tour d’horizon essentiel mais théorique, quels seraient nos conseils clefs pour vous lancer ? Voici un cocktail d’idées concrètes et applicables à court terme.

Embarquez les bonnes personnes !

Si l’état-major de votre entreprise n’est pas convaincu de l’intérêt de la cybersécurité, inutile d’aller plus loin. Vous devez impérativement les avoir « à bord de votre navire », en sponsor de vos futures initiatives. Il faut éduquer sa direction sur les risques encourus, en illustrant par des cas concrets et en pointant les impacts, notamment financiers et d’image, que ça peut générer.

Pensez « red team » !

Vous ne vous jugez pas ou peu vulnérable ? Vous ne savez pas par quelles actions débuter ? Opter pour une séance de « red team » peut être une solution intéressante. Ce nouveau concept est l’évolution des tests d’intrusion. Il s’agit de donner un objectif précis – l’événement que vous redoutez le plus par exemple – à une équipe d’experts techniques (des attaquants dits « éthiques ») et ils se chargeront de l’atteindre par tous les moyens possibles. Si la mission réussit, ils vous expliqueront alors étape par étape ce qu’ils ont fait. Vous aurez alors entre les mains un cas réel mais sans impact (sensibilisation assurée !) et une série de faiblesses exploitées (premier plan d’action à lancer !).

Mettez vos partenaires sous contrôle !

N’attendez pas que le nombre de tierces parties s’agrandisse avant d’agir. Vos partenaires sont une source non négligeable d’attaque potentielle. Vous devez créer un lien de confiance avec eux. Pour ce faire, vous devez vous assurer de leur respect de vos pratiques sécurité. Mettez en place un processus de sélection intégrant des contraintes de sécurité et intégrez les clauses adéquates à l’ensemble de vos contrats.

Entrainez-vous avant qu’il soit trop tard !

N’attendez pas des impacts irréversibles pour vous rendre compte que vous n’êtes pas prêts à gérer une crise cyber. Organisez des exercices de crise en conditions réelles, et ce régulièrement. Chaque édition doit avoir un objectif précis : tester le rassemblement de la cellule, le passage du mode « alerte » au mode « crise », la communication interne et externe, le plan d’action, la gestion de ressource 24/7, etc. Vous ne vous entraînerez jamais assez pour être prêt le jour J.

Le plus important : faites les choses dans l’ordre !

On ne cessera de le répéter : pensez à vos fondations avant tout ! Ne vous laissez pas tenter par les dernières technologies attractives vous promettant « de tout faire tout seul ». Comme le dit si bien l’ANSSI [3], une « hygiène informatique » est indispensable avant d’aller plus loin.

Security by design

Vous l’aurez compris, la cybersécurité est un sujet dont on n'a pas fini d’entendre parler. À chaque nouvelle avancée technologique, certains sont au rendez-vous pour en exploiter les premières faiblesses à des fins malicieuses. Voitures autonomes, intelligences artificielles, automatisation, dématérialisation en tout genre, cryptomonnaie, tous ces sujets forment une véritable aubaine pour les cybercriminels. Pour éviter des impacts de plus en plus importants, la sécurité devra systématiquement être considérée – et ce de plus en plus tôt – dans les chaînes de conception.

 

[1] Directive Network and Information Security adoptée en juillet 2016 qui devra être transposée en droit national d’ici à mai 2018.

[2] Règlement général sur la protection des données adopté en avril 2016, qui entrera en vigueur en mai 2018.

[3] Agence nationale de la sécurité des systèmes d’information.

 

Sommaire du dossier

Les relations banques-entreprises

Sur le même sujet