L’année dernière, nous avons vu des fournisseurs de solutions de sécurité se vanter de pouvoir empêcher les intrusions illicites dans des réseaux, alors qu’ils en sont bien incapables...
Des entreprises clientes ont de leur côté exprimé le besoin de surveiller et de défendre leurs environnements digitaux de manière innovante, en utilisant pourtant encore et toujours les mêmes technologies et approches pour mettre au point leurs programmes de sécurité… Ou comment espérer obtenir de meilleurs résultats sans jamais changer de méthode...
2015 a vu le panorama des menaces poursuivre son évolution, avec toujours une longueur d’avance sur les capacités de détection et de réaction de la plupart des entreprises. Les menaces considérées comme « sérieuses » auparavant font désormais l’objet d’une exploitation commerciale avec des « produits » à la portée de tous : des programmes malveillants et les solutions pour exploiter les failles sont ainsi disponibles sur le marché pour un coût modique proche de celui d’une place de cinéma… ce constat, aussi pénible soit-il, cette évolution, malgré son impact considérable, passent pour ainsi dire totalement inaperçus et restent mal compris. Les pirates qui exploitent des failles pour lancer des attaques utilisent plusieurs techniques et différentes portes dérobées, pour être sûrs d’atteindre leur but. Aujourd’hui, les tentatives d’attaques ne sont pas assez étudiées, et c’est là l’une des principales failles.
Une évolution positive commence toutefois à s’esquisser dans certains domaines, à la faveur d’une réaffectation des investissements réalisés dans la sécurité. Au lieu d’être concentrés sur la seule prévention, ils ont désormais pour objet de parvenir à un juste équilibre entre les capacités de surveillance, de détection et de réaction. Le discours selon lequel les brèches de sécurité sont inévitables, et qu’une détection plus rapide suivie d’une analyse de l’incident représente la meilleure solution a tout d’une idée reçue. Et pourtant… Les entreprises sont encore bien trop nombreuses à effectuer ces tâches à l’aide de leurs technologies et processus maison, alors que ces derniers ne sont pas faits pour cela et ne peuvent répondre à leurs besoins. Voici les 5 grandes tendances émergentes nécessitant dès à présent une préparation du côté de l’industrie et de ses acteurs :
Manipulation stratégique des données et prise de conscience
Les entreprises vont enfin se rendre compte qu’il est hélas possible d’accéder sans autorisation à leurs données, et que ces dernières peuvent en outre être altérées à leur insu. Sachant que les données permettent à des systèmes informatiques et à des humains de prendre des décisions, toute manipulation même involontaire conduira à des prises de décisions basées sur des données dénaturées et donc erronées. Avec des conséquences potentiellement catastrophiques dans le cas, par exemple, de systèmes de pilotage, de processus de fabrication stratégiques ou de mélanges sensibles de composants hétérogènes.
Hausse des attaques visant les fournisseurs d’applications hébergées
Les entreprises se sont familiarisées avec les offres de produits fournis « … (...As a Service) » qui les ont conduites à entreposer leurs applications et données sensibles dans des clouds de stockage. Or le regroupement de ces données précieuses, appartenant à différentes entreprises, en fait une cible potentiellement très lucrative pour les cybercriminels et les spécialistes du cyber-espionnage. Il est donc absolument vital de mieux évaluer les risques associés à ces offres de stockage géré par des tiers.
Le phénomène de l’hacktivisme et les surfaces d’attaque
Comme évoqué dans le point précédent, les outils et services servant d’appui à des cyberattaques sont désormais relativement accessibles, ce qui a énormément réduit le coût financier d’une attaque ciblant une entreprise. Cette baisse a ouvert la voie à des actions qui ne sont pas forcément motivées par les gains financiers possibles. Des collectifs d’hacktivistes spécialistes tels que les Anonymous ont été rejoints par des groupes partageant les mêmes motivations mais moins outillés. Les entreprises doivent prendre conscience que l’appât du gain n’est plus la seule ou principale motivation de certains de leurs concurrents. Les mentalités ont besoin d’évoluer du côté des services en charge de la sécurité ou de la gestion des risques, afin de mieux entrevoir la menace et surtout la surface d’attaque en se posant les questions suivantes : quelle est la zone ciblée, pour quelle raison, à quel endroit précisément et de quelle manière.
Les systèmes de contrôle industriels poussés jusqu’au point de rupture
Les intrusions dans les systèmes qui gèrent l’exploitation dans les secteurs de la pétrochimie, de l’électricité, de l’eau ou des transports, ont été multipliées par 17 ces trois dernières années. L’avènement des capteurs connectés et automatisés n’a fait qu’exacerber ce phénomène. L’usage croissant des cyber-technologies au service du terrorisme, des hacktivistes et d’autres acteurs, combiné à la faiblesse globale de la sécurité des systèmes de contrôle industriels, elle-même combinée à la capacité de mettre à l’arrêt une centrale électronique ou une station de traitement des eaux usées, augmente la probabilité de brèches critiques dans des systèmes de contrôle industriels. Une situation réellement très inquiétante.
L’industrie de la sécurité doit faire peau neuve
Notre industrie a reçu en abondance des investissements de capital-risque, misant parfois sur des stratégies et technologies prometteuses sur le papier… mais pas dans la réalité. Avec l’arrivée à maturité des programmes de sécurité des entreprises, ces dernières commencent enfin à comprendre que la promesse de prévenir des tentatives d’intrusion élaborées est vaine…. Les prochains mois devraient en toute logique être synonymes de changement pour l’industrie de la sécurité ; la prise de conscience dans les entreprises de la sophistication des menaces guidera de plus en plus leurs stratégies d’investissements dans des solutions de protection.