Le cyber-crime se montrant de plus en plus sophistiqué, il est fort probable que nous continuerons à voir les violations de données à grande échelle faire la une de l’actualité.
Les cyber-attaques deviennent de plus en plus visibles du grand public, les violations à grande échelle et les déclarations de grandes entités telles que Google et les Nations Unies font régulièrement les gros titres des journaux. Les tendances en matière de cyber-crime sont en pleine mutation. Les attaques ne ciblent plus de simples individus non-avertis pour un faible gain financier (violations de cartes de crédit par exemple), mais bien de grandes sociétés ou même des gouvernements, afin de leur subtiliser leurs « Propriétés intellectuelles » (PI) et des informations sensibles pouvant rapporter gros.
Les tactiques utilisées par les hackers ont également évoluées. Les attaques aléatoires ont fait place aux violations intelligentes ciblées à l’encontre de victimes spécifiques et à l’espionnage d’état, où le but du pirate n’est plus tellement d’acquérir des informations spécifiques, mais bien de récolter à dessein des PI et, par la même occasion, des secrets commerciaux dans un domaine cible.
Les attaques lancées au service de l’espionnage international semblent se multiplier, comme avec le récent virus « Flame » qui a parfaitement illustré les différentes façons d’utiliser les malwares (lire aussi http://www.lemonde.fr/technologies/article/2012/06/20/flame-un-virus-espion-d-etat_1721182_651865.html). Partout, considéré comme le virus le plus sophistiqué de tous les temps, Flame prouve que le cyber-espionnage constitue une menace de plus en plus réelle et présente pour la sécurité des entreprises. Les secteurs cibles du cyber-espionnage, qui offrent aux pirates un potentiel financier considérable, incluent le pharmaceutique et l’aéronautique, où le vol d’idées et la commercialisation rapide de produits concurrents avant que ceux-ci ne soient brevetés sont économiquement très attrayants pour les auteurs de ces attaques.
La récente promesse de Google, qui s’est engagé à avertir les utilisateurs vulnérables de comptes Gmail potentiellement victimes d’espionnage d’état, est largement considérée comme une réaction à la découverte de Flame et à d’autres cas de cyber-crime ayant pris pour cible des responsables de plusieurs gouvernements, dont celui des Etats-Unis.
Toutefois, ceci met également en lumière que les consommateurs et les utilisateurs finaux sont eux aussi de plus en plus touchés par cette évolution des cyber-menaces. Dans la plupart des cas, les clients ou intervenants d’une organisation ne ressentent que très rarement les effets directs d’une attaque. Cependant, si une nouvelle génération d’attaques devait être orchestrée avec succès, l’organisation qui en serait victime en ressentirait probablement l’impact, car les actions indirectes qui seraient alors entreprises à un stade ultérieur auraient pour la plupart une incidence négative sur le consommateur.
Outre l’espionnage, la forte probabilité de voir une infrastructure critique être victime d’une attaque est aussi un problème particulièrement préoccupant. Les cybercriminels deviennent en effet de plus en plus déterminés et expérimentés dans leurs actions. Et il est inquiétant de voir à quel point les systèmes critiques sont généralement sous-protégés, et peuvent être exploités de plusieurs façons par les hackers, notamment à l’aide de malwares sophistiqués semant le chaos dans l’infrastructure. Sans surprise, les attaques perpétrées sur des infrastructures critiques peuvent engendrer de grosses perturbations, mais il faut un certain temps avant que la victime ne s’en rende compte.
Le virus Stuxnet qui a été découvert en 2010, par exemple, était le premier malware capable d’espionner et de déstabiliser des systèmes industriels, dont le principal but était probablement de récolter des informations sur l’infrastructure d’enrichissement d’uranium en Iran. Le virus était capable de dégrader lentement, mais considérablement, des réseaux et de nuire à leurs utilisateurs ; celui-ci a d’ailleurs réussi à paralyser les centrales nucléaires iraniennes. Les Etats-nations pourraient lancer une autre attaque avec le même objectif en tête (causer des dégâts graduels ou soudains à l’infrastructure cible), à un moment choisi dans le but d’avoir un impact maximal. Par exemple, une intrusion planifiée au moment le plus sensible d’une journée de négociation sur les marchés, ou coïncidant avec un évènement majeur tel que les Jeux Olympiques de Londres, où la ville est au centre de l’attention mondiale, pourrait aggraver l’attaque initiale.
Le cyber-crime se montrant de plus en plus sophistiqué, il est fort probable que nous continuerons à voir les violations de données à grande échelle faire la une de l’actualité, et d’autres organisations pourraient être forcées de suivre la même voie que Google et de reconnaître l’ampleur et l’urgence du problème. Le principal défi des organisations est de veiller à ce que la technologie actuellement en place soit capable d’identifier et de déjouer une attaque, dont le degré de sophistication est souvent inférieur à celui du malware utilisé pour exécuter le piratage.
Toutes les organisations qui ont le devoir de prendre soin de leurs intervenants doivent obligatoirement accroître leurs performances en termes de sécurité. Les outils traditionnels tels que les antivirus et les pare-feux se sont à maintes reprises montrés inadaptés et désuets face aux attaques de nouvelle génération, un malware intelligent pouvant très facilement contourner leur périmètre de défense. À la lumière de cette vérité, les entreprises et gouvernements doivent rapidement pourvoir leurs systèmes de sécurité d’une protection contre les menaces de nouvelle génération, capable de faire face efficacement aux défis posés par les cybercriminels contemporains.
La sécurité informatique a toujours été un processus quelque peu réactif, les organisations se défendant contre des menaces connues. Celle-ci doit à présent adopter un caractère proactif et être parée à toute éventualité. En bref, il serait bon de repenser l’infrastructure de sécurité, en partant du principe que les réseaux ont déjà été compromis. La question n’est plus de savoir « si », mais plutôt « quand », et toute entreprise doit impérativement agir rapidement, au risque de devenir la prochaine victime malheureuse qui fera la une de l’actualité.
Denis Gadonnet est regional sales manager south Europe chez FireEye