Petit guide de survie des entreprises contre les cybermenaces : le contexte

de | 1 septembre 2016

Les fuites de données et autres incidents liés aux attaques contre les Systèmes d’Information des entreprises ont fait les gros titres en 2015 [1] [2] [3] et début 2016.

Les conséquences de ses attaques sur les entreprises sont principalement financières :

  1. Détournement de fonds.
  2. Manque à gagner lié à l’indisponibilité d’activités critiques de plus en plus portées par les Systèmes d’Information.

Des conséquences moins visibles, difficilement quantifiables, sont à considérer :

  1. Image de marque détériorée qui freine l’acquisition de nouveaux clients et la création de partenariats.
  2. Obtention et exploitation de données confidentielles par certains concurrents afin de prendre de l’avance sur les victimes.

Les coûts de rétablissement des Systèmes d’Information attaqués ne sont pas négligeables et impactent directement la trésorerie des entreprises (remise en état et lancement de grands projets de sécurisation du Système d’Information) [4].

La convergence de quatre facteurs augmentera la surface d’exposition des entreprises aux cybermenaces :

Le contexte socio-économique incertain et géopolitique complexe qui expose les entreprises et les fragilisent
Le nouveau champ de contestation et de bataille qu’est devenu le cyberespace :

  • Une forte contestation sociale et un activisme politique qui trouvent dans Internet un terrain d’expression et d’actions visibles : pour servir leurs idéaux, des hacktivistes s’attaquent directement aux Systèmes d’Information de leurs cibles, entreprises et organismes de l’état, pour collecter des données confidentielles, mettre à défaut leurs activités ou nuire à leur réputation.
  • Afin de s’octroyer un avantage concurrentiel et pour faire face à l’intensification de la concurrence internationale dans une économie mondialisée, certaines entreprises n’hésitent plus à utiliser des cyber-barbouzes pour espionner et pour voler des données stratégiques stockées dans les Systèmes d’Information de leurs concurrents voire de leurs partenaires [5].
  • Pour doper leur économie, certains états ne se gênent pas pour participer à ce cyber-espionnage international en faveur de leurs entreprises au détriment de l’économie d’autres pays [6]
  • Une géopolitique complexe et tendue marquée par un terrorisme aveugle qui utilisent Internet comme support de propagande. Des cyber-terroristes qui ciblent les organes des états, les infrastructures critiques et industrielles, les institutions bancaires, les médias, la grande distribution, etc. Un cyber-terrorisme qui a compris que nuire aux entreprises, c’est aussi nuire à l’économie d’un pays.

La technologie de plus en plus intégrée dans les activités des entreprises qui augmente les vulnérabilités des Systèmes d’Information
De nouvelles brèches permettront le vol de données et le détournement des actifs des Systèmes d’Informations qui mettront à mal les activités des entreprises :

  • Le recours et la dépendance aux nouvelles technologies de l’information accélérés par les projets de dématérialisation des processus et de transformation digitale des entreprises ; technologies, proposée, dans certains cas, clé en main, qui amènent leurs propres vulnérabilités, car mal maîtrisées, pas forcément correctement mises en place, voire immatures.
  • La nécessité d’une présence croissante des entreprises sur Internet pour proposer des services à leurs clients et se raccorder aux Systèmes d’Information de leurs partenaires ; exposition qui propose, aux personnes malveillantes, un canal simplifié et privilégié d’attaques.
  • La course à la réduction du time-to-market des entreprises pour adresser les besoins de leurs clients, fait prendre des raccourcis dans la conception de solutions informatiques ; raccourcis ouvrant des brèches à la compromission des SI.

Ainsi :

  • Des personnes externes malveillantes exploiteront ces brèches pour nuire aux activités de leurs cibles (cf. facteur précédent).
  • Des collaborateurs malveillants des entreprises (Oui ! Ils en existent aussi) utiliseront les nouveaux outils digitaux mis à disposition pour commettre des fraudes. La crise favorisant les fraudes, ses dernières s’accentueront probablement avec le contexte économique qui restera incertain pendant quelques années [7].

De plus, le Système d’Information ne se limitera plus aux murs des entreprises. Il sera plus commode de s’attaquer aux :

  1. Fournisseurs de service notamment du cloud computing. Les attaques de ces fournisseurs de services mettront en péril les entreprises ciblées par l’attaque, mais également l’ensemble des entreprises clientes, une manne et une cible alléchante pour des personnes malveillantes.
  2. Objets connectés qui seront déployés en dehors des murs de l’entreprise : il sera plus « commode » de pirater un objet pour en détourner l’usage contre son utilisateur (Voir ma publication sur le sujet [8]) ou contre l’entreprise. Dans ce dernier cas, l’objet connecté servant de cheval de Troie pour infecter d’autres objets connectés et/ou Systèmes d’Information des entreprises propriétaires des objets connectés.

