Cybersécurité : A quoi faut-il s’attendre en 2016 ? Arnaud Kopp, Directeur Technique Europe du Sud, Palo Alto Networks

L’année 2016 définira une nouvelle perception de la sécurité dans l’UE

La directive sur la sécurité des réseaux et l’information et la réforme globale du règlement sur la protection des données auront des conséquences sur les cyberstratégies en 2016. Elles seront toutes deux probablement sur le point d’entrer en vigueur d’ici la fin de l’année, mais les entreprises – qu’elles fassent partie d’une infrastructure nationale vitale, des Opérateurs d’importance vitale (OIV) ou qu’elles gèrent plus que les 5 000 dossiers prévus pour les citoyens de l’UE – devront avoir mis en place des moyens de sécurité alignés sur les technologies dernier cri existantes ; le règlement étant aligné sur leur profil de risque. Aujourd’hui, le fossé s’est creusé entre ceux qui exploitent des technologies de pointe et ceux qui n’ont rien changé à d’anciennes pratiques. Avec l’instauration d’éventuels audits de contrôle des moyens en cas d’incident et l’envoi possible de notifications, les entreprises seront sommées de suivre le rythme et prévenir de tels incidents. Avec de telles mesures, les dirigeants seront inévitablement sensibilisés à l’importance d’une cybersécurité performante. L’année 2016 marquera un tournant pour les entreprises concernées qui devront alors s’adapter.

Avec l’arrivée d’Apple Pay, de Google Pay et des paiements sans contact via les smartphones, la cybercriminalité va s’orienter sur les smartphones.

À la fin des années 1990, les menaces s’étaient intensifiées avec l’essor des opérations bancaires et des achats en ligne – nouvelles cibles des cybercriminels. On assiste aujourd’hui à une révolution inédite des modes de paiement avec la popularisation de nouveaux moyens : plates-formes mobiles de paiement (qui enregistrent un pourcentage d’utilisateurs à deux chiffres, soient plusieurs millions de transactions), transferts d’argent entre amis via Venmo et porte-monnaie électroniques. À l’heure où des entreprises comme Braintree facilitent le traitement de ces nouvelles formes de paiements pour des millions de commerces, il faut s’attendre à une réorientation du volume d’actes de cybercriminalité en direction de cet argent. Ces derniers mois, l’augmentation des nouveaux exploits détectés sur les terminaux Apple iOS a suivi l’essor des attaques sur Android. S’agit-il d’opérations de reconnaissance dans la chaîne logistique complexe des systèmes de paiement mobile ? Il est encore difficile de prédire comment les choses vont évoluer, face à l’ampleur prise par les terminaux intelligents dans notre hub numérique, et aux annonces en continu sur l’arrivée des fonctions de paiement (PAY) permettant d’activer les supports, la connectivité et d’autres services via la voiture. Récemment, des hackers ont pris les systèmes automobiles pour cible. Conséquence : des correctifs majeurs ont été publiés. Dans ce contexte prometteur, nous devons nous attendre à des attaques plus ciblées ; d’autant que la cybercriminalité suit généralement l’argent. Si aujourd’hui, la prévention des incidents sur les terminaux mobiles mobilise encore insuffisamment, cela devrait changer en 2016.

Europe, chaîne logistique et sécurité

Si la nécessité de disposer d’un arsenal de cybersécurité dernier cri est jugée prioritaire pour un grand nombre, les dépendances vis-à-vis de la chaîne logistique cybersécuritaire perdurent. Notre puissance est plafonnée au niveau de notre maillon le plus faible, comme en attestent certaines des plus grosses attaques mondiales de ces 12 derniers mois. En Europe, il est courant d’externaliser la sécurité à des chaînes logistiques internationales complexes. Ces partenariats devraient être passés au crible dans le cadre d’une intensification des procédures d’évaluation des risques. Les actions prises par les entreprises pour empêcher que ces partenariats ne deviennent le point d’entrée défaillant devraient également être évaluées de près. Pour limiter les risques propres aux connexions « grandes ouvertes », notamment dans un contexte de validation des communications, les partages de ressources/d’accès pourront être qualifiés et les services mutualisés pourront être consolidés.

