"En télétravail, avoir un VPN ne suffit plus à se protéger", d'après Eric Antibi (Palo Atlo Networks)
Marquée par la pandémie de Covid-19, l'année qui vient de s'écouler a vu apparaître de nouvelles menaces liées notamment à la généralisation du télétravail et une recrudescence des attaques informatiques. Eric Antibi, directeur technique au sein de l'entreprise de cybersécurité Palo Alto Networks, fait un bilan de 2020, dessine les grandes tendances et les défis à relever pour 2021.
L'Usine Digitale : S'il fallait décrire l'année 2020 en matière de cybersécurité, que diriez-vous ?
Eric Antibi : Il y a eu une recrudescence des cyberattaques au niveau mondial. Elles ont été multipliées par quatre, ce qui est énorme ! Bien évidemment, il y a eu beaucoup de ransomwares, des attaques qui deviennent très lucratives. Entre 2019, le montant moyen d'une rançon était de 40 000 dollars. En 2020, c'est 178 000 dollars.
Par ailleurs, il faut bien comprendre quelque chose : lorsqu'une attaque est déclarée, c'est qu'il y a eu dans la majorité des cas une intrusion dans les systèmes d'information plusieurs mois, voire un an à l'avance. Par conséquent, les cyberattaques perpétrées durant le premier confinement ont débuté en fait plusieurs mois avant cette période. Les hackers préparent donc minutieusement leurs actes.
Comment les hackers ont profité de cette crise sanitaire ?
Ils ont utilisé plusieurs méthodes, dont la plus connue est l'hameçonnage, une technique parfaitement adaptée à une période de forte actualité telle que la pandémie de Covid-19. Nos équipes de chercheurs ont ainsi recensé plus de 40 000 sites web malicieux qui utilisaient la thématique du Covid-19 pour que les internautes aient facilement envie de cliquer sur le lien frauduleux. En d'autres termes, ces éléments d'actualité sont utilisés pour augmenter les chances de réussir un hameçonnage, au-delà d'avoir un impact sur l'organisation du travail.
Justement, en quoi le travail à distance a challengé les entreprises en matière de cybersécurité ?
Avec la généralisation du télétravail, la surface d'attaque s'est considérément élargie sans que cela ne soit anticipé. En effet, en étant connecté depuis un domicile, on s'est retrouvé avec un mélange sur les mêmes réseaux de PC connectés au réseau de l'entreprise pour travailler, une imprimante également utilisée par les enfants, pourquoi pas des jouets connectés… On recense une vingtaine d'adresses IP connectées sur un réseau lui-même connecté au réseau d'entreprise, ce qui représente des surfaces d'attaques potentielles.
Se contenter d'utiliser un VPN ne suffit plus ! Pire encore, ce petit tunnel de sécurité est un excellent moyen d'avancer masqué pour un hacker. Si rien ne change, l'année 2021 sera marquée par une recrudescence des attaques via le télétravail. Il suffit qu'un salarié soit fatigué pour qu'il manque de vigilance même s'il a été très bien formé à ces problématiques.
La fin d'année a été également marquée par SolarWinds, quels sont les enseignements à tirer de cette cyberattaque assez inédite?
Tout d'abord, cette attaque montre qu'il n'y a pas que des ransomwares. Cela peut sembler rassurant car il n'y a pas de demande rançon mais ce n'est qu'une façade. Car les entreprises victimes sont encore en train de chercher si leurs serveurs ont été infectés par les malwares en cause.
Il y a deux éléments marquants. Le premier est l'utilisation du supply chain logiciel pour pénétrer les systèmes d'information de "x" milliers d'entreprises. Cela signifie qu'il s'agit d'une attaque extrêmement évoluée. Les hackers ont fait en sorte que les victimes ne se doutent de rien. En effet, lorsqu'un logiciel est mis à jour, il y a un système d'échange de certificat qui prouve que ce logiciel a bien été développé par la société de confiance, en l'espèce SolarWinds. Lors de l'attaque, le certificat était bon alors que des malwares se cachaient dans sa distribution. Aucun moyen pour les entreprises de se douter de quoi que ce soit.
Deuxièmement, l'objectif n'est pas monétaire, contrairement aux ransomwares. Les hackers cherchaient à dérober des données aux entreprises attaquées. Par exemple, FireEye s'est fait volé ses outils de "pentest", c'est-à-dire de tests de pénétration dans les systèmes. C'est un peu comme si on se faisait voler ses armes.
Quels conseils donneriez-vous pour éviter qu'une telle attaque ne se reproduise plus ?
Aujourd'hui, les équipes SOC sont un peu dépassées car les grandes entreprises continuent de cumuler plusieurs solutions de cybersécurité les unes à côté des autres. Elles fonctionnent correctement mais sont gérées de façon silotée, c'est-à-dire qu'elles sont gérées à part et par des équipes différentes. Par conséquent, les "logs", c'est-à-dire les événements, sont envoyés dans différents espaces de stockage ou dans un seul mais sans effort de corrélation.
Dans 100% des cas, même si cela peut prendre du temps, on finit toujours par détecter un événement suspect, par exemple un administrateur système qui s'est connecté à un serveur web connecté sur le cloud et qui a utilisé son login password d'admin. Cela signifie qu'il a toujours l'information quelque part. Nous devons faire comme les hackers qui ne se gênent pas pour utiliser des moyens modernes, le machine learning ou encore la scalabilité du cloud. Il n'y a aucune raison que ce soit des êtres humains qui fassent la recherche de ce qu'il s'est passé dans les logs pendant des jours et jours. Aujourd'hui, nous ne luttons pas à armes égales avec les hackers.
Il faut arriver à mettre en oeuvre les technologies qui existent déjà – de l'analytique, du big data...– en rationalisation les choses. Tous les logs peuvent être mis dans un data lake unique et laisser la machine faire tout ce qu'elle peut exécuter : corréler les événements, enrichir la donnée... Ainsi, on pourra réduire d'un facteur 1000 les événements et les transformer en vraies informations de cybersécurité.
L'année 2021 va notamment être marquée par l'arrivée de la 5G, quels défis y sont liés ?
Du côté B2B, soit les entreprises n'étaient pas du tout connectées et vont en profiter pour connecter des sites distants, soit elles vont remplacer par la 5G des lignes spécialisées qui remontaient vers le data center du siège avant d'aller vers les applications de la société ou sur Internet. Dans tous le cas, qui dit changement sur la partie réseau dit évolution de la sécurité. Par conséquent, il va falloir prendre des mesures très tôt sur plusieurs aspects tels que la sécurisation des infrastructures de nouvelle génération qui supportent les points de connexion 5G.
SUR LE MÊME SUJET
"En télétravail, avoir un VPN ne suffit plus à se protéger", d'après Eric Antibi (Palo Atlo Networks)
Tous les champs sont obligatoires
0Commentaire
Réagir