————————————-
Ces personnes malveillantes pourront utiliser les Systèmes d’Information de leurs victimes pour attaquer d’autres entreprises. Quelle serait la puissance de plusieurs milliers d’objets connectés piratés qui attaqueraient le Systèmes d’Information d’une entreprise ? Quelle sera la responsabilité de l’entreprise propriétaire de ces objets piratés et détournés de leur fonctionnement initial ?
————————————-

La professionnalisation de l’activité de pirate informatique

Le point commun entre les menaces décrites précédemment est la capacité des personnes malveillantes à disposer d’outils de plus en plus sophistiqués pour pirater les Systèmes d’Information. Nous sommes loin des clichés que la télévision et le cinéma continuent de véhiculer :

  1. L’adolescent boutonneux qui pirate les Systèmes d’Information « sans faire exprès » et qui se termine par un happy-end.
  2. Les gentils qui sont les seuls à utiliser des supers outils très sophistiqués pour pirater les Systèmes d’Information non-sécurisés des méchants.

La réalité est tout autre : les pirates informatiques sont de plus en plus compétant et mieux équipés que les équipes de sécurité du Système d’Information des entreprises :

  1. Ils se regroupent pour concentrer leurs efforts contre leurs cibles.
  2. Ils trouvent, partagent et monétisent leurs outils et compétences dans un cyber-espace alternatifs inconnu du grand public : le Darknet accessible uniquement aux initiés et avec des navigateurs spécifiques qui assurent leurs, enfin presque, anonymat [9].

Un faux sentiment de sécurité des entreprises (Le syndrome : ça n’arrive qu’aux autres) couplé à la limite des moyens de l’état pour protéger toutes les entreprises
Il est important de noter que les personnes malveillantes, hacktiviste, cyberterroriste, cybermercenaires et collaborateurs s’attaquent à toutes les entreprises, car elles sont toutes vulnérables :

  • Les PME et ETI qui disposent de compétences et de moyens limités voire inexistants de protections de leurs Système d’Information.
  • Les grandes entreprises qui se croient loin de ces préoccupations, ou du moins, leurs dirigeants et qui ne positionnent pas les cybermenaces comme un risque suffisamment important pour l’adresser par les plus hautes instances.

Ces entreprises se rendent compte de leurs faiblesses et du peu de moyens affectés à la protection de leurs Systèmes d’Information lorsqu’elles sont victimes d’attaques informatiques. Elles se rendent compte également que l’état et ses organes de ne peuvent pas faire grand chose pour les aider :

  1. Lui-même préoccupé par la protection de ses propres Systèmes d’Information et de la poignée d’organisations et d’entreprises vitales au fonctionnement des appareils de l’état, communément appelés Opérateurs d’Importance Vitale (OIV) [10].
  2. Les personnes malveillantes sont généralement localisées dans des pays où l’action de l’état est limitée voir nulle, phénomène accru par le regroupement en organisation criminelle complexe à identifier (cf. facteur précédent) [11].

Un changement dans les pratiques et dans la perception de la cybersecurité doit s’enclencher dans les entreprises pour appréhender les cybermenaces et maintenir leurs capacités à opérer leurs activités clés. Ces mêmes entreprises qui devront continuer de compter sur elles-mêmes pendant un certain temps pour protéger leurs Systèmes d’Information.

N’hésitez pas à partager dans les commentaires les axes de réflexions complémentaires ou qui pourront être approfondis dans d’autres publications.

Les références :
[1] Cyberattaques : un cru 2015 très actif et plus criminalisé http://www.silicon.fr/cyberattaques-un-cru-2015-tres-actif-et-plus-criminalise-138826.html
[2] Biggest data breaches of 2015 http://www.networkworld.com/article/3011103/security/biggest-data-breaches-of-2015.html
[3] These companies lost your data in 2015’s biggest hacks, breaches http://www.zdnet.com/pictures/biggest-hacks-security-data-breaches-2015/
[4] Que devient TV5 Monde après la cyberattaque ? http://www.franceinfo.fr/emission/ils-ont-fait-l-actu/2015-ete/que-devient-tv5-monde-apres-la-cyberattaque-23-07-2015-07-25
[5] NSA : espionnage économique, le sale jeu américain http://www.liberation.fr/planete/2015/06/29/espionnage-economique-le-sale-jeu-americain_1339635
[6] How terrorists abuse online services for propaganda? http://securityaffairs.co/wordpress/47109/terrorism/terrorists-online-propaganda.html
[7] La crise accroit le risque de fraude en entreprise http://www.ectoulouse.com/fraudeentreprise
[8] Comment éviter un assassinat par un réfrigérateur https://skhemissa.wordpress.com/2016/04/04/comment-eviter-un-assassinat-par-un-refrigerateur/
[9] Du deep web au dark web : immersion dans les abysses du web http://toiledefond.net/deep-web-abysses-du-web/
[10] Hacktivisme : Anonymous titille l’ANSSI par un assaut DDoS http://www.itespresso.fr/hacktivisme-site-anssi-vise-anonymous-ddos-120791.html
[11] La France face à une vague sans précédent de cyberattaques http://www.lefigaro.fr/secteur/high-tech/2015/01/15/32001-20150115ARTFIG00333-la-france-face-a-une-vague-sans-precedent-de-cyberattaques.php

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *