Où se cachent aujourd’hui les menaces informatiques ? Cinq mesures de protection contre les cyberattaques

Partager

Virus,  « worms », programmes malveillants… Voilà les menaces les plus fréquentes que l’informatique de la fin du 20ème siècle devait combattre. Un système protecteur à base d’authentification, la plupart du temps un programme anti-virus, suffisait à se protéger efficacement contre ces cyberattaques classiques. Mais aujourd’hui, les menaces informatiques qui pèsent sur les entreprises sont bien plus sophistiquées et nécessitent des niveaux de protection très particuliers, surtout lorsqu’il s’agit d’infrastructures critiques.

Anja Dörner, experte chez COMPAREX, nous explique comment les entreprises peuvent mettre en œuvre cinq mesures significatives pour se protéger des cyberattaques.

Le dernier rapport sur les menaces à la sécurité sur Internet de Symantec  démontre que les agresseurs ciblent de plus en plus leurs victimes de façon intentionnelle. Ils se concentrent en particulier sur les ETI et sur les grandes entreprises. Le secteur de la sécurité parle alors de  « Menace Avancée Permanente (Advanced Persistent Threat ou APT) ». Le rapport de Symantec indique que les agresseurs, avant de passer à l’attaque, collectent un maximum d’informations détaillées sur leur cible. Ils cherchent à connaitre la façon dont l’entreprise est structurée, quels sont les employés susceptibles d’avoir le plus facilement accès à ses nombreux programmes et applications, quels sont les sites web utilisés lorsqu’ils recherchent des informations, etc.

Un coup d’œil rapide à l’exemple de l’attaque « Dragonfly » (Libellule) montre bien ce à quoi ressemble une ATP :

Graphique N°1 : Attaque Libellule (Dragonfly) : un exemple d’APT, source : Symantec
Graphique N°1 : Attaque Libellule (Dragonfly) : un exemple d’APT, source : Symantec

Le schéma montre comment l’attaque « Dragonfly » a pu se dérouler. Elle a commencé en 2013 et a atteint les entreprises du secteur de l’énergie des pays suivants :

Graphique N°2 : Les 10 principaux pays atteints par une infection active, source : Symantec
Graphique N°2 : Les 10 principaux pays atteints par une infection active, source : Symantec

Dragonfly est une communauté de hackers très probablement basée en Europe de l’Est. Elle s’est tout d’abord attaquée aux compagnies aériennes et aux entreprises du secteur de la défense mais, depuis 2013, elle cible les entreprises industrielles du secteur de l’énergie. Dragonfly y opère de façon extrêmement professionnelle, en contaminant les logiciels utilisés au sein des systèmes de contrôle industriel à l’aide d’un virus Trojan spécial. Ce virus a réussi à pénétrer à l’intérieur des systèmes d’information des entreprises de ce secteur grâce aux mises à jour des logiciels (en vert dans le graphique N°1), ce qui a permis aux hackers d’accéder librement aux réseaux.

Ces hackers ont également mené d’autres cyber-attaques. Ils ont tout d’abord ciblé les employés de ces entreprises en leur envoyant des mails de phishing  (en bleu dans le graphique N°1), et ont, en parallèle, mené des attaques dénommées « watering hole » (en rouge dans le graphique N°1) qui inoculent des programmes malveillants dans les sites web. Dragonfly a réussi, grâce à l’utilisation de ces programmes, à récupérer des informations en provenance des systèmes informatiques, copier des documents et accéder aux adresses Outlook ou aux données de paramétrage des connexions VPN. Le rapport de Symantec sur la Sécurité précise que ces données ont été ensuite cryptées et envoyées vers le serveur de commande et de contrôle des hackers.

Il ne fait aucun doute que les hackers ont non seulement réussi à siphonner l’ensemble des informations existantes, mais qu’ils ont aussi réussi à inoculer leurs propres codes programme dans le logiciel de contrôle, pouvant ainsi disposer à leur gré et dans l’instant des installations techniques et de leurs systèmes d’information. Dans le pire des cas, cela aurait pu provoquer une perturbation majeure, voire une interruption, de l’approvisionnement en énergie et de sa distribution dans les pays touchés.

Une bonne raison pour réfléchir à la façon de protéger au mieux les systèmes d’information contre les cyberattaques

Cet exemple montre clairement qu’une Menace Avancée Permanente (APT) peut durer plusieurs mois, voire plusieurs années, et qu’une telle menace peut utiliser un large éventail de moyens d’intrusion. Les entreprises sont-elles en mesure, aujourd’hui, de détecter ce type de menaces et d’évaluer le risque que cela induit sur leur exploitation en utilisant uniquement leur logiciel de sécurité actuel ?
– L’expérience dont nous disposons démontre que la réponse est « Non ».

