Sur fond d’augmentation du nombre et de la gravité des attaques informatiques, la cybercriminalité se transforme. Avec trois tendances à surveiller : les attaques via des tierces parties (fournisseurs, hébergeurs, éditeurs), le cloud et les objets connectés dans les environnements industriels.
Le FIC (Forum International de la Cybersécurité), qui s’est tenu à Lille les 23 et 24 janvier 2018, a battu ses records d’affluence, avec plus de 8 500 visiteurs (en hausse de 20 %), 350 exposants (+ 30 %) et 81 pays représentés. Signe que les problématiques de cybersécurité continuent à perturber l’esprit des dirigeants et des DSI.
Des études sur la cybersécurité sont publiées par dizaine, en particulier par les éditeurs de solutions de sécurité. Toutes, évidemment, dressent un tableau plutôt noir de la situation, de quoi doper leurs chiffres d’affaires. Selon les analystes de Xerfi, après une hausse de 10 % en 2017, le chiffre d’affaires des fournisseurs français devrait encore progresser au rythme moyen de 10 % par an à l’horizon 2020, soit un peu plus vite que le marché mondial (+9,5 %) qui frôlera alors la barre des 100 milliards d’euros.
Car la demande est au rendez-vous : les RSSI français de grandes entreprises, interrogés par le CESIN, association qui regroupe la plupart d’entre eux, reconnaissent, à 79 %, que leur entreprise a subi au moins une cyberattaque en 2017, dont 28 % plus de dix. Et un RSSI sur deux a constaté une hausse des attaques.
Fournisseurs : des failles en chaîne
L’une des tendances révélées par le Clusif concerne la montée en puissance des attaques via des tierces parties. « Sans intention de nuire, des fournisseurs majeurs ont été à l’origine de failles de sécurité très importantes. Nous pouvons citer Apple avec les multiples bugs permettant d’accéder à des informations confidentielles, Microsoft avec le gestionnaire de mots de passe dont on pouvait voler… les mots de passe, ou encore les fabricants de processeurs, comme Intel, avec les failles Meltdown et Spectre qui donnent accès à des informations confidentielles dans la mémoire des ordinateurs », a expliqué Gérôme Billois, partner au sein de la practice Cybersécurité et Confiance Numérique du cabinet Wavestone, lors de la présentation du panorama de la cybercriminalité par le Clusif.
Ces « supply chain attacks » ont toujours existé, mais leur multiplication et leur gravité ont rendu plus complexe le travail des équipes de sécurité. Gérôme Billois a cité le cas de la faille dans WPA ou celle de l’Intel management engine. En outre, les réponses apportées par les fournisseurs ont parfois été discutables. Apple a par exemple réintroduit une faille précédente dans un deuxième correctif. 2016 a été marquée par des piégeages massifs via des éditeurs, comme celui de Ccleaner avec 2,27 millions d’ordinateurs touchés.
L’attaque visait en fait 18 grands groupes, dont 8 ont été infiltrés, et non pas les particuliers. Le piégeage des infogérants a également montré l’inventivité des pirates qui ont ainsi exfiltré des données des clients. Gérôme Billois a donné quelques exemples, dont CloudHoper, avec une attaque débutée en 2014 et découverte seulement en 2017. Quinze pays ont été ciblés, avec plus de 70 variantes de backdoor et de chevaux de Troie : « Les infrastructures réseau compromises des infogérants ont été utilisées comme routes d’exfiltration de données », précise Gérôme Billois.
« Cette tendance lourde va sans doute se développer en 2018 et l’observation des comportements des ressources autorisées sera un challenge pour 2018 et le futur… et un enfer pour les équipes de production », a-t-il conclu. Selon Gérôme Billois, il convient « d’anticiper ce risque systémique » : « L’utilisation d’outils autorisés dans l’entreprise par des attaquants pour se déployer ou se déplacer est un challenge qui va grandir, de même que l’observation des comportements des ressources autorisées. Ainsi, la capacité d’isolation rapide et de détermination rapide du risque sera un facteur clé pour limiter les pandémies. »
Le facteur humain, maillon faible qui le restera
Selon une étude Deloitte, réalisée auprès de 403 entreprises françaises, celles-ci estiment, à 63 %, que la source des incidents de sécurité est d’abord liée aux salariés, devant les fournisseurs (15 %) et les anciens employés (12 %). « Il est donc primordial de s’assurer que chaque collaborateur ne possède pas de droit d’accès étendu non nécessaire, mais aussi d’évaluer les actifs informationnels les plus critiques pour mieux les sécuriser », suggère Michael Bittan, associé chez Deloitte en charge des activités cybersécurité.
