L'échelon supérieur

8 prédictions de sécurité pour 2017

Ceux qui prennent conscience du paysage actuel des menaces de 2017 diront que le terrain est à la fois familier et inexploré. Après tout, puisque nos prédictions pour 2016 sont devenues réalité, elles n'ont fait qu'ouvrir les portes à davantage de cybercriminels chevronnés pressés d'explorer une surface d'attaque encore plus vaste. 2016 a connu l'explosion des extorsions en ligne, une défaillance des appareils intelligents qui a certes causé des dégâts. Le besoin en responsables de protection des données (DPO ou Data Protection Officers) s'est fait sentir de plus en plus et les fuites de données sont devenues monnaie courante.

De nouveaux défis vont se poser en 2017. Les opérations de ransomware entraveront plusieurs routes. Elles sont plus complètes, car diverses variantes sont produites ; de grande envergure, car des attaques ciblées bien planifiées sont lancées ; et de plus grande portée, car les menaces affectent des cibles non-desktop comme des appareils mobiles et des appareils intelligents. Les arnaques BEC (Business Email Compromise), simples mais efficaces, deviendront la prochaine nouvelle attaque favorite des cybercriminels, alors que nous commencerons à observer davantage d'attaques BPC (Business Process Compromise) plus percutantes, comme celle du cyberbraquage de la Banque centrale du Bangladesh de 81 millions de dollars. Un nombre croissant de vulnérabilités d'Adobe et d'Apple seront découvertes et exploitées. Même les appareils intelligents inoffensifs joueront un rôle dans les attaques de refus de service distribué (DDoS) de masse et les appareils IIoT (Industrial Internet of Things - Internet industriel des objets) seront dans la ligne de mire des auteurs de menaces. La mise en œuvre du Règlement général sur la protection des données (RGPD) se profile davantage ; alors que les entreprises se précipitent pour changer leurs processus afin de s'y conformer, les coûts administratifs engendrés pour les sociétés concernées vont monter en flèche, car elles sont aux prises avec des auteurs de menaces à l'échelle mondiale déterminés à infiltrer leurs réseaux pour divers motifs. Nous avons atteint l'échelon supérieur en termes de menaces numériques, il faut donc passer à la vitesse supérieure quant aux solutions à appliquer.

Trend Micro travaille dans l'industrie de la sécurité depuis plus de 20 ans à présent. Notre surveillance en temps réel du paysage des menaces grâce aux découvertes de notre équipe Forward-Looking Threat Research (FTR) nous a permis de comprendre les différents moteurs qui déterminent la manière dont bouge le paysage et vers où il se dirige. Apprenez-en plus sur 2017 et au-delà.

1
La croissance du ransomware se stabilisera en 2017, mais les méthodes d'attaque et les cibles vont se diversifier.
Nous prévoyons une croissance de 25 % du nombre de nouvelles familles de ransomware en 2017.

Nous avions prévu de manière précise que 2016 serait « l'année de l'extorsion en ligne ». La chaîne d'attaques du ransomware (combinant une large gamme de méthodes de mise en œuvre, le cryptage inviolable et les actions axées sur la peur) a transformé cette ancienne favorite en une vache à lait cybercriminelle imparable. Le ransomware en tant que service, un cas de figure où un opérateur de ransomware loue son infrastructure aux cybercriminels, a même encouragé les non-initiés à entrer dans le jeu. Également en 2016, certains codes de ransmoware ont été partagés avec le public, ce qui a permis aux pirates de générer leurs propres versions de la menace. Ceci s'est traduit par un pic stupéfiant de 400 % du nombre de familles de ransomware entre janvier et septembre.


Nombre de familles de ransomware annuel
Projection 2017
Figure 1 : Nombre de familles de ransomware annuel, y compris la projection en 2017

Nous prévoyons une augmentation de 25 % au niveau du nombre de familles de ransomware en 2017, soit une moyenne de 15 nouvelles familles découvertes chaque mois. Bien que le point critique ait été franchi en 2016, une période de stabilisation poussera les cybercriminels dans la course à se diversifier, en atteignant davantage de victimes potentielles, de plateformes et de cibles plus larges.

Nous pensons également que le ransomware deviendra de plus en plus monnaie courante dans le domaine des fuites de données. Les cybercriminels voleront d'abord des données qu'ils vendront sur des marchés clandestins, puis ils installeront un ransomware pour maintenir les serveurs de données en otage, doublant ainsi leur profit.

Le ransomware mobile suivra à peu près la même trajectoire que le ransomware pour desktop, étant donné que la base d'utilisateurs mobiles représente aujourd'hui une cible viable et inexploitée. Les terminaux informatiques non-desktop comme les systèmes PoS (point de vente) et ATM (guichet automatique) peuvent également subir des attaques de type extorsion.

Il est actuellement peu avantageux de prendre les dispositifs intelligents en otage, car l'effort déployé pour les attaquer surpasse les éventuels bénéfices à en tirer. Par exemple, il est plus facile et moins coûteux de remplacer une ampoule intelligente piratée que de payer la rançon. D'autre part, les cybercriminels menaçant de prendre le contrôle des freins d'une voiture sur l'autoroute pourraient générer un profit, mais à nouveau, l'effort requis pour mener une telle attaque ne rend pas vraiment viable le moyen d'extorsion.

Il semble désormais plus clair pour les entreprises qu'une attaque de ransomware soit devenue une éventualité réaliste et occasionne des interruptions d’activité coûteuses. Les attaques de ransomware (dirigées vers les environnements industriels) et les attaques d'IIoT causeront des dégâts plus importants, car les auteurs des menaces obtiennent plus d'argent en échange d'une remise en service de la production, par exemple, ou d'un basculement des températures à des plages plus sûres.

Puisqu'il n'existe pas de solution miracle capable de protéger les cibles potentielles des attaques de ransomware 100 % du temps, il vaut mieux bloquer la menace à la source, via le Web ou des solutions de passerelles de messagerie. La technologie d'apprentissage automatique représente aussi un complément de poids à la sécurité multicouche qui peut même détecter un ransomware unique récemment créé.

2
Les appareils IoT joueront un rôle plus important dans les attaques DDoS ; les systèmes IIoT dans les attaques ciblées.
Nous pensons que les cybercriminels utiliseront un malware de type Mirai dans les attaques DDoS.

Des milliers de webcams pour lesquelles personne ne se posait de question quant à leur sécurité sont devenues le fleuron de l'attaque DDoS Mirai qui a mis à mal des sites Web importants. Des appareils connectés, comme les agents de sécurité, sont inoffensifs tant qu'ils ne sont pas activés par des cybercriminels. Nous prévoyons qu'en 2017, davantage de cyberattaques atteindront l'IoT et l'avant ainsi que le centre de son infrastructure connexe, dans la mesure où les auteurs de menaces utilisent des routeurs ouverts pour des attaques DDoS de masse ou une simple voiture connectée pour organiser des attaques hautement ciblées.

Nous pensons que les cybercriminels utiliseront un malware de type Mirai dans les attaques DDoS. À partir de 2017, les sites orientés service, les sites d'actualités, d'entreprises et les sites politiques seront systématiquement matraqués par un trafic HTTP massif soit pour de l'argent, ou sous la forme de démonstration d'indignation ou de participation à des demandes spécifiques.

Malheureusement, nous prévoyons aussi que les fournisseurs ne réagiront pas à temps pour empêcher ces attaques de se produire. Au cours de l'attaque Mirai, les rappels de webcams ont en effet été initiés par le fournisseur, mais il n'a pas exactement invité à réviser le code de la même manière sur les appareils non touchés, mais toujours contrôlables. Par conséquent, ils représentent toujours une surface d'attaque puissante pour les auteurs de menace.


Figure 2 : Le botnet de type Mirai n'avait pas besoin d'un serveur DNS (Domain Name System) pour frapper une cible hors ligne, mais il a bloqué une multitude d'utilisateurs sur les sites. Théoriquement, les botnets IoT peuvent amplifier les attaques DDoS et causer davantage de dégâts.

De même, alors que l'IoT démontre une grande efficacité dans des environnements industriels comme la manufacture et la génération d'énergie, les auteurs de menaces s'appuieront sur l'efficacité des attaques de type BlackEnergy pour arriver à leurs fins. Parallèlement à l'augmentation significative du nombre de vulnérabilités au niveau des systèmes de contrôle et d'acquisition des données SCADA (30 % du total des vulnérabilités selon TippingPoint en 2016), la migration vers l'IIoT introduit des dangers et des risques sans précédent pour les entreprises et les consommateurs affectés en 2017.

Ces dangers peuvent être proactivement étudiés par les fournisseurs qui vendent des appareils et des équipements intelligents en mettant en œuvre des cycles de développement orientés sécurité. Si ça n'est pas possible, les utilisateurs d'IoT et d'IIoT doivent simuler ces scénarios d'attaque pour déterminer et protéger les points de défaillances. La technologie de défense du réseau d'un établissement industriel doit par exemple pouvoir détecter et rejeter les paquets réseau malveillants grâce à des systèmes IPS (détection des instruisons sur le réseau).

