in

FireEye – Vision prospective du Paysage de la sécurité mondiale en 2017; de Nouveaux Territoires de Chasse pour les Hackers en 2017

FireEye annonce une série de prédictions en matière de cyber sécurité en 2017, qui comprennent entre autres l’arrivée de nouveaux ‘ransomwares’, l’influence grandissante de la cyber criminalité dans les relations géopolitiques, et la démocratisation des attaques sur les systèmes industriels et SCADA.

On a dit que «l’avenir est incertain», mais dans l’industrie de la cyber-sécurité, nous savons que certains types d’attaques et de crimes continueront sans relâche. FireEye et d’autres experts dans l’industrie ont fait des prévisions sur l’année à venir et ce régulièrement depuis plus d’une décennie maintenant. Certaines de ces prédictions se sont avérées correctes mais ne sont plus pertinentes aujourd’hui, néanmoins  d’autres – comme l’usage des rançongiciels ou ‘ransomwares’, la pénurie de ressources humaines formées et disponibles, et les menaces avancées sponsorisées par les états- continuent d’être identifiées comme des problèmes actuels et futurs pour l’année 2017.

Afin d’avoir une vision des challenges et des évolutions à venir, nous avons fait appel à plusieurs experts du domaine à travers le monde, dont David Grout en France en tant que Directeur Technique sur la zone Europe du Sud chez FireEye et nous avons aussi mis à contributions nos analystes, nos laboratoires de recherches et l’ensemble des données que nous récoltons lors de nos milliers d’heures de réponses à incidents annuelles ou à travers nos millions de “sensors” déployés dans plus de 60 pays.

L’ensemble de ces éléments, machines et humains nous permettent aujourd’hui de mettre en avant certaines prédictions qui nous semblent les plus justes. David Grout souligne que « le cyberespace devenant un terrain de guerre à part entière, les influences politiques à travers le cyber seront légions en 2017 ». Il ajoute «  Nous avons vu le retour d’attaque destructrice en fin 2016 et ce risque est plus que réel pour 2017 ».

FireEye prévoit que les attaquants continueront à rendre leurs malwares plus efficaces et plus difficiles à détecter – une nécessité pour eux compte tenu du succès de la technologie et des contrôles de sécurité. Par exemple, les acteurs de menaces cachent du code malicieux dans des secteurs non utilisés, et modifient frauduleusement les ‘master file tables’ (MFT) et les ‘volume boot records’ (VBR) pour implanter des malwares avant que les contrôles des logiciels de sécurité ne deviennent plus fréquents. David Grout résume la problématique « Le monde connecté apporte son lot de bénéfice mais la cyber sécurité sera un enjeu d’avenir pour les acteurs de l’internet des objets dès cette année ».

1)      Augmentation continue des attaques cyber sur les cibles les moins matures :

Historiquement les rapports M-Trends précédents ont montré qu’il existe un large intervalle de temps entre l’infection et la détection d’une cyber attaque. La publication la plus récente a montré que le temps de détection médian était de 469 jours dans la région EMEA. Lorsque l’on compare ce chiffre à la moyenne mondiale, on réalise que la plupart des organisations en EMEA prennent en fait 3 fois plus de temps à détecter une brèche par rapport au délai moyen constaté au niveau mondial. De plus, elles ne peuvent s’appuyer sur des ressources externes pour les informer des brèches, car seules 12% des organisations attaquées dans le cadre de cette étude ont été averties par des sources externes. Ceci veut dire que les organisations en EMEA et particulièrement en Europe doivent élever rapidement leur niveau de maturité lorsqu’il s’agit de répondre aux cyber attaques et aux risques associés aux brèches potentielles.

2)      La cyber criminalité financière au cœur de l’évolution des Ransomwares

L’éco système de la cyber criminalité est en constante évolution, et nous avons noté un fort accroissement de la fréquence des attaques contre le secteur de la finance par rapport à 2015. Ceci peut être dû au fait que d’autres industries ont amélioré leurs défenses, comme la grande distribution qui a mis en place une meilleure sécurité des transactions par carte de crédit et des stratégies de cyber sécurité plus matures, ce qui a obligé les cyber criminels à se tourner vers d’autres secteurs pour remplir leur objectif, qui au bout du compte est toujours de voler le maximum d’argent. Les ‘ransomwares’ ou rançonlogiciels ont occupé le devant de la scène, et si l’on considère la France, en 2016 par rapport à 2015, nous avons constaté une augmentation de 40000% du nombre de détections de ransomwares dans notre base de clients dans ce pays. Les ransomwares sont de loin la catégorie de malware la plus agressive que nous avons récemment observée, et la raison en est que les cyber criminels ont réalisé que leur retour sur investissement est bien supérieur à d’autres types d’attaques lorsqu’il s’agit de récupérer de l’argent. Autre raison également, en raison de problèmes politiques et du manque de collaboration entre les autorités et les forces de l’ordre des différents pays européens, il est relativement peu risqué pour les cyber criminels de continuer à diffuser des ransomwares sur une grande échelle.

3)      Influence grandissante de la cyber criminalité dans les relations géopolitiques :

Grand enseignement des élections présidentielles américaines en 2016 : nous devons maintenant nous attendre à ce que des nations essaient d’interférer dans les résultats d’élections dans un autre pays. A l’instar de la Russie qui a orchestré des piratages informatiques aboutissant au vol et à la publication de milliers d’e-mails de responsables démocrates afin de perturber l’élection présidentielle aux États-Unis. Concrètement, il existe désormais un risque élevé que des nations disposant des bonnes capacités technologiques, et ayant certains intérêts dans des élections à venir, que ceux-ci concernent leurs résultats ou un candidat ou un parti politique spécifique, essaient d’influencer le vote en conduisant des cyber attaques, en manipulant des données, en répandant de fausses nouvelles ou en utilisant Internet pour mener d’autres activités de cyber guerre de l’information.