Les attaques ont au moins le mérite de sensibiliser, comme le souligne Hervé Schauer (Deloitte), prenant l’exemple de Wanacry et NotPetya : « Ces attaques ont eu des conséquences majeures, mais heureusement dans un nombre de sociétés limité. » Elles ont « permis de sensibiliser et ont constitué un entraînement pour les cellules de crise ».
« 75 % d’entre elles affirment avoir pris des mesures de sécurité supplémentaires pour renforcer leurs systèmes d’information suite à ces événements », confirme Michael Bittan. Selon l’étude Deloitte, les quatre grandes mesures prises par les organisations sont la formation et la sensibilisation des employés (56 %), l’instauration d’une nouvelle organisation avec la nomination de responsables (35 %) tels qu’un RSSI, un CIL (Correspondant Informatique et Liberté) ou un DPO (Délégué à la Protection Données), la mise en place d’une nouvelle politique de gestion des habilitations et des accès (31 %), et le chiffrement des données (16 %).
Cloud et IoT : des facteurs aggravants
Le cloud pose encore question : « Le volume de données dans le cloud ne cesse de grossir. Ce qui conduit inévitablement à une augmentation des surfaces d’attaques possibles et à des risques potentiellement plus importants », précise Michaël Jacques, RSSI d’Inventiva. Accenture a été touchée à la suite de l’exposition de plusieurs espaces de stockage AWS S3, de même que Uber, qui a subi une attaque en 2016 (50 millions de comptes clients piratés) mais l’a passé sous silence. Deloitte a pour sa part été victime d’une attaque visant sa messagerie, après avoir migré son système de messagerie vers MS Office 365. Les pirates ont utilisé un compte administrateur mal sécurisé afin de le compromettre. L’accès n’était pas protégé par plusieurs facteurs d’authentification. « Ces attaques mettent en lumière la problématique de la sécurisation des containers et la non-utilisation de mécanismes de gestion d’identification et d’authentification », ajoute Michaël Jacques.
Selon un sondage, publié à l’occasion du FIC par l’hebdomadaire L’Usine Nouvelle et réalisé avec Orange Business Services et B2B Intelligence, les deux-tiers des entreprises industrielles reconnaissent avoir été confrontées à au moins un incident de cybersécurité au cours des douze derniers mois, une augmentation de onze points en un an. Au cours du FIC, El Yamani Hamedi, RSSI de la business unit France BtoB d’Engie Ineo, et Guillaume Malgras, RSSI projets chez Engie Ineo Cybersécurité, ont présenté une approche de sécurisation des systèmes d’information industriels.
Cette approche est basée sur les trois S : sensibiliser, sécuriser, superviser (Cf. encadré). Pour évaluer le niveau de maturité en sécurité, dans le cadre de « securiy expeditions », il faut d’abord réaliser des audits organisationnels (prise en compte de la sécurité dans les contrats de sous-traitance, capacité à anticiper les besoins en sécurité, implication du sponsor…) et techniques. « On procède à des tests d’intrusion, on scanne les vulnérabilités et on cartographie les réseaux d’automates », précise El Yamani Hamedi.
Pour le volet humain, « le plus important », selon Guillaume Malgras, une demi-journée est organisée avec les métiers. Côté matériels, outre la cartographie des équipements, l’accent est mis sur « l’analyse des versions des firmwares et des logiciels qui rendent les automates vulnérables, et celle des anomalies de paramétrage et de configuration des équipements de sécurité. Nous analysons une vingtaine de chapîtres et calculons un score sur 5 », détaille El Yamani Hamedi.
Les types d’attaques subies par les grandes entreprises françaises
Sécurité industrielle : l’approche 3 S d’Engie Ineo
Sensibiliser :
- Se baser sur des cas concrets.
- Commenter les cas récents médiatisés.
- Privilégier le pragmatisme sur la théorie.
Sécuriser :
- Supprimer tous les accès directs ouverts vers Internet.
- Séparer les flux.
- Contrôler les accès externes pour la télémaintenance.
Superviser :
- Se raccorder à un SOC (Security Operations Center).
- Consolider les événements pour disposer d’une vision globale.
- Mettre en place un système d’alertes.
Source : Engie Ineo