Défendre industries et entreprises contre un écosystème de menaces en perpétuelle évolution

Un écosystème de menaces en perpétuelle évolution

En matière de cybermenaces, l’année 2018 aura démarré sur des chapeaux de roue avec des vulnérabilités de premier plan sur le hardware des machines et, pire encore, au cœur même des CPU qui les animent ! « C’est un trouble majeur dans l’univers de la sécurité, car autant il est relativement aisé de corriger du logiciel, autant il est impossible d’en faire autant sur du matériel et, plus encore, sur un processeur », constate Loïc Guézo, Stratégiste CyberSécurité Europe du Sud chez Trend Micro.

Non seulement un processeur ne peut pas être remplacé d’un simple claquement de doigts mais, dans ce cas précis, en changer ne serait pas une solution en soi : l’ensemble des processeurs souffrant du même problème, il faudra en effet attendre une nouvelle génération de processeurs débarrassée de cette erreur de conception.

En attendant, il faut donc se contenter de rustines logicielles appliquées aux firmwares et à quelques applications phares des machines (navigateurs, drivers, etc.) qui masquent les problèmes plus qu’ils ne les réparent.

Les nouvelles menaces

Or comme si les multiples variantes de la faille Spectre découvertes depuis le début de l’année ne suffisaient pas, le rapport semestriel de Trend Micro sur l’état des menaces à la mi-2018 constate une invasion des crypto-mineurs, des malware destinés à transformer les ressources informatiques compromises pour générer du bitcoin ou autre crypto-monnaie en vogue. Leur nombre a ainsi augmenté de 141% en un semestre ! « D’abord apparues sur les mobiles puis au cœur de pages web compromises, ces menaces ont parfois fait sourire les responsables informatiques. Mais c’est désormais moins le cas depuis qu’elles envahissent des serveurs et des parties entières de data centers d’entreprises et d’opérateurs », remarque Loïc Guézo.

Parallèlement, l’inquiétude autour des menaces que font peser les cybercriminels sur les infrastructures critiques industrielles ne diminue pas. Loin de là. La découverte de vulnérabilités sur les systèmes SCADA a augmenté de 30%. Mais au-delà, c’est surtout la convergence des réseaux informatiques (IT) et industriels (OT), boostée par l’Internet des objets, qui inquiète.

Le rapport Trend Micro relève une inquiétante croissance des attaques sur les routeurs, composante névralgique de tous réseaux connectés à Internet. « Le problème est d’autant plus crucial que les routeurs embarquent de la CPU et de la mémoire permettant l’exécution de menaces élaborées. En outre, par définition, un routeur voit passer l’ensemble du trafic de la maison ou de l’entreprise connectée », souligne Loïc Guézo.

Enfin, le dernier fléau n’est autre que celui des emails professionnels compromis, que ce soit via du phishing ou des attaques ciblées cherchant à détourner des fonds. Selon le FBI, ils auraient en effet coûté plus de 12,5 milliards de dollars aux entreprises en 5 ans.

Adapter les technologies

Face à cette variété de menaces, les entreprises doivent mettre en place des protections adéquates et les éditeurs de solutions de sécurité imaginer de nouveaux schémas défensifs. Trend Micro a investi dans le Machine Learning depuis 10 ans, pour mieux lutter contre les codes et les emails malveillants au niveau de son infrastructure de veille sur les menaces Smart Protection Network.

Ce savoir-faire est désormais insufflé au cœur des produits déployés, à l’instar de sa technologie « Writing Style DNA », un nouveau dispositif s’appuyant sur de l’Intelligence Artificielle pour analyser les styles d’écriture et détecter proactivement les emails malveillants et les phishings intégrés à ses solutions de filtrage.

« Typiquement, des emails comportant des notions d’urgence et/ou de pression hiérarchique, voire de transferts financiers, seront repérés par cette IA comme critiques et tendancieux », explique Loïc Guézo.

