Les cyber-menaces ne sont pas suffisamment prises au sérieux par les entreprises

En effet, ces menaces APT (Advanced Persistent Threat) sont caractérisées par la combinaison de différentes techniques d’attaques qui, associées entre elles, permettent de générer des attaques sophistiquées (« avancées »), avec des intrusions durables et quasiment indétectables par les outils de sécurité informatique traditionnels.

Et le risque continue d’augmenter : d’après notre dernière étude* sur les menaces APT, basée sur des données recueillies à partir de 89 millions d’évènements survenus au second semestre 2012, les entreprises sont victimes d’un malware toutes les trois minutes en moyenne.

Les principales techniques utilisées par les cybercriminels sont :

–    Le phishing (technique « d’hameçonnage » visant à usurper l’identité d’une personne en récupérant des informations confidentielles par le biais de sites web ou des liens frauduleux)
–    La pièce-jointe corrompue
–    Le click-jacking (détournement de clic pour pousser un internaute à fournir des informations confidentielles ou à donner accès à son ordinateur à distance)
–    Les logiciels piégés
–    Le partage de réseau piégé (serveur FTP, intranet)
–    Les supports amovibles (type clé USB, disques durs externes, etc.)

La technique de hameçonnage est la méthode la plus utilisée en matière d’intrusion. Certains formats de fichiers sont également privilégiés : 92% des fichiers frauduleux sont acheminés sous format .Zip. Nous avons aussi observé que les attaques sont désormais initiées par les fichiers .DLL en remplacement du format de fichier d’application .EXE.

Ces techniques traditionnelles sont connues, cependant, c’est la manière dont elles sont employées par les pirates qui a évoluée, tout comme leurs compétences techniques, ou encore leurs objectifs. Le but des cyber-attaques actuelles est de générer un impact majeur sur l’activité d’une organisation : pas forcément en exploitant les failles existantes, mais en les contournant de manière à ne pas éveiller les soupçons, et permettre ainsi de passer les barrières de sécurité traditionnelles.

L’enjeu est de s’introduire dans le système sans se faire repérer, afin de disposer du temps et de l’amplitude nécessaire pour leurs attaques, selon leurs objectifs : vol d’information, perturbation ou même destruction du système.

Car les motivations des cybercriminels ont aussi changés : il ne s’agit plus seulement de « perturber » l’activité d’une organisation, mais de lui porter préjudice, que ce soit en termes d’image, de réputation, de propriété industrielle/intellectuelle ou en matière financière. Les pirates sont aujourd’hui des « professionnels » qui mettent en œuvre des campagnes de cyber-attaque abouties, en utilisant des techniques évoluées.

Le contexte géopolitique sensible et la forte concurrence entre les entreprises viennent renforcer les initiatives malveillantes à l’égard des gouvernements, des institutions internationales ou de grandes multinationales. Les cyber-attaques se démocratisent, allant du cyber-espionnage, à la cyber-escroquerie en passant par le simple déni de service (DDoS), et avec un nombre toujours plus important d’outils développés par les pirates eux-mêmes et mis à disposition de leurs homologues au niveau international, la prévention devient de plus en plus compliquée.

Toutefois, en plus de connaitre les nouvelles méthodes utilisées par les cybercriminels, nous savons maintenant cartographier les mouvements des cyber-attaques : d’où elles proviennent, qui elles ciblent et par où elles transitent, grâce notamment au suivi des serveurs CnC (« Command and Control »).

La dernière étude** de FireEye dans ce domaine indique que les cyber-menaces sont aujourd’hui globalisées : 184 pays, soit 93% des pays du monde, hébergent des hubs de communication ou des serveurs de type CnC permettant d‘initier des campagnes malveillantes, qu’elles soient dirigées vers l’extérieur ou dans le pays même où les serveurs sont installés.

Si aucun pays n’est épargné, la majorité des cyber-attaques semble cibler les pays où les entreprises technologiques sont les plus présentes, comme aux Etats-Unis, en Corée du Sud et au Japon.

L’Asie et l’Europe de l’Est ont également été identifiées comme un fort point de concentration d’initiation de cyber-attaques. Toutefois, la surveillance des canaux de communication malveillants indique que les points de départ des attaques ne proviennent pas toujours de l’extérieur mais plutôt de réseaux internes ; comme les techniques d’évasion de données en communication intra-pays se remarquent moins, les hackers parviennent aujourd’hui à mettre la main sur des serveurs locaux, masquant ainsi les prémices d’une cyber-attaque.

Les conséquences des cyber-attaques peuvent donc s’avérer dramatiques, que ce soit pour les institutions gouvernementales ou les opérateurs d’importance vitale (OIV), ou  pour les entreprises aux activités moins critiques.

La lutte contre les cyber-menaces doit être prise au sérieux par les entreprises, qui ont tendance à en minimiser les répercussions, qu’elles soient financières, liées à la propriété intellectuelle de l’entreprise ou bien à sa réputation.

* « Advanced Threat Report », publié le 4 avril 2013.
**« Advanced Cyber-attack Landscape », publié le 23 avril 2013.

Illustration : FireEye