Les experts en sécurité estiment que les entreprises et les gouvernements
doivent se préparer à des cyberattaques plus nombreuses et plus sophistiquées.
En 2012, l'industrie de la sécurité
prévoit une hausse des cyberattaques, mais aussi l'arrivée de logiciels
malveillants de plus en plus sophistiqués pour mener des opérations
d'espionnage informatique. Les deux dernières années ont été marquées par
l'augmentation brutale du nombre de cyberattaques. Celles-ci ont utilisé comme
vecteurs des logiciels malveillants qui ont permis aux pirates de s'introduire
dans les systèmes informatiques d'agences gouvernementales, de sociétés liées à
la défense nationale, d'entreprises classées au Fortune 500, d'associations de
défense des droits de l'homme et autres institutions, pour y voler des données
sensibles. « Je suis absolument convaincu que cette tendance va se poursuivre
en 2012 et au-delà, » a déclaré Rik Ferguson, directeur de recherche sur la
sécurité et la communication chez Trend Micro. « Cela fait plusieurs siècles
que les activités d'espionnage profitent des technologies de pointe pour
effectuer des opérations secrètes. Cette forme d'espionnage, qui tire profit de
l'Internet, n'a pas commencé en 2011, et ne va pas prendre fin en 2012, »
a-t-il ajouté.
Des menaces, comme le ver Stuxnet, qui a
infligé un retard de plusieurs années au programme nucléaire iranien, ou son
successeur, Duqu, ont surpris l'industrie de la sécurité par leur niveau de
sophistication. Selon ces mêmes experts, ce ne sont que des précurseurs, et ils
s'attendent à d'autres malware encore plus sophistiqués en 2012. « La
probabilité de voir d'autres menaces de ce type dans un proche avenir est
élevée, » a déclaré Gerry Egan, directeur spécialisé dans les réponses en
sécurité, chez Symantec. « Duqu a été utilisé pour voler des documents
importants à des entreprises qui fabriquent des systèmes de contrôle
industriel, ce qui laisse craindre de futures opérations de sabotage
industriel, à l'image de ce qu'a réalisé Stuxnet, » a expliqué le responsable
de Symantec. « Il est très probable que de nouvelles variantes de Duqu vont
provoquer des dommages début 2012, » a aussi déclaré Jeff Hudson, PDG de
Venafi, un vendeur de solutions de cryptage et de gestion de certificats pour
les entreprises. « Nous devons nous mettre en état d'alerte pour protéger nos
actifs et mieux nous préparer pour résister à ces menaces. »
Vers un état de cyberguerre froide
Cependant, malgré Stuxnet et Duqu, les
experts en sécurité ne croient pas que le monde soit attentif à la cyberguerre
qui se déroule sur les réseaux. « Pour qu'une contre-offensive soit qualifiée
de « guerre », il faut un état de conflit déclaré. Or, de mémoire, cela n'a
jamais été le cas pour une cyberguerre, » a déclaré le professeur John Walker, membre
du Conseil consultatif sur la sécurité à l'ISACA, une entreprise de
certification des professionnels de l'informatique. « Cependant, si nous
devions considérer la question sous l'angle des « cyberconflits », alors cela
serait très différent. Car il s'agit bien là d'un déploiement offensif de
capacités dans une forme ou une autre en appui à un objectif politique ou
militaire », a-t-il ajouté. Des pays comme les États-Unis, le Royaume-Uni,
l'Allemagne, la France, la Chine et l'Inde ont formé des équipes spécialisées
et crée des centres d'opérations dont l'objectif est de défendre le
gouvernement contre les cyberattaques et de riposter, si nécessaire. Toutefois,
la plupart du temps, il est quasiment impossible de déterminer avec certitude
quel pays mène, par Internet interposé, des opérations hostiles et ce n'est pas
le seul problème. « Tous les pays sont confrontés à la question des
représailles, » a déclaré Gerry Egan par courriel. « Si un acte flagrant de
cyberguerre a lieu, comment peut-on riposter contre le pays d'où est partie
l'attaque et dans quelle mesure ? Qu'est-ce qu'une réponse proportionnelle ? »
Des attaques comme Stuxnet et Duqu
pourraient très bien déboucher sur de grands cyberconflits dans le futur, mais
pour l'instant les entreprises et les gouvernements devraient se préoccuper
davantage du cyberespionnage, qui utilise souvent pour ses attaques de simples
outils d'exfiltration des données. Ces bouts de malwares simplistes, mais
efficaces, connus dans l'industrie de la sécurité sous le terme de menaces
persistantes avancées (APT), sont généralement répandus à l'aide d'outils
d'ingénierie sociale. Opération Aurora, Shady RAT, GhostNet, Night Dragon et
Nitro : toutes sont des attaques APT lancées au cours des deux dernières
années. Elles ont affecté des centaines d'entreprises dans le monde entier. Et
le nombre d'attaques APT devrait grimper en flèche en 2012. Pour se défendre
contre ces attaques, il faut d'une part former régulièrement les salariés à ces
risques, mais aussi des technologies de protection plus agressives, comme
celles basées sur les listes blanches, sur le File Reputation pour la détection
antivirale proactive ou encore la surveillance du comportement des
applications. « Dans beaucoup d'entreprises, l'utilisateur est encore le maillon
faible de la sécurité, et c'est la raison pour laquelle c'est lui qui est ciblé
en premier, » a déclaré Rik Ferguson. « La formation joue encore un rôle
important dans la sécurité d'une entreprise, mais il faut une formation
continue pour que cela soit efficace. »
Eduquer et responsabiliser les
utilisateurs
« Jusqu'ici, nous avons beaucoup mieux
réussi en corrigeant les logiciels qu'en éduquant les utilisateurs, » a déclaré
Amichai Shulman, directeur technique de l'entreprise de sécurité Imperva. «
Dans l'armée, j'ai passé beaucoup de temps à essayer de former des gens sur la
sécurité de l'information. Cela n'a pas fonctionné dans ce contexte, et cela ne
fonctionnera pas ailleurs. » Il faudrait un changement dans les paradigmes de
protection. « Il faudrait aussi plus de contrôles à la source. Par exemple,
autoriser ou non les applications à lire certaines informations, détecter des
comportements suspects - l'accès à données sensibles à une heure inhabituelle
ou de gros transferts de fichiers. C'est une partie de la solution, » a déclaré
le CTO d'Imperva.
Des technologies capables de vérifier la
réputation d'un fichier, sa date de création et sa popularité, avant de lui
permettre d'être exécuté sur un système, peuvent également être utilisées pour
bloquer les APT conçues pour échapper aux méthodes traditionnelles de détection
anti-malware. « Il ne fait aucun doute que les grandes entreprises doivent être
beaucoup plus conscientes des risques potentiels des programmes malveillants, »
a déclaré Jeff Hudson. « Si cette question n'est pas à l'ordre du jour du
conseil d'administration de votre entreprise, alors c'est une grande négligence
de sa part, » a-t-il conclu.
Source
Aucun commentaire:
Enregistrer un commentaire