Une étude menée par l’ISACA révèle que 33 % des entreprises ne sont pas sûres d’être correctement protégées contre une cyberattaque  ou d’être en capacité de faire face de façon appropriée à une  APT. Les protections contre de telles menaces modulables et aléatoires doivent intégrer des solutions multiniveaux et des systèmes de sécurité ingénieux.

Les entreprises doivent mettre en œuvre et respecter les cinq mesures suivantes afin d’être suffisamment protégées

Graphique N°3 : Les cinq mesures de protection contre les cyberattaques, source : Symantec
Graphique N°3 : Les cinq mesures de protection contre les cyberattaques, source : Symantec

 Mesure N°1 : La prévention

Les entreprises doivent ouvrir les yeux, et se préparer à une véritable situation d’urgence qui peut frapper quiconque. Elles doivent élaborer des stratégies et des plans d’urgence, et connaître en profondeur leurs propres failles. Car après tout, elles savent déjà parfaitement comment procéder en cas d’incendie dans leurs locaux !

Note : Analyse des risques

Mesure N°2 : La mise en œuvre des mesures de protection

La meilleure méthode permettant de se protéger contre les cyberattaques, et tout particulièrement contre les ATP, consiste à bien verrouiller les points d’accès. Ici, il s’agit de mettre en œuvre tout un éventail de mécanismes de défense qui garantiront que les menaces ne pourront pas pénétrer le réseau informatique. De plus en plus fréquemment, ce concept est complété par la mise en place d’une sécurité coordonnée où plusieurs solutions communiquent entre elles et partagent les informations relatives au contexte et aux configurations. Ceci permet d’accélérer la détection des menaces et d’automatiser les réponses adaptées.

Mesure N°3 : La détection

Il existe déjà un grand nombre de méthodes permettant la détection et l’identification des logiciels malveillants. Il faut utiliser les connaissances actuelles afin de prendre une décision mûrement réfléchie quant à la meilleure stratégie de mise en œuvre de ces méthodes.

Mesure N°4 : La réponse

Lorsqu’un réseau a été infecté, les logiciels malveillants doivent être éradiqués complètement et il faut s’assurer qu’aucune trace de leur passage ne demeure. Il est alors nécessaire de s’assurer que le point d’accès est totalement sûr. Afin d’empêcher toute nouvelle attaque analogue, il est impératif de déterminer quand et comment le logiciel malveillant a réussi à accéder au réseau.

Afin de traiter les points 2-4, nous recommandons les solutions suivantes :

  • Symantec : Protection Avancée des points d’accès contre les menaces, Réseau & E-mail
  • Sophos : Protection Avancée Next-Generation des points d’accès
  • Trend Micro : Famille des produits de Protection Avancée contre les Menaces TippingPoint

 Mesure N°5 : Récupération et reprise

Un logiciel de sauvegarde approprié doit être utilisé afin de récupérer et de restaurer les données une fois que le système a été correctement nettoyé.

Nous préconisons les fournisseurs suivants :

  • Acronis
  • Veritas
  • Arcserve

Mon évaluation

J’entends fréquemment dire qu’il est extrêmement difficile – voire que cela représente un défi majeur – pour les entreprises de trouver des experts qualifiés en sécurité informatique et de mettre en œuvre les ressources nécessaires adaptées à l’analyse des données en provenance de sources variées.

De nombreuses entreprises se heurtent aux mêmes difficultés, comme le montre le graphique ci-dessous.

Graphique N°4 : les défis des entreprises en termes de sécurité informatique, source : Institut Ponemon 2015, "Etude mondiale 2015 sur les investissements & les dépenses en sécurité informatique"
Graphique N°4 : les défis des entreprises en termes de sécurité informatique, source : Institut Ponemon 2015, « Etude mondiale 2015 sur les investissements & les dépenses en sécurité informatique »

Il existe cependant, au sein même des entreprises, de nombreuses opportunités permettant de se protéger efficacement contre les cyberattaques ; que ce soit des programmes de formation visant à sensibiliser les employés aux problèmes de protection des données, ou bien la réalisation d’un audit approfondi portant sur la sécurité des systèmes d’information. Les prestataires informatiques, parmi lesquels COMPAREX, peuvent être d’une grande aide à cet égard.

Un article d'Anja Dörner Experte Symantec chez COMPAREX

 

 

 

 

Anja Dörner
Experte Symantec chez COMPAREX

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *