Nous avons quitté une décennie marquée par un changement technologique, encore jamais vu dans le domaine de la cybersécurité.
Que s’est-il passé et qu’avons-nous appris?
Avant 2010, les hacks étaient généralement motivés par un gain personnel ou financier.
Cette année-là, le ver Stuxnet a tout changé.
Attribué aux services de renseignement américains et israéliens, Stuxnet a ciblé les systèmes de contrôle de supervision et d’acquisition de données (SCADA) qui surveillent et contrôlent les processus industriels comme ceux des réseaux d’eau et d’électricité.
Le malware ciblait des centrifugeuses soutenant le programme nucléaire iranien, détruisant efficacement des équipements à plusieurs endroits.
Alors que les cyberattaques de nation à nation ont commencé avant 2010, Stuxnet a mis en évidence la puissance des armes numériques.
Les États-nations disposent de ressources qui dépassent les capacités des groupes de hackers indépendants; en effet le code utilisé de façon véritablement malveillante pourrait non seulement voler de l’argent et des données personnelles, mais aussi détruire l’infrastructure physique.
En 2015, la Russie a avancé ce paradigme en attaquant en ligne le réseau électrique ukrainien, coupant l’électricité avant que ses militaires n’envahisse la Crimée.
Pour la première fois, le piratage est devenu une partie intégrante de la guerre.
Une telle guerre peut s’étendre au-delà des cibles militaires
Comme nous l’avons appris en 2014 lorsque des pirates informatiques liés aux services de renseignement de la Corée du Nord se sont tournés vers Sony Pictures Entertainment.
L’objectif?
Empêchez Sony de continuer à promouvoir son film, The Interview , qui a dérangé le dirigeant despotique de la Corée du Nord, Kim Jong-Un.
Après la distribution du film, des pirates ont attaqué le réseau du studio et exposé des données et des courriels en ligne qu’ils utilisaient comme propagande pour discréditer le cinéaste.
Deux ans plus tard, des pirates informatiques ont exécuté l’attaque politique la plus notoire à ce jour contre le Comité national démocrate, exposant des courriels et des documents visant à influencer l’élection présidentielle américaine.
Cyber-attaques plus sophistiquées
Parallèlement, la dernière décennie a été témoin d’une augmentation de la sophistication et de l’ampleur des cyber-attaques traditionnelles.
Par exemple, en 2013, des cybercriminels inventifs ont utilisé des logiciels malveillants de point de vente (POS) pour collecter des informations de carte de paiement sur quelque 40 millions d’acheteurs cibles.
En 2016, un piratage minutieux de la banque centrale du Bangladesh a tenté de voler environ 1 milliard de dollars sur le compte de la banque à la Federal Reserve Bank de New York.
Les voleurs ont habilement utilisé le réseau SWIFT de confiance sur lequel les institutions financières s’appuient pour vérifier les transactions légitimes entre elles.
Les fautes de frappe, un peu partout, ont empêché la plupart des transferts, mais quelque 81 millions de dollars ont encore été perdus.
Les autorités soupçonnaient la Corée du Nord d’être derrière le braquage.
Un responsable de l’Agence nationale de sécurité a noté que si ce soupçon est correct, «un État-nation vole des banques».
En effet, certains ont affirmé que la Corée du Nord peuvent financer ses programmes d’armes avec le butin de ses hacks parrainés par l’ État.
Même la National Security Agency (NSA) s’est révélée vulnérable.
À partir de 2016, la NSA a été en quelque sorte pénétrée et un groupe de hackers connu sous le nom de Shadow Brokers a publié certaines des vulnérabilités non divulguées de l’agence dans la nature.
L’un de ces exploits a été utilisé pour créer le malware de chiffrement WannaCry qui a contribué à propager le fléau mondial des ransomwares.
WannaCry est attribué à la Corée du Nord, mais la Russie aurait également développé des ransomwares, tels que NotPetya et Bad Rabbit.
Selon les normes de piratage, les exploits de ransomware sont relativement simples et les outils sont disponibles en ligne.
Ils ne nécessitent pas de diplômes en génie logiciel, ce qui les met à la portée des hackers, même moyens.
Raj Samani, scientifique en chef et chercheur chez McAfee, a déclaré qu’aujourd’hui, «même un enfant de 11 ans pourrait monter et lancer une campagne de ransomware».
Une décennie d’innovation du hack
Qu’avons-nous appris de l’ingéniosité implacable des hackers au cours des années 2010?
Les violations continueront, les pirates informatiques sont de plus en plus avancés, leurs outils s’améliorent et prolifèrent, et les enjeux pour le reste d’entre nous sont plus importants.
Nous voyons même la cybercriminalité en tant que service, ce qui signifie que les acteurs malveillants peuvent sous-traiter.
Alors, que pouvons-nous faire?
