Après les failles Meltdown et Spectre l'année dernière, il y a quelques jours, la nouvelle menace Zombieload, de type MDS (Microarchitectural Data Sampling), était révélée par des chercheurs. Selon ceux-ci, des centaines de millions d'ordinateurs sont concernés. Il s'agirait d'un problème mondial puisque tous les processeurs Intel conçus depuis 2011 seraient vulnérables : cette faille provoquerait la fuite des données sensibles, y compris les mots de passe, clés privées et messages privés. Même si des correctifs logiciels sont en cours de déploiement via des mises à jour de Windows, macOS et Linux, la performance des ordinateurs pourrait être affectée.

Selon le rapport annuel 2018 de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), si les opérations de sabotage restent les plus visibles, l'espionnage est sans nul doute le risque qui pèse le plus fortement sur les organisations. Il a été une préoccupation majeure pour l'agence en 2018 : "discrets, patients et bénéficiant de ressources importantes, certains attaquants semblent préparer les conflits de demain en s'intéressant à des secteurs particulièrement critiques (défense, santé, recherche, etc.). L'exploitation des relations de confiance entre partenaires en vue de mener des attaques indirectes constitue également un champ de préoccupation majeur".

De plus en plus d'attaquants choisissent de compromettre une cible intermédiaire comme un fournisseur ou un prestataire. Ils parviennent ainsi à contourner les mesures de sécurité des très grandes organisations. La compromission d'un seul intermédiaire suffit parfois à avoir un accès privilégié à plusieurs organisations et les attaquants peuvent alors mener des campagnes d'ampleur visant de multiples cibles à fort intérêt stratégique.

Les opérations de déstabilisation ou d'influence ont été particulièrement nombreuses en 2018. De faible technicité, ces attaques choisissent des cibles a priori vulnérables. Les conséquences vont de la simple indisponibilité du service au vrai sabotage.

"89 % des attaques aujourd'hui se font dans un but financier", déclare Vincent Meysonnet, directeur technique chez Bitdefender, à l'occasion d'un débat du club de la Presse informatique B2B sur le sujet. L'ANSSI a de son côté observé une multiplicité d'attaques ayant pour finalité l'enrichissement des attaquants, qui profitent de failles dans les SI pour compromettre les équipements en déposant discrètement des mineurs de cryptomonnaies. Contrairement aux rançongiciels, ces logiciels malveillants se font le plus discrets possible.

La fraude en ligne représente une menace permanente : l'ANSSI a observé de nombreuses campagnes d'hameçonage ciblant en particulier des collectivités territoriales ou des acteurs du secteur de la santé. L'objectif en est large et concerne souvent le vol de données personnelles, le paiement d'une rançon après chiffrement des données, le minage de cryptomonnaies ou la constitution d'un réseau de machines zombies, ou botnet.

Au total, en 2018, l'ANSSI a enregistré 1 869 signalements, 391 incidents hors opérateurs d'incidence vitale, 16 incidents majeurs et 14 opérations de cyberdéfense. Antonin Hily, directeur technique global cybersecurity chez Sogeti/Capgemini estime que "l'ANSSI prend une ampleur de plus en plus importante, parce que la cybercriminalité prend de l'ampleur". De son côté, Gilles Castéran, directeur d'Accenture Security pour la France, précise que selon une enquête Accenture portant sur les grandes entreprises mondiales le coût du cybercrime a augmenté de 70 % ces dernières années et le nombre des attaques de 67 % en 5 ans. Parmi les attaques récentes, celle de Saint-Gobain en 2017 est largement citée par les intervenants au débat précité. Dûe à NotPetya, cette attaque aurait généré une perte de chiffre d'affaires de 220 à 250 millions d'euros et 80 millions sur le résultat d'exploitation 2017.

Alors, dans des environnements informatiques de plus en plus multicloud, multi-technologies et utilisant des applications composites, ces attaques constituent-elles un risque bien réel ou s'agit-il d'un marketing de la peur ? Un peu des deux, sans doute.

Comment communiquer en cas d'attaque ?

Jérôme Chagnoux, manager avant-vente cybersécurité chez Oracle France, estime que l'éternelle question est de "savoir s'il faut ou non communiquer sur une faille". Lionel Meoni, directeur technique chez Rubrik France, constate que "les grandes banques ne vont pas annoncer qu'elles ont été attaquées...", mais estime qu'il n'y a pas de marketing de la peur et que "les directions du risque sont de plus en plus présentes aux côtés de l'IT". Gilles Castéran trouve que "le marketing de la peur est contre-productif parce qu'en fait un DG aime prendre des risques", avant d'ajouter que "la communication est de plus en plus transparente. Mais c'est une communication de gestion de crise". Antonin Hily déclare que "faire une annonce, c'est parfois courir un risque encore plus important. Certaines entreprises, comme récemment le groupe norvégien Norsk Hydro, communiquent toutes les deux heures. Mais en France on a du mal et on reste dans la culture du secret".

Et qu'en est-il des organismes centralisateurs comme les CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) ? Leur mission est notamment de de centraliser les demandes d'assistance et de traiter les alertes (analyse technique, contribution à des études techniques spécifiques etc.) et de prévenir par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou leurs conséquences. "Le CERT et le service communication des entreprises ne savent pas se parler", lance tout de go Antonin Hily.

L'IA, planche de salut

Il n'est désormais plus à démontrer que l'IA (Intelligence Artificielle) permet aux RSSI d'élever le niveau de sécurité : c'est une évolution majeure. Pour Lionel Meoni, c'est toutefois "encore un grand mot...". Jérôme Chagnoux estime néanmoins que "nous éditeurs devons apporter des réponses de plus en plus sophistiquées et automatisées et l'IA permet cette automatisation". En outre, les hackers mettent aussi à profit ces technologies d'IA, comme avec les bots qui réservent des billets d'avion par exemple (voir Quand l'IA se met au service de la sécurité IT). Il est donc nécessaire de les contrer avec les mêmes armes.

Vincent Meysonnet explique que "l'IA permet de détecter des comportements suspects et des corrélations entre différentes choses. On le voit dans le milieu bancaire, où on a souvent interdiction de mettre en place des automatismes, pour que ce soit un humain qui analyse la situation, prenne la décision et y remédie. L'IA est intégrée dans nos solutions et est transparente pour le client".

Gilles Castéran déplore cependant la pénurie de compétences dans le domaine, tandis qu'il déclare "l'IA est acquise pour moi, y compris pour faire du préventif". S'agissant de compétences, Antonin Hily précise que Sogeti/Capgemini "intègre de nouvelles compétences comme des psychologues ou des biologistes. Nous utilisons beaucoup le machine learning, notamment celui d'IBM, qui a un vrai intérêt lorsque les volumes sont trop importants pour un traitement manuel. Nous avons développé des systèmes qui analysent les mouvements des objets et leur comportement. Si le système détecte une anomalie, on envoie un humain sur place".

Et Antonin Hily de conclure : "l'IA a été une révolution pour nous".

Benoît Herr