4)      Pillage du capital intellectuel des industries françaises

Certaines nations acceptent au niveau politique de ne plus conduire de cyber attaques ayant pour objectif le vol de propriété intellectuelle, mais nous avons observé que d’autres continuent de s’adonner à cette pratique. Le marché de l’espionnage industriel via Internet a encore de beaux jours devant lui. Ceci s’explique par un manque général de maturité au sein de certains pays et de certaines industries, et aussi par le fait que le vol de ce type de données via Internet est moins complexe que par d’autres moyens plus classiques. Pour stopper ce type d’attaque, le seul moyen réellement efficace est un accord politique entre nations. Mais avant que cet accord existe, il est vital pour les organisations d’accroître la maturité de leurs capacités de cyber défense, non seulement via la technologie, mais aussi via de l’intelligence et de l’expertise.

5)      Internet des objets et véhicules connectés : un nouveau terrain de jeu

Avec l’introduction de l’Internet des objets, le domaine d’intervention des cyber attaques s’est largement accru. En 2016 nous avons connu certaines des plus grandes attaques de l’histoire visant des arrêts de service ou d’activité, ciblant des entreprises, des journalistes d’investigation et des fournisseurs de services, et même si ces attaques DDoS n’étaient pas quelque chose de très sophistiqué en comparaison avec ce que nous avions déjà vu, le volume et la taille de ces attaques ont surpris. La réalité des objets connectés dans laquelle nous vivons va devenir un terrain de jeu pour des cyber attaques de grande ampleur, et étant donné qu’il n’existe aucune réglementation en place concernant la sécurité et les capacités de protection des équipements connectés, nous nous attendons à voir de nombreux types d’attaques dans l’avenir, dans lesquelles les auteurs des menaces profiteront des faiblesses dans la configuration des équipements pour conduire des attaques visant à des arrêts de service de type DDoS.

6)      Démocratisation des attaques sur les systèmes industriels et SCADA:

Lorsque nous examinons les Systèmes de Contrôle Industriels (ICS), la visibilité des données continue de poser problème. En raison de la fragilité de beaucoup d’environnements ICS, il n’y a pas beaucoup d’informations disponibles sur les menaces potentielles ou sur les compromissions qui se produisent déjà dans l’environnement. Il ya aussi une grande différence entre les environnements opérationnels et ceux qui défendent le réseau. En outre, dans beaucoup d’organisations dans lesquelles l’ICS est un composant essentiel de l’activité, ou une infrastructure potentiellement critique d’une nation, l’importance de la disponibilité du système masque le besoin d’adresser les risques de sécurité. Les organisations qui dépendent d’environnements ICS ou d’infrastructures potentiellement critiques au niveau national devront tenir compte des risques et disposer d’un plan leur fournissant les capacités nécessaires de détection et de contrôle des menaces visant l’environnement ICS, et en la circonstance la visibilité est un facteur clé. Nous avons déjà vu dans le passé des attaques ciblant des environnements ICS, et le fait que toujours plus d’organisations souhaitent être capables de connecter ces environnements à Internet pour faciliter leur maintenance et leur administration à distance peut également ouvrir la porte à de nouveaux facteurs de menace.

7)      Utilisation d’attaques destructrices :

A la fin de l’année 2016, nous avons vu des acteurs de cyber menaces, représentant potentiellement un état nation, déployer des malwares destructeurs contre leurs victimes. Ces sortes d’attaques sont le plus souvent conduites à des fins politiques et peuvent être attribuées à un certain degré à des nations moins matures, essayant d’obtenir des capacités de cyber attaque plus offensives. Lorsque nous regardons l’environnement des menaces, spécialement lorsqu’il s’agit d’attaques ayant des motivations politiques ou contre des nations en conflit, les malwares destructeurs n’ont pas d’autre but que d’interrompre l’activité d’industries ou d’une infrastructure nationale, et c’est quelque chose qui pourrait également devenir une “arme de prédilection” pour des cyber criminels engagés pour causer des dégâts massifs dans des organisations concurrentes.

8)      Un important manque de talents en Europe:

Si les organisations doivent accroître la maturité de leurs capacités de cyber sécurité, elles devront se tourner vers l’automatisation, car elles ne pourront pas s’appuyer sur les hommes. Car il existe un important manque de talents en Europe, ce qui implique que les organisations seront contraintes de faire plus avec moins. Ceci peut évidemment entrer en conflit avec une meilleure maturité en matière de cyber sécurité. Les organisations seront donc obligées d’automatiser des tâches, et de dépendre de sources d’intelligence extérieure pouvant être utilisées instantanément pour enrichir leurs capacités de détection, ainsi que pour aider leurs dirigeants à comprendre quelles sont les risques associés avec leurs activités quotidiennes, leur stratégie de développement et leurs acquisitions potentielles.

9)      La Russie se fixera de nouvelles cibles pour les opérations d’influence 

La Russie pourrait porter une attention accrue aux missionnaires occidentaux résidant dans le pays et aux leaders religieux étrangers ayant un rôle en politique internationale. A partir du 20 juillet prochain, de nouvelles restrictions visant des groupes religieux non déclarés – en particulier les missionnaires mormons et les témoins de Jehova visant en Russie – et le prosélytisme de rue prendront effet, qui pourraient déboucher sur du cyber espionnage afin de faciliter le contrôle de leurs activités. Nous avons déjà vu les acteurs APT28 sponsorisés par le gouvernement russe utiliser un nom de domaine similaire à un autre appartenant au Vatican afin de laisser penser à leurs autres cibles que leur trafic malicieux était normal.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.