« C’est dans les vieux pots qu’on fait les meilleures confitures ». Un adage populaire qui pourrait bien s’appliquer au monde cyber, tant celui-ci sait jongler entre technologies du futur et nouveaux usages, tout en s’appuyant sur ses savoir-faire et remettre au goût du jour d’anciennes méthodes dont l’efficacité n’est plus à prouver. Pistes de réflexion.
Mais jusqu’où peut aller l’innovation dans le monde cyber ? Une question aujourd’hui sur toutes les lèvres, mais impossible à répondre. Et surtout, une question qui ne doit pas faire oublier l’importance du socle commun de connaissances. Car si l’innovation est bien l’un des piliers de ce domaine, la capacité à capitaliser sur un savoir-faire solide et à recycler d’anciennes techniques est également l’un des points d’ancrage du monde cyber.
Des marchés – qui hier n’étaient pas concernés par les menaces de cybersécurité – entrent aujourd’hui dans le vif du sujet, et la prochaine cyberattaque médiatique de demain sera probablement en grande partie construite sur les fondations d’une attaque d’hier. Un savant mélange donc entre neuf et ancien, qui sert aussi bien les intérêts des grands acteurs de la cybersécurité que ceux des attaquants, et qui entraîne l’écosystème dans une course quasi-permanente entre les deux camps. D’où l’intérêt du côté défenseurs, de faire front commun en partageant la connaissance et en échangeant de bonnes pratiques de sécurité.
Des savoir-faire dépassés pour certains secteurs, mais parfaitement adaptés à d’autres
Quand on pense cybersécurité, on pense d’abord au monde « IT » (technologies de l’information), qui regroupe tout ce qui a trait à l’informatique et à Internet. On pense moins souvent à « OT » (pour « Operational Technology »), qui s’applique particulièrement au secteur de l’industrie, un secteur en pleine ouverture et en pleine transformation qui connaît à son tour des problématiques de cybersécurité.
L’IT est un monde en constante évolution : nouvelles applications, nouveaux terminaux, nouveaux usages, voire même nouvelles populations avec l’arrivée de seniors dans ce domaine. Cette évolution effrénée, les acteurs de la cybersécurité ont appris à vivre avec et à imaginer des protections sans pouvoir réellement anticiper tout ce qui va se produire. « Il faut accepter le risque et imaginer des solutions de sécurité en partant de cette philosophie », indique Matthieu Bonenfant, Directeur Marketing chez Stormshield. A contrario, le monde de l’OT est un monde beaucoup plus contrôlé et défini à l’avance. Chaque commande de chaque composant du système industriel compte et doit être connue et référencée. C’est l’inverse de l’improvisation, car les enjeux sont gros : « Si l’on prend le risque de pouvoir se tromper de commande pour une station de transformation électrique par exemple, on prend le risque de faire tomber le réseau », ajoute Matthieu Bonenfant.
Mais quel point commun alors entre IT et OT ? La cybersécurité justement, et plus particulièrement la capacité du monde cyber à recycler certaines techniques de défense qui ont fait leurs preuves. Des méthodes de protections qui prouvent leur efficacité depuis des dizaines d’années pour l’IT répondent également parfaitement aux enjeux de l’OT, qui se prend de plein fouet les problématiques cyber depuis l’avènement de l’industrie 4.0. « L’arrivée de la cybersécurité dans l’industrie est encore assez récente, et ce qui fonctionnait il y a quelques années pour l’IT peut aussi fonctionner aujourd’hui pour l’OT », explique Adrien Brochot, Product Manager Stormshield. Partant de ce constat, les acteurs de la cybersécurité – et a fortiori les éditeurs – doivent être en mesure de capitaliser en partageant leur savoir-faire pour répliquer des types de défense existants sur ces nouvelles infrastructures.
C’est le cas par exemple de l’IPS (Intrusion Prevention System), qui permet une analyse fine des communications réseau afin de vérifier qu’une faille d’un protocole n’est pas exploitée ou qu’une commande illégitime n’a pas été insérée. Alors que l’IPS constitue toujours un réel besoin pour l’IT, ce système s’avère encore plus indispensable pour l’industrie où les conséquences d’une altération du contenu des connexions peuvent être catastrophiques. N’autoriser que ce qui est considéré comme légitime et qui correspond à un comportement référencé est souvent primordial dans ce contexte. Le monde de l’OT était très peu connecté à Internet jusqu’alors. Mais aujourd’hui, les réseaux opérationnels sont connectés de manière directe ou indirecte sur le Web, et les lignes de production aussi, désormais exposées à des menaces cybers, et à des typologies d’attaques utilisées hier pour l’IT.
Faire du neuf avec du vieux : les cyberattaques ne sont pas en reste
Les attaques, justement, ne sont pas en reste et profitent, elles aussi, du champ des possibles offert par l’évolution du monde cyber : les cyberattaques profitent à la fois des savoir-faire d’hier et des avancées technologiques.
