Chef d’équipe, administrateur réseau, data miner, spécialiste de la finance… Voici quelques-uns des rôles devenus essentiels au bon fonctionnement des entreprises aujourd’hui. Et c’est exactement la même chose pour les gangs de cybercriminels les mieux organisés !
Certes, l’image du cybercriminel en sweat à capuche, penché sur son clavier et sévissant dans le fameux « Dark Web » est encore très vive dans l’imaginaire collectif. Mais en réalité, le pirate moyen est plutôt un simple rouage au sein d’un écosystème complexe qui ressemble beaucoup plus à une entreprise traditionnelle qu’on ne l’imagine ! La seule différence, c’est que leurs objectifs « professionnels » sont plutôt de causer des dégâts financiers ou nuire à la réputation d’entreprises, de gouvernements ou de consommateurs sur Internet.
En fait, le cybercrime est désormais géré exactement comme une industrie traditionnelle, avec de nombreuses couches afin de protéger ceux qui, au sommet, donnent les ordres. Il est donc essentiel pour les entreprises – légitimes, celles-ci ! – de revoir l’image qu’elles se font des cybercriminels et de leurs méthodes afin de mieux s’en protéger.
De jeunes pirates très motivés et bien encadrés
Les « collectifs de pirates » sont souvent organisés à l’image d’entreprises classiques, jusqu’à avoir des réseaux de partenaires, des revendeurs et des commerciaux. Certains ont même créé des centres d’appel afin d’aider leurs victimes à régler la rançon en crypto monnaies.
Et pour soutenir ce marché, qui a lui aussi besoin de constamment recruter, partout dans le monde de jeunes pirates font leurs premiers pas dans le développement d’outils malveillants, à la recherche de la moindre opportunité d’apprendre de nouvelles techniques, de développer de nouveaux outils ou – pour commencer – de modifier ceux existants. Le tout afin d’apprendre au contact de développeurs confirmés et de grimper à leur tour les échelons.
| A lire aussi : Dossier sécurité : ceux qui font bouger les lignes
Ces développeurs juniors rejoignent ensuite souvent une équipe de pirates existante, où ils apporteront leurs compétences certes encore fragiles, mais surtout en acquerront de nouvelles. D’ailleurs, de nombreux nouveaux venus sur la scène internationale du hacking sont de tels débutants, qui s’appuient sur des outils peu perfectionnés pour mener leurs premières attaques.
Il pourrait être tentant, pour les entreprises déjà bien équipées en outils de protection et bénéficiant de l’expertise d’un service dédié, de les ignorer. Mais ce serait une erreur.
Comment les cyber-gangs exploitent au mieux la technologie pour travailler plus intelligemment… et moins cher
Les groupes de cyber criminels travaillent souvent à distance, dans des organisations décentralisées, ce qui rend difficile leur détection. La nature de ces structures fait aussi que pour gagner en efficacité et exploiter au mieux les capacités de ces « juniors », elles recherchent à automatiser au maximum chaque étape de leurs actions, en n’ayant que le minimum d’interaction humaine à mener pour lancer telle ou telle composante de leur attaque. Ce qui a pour conséquence de rendre ces dernières à la fois plus rapides à exécuter et moins chères à mener, car nécessitant moins d’interactions humaines et de la part de pirates moins confirmés. En outre, les coûts, mais aussi les risques, sont encore réduits si l’on tient compte de la fluidité et de l’anonymat inhérent aux crypto monnaies (utilisées pour se rémunérer entre eux) et au Dark Web (utilisé pour échanger et recruter).
| A lire aussi : De 2018 à 2019 : des cyberattaques en pleine mutation
Cette approche est devenue tellement bien rodée désormais que les groupes de criminels peuvent se permettre de sous-traiter chaque étape de la chaîne, pour un coût modique, à des intervenants différents ne se connaissant pas entre eux (dont bon nombre de simples exécutants bon marché). Ce qui rend bien entendu leur identification d’autant plus difficile.
