Ces menaces vont peser sur l’IT des organisations en 2022 : que faire ?
Les menaces évoluent et les organisations doivent aujourd'hui s'armer contre des attaques de plus en plus virulentes et potentiellement dommageables. Yves Lemage, Manager Systems Engineering BeLux de Fortinet, nous éclaire sur les tendances 2022 en matière de cybersécurité et de cyberdéfense.
Si on s'attarde sur les menaces contre lesquelles les entreprises doivent se prémunir, on voit qu'il y a finalement peu d'évolution. On se trompe ?
Disons qu'en 2021, nous avons eu affaire à de très nombreuses attaques de ransomware et de DDOS. Ce n'est pas une nouveauté en soi et la tendance ne devrait pas s'inverser, loin s'en faut, en 2022. Pourquoi ? Parce qu'on peut aujourd'hui acheter ce que l'on appelle un Ransomware as a service. C'est un shift complet pour la gestion de la sécurité des réseaux.
Qu'est-ce que cela signifie exactement ?
Le hacker n'est plus finalement qu'un intermédiaire entre l'attaquant et l'attaqué. Auparavant, les hackers s'infiltraient dans les réseaux pour y dérober des données. C'était alors au hacker de lancer les commandes vers les endpoints. Aujourd'hui, on peut acheter un bot et lancer des commandes soi-même, après qu'un hacker a fait le tour du propriétaire et ouvert les vannes. C'est donc à la fois plus ciblé et plus dangereux. Les attaquants peuvent en effet acheter ce que l'on pourrait appeler des global botnets, avec des conséquences bien plus dommageables encore.
Quand on sait qu'il faut en général 180 jours pour détecter une intrusion, il y a de quoi être inquiet. Car une fois l'accès obtenu par le hacker, il peut alors directement vendre l'accès au réseau, à des hackers, des groupes de hackers. Pourquoi pas à des gouvernements ?
La provenance des hackers est- elle connue ?
Il y a quelques semaines, Jonathan Nguyen-Duy, VP Global Field CISO de Fortinet, a partagé des prédictions pour 2022 et souligné qu'il n'y avait pas de grands changements à ce niveau. Chine et Russie sont toujours pointés du doigt, mais il semble léger de se cantonner à ces pays. Les attaques peuvent aujourd'hui venir de n'importe où dans le monde, à plus forte raison avec cette tendance au Ransomware as a service.
L'attitude des hackers a changé ?
Oui, on voit là aussi un shift, un changement de direction. On voit qu'ils investissent beaucoup plus dans la phase de pré-attaque. Ils ont en effet compris qu'on peut gagner plus d'argent en faisant une reconnaissance des lieux et en vendant l'accès à ces réseaux. Ils ne doivent plus forcément procéder aux attaques eux-mêmes.
"Il faut en général 180 jours pour qu'une organisation détecte une intrusion." Yves Lemage, Fortinet
Windows a souvent été la cible privilégiée des hackers, du changement à ce niveau?
Oui, et quel changement ! Les attaques sont aujourd'hui en croissance contre les systèmes Linux. Et pour cause : les machines Linux étaient naguère dans le back-end, mais elles sont aujourd'hui de plus en plus présentes en front-end. Elles sont donc beaucoup plus exposées et accessibles au travers d'un réseau IT connecté.
Auparavant, quand on voulait attaquer un équipement opérationnel, comme par exemple une machine industrielle sur un site de production, il fallait en connaître les protocoles. C'est du passé. Maintenant, sur le dark web, c'est une compétence qui se vend elle aussi.
Les logiciels malveillants ont augmenté de 35% en 2021 selon CrowdStrike : les objets connectés, dont la plupart tournent sur des versions de Linux, sont les principaux concernés. Beaucoup de systèmes d'exploitation dans le monde de l'IoT sont en effet basés sur un noyau Linux. Ne serait-ce que les caméras de surveillance : souvent, ce ne sont pas les appareils qui bénéficient des correctifs les plus fréquents. Ce qui les rend d'autant plus vulnérables, puisqu'ils sont directement connectés aux réseaux des entreprises. On voit d'ailleurs un mouvement nouveau : des constructeurs se détournent de Linux pour éluder le problème.
Autre problème, Windows 11 dispose désormais d'un sous-système Linux (WSL). Ce qui donne la possibilité d'exécuter des logiciels Linux depuis un système Windows. Quand on sait qu'un système Windows 11 peut exécuter des binaires Linux (ou Android) nativement, on se dit que les portes d'entrée se multiplient dans une infrastructure de plus en plus complexe.
Un secteur est visé en particulier ?
Je parlerais par exemple des soins de santé. Ils sont clairement en haut de la liste, avec un nouveau type d'attaque potentielle. On passe du ransomware au killware. Imaginez qu'on vise et qu’on prenne le contrôle d’un outil de survie dans un hôpital (pour le cœur ou encore la respiration). Que se passe-t-il si cette machine est défaillante ? Le patient risque de mourir, tout simplement. Et le système de soins de santé y est très exposé. Il faut y assurer une sécurité la plus infaillible possible.
'Tous les éléments de la sécurité IT doivent pouvoir se parler et travailler ensemble pour réduire le temps de détection, donc la prise en charge et la résolution des problèmes d'intrusion'
Justement, comment peut-on assurer une sécurité infaillible en 2022 ?
D'abord en faisant de la prévention. Le facteur humain reste en effet une menace en elle-même. Mon collègue Patrick Commers, Fortinet Evangelist, l'a très bien expliqué dans un article récemment : "90 % des logiciels malveillants arrivent par courrier électronique. Il suffit qu'un seul de vos employés clique sur un lien suspect pour que les vannes soient ouvertes."
On voit que le maillon faible de la sécurité reste également le temps de détection des intrusions. C'est ce que nous réduisons en conseillant d'adopter une solution de mesh, c'est-à-dire de maillage des éléments constitutifs de la solution de cyber-défense. Y compris quand les clients disposent de matériels et de systèmes de marques différents. Tous les éléments de la sécurité IT doivent pouvoir se parler et travailler ensemble pour réduire le temps de détection, donc la prise en charge et la résolution des problèmes d'intrusion. Jusqu’ici, ces éléments parlaient des langages différents. Il faut créer des ponts, des API et créer une surveillance de réseau de type mesh. C’est exactement ce que nous proposons avec notre Security Fabric. Un environnement homogène, une Cybersecurity Mesh Architecture, dans lequel les divers éléments de sécurisation s’intègrent et dialoguent de manière fluide et naturelle.
La question de la détection d’incidents étant centrale, disposer d’un SOC (Security Operations Center) va devenir crucial pour les organisations. Il va permettre de détecter, analyser et accompagner la résolution des attaques.
Enfin, mon dernier conseil est de ne pas hésiter à remettre en question les fondements de la sécurité de son entreprise et ne pas être réticent à se faire assister par des spécialistes en la matière. C’est au contraire une excellente démarche !