En réalité, 90% des nouvelles attaques sont basées sur d’anciennes et les attaquants trouvent juste des adaptations de ces dernières pour passer les barrières de sécurité et entrer dans un système
Adrien Brochot, Product Manager Stormshield
Si de nouvelles failles et de nouveaux environnements sont exploités par les attaquants, les principes-mêmes de l’exploitation de ces failles et de ces environnements évoluent lentement. Et pour rentabiliser les cyberattaques, les groupes de cyber criminels font souvent appels aux recettes qui ont déjà fait leurs preuves. « En réalité, 90% des nouvelles attaques sont basées sur d’anciennes et les attaquants trouvent juste des adaptations de ces dernières pour passer les barrières de sécurité et entrer dans un système », précise Adrien Brochot. En effet, le recyclage a la cote en cybersécurité ; certains ‘nouveaux’ malwares n’étant en réalité que des variations de leurs prédécesseurs.
De fait, les bases de données qui recensent ces malwares et leurs variations multiples deviennent trop denses et trop lourdes pour être supportées par les systèmes d’exploitation. On ne référence alors que les malwares les plus récents au sein de ces bases, ce qui représente pour les attaquants une opportunité d’exploiter de vieux malwares, qu’on aurait presque oubliés… Prenons le cas du malware Emotet par exemple, dont les premières attaques ont été observées en 2014 et qui, selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), reprendrait du service en cette rentrée 2020.
Les cyberattaques sont aussi fréquemment déroulées à des périodes de temps différents, d’une part parce qu’elles ont prouvé leur efficacité par le passé, d’autre part parce que même si des patchs correctifs sont publiés lorsqu’une faille est découverte, tout le monde n’applique pas ces patchs, en tout cas pas simultanément : ce laps de temps est un point d’entrée idéal pour les attaquants, qui eux aussi profitent de cette nouvelle faille fraîchement révélée.
En effet, depuis quelques années maintenant, la découverte de failles et les cyberattaques occupent grandement la scène médiatique et varient en fonction des effets de mode, servant à la fois les intérêts de ceux qui souhaitent s’en prémunir, comme de ceux qui souhaitent les exploiter. Certaines typologies d’attaques sont particulièrement médiatisées, comme les ransomwares, les chantages à la webcam, ou encore les fameuses arnaques au Président. Ce type d’attaque a particulièrement eu le vent en poupe ces dernières semaines avec la crise sanitaire du Covid-19 : on note une recrudescence d’usurpations d’identité (ministres, directeurs d’hôpitaux et autres acteurs clé de la crise sanitaire) dans le but de soutirer des fonds. Mais il existe aussi des typologies d’attaques qui, au contraire, passent littéralement sous le radar médiatique, et sont gardées au chaud par une partie de l’écosystème qui les analyse – certaines agences étatiques utilisant cette méthode pour ensuite les exploiter discrètement, à l’abri de tout effet buzz. Pour creuser le sujet, l’épisode « Shadow Brokers » du podcast Darknet Diaries est un incontournable.
L’enjeu clé pour les attaquants est, et sera toujours, d’exploiter ce qui est mal protégé
Matthieu Bonenfant, Directeur Marketing chez Stormshield
« L’évolution des cyberattaques, c’est un peu comme l’évolution de la mode vestimentaire : il y a du neuf, du vieux, et du neuf créé selon les codes du vieux » s’amuse à dire Matthieu Bonenfant, qui précise que « certaines techniques anciennes vont vite trouver leurs limites et vont donc être adaptées et mises au goût du jour pour redevenir performantes, et ce, ainsi de suite ». En 2017, l’attaque du ransomware Wannacry avait beaucoup fait parler d’elle, paralysant en partie bon nombre de grandes entreprises et organisations, comme le géant industriel français Renault. Pourtant, Wannacry, tout comme NotPetya quelques mois plus tard, présentait de très nombreuses similitudes dans son mode de propagation avec le ver Conficker, 10 ans auparavant.
Capitalisation sur l’ancien, adaptation des cyberattaques, mise à profit des avancées technologiques… S’il fallait synthétiser l’évolution des cyberattaques en une seule idée, voici ce qu’il faudrait avant tout retenir, selon Matthieu Bonenfant : « L’enjeu clé pour les attaquants est, et sera toujours, d’exploiter ce qui est mal protégé ».
Quid du rôle des solutions de cybersécurité dans tout ça ?
Protéger, c’est bien le rôle-clé des solutions de cybersécurité. Mais pour protéger, il faut d’abord déterminer la manière dont fonctionnent les cyberattaques et comprendre les incidents cyber. Décortiquer, analyser les modes opératoires des attaquants et être en veille permanente sur les dernières failles découvertes, mettre au point des systèmes capables de collecter les « traces » des cyberattaques, sont autant d’éléments clés qui permettent d’adopter une posture de défense adéquate.
