Views
5 months ago

Cybersecurity 2019

  • Text
  • Faire
  • Attaques
  • Suisse
  • Entreprise
  • Contre
  • Netzmedien
  • Mots
  • Peuvent
  • Passe
  • Entreprises

24 DOSSIER ADVANCED

24 DOSSIER ADVANCED PERSISTENT THREATS en collaboration avec Swisscom «Les entreprises doivent travailler aux méthodes de reconnaissance» Avec les Advanced Persistent Threats, les cybercriminels ont la plupart du temps une cible précise. Une fois qu’ils ont pénétré le réseau, ils y naviguent parfois durant plusieurs mois en catimini. En entretien, Lorenz Inglin, responsable Cyber Defense chez Swisscom, explique comment les PME peuvent se protéger de telles attaques. Interview: Joël Orizet Qui sont les victimes les plus fréquentes des cyberattaques avancées? En matière de cyberattaques avancées, et surtout d’Advanced Persistent Threats (APT), il s’agit souvent d’espionnage. Les assaillants veulent tirer des avantages politiques, industriels ou militaires à partir d’informations volées. Des organisations exposées comme la Commission fédérale pour la protection ABC ou des sociétés détenant des données précieuses et des secrets industriels sont également des cibles potentielles. Mêmes des hommes politiques ont déjà été victimes d’APT. Il peut s’agir aussi de chantage dans le but d'atteindre un objectif encore plus important. Mais les cyberattaques peuvent aussi être motivées par l’argent et viser des établissements financiers. Quels signes doivent alerter une entreprise qu’elle est touchée? S’agissant des attaques avancées pour des motifs d’espionnage, les indices sont en général peu nombreux. Les malfaiteurs sont très bien équipés et formés. Ils ne veulent à aucun prix se faire remarquer pour maintenir aussi longtemps que possible leur position et pouvoir extraire des données. Ces assaillants se déplacent toutefois dans le réseau et laissent certaines traces. Un trafic réseau suspect avec des serveurs de commande et de contrôle identifiés ou le comportement anormal d’un utilisateur - une connexion à des horaires inhabituels à partir d'un emplacement inhabituel, un grand nombre d’accès inattendus, etc. - peuvent servir d’indices. Idem pour des alertes d’antivirus suspectes qui renvoient à des outils de piratage informatique, des mails d’hameçonnage professionnels très ciblés sur l’entreprise ou le comportement étrange de systèmes plantant sans explication, une charge élevée ou un nombre inhabituellement haut de requêtes sont autant de symptomes d’une attaque en cours. Lorsque l’argent ou le sabotage sont au cœur des motivations des pirates, les effets secondaires de l’attaque sont souvent détectables immédiatement. Si, par exemple, des systèmes sont désactivés, des données cryptées ou d'importantes sommes d’argent transférées, on le remarque la plupart du temps très vite. À la mi-2016, on a appris que des inconnus avaient perpétré une attaque APT à l’encontre de la RUAG. Quelles leçons peut-on tirer de ce cas? L’attaque contre la RUAG a montré qu’il est très difficile d’empêcher des pirates expérimentés de pénétrer dans un réseau. Tout n’est au final qu’une question de moyens mis en œuvre. Les entreprises doivent par conséquent absolument travailler aux méthodes de reconnaissance. Un pirate qui se déplace dans un réseau doit être détecté aussi vite que possible et ses actions doivent être suivies. Il convient en outre d’éviter une réaction précipitée, qui bloquerait l’accès de l’assaillant. En premier lieu, il faut saisir l’étendue de l’attaque et identifier les emplacements dans lesquels le pirate s’est installé. En plus de l’authentification à deux facteurs, de la collecte de logs, de la réduction des droits d’administrateurs locaux, un monitoring de la sécurité peut aider à détecter le plus rapidement possible de telles attaques. Les collaborateurs doivent par ailleurs savoir que faire des mails de hameçonnage. À cet effet, il faut mettre en œuvre un campagne d’information. Comment réduire le facteur de risque humain? Les mesures techniques comme l’authentification à double facteurs, des réglementations strictes de mot de passe ou le monitoring aident à prévenir les comportements humains fautifs. Parallèlement, il faut bien éduquer les collaborateurs. Pour qu’une entreprise soit sûre, elle doit former régulièrement ses collaborateurs à la sécurité informatique et renforcer leur conscience des APT. «Un trafic réseau suspect avec des serveurs C&C identifiés ou le comportement anormal d’un utilisateur peuvent servir d’indices.» Lorenz Inglin, responsable Cyber Defense, Swisscom www.ictjournal.ch © netzmedien ag