3
La simplicité des attaques BEC mènera à une augmentation du volume des arnaques ciblées en 2017.
Nous prévoyons que cette simplicité convertira le BEC, et plus spécifiquement la fraude des PDG, en un mode plus attractif d'attaque pour les cybercriminels.

En visant les services financiers à l'échelle mondiale, le BEC cherche à pirater un compte de messagerie électronique ou à tromper un employé en lui demandant de verser des fonds sur un compte de cybercriminel. L'attaque n'a rien de spécial en soi, à l'exception peut-être de la reconnaissance requise pour persuader de la meilleure façon possible en élaborant un courrier crédible, mais même ça, une requête sur un moteur de recherche bien conçue peut souvent le faire.

Nous prévoyons que cette simplicité convertira le BEC, et plus spécifiquement la fraude des PDG, en un mode plus attractif d'attaque pour les cybercriminels. L'arnaque est facile et rentable, et elle ne coûte rien en termes d'infrastructure. Mais le versement moyen pour une attaque BEC réussie est de 140 000 dollars, le prix d'une petite maison. La perte totale estimée pour les BEC en deux ans est de 3 milliards de dollars. En comparaison, le versement moyen pour une attaque de ransomware est de 722 dollars (actuellement 1 bitcoin), et il pourrait atteindre jusqu'à 30 000 dollars si un réseau d'entreprise est touché.

La vitesse relative de l'obtention des versements va également influencer cette augmentation projetée. En se basant sur notre recherche sur les BEC en ayant recours à des études élaborées par Predator Pain, les cybercriminels ont pu rapporter 75 millions de dollars en seulement six mois (PDF). Les lenteurs du système judiciaire lorsqu'il s'agit de criminalité transfrontalière, en revanche, vont augmenter l'aspect attractif de la menace. Par exemple, il a fallu plus de deux ans avant qu'un Nigérien soit arrêté pour avoir arnaqué plusieurs sociétés depuis 2014.

Figure 3 : Comparaison des versements moyens des entreprises pour des attaques de ransomware et de BEC

Le BEC est particulièrement difficile à détecter parce que ces e-mails ne contiennent pas de charges malveillantes ou de binaires malveillants, mais les entreprises doivent être capables de bloquer ces menaces à la source en ayant recours au Web et aux solutions de passerelles de messagerie. Ces technologies de sécurité pourront identifier le trafic anormal et les comportements de fichiers ou les composants malveillants, mais la défense contre les arnaques BEC restera difficile si les victimes continuent à transférer volontairement de l'argent aux cybercriminels. Les sociétés doivent mettre en place des politiques strictes pour les transactions normales et celles qui sortent de l'ordinaire, ce qui sous-entend des couches de vérification et des seuils pour des sommes importantes exigeant plus de validation, avant d'exécuter des transferts.

4
Le BPC (Business Process Compromise) va attirer les cybercriminels qui cherchent à cibler le secteur financier.
Nous prévoyons que le BPC ira bien au-delà du service financier, bien que les transferts de fonds resteront la finalité la plus caractéristique.

Le cyberbraquage de la Banque centrale du Bangladesh a causé des pertes atteignant les 81 millions de dollars. Contrairement au BEC, qui repose sur un comportement humain erroné, le cyberbraquage découlait d'une compréhension beaucoup plus approfondie de la manière dont les grandes institutions traitaient les transactions financières. Nous appelons cette catégorie les attaques « BPC ».

Nous prévoyons que le BPC ira bien au-delà du service financier, bien que les transferts de fonds resteront la finalité la plus caractéristique. Les scénarios possibles comprennent le piratage d'un système de commande qui permet aux cybercriminels d'encaisser le paiement dû aux véritables vendeurs. Le piratage d'un système de règlement peut aussi mener à des transferts de fonds non autorisés. Les cybercriminels peuvent pirater un centre de livraison et réacheminer les biens de valeur à d'autres adresses. Ceci s'est déjà produit lors d'un incident isolé en 2013, le système de conteneurs pour les livraisons à l'Antwerp Seaport a été piraté afin de faire passer de la drogue en contrebande.