Menace en hausse sur les objets connectés
Selon le cabinet IHS Markit, il y aura 125 milliards d’objets connectés sur la planète en 2030.
L’on attend tellement de ces fameux IoT, et en particulier de leur promesse d’une connexion permanente à Internet, que les consommateurs, mais aussi parfois les entreprises, pourraient avoir tendance à faire passer la sécurité au second plan.
Pourtant, il est aujourd’hui largement plus simple de pirater un objet connecté à Internet et protégé par un simple mot de passe par défaut connu de tous, plutôt que d’essayer de convaincre un utilisateur de cliquer sur un lien piégé dans un email (ce qui est pourtant déjà très facile, et à l’origine d’une majorité de piratages aujourd’hui encore)
De ce fait, il est vital que les entreprises mettent en œuvre une véritable stratégie de sécurité pour encadrer leur usage des IoT, et en particulier qu’elles mettent en place des politiques de surveillance du trafic pour tous les équipements connectés, quels qu’ils soient. La visibilité est un prérequis essentiel pour réellement comprendre ce qui se passe sur son réseau informatique, et il est donc vital d’être en mesure d’identifier toute activité suspecte qui pourrait s’y dérouler.
Pourquoi votre vision de la cybersécurité doit changer
Depuis toujours, les équipes IT ont seriné les collaborateurs de l’entreprise avec des obligations telles que choisir des bons mots de passe (différents !) et d’en changer régulièrement. Mais l’on ne peut pas vraiment dire que les résultats soient globalement bons.
Les entreprises doivent donc essayer autre chose, et proposer d’autres solutions (des outils de gestion des mots de passe, par exemple ?), tout en continuant à sensibiliser et former leurs collaborateurs aux derniers risques numériques.
Au sujet des mots de passe, il est bon d’observer que les plus attaqués sont les mots de passe par défaut des équipements et des applications les plus populaires en entreprise, dont des listes circulent sur Internet. Mettre en place ne serait-ce qu’une politique de contrôle des configurations capable de s’assurer que les mots de passe par défaut ne sont pas utilisés permettrait d’élever sensiblement le niveau de sécurité et de faire en sorte que cette faille bien connue ne se traduise pas en un douloureux vol de donnée.
D’ailleurs, le renforcement des configurations système est un prérequis dans de nombreux frameworks de sécurité, qui ne s’y trompent pas.
En définitive, un responsable – qu’il s’agisse de l’audit, de la conformité ou de la sécurité – devrait superviser à tout moment les accès à tous les systèmes, sans exception. Car, généralement, les équipes sécurité vont se concentrer sur les systèmes qui entrent dans le cadre d’une obligation de conformité quelconque. Mais cela peut conduire à ignorer des systèmes en apparence anodins, mais qui pourront très bien être à l’origine d’incidents majeurs.
En plus de cette revue constante des accès, la surveillance devrait aussi être étendue aux signes courants d’une attaque sur les moyens d’accès. Les tentatives dites « de force brute » peuvent non seulement conduire tout aussi aisément à une brèche qu’une attaque plus sophistiquée, mais elles ont également un impact négatif sur la performance des systèmes visés, ou empêcher des utilisateurs légitimes d’accéder à leur compte. Il y a donc aussi un intérêt financier (et pas seulement sécuritaire) à se doter des outils de supervision appropriés.
On le voit, les cybergangs disposent de toute une palette de techniques pour cibler les entreprises, ce qui rend encore plus difficile la tâche des équipes chargée de les identifier à temps. D’autant qu’en l’absence d’une vraie politique de visibilité sur leur réseau, les entreprises sont très souvent totalement ignorantes du volume des attaques qui les ciblent, des systèmes impactés et tout simplement de la complexité qui est en œuvre derrière l’attaque. Si c’est aussi votre cas, vous opérez alors dans le noir sans faire les efforts nécessaires pour connaître votre ennemi. Ce faisant, vous continuez à faire courir un risque important sur vos données, vos collaborateurs et vos clients, en laissant les cybergangs agir librement dans l’ombre. Réagissez !