NÉGLIGENCES SPÉCIAL25 Presque tous les CIO ont déjà renoncé à appliquer des patchs de sécurité ych. A l’heure où les infrastructures IT deviennent de plus en plus complexes et hétérogènes, il apparaît que les CIO et CISO font très souvent des compromis entre sécurité des systèmes et efficacité des opérations. Un constat qui ressort d’une étude publiée par Tanium, éditeur spécialisé dans la gestion des opérations, du risque et de la sécurité. Un tiers des responsables IT interrogés concèdent faire des compromis dans le but de ne pas interrompre les opérations. La nécessité de mettre l’accent sur la mise en œuvre de nouveaux systèmes est aussi citée comme une raison importante, de même que les restrictions imposées par les systèmes hérités et les politiques internes. Correctifs non déployés à plus d’une reprise Fait inquiétant: parmi les compromis effectués, certains touchent des procédures pourtant cruciales dans la protection d’une infrastructure IT. Ainsi, plus de huit CIO/CISO sur dix déclarent qu’ils se sont déjà, au moins une fois, abstenus de faire une mise à jour ou d’appliquer un correctif de sécurité important. Plus de la moitié l’ont même fait à plus d’une occasion. Raison invoquée: des préoccupations concernant l’impact que les mises à jour et correctifs pourrait avoir sur la bonne marche des activités commerciales. Le déploiement incomplet de patchs n’est pas toujours volontaire. Une majorité des responsables IT (80%) ont déjà dû constater qu’une mise à jour n’avaient pas été déployée sur tous les dispositifs, alors qu’ils pensaient que c’était le cas. L’étude de Tanium indique les CIO et CISO ont conscience de l’impact négatif des compromis qu’ils opèrent. Ils s’inquiètent principalement de la perte potentielle de données clients, mais aussi d’une perte de confiance de la clientèle, ainsi que de l’éventuelle incapacité de l’entreprise à se conformer aux réglementations. Les responsables sécurité et IT renoncent parfois à patcher leurs systèmes par crainte de l’impact qu’une mise à jour pourrait avoir sur les opérations. Image: Lisa Fotios / Pexels.com 13% des Suisses utilisent systématiquement le même mot de passe lma. Environ une personne sur sept en Suisse a déjà été victime d’une cyberattaque. C’est ce que révèle une étude sur la cybersécurité réalisée par gfs-zürich début 2019. Pour ICTswitzerland, ISSS, SATW, SISA, swissICT, SWITCH et UPIC – MELANI, l’institut a interrogé environ 1000 adultes en Suisse. Confiants malgré les attaques Premier constat, 80% des internautes suisses demeurent relativement confiants sur internet alors même que 15% des sondés ont déjà subi une cyberattaque ou se sentent concernés par un tel risque. L’étude rapporte que les deux tiers des personnes interrogées s’estiment suffisamment informés quant aux cyberrisques et à la manière de se protéger contre une attaque. Les 18-39 ans ont cependant le sentiment d’être mieux informés que la moyenne, à l’inverse des internautes de plus de 65 ans. Seule une minorité – 43% des sondés – souhaite davantage d’informations. Les craintes évoquées en matière d’attaque sont notamment le vol de données et l’utilisation abusive des données personnelles. Les mesures pour se protéger sont des mises à jour hebdomadaires, et, pour presque deux-tiers des utilisateurs, le recours à un antivirus, ainsi que, pour une minorité, le fait d’éviter les sites douteux ou d’effacer systématiquement les e-mails provenant de destinataires inconnus. Pourtant, comme le souligne l’étude, les utilisateurs sont moins prudents avec leurs mots de passe. La moitié d’entre eux déclare avoir parfois recours au même mot de passe sur plusieurs sites voire sur l’ensemble des sites qu’ils consultent. Une minorité de 13% a quant à elle systématiquement recours au même mot de passe. Responsabilité de tous «La cybersécurité est une question qui doit être traitée conjointement par l’administration, le secteur privé et le monde politique. Il est important que la population soit informée des cyberrisques et sensibilisée à ces derniers. Des mesures allant dans ce sens sont prévues dans le plan de mise en œuvre de la stratégie nationale de protection de la Suisse contre les cyberrisques et seront soutenues par l’ensemble des parties prenantes» souligne Pascal Lamia, directeur de la centrale MELANI. «Les mots de passe sécurisés sont la base d’un comportement responsable sur Internet. Lors de la création et de la gestion de mots de passe forts, un gestionnaire de mots de passe offre la meilleure assistance qui soit.» Katja Dörlemann, spécialiste en sensibilisation chez SWITCH www.ictjournal.ch © netzmedien ag