Cybersécurité 2021 : Prévenir ET guérir ! – Par Thierry Karsenti & Greg Day, Palo Alto Networks

Sur fond de crise sanitaire et économique, d’accélération de la transformation numérique, de télétravail et de recours massif au Cloud, de déploiement 5G, ou bien encore d’agenda médiatique chargé, 2021 sera une année à haut risque cyber !

Par Thierry Karsenti (VP Technique EMEA) et Greg Day (CISO EMEA) – Palo Alto Networks

2021 approche à grands pas. S’il est difficile de prédire l’avenir, 2020 en est la preuve car personne ne s’attendait à cette crise sanitaire mondiale, une chose est d’ores et déjà acquise : la cybersécurité trustera certainement encore la Une des médias. Comme nous nous habituons au port du masque, il nous faut désormais intégrer cet état de fait : la question n’est plus de savoir si le risque cyber existe, mais quand il sévira et comment s’en prémunir.

Avouons pour commencer que la pandémie CoVid-19 a joué, malgré elle, un rôle de catalyseur en la matière : prise de conscience accrue du risque cyber, campagnes de cyber espionnage et de déstabilisation, multiplication et sophistication des attaques, automatisation de la réponse aux incidents, nécessité d’accélérer la transformation numérique des entreprises, pour répondre aux maux de cette crise sanitaire et économique.

Si le buzzword 2020 en matière de cyber fut le « ransomware », 2021 le verra sans nul doute à nouveau sur le devant de la scène, sans oublier les autres types de menaces qui pèsent sur les entreprises, les Etats et leurs administrations (phishing, domaines malveillants/parqués, fraude, malware, chantage à la webcam, usurpation d’identité/vol de données, etc.)

CoVid-19, vaccin, télétravail, boom du Cloud, crise économique, élections régionales 2021 et présidentielles 2022 en vue. Ces quelques éléments qui composeront l’agenda médiatique 2021 sont autant d’opportunités pour les hackers de mener des cyber actes malveillants.

Alors, à quoi faut-il s’attendre ? Voici quelques-unes de nos prévisions et recommandations cyber pour 2021

1. Le ransomware, un marché très rentable et peu risqué

Le risque est connu, de nombreux exemples récents l’ont rappelé. L’appétit vient en hackant pourrait-on dire. Aujourd’hui, le montant moyen d’une rançon est de 178 000$, contre 40 000 en 2019 (source: CoveWare). Le ransomware sera toujours en tête des attaques utilisées par les hackers car c’est un « business » juteux, avec une rentabilité pouvant aller jusqu’à 500%. Les ransomwares se multiplient. Tous les secteurs sont ciblés : industrie, santé, transports, logistique, défense, etc. La multiplication des ransomwares n’est désormais plus gérable par l’humain seul. Les hackers ont cette longueur d’avance et des moyens conséquents pour mener à bien leur

cyberattaques (dark web, attaque par rebond, soutien d’État/pays, de groupes d’activistes, etc.). L’hygiène numérique, de cybersécurité, réduit considérablement le risque et deviendra de plus en plus essentielle pour faire face au volume des attaques.

2021 verra sans nul doute bon nombre d’entreprises/organisations passer le pas de l’automatisation de leur cybersécurité. Tandis que l’IA et le ML se sont concentrés sur la détection, l’isolement et la réponse aux incidents/attaques, l’Homme pourra se concentrer sur des tâches à plus forte valeur ajoutée pour maintenir l’intégrité du SI et la continuité de services. Les hackers qui utilisent ces attaques sont difficilement traçables, identifiables. Cachés et/ou protégés, le ransomware est pour eux un outil simple à utiliser pour un risque minime. Les entreprises, administrations sont dépassées par le phénomène. Le risque est asymétrique. Il y a plus d’attaques que de ressources pour toutes les gérer. Faute de moyens financiers et humains suffisants, il est difficile de contenir cette menace. L’automatisation et l’apprentissage automatique joueront un rôle primordial afin de mettre à l’échelle et de transformer cela en un défi symétrique de machine à machine.