Au niveau de l’état, une part importante de l’infrastructure nationale vitale (OIV) est basée sur des partenariats publics et privés – un sujet de préoccupation pour bien des entreprises qui craindraient de se retrouver prises entre deux feux en cas d’attaques. Face au développement avéré de ce type d’attaques, il pourrait se révéler compliqué de déterminer le niveau des moyens de sécurité nécessaires. Généralement, les risques courus par une entreprise – et ses investissements dans la cybersécurité – sont inférieurs à ceux d’un OIV. Mais si cette entreprise fait partie de la chaîne logistique de l’OIV, l’augmentation des attaques commises par des États-nations devrait nourrir une certaine confusion – sur les frontières, les moyens supplémentaires nécessaires et les modèles de financement. Résultat : cet espace complexe et difficile devrait cristalliser toute l’attention.

Le changement de position de la direction de la sécurité

Le directeur de la sécurité a longtemps été rattaché au directeur des systèmes d’information – la sécurité étant considérée comme une composante des systèmes d’information. Ce lien hiérarchique est en train de changer pour plusieurs raisons, comme signalé dans notre récent rapport« Governance of Cybersecurity 2015 ». D’après ce document, la part des Responsables de la sécurité des systèmes d’information (RSSI)/Directeurs de la sécurité qui rapportent aux Directeurs des systèmes d’information (DSI) est passée de 50 % en 2012 à 33 % en 2015, une chute notable uniquement observée en Europe. Sujet d’intérêt prioritaire, l’espace cyber, sa valeur et son impact s’invitent à l’ordre du jour des conseils d’administration. Le sujet mobilise et tire les investissements vers le haut ; il fait également évoluer le rôle du Directeur de la sécurité qui, de responsable technique devient responsable de la gestion des risques. Ces derniers temps, j’ai vu des Directeurs de la sécurité rapporter au Conseil général (pour s’attaquer aux conséquences juridiques d’une défaillance de la sécurité), au DAF (en raison des implications commerciales) et au PDG (du fait de l’impact pour l’entreprise dans son ensemble). Cette évolution qui vise à éloigner le rôle du Directeur de la sécurité du DSI – dont l’objectif principal est de mettre l’IT au service de l’efficacité opérationnelle de l’entreprise – se révèle plutôt saine. Une rupture de l’alignement des investissements entre ces deux impératifs (qui ne présentent pas un rapport linéaire entre eux) et l’instauration d’une saine tension entre les nouveaux moyens de l’entreprise auraient deux effets positifs : éviter les risques excessifs pour l’entreprise et favoriser de meilleures pratiques en matière de sécurité. Tant que le Directeur de la sécurité rapportera au Directeur des systèmes d’information, le risque que des conflits d’intérêts aient un impact sur l’objectivité des décisions prises perdurera.

Les réseaux d’entreprises classiques se rétrécissent

D’ici la fin 2015, on comptera trois fois plus de terminaux IP actifs que de gens, plus d’un zétaoctet de données transitant sur les réseaux mondiaux et 90 % des données mondiales ayant été créés au cours des deux dernières années. Les entreprises ne peuvent plus justifier les coûts de création de grands réseaux complexes et se tournent de plus en plus vers l’externalisation, la migration dans le Cloud et la consumérisation de leurs systèmes informatiques. On observe un rétrécissement des réseaux d’entreprises à l’heure où la DSI évolue pour devenir une entité digitale dont le cœur de réseau est des plus rudimentaires. Les outils métiers comme les CRM, les messageries électroniques et le partage de fichiers migrent dans le Cloud. Le dernier rapport Palo Alto Networks « Application Usage and Threat Report » faisait état d’une augmentation de 46 % de l’utilisation des ressources SaaS par les organisations, rien que pour l’an dernier. Si l’on ajoute à cela l’essor de l’adoption de l’Internet des Objets (IoT), des équipements M2M (Machine à Machine) sur le lieu de travail et des vêtements et accessoires intelligents (wearables) acquis par les utilisateurs, aucun doute n’est plus possible sur la mutation actuelle de l’informatique telle que nous l’avons connue.

Parallèlement à cette évolution, la cybersécurité s’accompagne d’une nouvelle courbe d’apprentissage : comment définir les bonnes pratiques pour les systèmes informatiques fantômes (shadow IT) ? Du simple concept de visibilité et de contrôle des règles, au respect des réglementations, tout cela nécessitera des moyens de pointe qui fonctionnent dans des environnements complexes, multilocataires et multihébergés. Revenons sur le BYOD (Bring Your Own Device) : l’évolution vers un modèle offrant de nombreux avantages a succédé à l’incertitude, soulignant la puissance silencieuse d’une tendance lourde pour emmener les gens à destination. Malgré les inquiétudes similaires que fait naître la migration vers le Cloud et l’IoT, l’Europe s’achemine vers une transformation de son informatique et l’émergence d’une entité digitale. Pour les entreprises, l’année 2016 marquera le coup d’envoi de l’adoption de ces technologies, qu’il s’agisse de simples vêtements/accessoires intelligents, d’outils métiers intelligents ou de mutualisation des ressources Cloud.