Nous pouvons commencer par comprendre et admettre que le problème vient en partie du rythme rapide avec lequel les environnements de réseau changent et évoluent.
Les grandes et petites entreprises, publiques et privées, construisent des applications avec des conteneurs dans le Cloud, des technologies qui offrent des avantages distincts mais qui présentent également des problèmes de sécurité.
Les équipes de sécurité et les équipes DevOps, qui créent des applications conteneurisées basées sur le Cloud, sont encore trop souvent cloisonnées.
Le conflit inhérent est que DevOps veut lancer rapidement des applications tandis que la sécurité veut du temps pour examiner l’application.
À l’avenir, la sécurité des applications nécessitera l’intégration des équipes de sécurité dans le processus de création DevOps.
Cela garantira que les vulnérabilités sont corrigées et les risques bien compris par toutes les parties prenantes.
Dans un cadre idéal, sécurité et agilité se compléteront.
L’intégration de DevOps et de la sécurité est essentielle pour protéger les applications de production, mais elle ne corrige pas les vulnérabilités ailleurs dans le réseau, telles que les pare-feu, les routeurs, les serveurs et même les processeurs, ainsi que les zones de réseau en expansion et les utilisateurs imprudents.
Et cela ne tient pas compte du fait que les réseaux sont plus complexes et dynamiques que jamais.
Les équipes de sécurité qui réagissent simplement aux intrusions en colmatant les brèches font face à une tâche véritablement digne du mythe de Sisyphe.
Pour répondre à cette situation
Nous devons opérer de manière plus intelligente.
Une multitude de nouvelles sociétés de sécurité offrent d’excellents outils, mais même les ressources les plus efficaces ne seront d’aucune utilité sans les professionnels de la sécurité pour les mettre en œuvre.
Les SIEM émettent uniquement des alertes; ils ne prennent aucune mesure.
Aucune entreprise ne dispose de suffisamment de professionnels de la sécurité pour examiner chaque alerte que les SIEM génèrent 24 heures sur 24, 7 jours sur 7, dont les risques potentiels sont importants.
En 2018, même après avoir découvert que des pirates avaient pénétré un système clé, le groupe Marriott n’a pas réalisé pendant plusieurs mois que les données des clients, en grande partie avaient été volées.
Il a également appris que les pirates étaient dans le système depuis quatre ans.
Ce cas n’est malheureusement pas le seul.
Pour bon nombre des attaques dont les plus destructrices, des acteurs malveillants se cachaient sans être détectés sur les réseaux des semaines voir des mois.
La sécurité est responsable de l’établissement et d’application de critères de conformité, mais il est difficile de garantir la conformité lorsque le réseau est en constante évolution en raison des changements d’utilisateurs, d’applications, d’autorisations et de connectivité.
Il est presque impossible pour les équipes de sécurité en sous-effectif de garder une trace quotidienne de leurs infrastructures sur site et Cloud, ainsi que de travailler avec DevOps.
Combien d’entreprises connaissent réellement leur état de conformité à un moment donné?
Une organisation peut avoir un audit réussi un jour et introduire involontairement de nouvelles vulnérabilités le lendemain.
Et il y a un entretien de base comme la mise à jour des correctifs de sécurité.
Le vol de données personnelles d’environ 145,5 millions de personnes lors du piratage d’Equifax de 2017 a été causé par l’échec de la correction d’un serveur critique.
Pour suivre le rythme de l’évolution du paysage des menaces, les entreprises doivent aller bien au-delà de la gestion manuelle de la sécurité de leur réseau.
Ils doivent automatiser leurs processus.
L’automatisation signifie savoir que les règles, les autorisations et les correctifs sont toujours corrects et à jour.
Cela signifie une visibilité à travers l’environnement même s’il change.
Le suivi automatique des modifications, par exemple, suit chaque demande au fur et à mesure qu’elle se produit et garantit l’expiration des modifications lorsqu’elles sont planifiées, éliminant ainsi les éventuelles responsabilités.
Lorsque la gestion de la sécurité du réseau est automatisée, la conformité est continue, comprise et documentée tout au long de l’année.
La persistance et l’innovation des hackers au cours de la dernière décennie indiquent que les années 2020 pourraient être pleines de menaces.
Les organisations doivent continué de persévérer et d’innover pour se défendre.
Ils peuvent réduire les erreurs et les oublis et atténuer les risques en s’assurant que leurs réseaux sont constamment conformes aux politiques et réglementations de sécurité.
Minimiser l’écart entre l’état actuel de conformité et l’état de conformité souhaité est une préparation de bon sens, et cela ne peut être réalisé que par l’automatisation.
En savoir plus
Téléchargez l’infographie pour en savoir plus sur la manière dont l’automatisation peut aider à faire face à la fréquence et à la sophistication croissantes des cyberattaques.
Source : Tufin (Distributeur 2SB)
Pour en savoir plus sûr la solution