2. CoVid-19

La crise sanitaire CoVid-19 est aussi le terreau des cyber attaquants pour mener à bien leurs méfaits et larcins. Une récente étude de l’Unit42 s’est intéressée au phénomène. Les chercheurs de l’Unité 42, spécialisée dans la veille des menaces chez Palo Alto Networks, se sont intéressés de près à une multitude de cyberattaques, dont le fil conducteur est le COVID–19, déclenchées partout dans le monde ces derniers mois. Depuis le début de l’année, ils ont ainsi isolé plus de 40 000 sites web nouvellement enregistrés, utilisant une appellation en rapport avec le coronavirus, qu’ils cataloguent parmi les sites « à haut risque » en raison des escroqueries et des logiciels malveillants dont sont victimes des utilisateurs peu méfiants.

Au regard des enjeux sanitaires, économiques et de santé publique qu’ils sous-tendent, les vaccins qui se préparent actuellement en laboratoire sont très convoités par les hackers, voire par ceux qui les financent. Les informations associées à ces vaccins sont une manne financière potentielle, ou un outil d’intelligence économique fort pour qui les détiendra et saura en faire bon usage. Chaque État, concurrent ou autre organisation intéressée par le sujet cherche à savoir ce que l’autre fait et fera (logistique, prix, clauses de responsabilités, efficacité du vaccin, date de sortie officielle, etc.). Les laboratoires qui œuvrent sont des entreprises mondiales, avec des employés sur site ou en mobilité qui ne disposent pas toujours de connexions suffisamment sécurisées. Une chance pour les hackers et activistes/complotistes qui disposent ainsi d’une large surface d’attaque pour espionner, voler des informations confidentielles, usurper des identités, s’introduire dans les systèmes d’information, mettre à mal la confiance que l’on peut avoir dans le futur vaccin et ainsi mener des campagnes de désinformation par la suite, etc.

3. Les consommateurs/télétravailleurs dans le viseur

Avec autant de télétravailleurs, le maillon faible de la sécurité des réseaux personnels pourrait devenir le point d’entrée pour les appareils professionnels sécurisés. De nombreux foyers peuvent avoir entre 20 et 50 objets se connectant à leurs réseaux Wi-Fi, avec l’augmentation du nombre d’appareils intelligents qui s’y trouvent, y compris les sonnettes, les télévisions, les assistants numériques, ainsi que les inévitables téléphones familiaux, tablettes et ordinateurs des différents membres de la famille. Notre récent rapport sur la sécurité de l’IoT a révélé que de plus en plus d’appareils à vocation non professionnelle arrivent sur les réseaux. Des ours en peluche connectés aux dispositifs médicaux ou bien encore les véhicules électriques qui doivent maintenant être sécurisés aux côtés des dispositifs IoT de l’entreprise. Nous avons également vu les politiques de sécurité s’assouplir pour permettre au personnel d’utiliser ses appareils à la maison, par exemple, en ouvrant les ports USB pour permettre l’utilisation de moniteurs et d’imprimantes, ou d’autres besoins. Tout cela signifie que l’appareil utilisé et les éléments qui l’entourent deviennent de plus grands facteurs de risques pour accéder aux systèmes d’information d’une entreprise.

4. L’augmentation de la fraude à l’investissement

Que ce soit les petites entreprises ou les particuliers, beaucoup sont aux prises avec de grandes difficultés financières en raison de la crise du COVID-19. Les cybercriminels profitent malheureusement de telles circonstances, car, désespérés, les gens sont plus susceptibles de cliquer sur des escroqueries dans l’espoir, par exemples, que l’offre de prêts, les délais de paiement et les autres opportunités financières proposées soient vraies, même si, avec le recul, elles semblent bien trop belles pour l’être. Une grande partie de la cybercriminalité repose sur la psychologie : là où il y a un besoin émotionnel, les cybercriminels l’exploitent.

5. Les criminels ciblent les processus sans contact

Alors que nous cherchons à réduire les risques d’infection dans tous les aspects de notre vie, nous constatons que l’augmentation des limites de paiement sans contact, mais aussi d’autres méthodes, tels les codes QR, qui sont utilisés pour réduire les contacts, ne sont pas sans risque.
L’Unité 42 a découvert des exemples de codes QR exploités de façon malveillante et a vu de plus en plus de discussions et de tutoriels sur la façon de les détourner dans les forums « underground ».
Nous devrions voir les criminels continuer à cibler les processus sans contact immatures ou à tenter d’intercepter des transactions financières ou bien encore compromettre des systèmes pour voler des identités et d’autres données confidentielles.

6. Fatigue des employés

Travailler à domicile signifie que beaucoup d’entre nous sont maintenant connectés entre 10 et 12 heures par jour, obtenant très peu de répit entre les réunions et ne se déplaçant plus. Cela entraînera davantage d’erreurs humaines qui pourront causer des problèmes de cybersécurité purement attribuables à la fatigue ou à la complaisance des employés. Cela signifie que les entreprises doivent repenser complètement la façon dont elles forment leurs équipes IT à la sécurité. En y incluant des conseils de bien-être comme le besoin de faire une pause ou une formation pour reconnaître les signes de fatigue. Lorsque vous commettez une erreur de cybersécurité au bureau, il est facile d’aller trouver un responsable de la sécurité compréhensif. C’est beaucoup plus difficile de le faire à la maison sans accès direct à votre personne de référence habituelle, et il faut beaucoup plus de courage pour avouer ses erreurs à un inconnu. Les entreprises doivent prendre en compte ces erreurs humaines et assurer une sécurité constante de bout en bout. Vous ne pouvez plus supposer que parce que les applications professionnelles sont redirigées vers le VPN d’entreprise que tout est comme il se doit.

7. La 5G et l’informatique de périphérie pourraient prendre du repos

Avec les débats sur quel matériel peut être utilisé et où, et bien sûr tous les autres défis technologiques auxquels nous avons fait face en 2020, la 5G, l’informatique de périphérie et, dans une certaine mesure, l’IoT n’ont pas été à l’avant-garde des préoccupations des entreprises. Pourtant, en arrière-plan, d’énormes investissements sont faits pour le déploiement de la 5G et, en raison des retards, lorsque cela se produit, nous nous attendons à ce que la mise en service soit accélérée. 2021 sera l’année où nous verrons les cybercriminels vraiment sonder ces espaces pour en étudier les possibilités, car d’ici 2022, plus d’un tiers des opérateurs auront des réseaux 5G en place en Europe, selon une enquête de l’Enea. De plus, compte tenu de l’évolution de l’environnement de travail, nous nous attendons également à ce que des réseaux 5G privés voient le jour afin de permettre au personnel de travailler dans des bureaux reconfigurés.

8. La ruée vers le cloud : la sécurité rattrape son retard

La plupart des entreprises en Europe avaient l’intention de déplacer et héberger leurs processus métiers clés dans le cloud au cours des prochaines années. Avec le début de la pandémie, l’échéance se mesure désormais en mois. Plutôt que de prendre le temps de recoder les processus, une étape intermédiaire a été ajoutée : l’hébergement rapide. Bien que le processus soit toujours le même, l’environnement et la sécurité changent. Les entreprises, en 2021, prévoient la deuxième étape : récupérer les vrais avantages de l’agilité dans le cloud, tandis que les équipes de sécurité continuent de résoudre les problèmes liés à la transition. Cette migration continue, à marche forcée, entraînera des lacunes en matière de sécurité, et il est probable qu’il y aura plus d’incidents de sécurité dans le cloud jusqu’à ce que les migrations soient terminées et avant que la stabilité ne soit retrouvée, au moins pour un temps.