Des attaques aux contours flous

Ces dernières années, tous les regards se sont braqués sur les attaques APT (Advanced Persistent Threats) et celles causées par des États nation, leur impact étant généralement plus conséquent. Et pourtant, les frontières s’estompent. De nombreuses attaques régulières utilisent dorénavant des concepts plus perfectionnés s’inspirant du cycle de vie des attaques APT, comme la multiplicité des composants pour passer au travers des filets, ou s’en prennent à des cibles plus implicites. La cybercriminalité remet au goût du jour d’anciennes techniques comme l’infection de fichiers EXE et de macros. Les fraudeurs utilisent des techniques de reconnaissance et cherchent à faire un maximum de dégâts (à l’aide de techniques d’hameçonnage ciblé [whaling] pour s’en prendre aux personnalités en vue du monde de l’entreprise). En même temps, pour trouver de nouvelles techniques innovantes et des vulnérabilités non divulguées, certains groupes étatiques s’adressent à des cybermercenaires, issus du très vaste « pool » de connaissances derrière la cybercriminalité.

Nous devons cesser de chercher à classer les attaques en catégories et nous concentrer plutôt sur les méthodes et les motivations des cyberassaillants. L’impact d’un cyberdélinquant ciblé pourrait être aussi lourd que celui d’une attaque ciblée par un état nation. Et suivant la nation ou le cybercriminel impliqué, les compétences et les connaissances peuvent être presque aussi variées. Les deux sont dotés de capacités exceptionnelles et cherchent à reproduire les techniques employées par l’autre et à innover par eux-mêmes.

Nous avons certes déployé toutes sortes de solutions pour identifier différents types d’attaques. Cependant, à l’heure où les frontières s’estompent, mieux vaudrait que ces solutions fonctionnent comme une seule unité pour identifier les attaques non par type (APT – solution APT, cybercriminalité – AV, whaling et phishing – filtres de contenus pour passerelles), mais pour associer et corréler entre eux les attributs/indicateurs requis dans l’attaque afin de les détecter et de les bloquer efficacement.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Cybersécurité : A quoi faut-il s’attendre en 2016 ? Arnaud Kopp, Directeur Technique Europe du Sud, Palo Alto Networks

16th décembre, 2015

L’année 2016 définira une nouvelle perception de la sécurité dans l’UE

La directive sur la sécurité des réseaux et l’information et la réforme globale du règlement sur la protection des données auront des conséquences sur les cyberstratégies en 2016. Elles seront toutes deux probablement sur le point d’entrer en vigueur d’ici la fin de l’année, mais les entreprises – qu’elles fassent partie d’une infrastructure nationale vitale, des Opérateurs d’importance vitale (OIV) ou qu’elles gèrent plus que les 5 000 dossiers prévus pour les citoyens de l’UE – devront avoir mis en place des moyens de sécurité alignés sur les technologies dernier cri existantes ; le règlement étant aligné sur leur profil de risque. Aujourd’hui, le fossé s’est creusé entre ceux qui exploitent des technologies de pointe et ceux qui n’ont rien changé à d’anciennes pratiques. Avec l’instauration d’éventuels audits de contrôle des moyens en cas d’incident et l’envoi possible de notifications, les entreprises seront sommées de suivre le rythme et prévenir de tels incidents. Avec de telles mesures, les dirigeants seront inévitablement sensibilisés à l’importance d’une cybersécurité performante. L’année 2016 marquera un tournant pour les entreprises concernées qui devront alors s’adapter.

Avec l’arrivée d’Apple Pay, de Google Pay et des paiements sans contact via les smartphones, la cybercriminalité va s’orienter sur les smartphones.