Défendre, même dans le Cloud

Toutefois, au-delà des technologies, Trend Micro repense aussi le rôle d’un éditeur de sécurité et redessine ses priorités. « Nous avons fait de gros investissements en R&D pour mieux comprendre, surveiller et anticiper les menaces, mais nous avons également fait des choix stratégiques forts dans le développement de nos produits pour répondre aux évolutions des infrastructures de nos clients et être présents là où se trouvent les menaces », note Loïc Guézo.

La bascule vers le Cloud Computing, et notamment vers les grands Clouds publics, est devenue l’un des axes majeurs d’investissement de l’éditeur. Sa solution Deep Security permet de protéger tous les datacenters, qu’ils s’agissent de serveurs physiques (y compris les plus obsolètes), virtualisés ou placés en workload sur AWS ou Microsoft Azure : un seul et unique produit s’appuyant sur les mêmes politiques de sécurité, et les mêmes capacités de défenses proactives.

À commencer par le bouclier phare « Virtual Patching », fruit du rachat par Trend Micro du programme ZDI, premier contributeur mondial de publication d’alertes de vulnérabilités, tous éditeurs confondus. Il permet de déployer des patchs virtuels, non seulement pour protéger les infrastructures contre les failles Zéro-Days (celles n’ayant pas de correctifs publiés), mais aussi contre les failles pour lesquelles les administrateurs n’ont pas encore été en mesure de déployer les correctifs. « Cette technologie offre une fenêtre de confort pour appliquer les correctifs sans être dans l’urgence pour éviter les attaques », constate Loïc Guézo.

En outre, ce module de Virtual Patching fournit une protection face aux exploits, y compris sur des systèmes qui ne sont plus supportés par leurs éditeurs. Cela permet aux entreprises de conserver des ICS (Industrial Control Systems) sur lesquels il est toujours compliqué -voire impossible- d’intervenir, bien qu’il faille les isoler et les protéger, ou encore des serveurs sous d’anciens OS tout en minimisant les risques.

Protéger les systèmes industriels

Autre inflexion majeure et stratégique : Trend Micro focalise une grosse partie de ses efforts sur la numérisation des systèmes industriels (OT) de plus en plus connectés, et sur la convergence des réseaux OT/IT.

L’OT est soumis à des contraintes plus fortes, comme le non-arrêt des systèmes, le respect de processus industriels, la haute disponibilité sur du très long terme. « Nous développons des solutions adaptées à ces environnements qui s’étendent désormais au-delà de l’OT vers l’IoT, un terrain là aussi différent de l’IT », explique Loïc Guézo. « Typiquement, nous signons des accords et des partenariats avec des acteurs industriels qui fabriquent ces IoT (notamment dans l’univers de l’automobile connectée) pour qu’ils incorporent certaines de nos briques afin de les protéger également via du Virtual Patching par exemple ».

Protéger les infrastructures hospitalières

Trend Micro s’est engagé très fortement dans la sécurisation du secteur de la santé en France. « Nous disposons d’une solution originale, une petite clé USB qui permet de scanner les équipements biomédicaux sans y installer de logiciel, sans en perturber le fonctionnement et surtout sans invalider les garanties et les supports qui y sont attachés », explique Loïc Guézo. Elle comporte une LED qui s’affiche en vert ou rouge selon que l’équipement biomédical se révèle sain ou contaminé. De telles solutions revêtent, aujourd’hui, une importance cruciale car les appareils d’imagerie, les systèmes de radiographie, les systèmes de tests d’hématologie et autres, sont commercialisés comme des boîtes noires sur lesquelles il est impossible d’installer des équipements de sécurité.

« Ces équipements sont devenus des cibles d’attaque privilégiées avec des impacts très forts allant jusqu’à empêcher le personnel médical de recevoir et traiter des patients », rappelle Loïc Guézo. Trend Micro a également développé une architecture de référence qui permet de construire une « bulle biomédicale », de sorte que tous ces équipements soient séparés du réseau bureautique-backoffice et puissent bénéficier d’une surveillance maximale de leurs communications par un pont de sécurité qui les protège et alerte l’IT au moindre incident.

Plus d’informations