« Cette année, ce qui est nouveau est qu’il n’y a rien de nouveau à dire », commente Robinson Delaugerre, expert en sécurité et enquêteur forensic chez Verizon depuis deux ans à propos du rapport Data Breach Investigations (DBIR) 2016. « Ce qui est nouveau, nuance-t-il, est que le profil des menaces est très consistant avec celui de l’année précédente. Et que les attaquants sont extrêmement professionnalisés. » Construit à partir de plus de 100 000 incidents de sécurité dans 82 pays et l’analyse de 2 260 intrusions, auxquels s’ajoutent les données, anonymisées, de 67 partenaires (institutionnels et industriels) ce rapport permet « une fois par an depuis 2008, de sortir la tête du guidon pour regarder cet ensemble de données afin de voir les tendances et proposer des réponses pertinentes sur le long terme ».
Pour y parvenir, Verizon établit, depuis 3 ans, neuf modèles (patterns) qui recouvrent 80 à 90 % des attaques afin de proposer des contre-mesures ciblées face à ces grandes typologies d’intrusion. « Etudier ces modèles vous aidera à comprendre comment mieux déployer vos ressources et budget pour atteindre les meilleurs résultats », suggère le rapport à la rédaction duquel Robinson Delaugerre précise n’avoir néanmoins pas participé directement.
Les auteurs du rapport soulignent ne pas encore avoir constaté d’incidents significatifs impliquant la mobilité ou l’Internet des objets. « Mais la menace est réelle. Les preuves de faisabilités d’exploitation ont été démontrées, ce n’est qu’une question de temps avant de voir apparaître des violations à grande échelle. »
Cet environnement de menaces « qui n’a pas fondamentalement changé », donc, entre 2015 et 2014, offre une visibilité beaucoup plus complète qu’avant sur les risques depuis un an ou deux. « C’est le signe d’une certaine maturité de l’industrie de la sécurité », estime Robinson Delaugerre. Mais elle montre aussi que, « en tant que défenseur, nous n’avons pas été capables de mettre une pression suffisante sur les attaquants pour les décourager alors que leur plan d’action est relativement similaire d’une cible à l’autre ». Autrement dit, les méthodes des attaquants n’auraient pas eu besoin d’évoluer ces dernières années puisqu’ils ne rencontrent pas d’obstacles majeurs qui les y pousseraient même si la première attaque fait prendre conscience à l’entreprise de renforcer sa posture sécuritaire. « C’est plus facile pour un RSSI de convaincre de la rentabilité d’un renforcement de la sécurité une fois que l’on peut présenter le coût d’une attaque. »
Néanmoins, les actions conséquentes de cette prise de conscience sont diverses selon les entreprises. Certaines se contentent de « faire le nécessaire pour ne pas retomber dans le panneau et, auquel cas, les attaquants repeignent le panneau, le déplacent un peu à droite et recommencent leurs attaques ». D’autres, « les bons élèves », prennent conscience de la nécessité de garder le contrôle de leurs infrastructures. Ce qui passe par une réflexion en amont de l’approche sécuritaire et une approche orthogonales des défenses qui implique une surveillance de tous les points du système.
« Le process est encore difficile, reconnaît notre interlocuteur, car nous avons encore du mal à prouver la valeur ajoutée pour le business d’une bonne sécurité. » Mais, selon lui, si les budgets sécurité augmentent, les dépenses en sécurité « ne sont pas nécessairement allouées où ils faut ». Aujourd’hui, elles se font essentiellement dans la remédiation et en conseil. « Mais ce que l’entreprise a dépensé pour remettre son système en état après une attaque, elle aurait pu l’investir en amont pour éviter cette attaque. » Selon l’expert en sécurité depuis 10 ans et qui s’est notamment exercé aux tests d’intrusion, les services managés et appliances censés réduire de 95 % les risques de sécurité avec peu d’opex « ne marchent pas ». « Investir dans ces techniques sans mettre de moyens humains revient à poser un pansement sur une plaie ouverte ». Et d’illustrer : « C’est bien gentil de faire un audit de sécurité une fois l’application développée quand ce serait beaucoup plus intéressant de mettre en place un système sécurisé et de faire en sorte que les vulnérabilités n’arrivent pas en production. » Dans l’idéal, « la sécurité devrait s’intéresser au métier, et le métier devrait être intéressé à la sécurisation de ses outils, laquelle devrait être un sous produit de la bonne sécurisation du code ».
La sécurité nécessite aussi une culture propre dans laquelle chaque salarié de l’entreprise doit être attentif aux risques d’attaque et conscient des conséquences qu’ils entraînent. Ce qui arrive, peut-on espérer, avec la nouvelle génération d’utilisateurs déjà habitués de par leurs usages personnels à la double authentification ou encore aux alertes d’usage de leurs comptes en ligne. « La culture sécurité se met péniblement en place tout comme la culture qualité dans l’industrie a mis du temps à être acceptée, compare Robinson Delaugerre. La métrique zéro incident de sécurité ne fait pas encore sens pour tout le monde. Mais ça viendra. » Reste à savoir quand.
Sécuriser les Scada : « ce sera cher et difficile », dit Kaspersky
Sécurité du Cloud : le flou demeure entre l’IT et les métiers
Un mixte de machine learning et d’expertise humaine pour mieux prévenir les attaques informatiques
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.
Intel se greffe au projet OPEA OPEA (Open Enterprise Platform for AI) et y pousse…
Le Conseil d’Administration de l’Association des Utilisateurs SAP Francophones ( USF) a réélu Gianmaria Perancin…
Le secteur du transport aérien utilise des algorithmes depuis des années. Mais cette chasse gardée…