À la fin des années 1990, les menaces s’étaient intensifiées avec l’essor des opérations bancaires et des achats en ligne – nouvelles cibles des cybercriminels. On assiste aujourd’hui à une révolution inédite des modes de paiement avec la popularisation de nouveaux moyens : plates-formes mobiles de paiement (qui enregistrent un pourcentage d’utilisateurs à deux chiffres, soient plusieurs millions de transactions), transferts d’argent entre amis via Venmo et porte-monnaie électroniques. À l’heure où des entreprises comme Braintree facilitent le traitement de ces nouvelles formes de paiements pour des millions de commerces, il faut s’attendre à une réorientation du volume d’actes de cybercriminalité en direction de cet argent. Ces derniers mois, l’augmentation des nouveaux exploits détectés sur les terminaux Apple iOS a suivi l’essor des attaques sur Android. S’agit-il d’opérations de reconnaissance dans la chaîne logistique complexe des systèmes de paiement mobile ? Il est encore difficile de prédire comment les choses vont évoluer, face à l’ampleur prise par les terminaux intelligents dans notre hub numérique, et aux annonces en continu sur l’arrivée des fonctions de paiement (PAY) permettant d’activer les supports, la connectivité et d’autres services via la voiture. Récemment, des hackers ont pris les systèmes automobiles pour cible. Conséquence : des correctifs majeurs ont été publiés. Dans ce contexte prometteur, nous devons nous attendre à des attaques plus ciblées ; d’autant que la cybercriminalité suit généralement l’argent. Si aujourd’hui, la prévention des incidents sur les terminaux mobiles mobilise encore insuffisamment, cela devrait changer en 2016.

Europe, chaîne logistique et sécurité

Si la nécessité de disposer d’un arsenal de cybersécurité dernier cri est jugée prioritaire pour un grand nombre, les dépendances vis-à-vis de la chaîne logistique cybersécuritaire perdurent. Notre puissance est plafonnée au niveau de notre maillon le plus faible, comme en attestent certaines des plus grosses attaques mondiales de ces 12 derniers mois. En Europe, il est courant d’externaliser la sécurité à des chaînes logistiques internationales complexes. Ces partenariats devraient être passés au crible dans le cadre d’une intensification des procédures d’évaluation des risques. Les actions prises par les entreprises pour empêcher que ces partenariats ne deviennent le point d’entrée défaillant devraient également être évaluées de près. Pour limiter les risques propres aux connexions « grandes ouvertes », notamment dans un contexte de validation des communications, les partages de ressources/d’accès pourront être qualifiés et les services mutualisés pourront être consolidés.

Au niveau de l’état, une part importante de l’infrastructure nationale vitale (OIV) est basée sur des partenariats publics et privés – un sujet de préoccupation pour bien des entreprises qui craindraient de se retrouver prises entre deux feux en cas d’attaques. Face au développement avéré de ce type d’attaques, il pourrait se révéler compliqué de déterminer le niveau des moyens de sécurité nécessaires. Généralement, les risques courus par une entreprise – et ses investissements dans la cybersécurité – sont inférieurs à ceux d’un OIV. Mais si cette entreprise fait partie de la chaîne logistique de l’OIV, l’augmentation des attaques commises par des États-nations devrait nourrir une certaine confusion – sur les frontières, les moyens supplémentaires nécessaires et les modèles de financement. Résultat : cet espace complexe et difficile devrait cristalliser toute l’attention.

Le changement de position de la direction de la sécurité

Le directeur de la sécurité a longtemps été rattaché au directeur des systèmes d’information – la sécurité étant considérée comme une composante des systèmes d’information. Ce lien hiérarchique est en train de changer pour plusieurs raisons, comme signalé dans notre récent rapport« Governance of Cybersecurity 2015 ». D’après ce document, la part des Responsables de la sécurité des systèmes d’information (RSSI)/Directeurs de la sécurité qui rapportent aux Directeurs des systèmes d’information (DSI) est passée de 50 % en 2012 à 33 % en 2015, une chute notable uniquement observée en Europe. Sujet d’intérêt prioritaire, l’espace cyber, sa valeur et son impact s’invitent à l’ordre du jour des conseils d’administration. Le sujet mobilise et tire les investissements vers le haut ; il fait également évoluer le rôle du Directeur de la sécurité qui, de responsable technique devient responsable de la gestion des risques. Ces derniers temps, j’ai vu des Directeurs de la sécurité rapporter au Conseil général (pour s’attaquer aux conséquences juridiques d’une défaillance de la sécurité), au DAF (en raison des implications commerciales) et au PDG (du fait de l’impact pour l’entreprise dans son ensemble). Cette évolution qui vise à éloigner le rôle du Directeur de la sécurité du DSI – dont l’objectif principal est de mettre l’IT au service de l’efficacité opérationnelle de l’entreprise – se révèle plutôt saine. Une rupture de l’alignement des investissements entre ces deux impératifs (qui ne présentent pas un rapport linéaire entre eux) et l’instauration d’une saine tension entre les nouveaux moyens de l’entreprise auraient deux effets positifs : éviter les risques excessifs pour l’entreprise et favoriser de meilleures pratiques en matière de sécurité. Tant que le Directeur de la sécurité rapportera au Directeur des systèmes d’information, le risque que des conflits d’intérêts aient un impact sur l’objectivité des décisions prises perdurera.