Les cybercriminels à l'origine des attaques BPC vont uniquement agir pour récupérer de l'argent plutôt qu'à des fins politiques ou de collecte de renseignements, mais les méthodes et les stratégies utilisées dans ces attaques ciblées seront semblables. Si nous établissons une comparaison des versements pour les attaques de ransomware sur les réseaux d'entreprises (30 000 dollars étant le chiffre le plus élevé rapporté en 2016), le versement moyen pour des attaques BEC (140 000 dollars), et le gain potentiel généré pour les attaques BCP (81 millions de dollars), il est facile de constater pourquoi les cybercriminels ou même d'autres auteurs de menaces comme les délinquants en quête de plus de fonds seront bien plus tentés de prendre cette voie.


Figure 4 : Attaques BEC versus BPC

Les entreprises ont une visibilité limitée des risques connexes à une attaque des processus d'entreprise. La préoccupation principale en matière de sécurité consiste à s'assurer que les appareils n'ont pas été piratés. Les cybercriminels tireront tous les avantages de cette prise de conscience à retardement. Les technologies de la sécurité comme le contrôle des applications peuvent verrouiller l'accès aux terminaux essentiels à leur mission, alors que la protection des postes de travail doit pouvoir détecter le mouvement latéral malveillant. Des politiques et des pratiques fortes concernant l'ingénierie sociale doivent également faire partie de la culture d'une entreprise.

5
Adobe et Apple dépassent Microsoft en termes de découvertes de vulnérabilités de plateforme.
Nous prévoyons une découverte d'un nombre plus important de logiciels vulnérables dans les produits Adobe et Apple, en plus de ceux de Microsoft.

Adobe a dépassé Microsoft pour la première fois en 2016 en termes de découvertes de vulnérabilités de plateforme. Parmi les vulnérabilités dévoilées jusqu'alors par le programme ZDI (Zero-Day Initiative) en 2016, on comptait 135 vulnérabilités dans les produits Adobe et 76 dans ceux de Microsoft. 2016 fut également la plus grosse année pour Apple® en termes de vulnérabilités puisque 50 vulnérabilités ont été dévoilées à partir de novembre, contre 25 l'année précédente.

Nous prévoyons une découverte d'un nombre plus important de logiciels vulnérables dans les produits Adobe et Apple, en plus de ceux de Microsoft. Hormis le fait que les commandes d'ordinateurs Microsoft ont décliné ces dernières années, car de plus en plus d'utilisateurs se tournent plutôt vers les smartphones et les tablettes professionnelles, les mesures et les améliorations relatives à la sécurité rendront également la tâche plus difficile pour les cybercriminels cherchant à trouver la faille dans leur système d'exploitation.


Figure 5 : Vulnérabilités de Microsoft, d'Adobe et d'Apple dévoilées par le ZDI

La découverte des vulnérabilités d'Adobe mènera invariablement au développement d'exploits qui peuvent être intégrés dans des kits d'exploits. Les kits d'exploits feront toujours partie du paysage des menaces, mais les cybercriminels en feront d'autres usages que celui de créer des ransomwares. L'utilisation des kit d'exploits a sensiblement diminué après l'arrestation du créateur du kit d'exploits Angler, mais comme avec BlackHole et Nuclear, d'autres kits d'exploits prendront simplement le dessus.

Les logiciels Apple feront l'objet d'abus, car un nombre croissant d'utilisateurs achètent des Mac. Les commandes de Mac US ont augmenté, ce qui a permis à Apple de gagner une plus grande part de marché par rapport à l'année précédente. En plus des améliorations de sécurité de Microsoft, ce gain va attirer l'attention des cybercriminels envers des alternatives non-Microsoft. De plus, comme Apple ne suit plus l'iPhone® 4s, nous verrons plus d'exploits pour les vulnérabilités corrigées dans les versions prises en charge qui seront utilisés/// pour des vulnérabilités semblables, sans correctifs pour les versions non prises en charge.

La protection contre les vulnérabilités est le seul moyen de se protéger proactivement et de manière fiable contre les vulnérabilités non corrigées et « zero-day » (au jour zéro). Alors que les exploits font partie de la réalité pour de nombreuses entreprises, tout particulièrement pour celles qui choisissent encore d'utiliser des logiciels non pris en charge, anciens ou orphelins, le rôle de la protection contre les vulnérabilités devient particulièrement important lorsque des logiciels extrêmement populaires et largement utilisés comme ceux d'Adobe ou d'Apple sont concernés. Les utilisateurs des produits Apple et Adobe doivent également protéger leurs postes de travail et appareils mobiles des malwares qui exploitent ces vulnérabilités.