Les analystes sécurité jouent un rôle déterminant dans la capacité à appréhender une cyberattaque. Leur rôle est à la fois d’identifier le vecteur d’attaque (le réseau, une clé USB, etc.) et de comprendre la ou les actions menées par l’attaque et la manière dont elle s’est propagée au sein des réseaux, qu’ils soient informatiques ou opérationnels. Cette connaissance est nécessaire pour avoir une bonne maîtrise de l’écosystème cyber – lister les différentes typologies d’attaques, disposer de catalogues de failles, de patchs – mais aussi pour être capable de prendre de la hauteur et d’adapter les solutions de cybersécurité en conséquence. Le point de vue « tech » est donc primordial pour diagnostiquer une cyberattaque et comprendre son impact.
La manière dont évolue le monde cyber est un challenge pour les acteurs de la cybersécurité et notamment les éditeurs, qui doivent à la fois se concentrer sur de nouvelles techniques, l’évolution de celles-ci, le tout en gardant un œil sur l’existant. Ils ont en quelque sorte un devoir de mémoire, et il en va de leur responsabilité de ne pas délaisser d’anciennes techniques de protection dont l’utilisation devient moindre avec le temps, car c’est précisément ce qu’attendent les attaquants. À l’image d’Emotet dont il était question plus tôt dans cet article, d’autres malwares font régulièrement des retours fracassants comme ceux qui utilisaient des macros dans la suite Office. Un malware ne sera jamais aussi dangereux que si on le pense disparu.
Toujours dans cet esprit de créer une continuité entre l’ancien et le vieux, les éditeurs des solutions de cybersécurité « ont un rôle crucial d’information au sein de l’écosystème : conférences, salons, rédaction de livres-blancs, présentation de use cases, etc. » explique Adrien Brochot, pour qui ces temps d’échanges et ces outils facilitent le partage de connaissance et la capitalisation au sein de la communauté cyber.
De l’importance du partage de connaissance et des bonnes pratiques
Pour tirer le meilleur de l’évolution du monde cyber et de l’ère numérique, les acteurs de la cybersécurité ont tout intérêt à se penser comme un écosystème et à faire de la cybersécurité une cause commune et une responsabilité collective. Si de nombreux acteurs au sein de cet écosystème sont concurrents, cela n’empêche en aucun cas de partager information et connaissance et de créer des partenariats. De plus, de nombreuses bases de données techniques sont accessibles et enrichies par la communauté, comme VirusTotal, qui analyse et recense des fichiers suspects contenant potentiellement une charge malveillante, ou encore MITRE ATT&CK qui référence un grand nombre de techniques d’attaques et permet aux acteurs cyber d’avoir à disposition un référentiel à jour.
Ce partage de connaissance peut aussi se faire par le biais de groupements d’intérêt public, comme le portail cybermalveillance.gouv.fr, qui permet aux entreprises et aux particuliers de signaler des actions malveillantes perpétrées sur le Web. Ou encore par le biais de centres d’alerte et de réaction aux attaques informatiques (les fameux CERT, pour computer emergency response team ou CSIRT, pour computer security incident response team), qui informe quasiment en temps réel sur les menaces cyber majeures. Ces CERT peuvent être publics comme privés, nationaux (CERT-FR pour la France) comme internationaux (CERT-EU pour l’équivalent européen). « L’écosystème d’acteurs cyber est très riche en information et en outils, mais aussi très hétérogène dans sa manière de présenter et de recenser la connaissance : c’est donc en partie un challenge de réussir à faire le tri et d’accéder rapidement et facilement à une information quand on en a besoin », précise Matthieu Bonenfant.
La couche technique (aka les analystes sécurité) joue là encore un rôle de premier plan dans la capacité de l’écosystème à partager ses bonnes pratiques de sécurité et ses savoir-faire. Ces experts ont leur propre écosystème au sein de la communauté cyber, hors de portée de différends commerciaux éventuels ou autres stratégies concurrentielles. Et cela représente une véritable aubaine et une réelle plus-value pour les acteurs cyber, car la mise en commun des savoirs se fait ici avant tout sous le prisme de la technique, avec une soif d’apprentissage qui nourrit l’écosystème. Ainsi, les analystes techniques analysent, décortiquent et partagent leurs trouvailles, avec l’objectif de toujours s’améliorer.
Le partage de connaissance et de bonnes pratiques de cybersécurité est donc une dimension essentielle de l’écosystème, en cela qu’elle incite les acteurs cyber à se challenger, à s’améliorer, à évoluer, et à imaginer des solutions de demain toujours plus performantes, au service de la prévention et de l’analyse des risques.