Les réseaux d’entreprises classiques se rétrécissent

D’ici la fin 2015, on comptera trois fois plus de terminaux IP actifs que de gens, plus d’un zétaoctet de données transitant sur les réseaux mondiaux et 90 % des données mondiales ayant été créés au cours des deux dernières années. Les entreprises ne peuvent plus justifier les coûts de création de grands réseaux complexes et se tournent de plus en plus vers l’externalisation, la migration dans le Cloud et la consumérisation de leurs systèmes informatiques. On observe un rétrécissement des réseaux d’entreprises à l’heure où la DSI évolue pour devenir une entité digitale dont le cœur de réseau est des plus rudimentaires. Les outils métiers comme les CRM, les messageries électroniques et le partage de fichiers migrent dans le Cloud. Le dernier rapport Palo Alto Networks « Application Usage and Threat Report » faisait état d’une augmentation de 46 % de l’utilisation des ressources SaaS par les organisations, rien que pour l’an dernier. Si l’on ajoute à cela l’essor de l’adoption de l’Internet des Objets (IoT), des équipements M2M (Machine à Machine) sur le lieu de travail et des vêtements et accessoires intelligents (wearables) acquis par les utilisateurs, aucun doute n’est plus possible sur la mutation actuelle de l’informatique telle que nous l’avons connue.

Parallèlement à cette évolution, la cybersécurité s’accompagne d’une nouvelle courbe d’apprentissage : comment définir les bonnes pratiques pour les systèmes informatiques fantômes (shadow IT) ? Du simple concept de visibilité et de contrôle des règles, au respect des réglementations, tout cela nécessitera des moyens de pointe qui fonctionnent dans des environnements complexes, multilocataires et multihébergés. Revenons sur le BYOD (Bring Your Own Device) : l’évolution vers un modèle offrant de nombreux avantages a succédé à l’incertitude, soulignant la puissance silencieuse d’une tendance lourde pour emmener les gens à destination. Malgré les inquiétudes similaires que fait naître la migration vers le Cloud et l’IoT, l’Europe s’achemine vers une transformation de son informatique et l’émergence d’une entité digitale. Pour les entreprises, l’année 2016 marquera le coup d’envoi de l’adoption de ces technologies, qu’il s’agisse de simples vêtements/accessoires intelligents, d’outils métiers intelligents ou de mutualisation des ressources Cloud.

Des attaques aux contours flous

Ces dernières années, tous les regards se sont braqués sur les attaques APT (Advanced Persistent Threats) et celles causées par des États nation, leur impact étant généralement plus conséquent. Et pourtant, les frontières s’estompent. De nombreuses attaques régulières utilisent dorénavant des concepts plus perfectionnés s’inspirant du cycle de vie des attaques APT, comme la multiplicité des composants pour passer au travers des filets, ou s’en prennent à des cibles plus implicites. La cybercriminalité remet au goût du jour d’anciennes techniques comme l’infection de fichiers EXE et de macros. Les fraudeurs utilisent des techniques de reconnaissance et cherchent à faire un maximum de dégâts (à l’aide de techniques d’hameçonnage ciblé [whaling] pour s’en prendre aux personnalités en vue du monde de l’entreprise). En même temps, pour trouver de nouvelles techniques innovantes et des vulnérabilités non divulguées, certains groupes étatiques s’adressent à des cybermercenaires, issus du très vaste « pool » de connaissances derrière la cybercriminalité.

Nous devons cesser de chercher à classer les attaques en catégories et nous concentrer plutôt sur les méthodes et les motivations des cyberassaillants. L’impact d’un cyberdélinquant ciblé pourrait être aussi lourd que celui d’une attaque ciblée par un état nation. Et suivant la nation ou le cybercriminel impliqué, les compétences et les connaissances peuvent être presque aussi variées. Les deux sont dotés de capacités exceptionnelles et cherchent à reproduire les techniques employées par l’autre et à innover par eux-mêmes.

Nous avons certes déployé toutes sortes de solutions pour identifier différents types d’attaques. Cependant, à l’heure où les frontières s’estompent, mieux vaudrait que ces solutions fonctionnent comme une seule unité pour identifier les attaques non par type (APT – solution APT, cybercriminalité – AV, whaling et phishing – filtres de contenus pour passerelles), mais pour associer et corréler entre eux les attributs/indicateurs requis dans l’attaque afin de les détecter et de les bloquer efficacement.

By
@coesteve1
backtotop