Palo Alto Network : La Sécurité 2015 décryptée

IT Pro Magazine : Les dernières actualités nous montrent que les pirates redoublent d’imagination lors des attaques envers les entreprises, que prévoyez-vous pour l’année 2015 ?

Arnaud Kopp : Les pirates continuent à avoir des moyens de plus en plus légitimes d’attaques avec des logiciels génériques et un gros travail réalisé en amont pour lancer des attaques complexes. Ils disposent sans doute de plus de moyens économiques avec des systèmes d’échange d’argent ou de monnaies virtuelles. L’échange de connaissances contre un échange économique devient facile, pour preuve la création de places de marché sur l’échange d’une autre ressource dans le monde de la cyber-sécurité, qu’est Zero Day.

Pouvez-vous revenir sur ce concept de Zero Day ?

Trouver un Zero Day, c’est un peu comme des mineurs dans une mine d’or. Face à une application, les pirates cherchent, creusent, vérifient le code, comprennent le fonctionnement des applications, pour trouver enfin un défaut, « une pépite en or » qu’ils identifient et peuvent extraire. Ce défaut, laissé malencontreusement par le développeur de l’application, les pousse à monétiser leur découverte. Contrairement au monde réel, dans le monde cyber, d’autres chercheurs peuvent tomber également sur cette même information, d’où cette course à la monétisation des Zero Day qui va jusqu’à la création de places de marché !

On assiste alors à des enchères, propositions d’échange de la connaissance de ce bug aux éditeurs eux-mêmes, ou ventes aux plus offrants sur des espaces ou forums privés dans le but de créer une cyber-arme à partir de la vulnérabilité. Zero Day est perçu comme la ruée vers l’or aujourd’hui.

Toutes les applications sont-elles concernées ?

Certains terrains sont favorables. Les applications écrites rapidement, jeunes, sur des devices mobiles, sur des systèmes d’exploitation sur devices récents, légères sur des objets connectés deviennent des indications d’un terreau favorable pour participer à l’écosystème de la découverte de ces pépites numériques et de leur exploitation.

Allons-nous assister à une augmentation de ces attaques ?

Depuis ces dernières années, on atteint des sommets en nombre de découvertes de vulnérabilités et d’annonces publiques par an. Mais c’est juste le haut de l’iceberg, la partie immergée reste à venir.

Une grande partie de ces vulnérabilités ne sont connues que des pirates eux-mêmes, s’échangent dans certains forums et vont servir à lancer ultérieurement des attaques. Nous surveillons donc ce marché des Zero Day. Au sein de Palo Alto Networks, une équipe de chercheurs, appelée l’Unité 42 et constituée d’ingénieurs en cyber-sécurité répartis sur la planète, recherche ces pépites, participe à cet écosystème pour comprendre vers quel terreau fertile il faut creuser et peut découvrir certains bugs. Se prémunir et être proactif face aux attaques. Cette tendance va se développer en 2015.

Après la découverte et la monétisation des vulnérabilités, que se passe-t-il ?

La question de la vélocité de l’attaque est importante. Des chercheurs scrutent parfois au même endroit et à différents moments. Les informations trouvées sont utilisées très rapidement, on assiste alors à un bruit d’attaques global et les cyber-terroristes interviennent à ce niveau. Mais n’oublions pas que toute entreprise ne se rend pas forcément compte immédiatement d’une attaque, dans ce cas, on parle de cyber-injection, l’objectif est d’être invisible, d’avoir accès aux informations et cerveau de l’entreprise pour en tirer un intérêt économique compétitif et préparer une cyber-attaque, une cyber-extorsion de fonds ou une prise d’otage de données numériques. Les entreprises paient pour retrouver l’accès aux données.

Les entreprises sont-elles prêtes en 2015 ?

On note cependant une non-préparation des entreprises à la réaction d’une attaque. Les scénarios d’attaques ne sont pas forcément assez pris en compte par les utilisateurs eux-mêmes. Les RSSI doivent effectuer un travail d’évangélisation auprès des équipes. En effet, l’évolution des attaques nécessite une adaptation nouvelle de la configuration, de l’architecture, du réseau de la partie IT. La transformation numérique des entreprises est un très bon terreau fertile pour les assaillants avec les réseaux et serveurs virtualisés, les infrastructures ultra-dynamiques.

Et pourtant, les entreprises ont besoin de cette transformation numérique, d’être compétitives, de retrouver une croissance économique, de réduire leurs coûts de fonctionnement, de parvenir à cette flexibilité informatique. Accompagner les entreprises pour qu’elles considèrent ce risque numérique et fassent preuve de réactivité dans les environnements virtualisés est essentiel.

Et quant à la mobilité et aux devices apportés en entreprise ?

Il faut songer à une meilleure intégration et notion de sécurité dans le device, pour cela, les entreprises vont certainement de plus en plus migrer du BYOD au COPE (Corporate Owned, Personally Enabled) en 2015. L’entreprise décide ainsi de la marque et de la confiance qu’elle met dans le fournisseur de la solution de mobilité, le tout pour un meilleur contrôle.

Le besoin économique de ces solutions est réel et pour ne pas freiner la croissance, il faut se protéger pour rester compétitif. Dans tous les cas, l’optimisme est de rigueur !