9.    La cybercriminalité tire parti des problèmes de conformité au RGPD dans le cloud

Il a fallu des années à la plupart des entreprises pour cartographier les PII (Personally Identifiable information) dans leurs SI pour le RGPD lorsqu’il est entré en vigueur en 2018. Avec le virage urgent vers le cloud et les outils de collaboration mis en place durant le confinement cette année, la conformité au RGPD n’était plus au centre des préoccupations. Alors que les entreprises tentent de reprendre le contrôle des PII dans le cloud, attendez-vous à ce que les cybercriminels cherchent à en tirer profit. Nous savons, d’après nos recherches de l’Unité 42, que la sécurité dans le cloud n’est pas souvent aussi forte qu’elle devrait l’être, encore une fois à cause de changements souvent accélérés. Dans un récent exercice de la Red Team, une simple erreur de configuration IAM (Identity and Access Management – gestion des identités et des accès) a permis à nos chercheurs de compromettre un environnement cloud entier et de contourner presque tous les contrôles de sécurité.

10. La protection de la vie privée devient de plus en plus locale

nous constatons qu’en Europe, la protection de la vie privée reste une préoccupation forte. Par exemple, un fabricant de smartphones a axé sa campagne publicitaire dans la région sur son respect de la vie privée de ses clients. Ce n’est pas un argument de vente supplémentaire ; cela devient simplement une exigence de base. Au même moment, l’Union européenne cherche à construire des cloud européens, comme le projet Gaia-X, qui s’aligne sur la stratégie plus large de l’UE en matière de cloud.

Tout cela souligne à quel point la protection de la vie privée figure à l’ordre du jour de l’UE. Cela pourrait rendre les stratégies de transformation numérique plus complexes à  plus long terme, à mesure que les tendances se poursuivront, axées sur la régionalisation des données. Ou plus probablement, il y aura une séparation plus forte entre les données réelles des PII et les métadonnées qui les sous-tendent. Dans un monde toujours plus connecté, la protection de la vie privée conduit beaucoup de gens à voir les données comme une ressource locale.

11. Les équipes SOC aux prises avec un nouvel environnement de travail et des charges de travail accrues

Comme de nombreuses sociétés cherchent à réduire leurs coûts, une solution naturelle consiste à accélérer la numérisation des processus. Cela signifie que la télémesure de la cybersécurité revient de plus en plus au SOC (centre opérationnel de sécurité). Ajoutons à cela le changement que nous avons déjà observé en télémétrie comme les employés travaillent à distance et utilisent plus de nouveaux outils de collaboration et le De nombreuses équipes SOC avaient également l’habitude d’utiliser plusieurs écrans pour l’analyse Big Data, et de faire régulièrement des points d’équipe pour discuter de questions complexes. Par conséquent, le passage au télétravail, souvent avec un seul écran, a été difficile pour certains.

Les équipes efficaces seront celles qui adopteront une approche de plateforme axée sur la donnée et basée sur l’apprentissage machine et l’IA, ce qui les aidera à être proactives contre les attaquants. Les cybercriminels adorent l’actualité : Les cybercriminels afflueront toujours pour exploiter les dernières tendances mondiales ou les dernières actualités. Nous avons vu ce phénomène tout au long de 2020 autour de la pandémie avec l’utilisation généralisée de thèmes liés aux virus, tels que les campagnes de phishing sur le thème de la COVID-19. En moyenne 1 767 noms de domaine présentant un risque élevé ou malveillants sur le thème de la COVID-19 sont créés chaque jour. Avec la période de transition du Brexit se terminant le 31 décembre, il y aura une avalanche de nouvelles ainsi qu’un désir d’information sur la façon dont il affecte à la fois notre vie personnelle et professionnelle. En cette période de fin d’année et de transition vers 2012, nous devons nous attendre à voir des escroqueries, de la désinformation et des attaques tirer parti d’un changement si important, non seulement pour les résidents du Royaume-Uni, mais aussi pour de nombreux habitants de l’UE. Nous pourrions voir apparaître de faux sites Web autour des formulaires que les entreprises devront remplir afin d’embaucher des employés de l’UE, par exemple. Le Brexit signifiera également que beaucoup de processus opérationnels devront changer (par exemple demander plus de licences d’exportation). Ce sera une ruée administrative, et nous risquons de voir des erreurs en cours de route, ce qui pourrait ouvrir des risques inutiles et d’autres possibilités pour les cybercriminels.

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?