6
La cyberpropagande deviendra une norme.
L'augmentation du taux de pénétration d'Internet a donné l'opportunité aux parties investies d'utiliser l'Internet comme un outil gratuit pour influencer l'opinion publique à aller dans un sens ou dans l'autre.

En 2016, près de la moitié de la population mondiale (46,1 %) a accès à Internet, soit par le biais des smartphones, des dispositifs informatiques classiques ou des bornes Internet. Cela signifie que de plus en plus de personnes ont désormais un accès facile et rapide à l'information, quelle que soit sa source ou sa crédibilité.

L'augmentation du taux de pénétration d'Internet a donné l'opportunité aux parties investies d'utiliser l'Internet comme un outil gratuit pour influencer l'opinion publique à aller dans un sens ou dans l'autre. Les résultats des élections récentes dans différents pays reflètent le pouvoir des réseaux sociaux et des diverses sources d'information en ligne lorsqu'il s'agit de prise de décision politique.

Plus récemment, nous avons vu des plateformes comme WikiLeaks utilisées pour la propagande. Du matériel hautement compromettant a fuité sur le site à peine une semaine avant les élections aux États-Unis. Dans le cadre de notre surveillance continue de la face cachée du cybercrime, nous avons également noté que des pirates adolescents faisaient la publicité de leurs gains obtenus pour avoir publié des fausses informations concernant certaines élections. Ils affirment avoir gagné environ 20 dollars par mois en dirigeant le trafic vers du contenu calomnieux fabriqué à propos des candidats aux élections. Il existe également de groupes de cyber agents dédiés qui sont payés pour publier du matériel de propagande sur les réseaux sociaux comme Facebook et LinkedIn. Ils tirent parti du filtrage des contenus électroniques des plateformes pour multiplier la visibilité de leur contenu.

Le manque de contrôle de la source de l'information, couplé aux partageurs avides qui veulent influencer les gens avec des opinions contraires ou simplement soutenir les leurs, a fait la popularité de ces faux contenus et de ces mèmes. Tout ceci empêche les utilisateurs d'Internet occasionnels et non expérimentés de distinguer les faits du reste.

Nous avons déjà pu remarquer l'impact de Facebook et de Google qui ont retiré des publicités issues de sites qui véhiculent de fausses nouvelles, et celui de Twitter qui a lancé son option « Masquer » afin que les utilisateurs puissent désactiver les attaques ou conversations abusives.

L'arrivée des élections en France et en Allemagne, y compris les mouvements ultérieurs similaires envers le retrait du Royaume-Uni (RU) de l'Union européenne (UE), connu sous le nom de Brexit, seront influencés par ce qui sera partagé et affiché via les médias électroniques. Nous allons sans doute voir des informations plus sensibles utilisées dans des activités de cyberpropagande découler d'opérations d'espionnage comme PawnStorm.

Les entités qui sont capables de naviguer parmi l'opinion publique utilisant ce moyen de manière stratégique pourront produire des résultats en leur faveur. En 2017, nous connaitrons un accroissement des abus et des mauvaises utilisations des réseaux sociaux.

7
La mise en œuvre et le respect du Règlement général sur la protection des données augmenteront les coûts administratifs pour les entreprises.
Nous prévoyons que le RGPD impliquera forcément des changements au niveau des politiques et des processus d'entreprise pour les sociétés touchées, ce qui augmentera considérablement les coûts administratifs.

Le RGPD (la réponse de l'UE à l'appel au clairon pour la confidentialité des données) aura non seulement un impact sur les membres de l'UE, mais également sur toutes les entités qui capturent, traitent et stockent les données personnelles des citoyens de l'UE. En attendant qu'il soit mis en application en 2018, les entreprises peuvent être passibles d'une amende de 4 % du chiffre d'affaires global de la société pour non-respect.

Nous prévoyons que le RGPD impliquera forcément des changements au niveau des politiques et des processus d'entreprise pour les sociétés touchées, ce qui augmentera considérablement les coûts administratifs. Le RGPD exige, entre autres, les changements suivants :

  • Un responsable de la protection des données (DPO) est désormais obligatoire. Nous avons prévu que moins de la moitié des entreprises auront engagé des DPO pour la fin 2016. Cette prévision laisse présager qu'elle est exacte, ce qui signifie qu'un tout nouveau poste comptable dédié à l'engagement, à la formation et au suivi d'un employé d'un niveau plus élevé apparaîtra parmi les dépenses de la société.
  • Les utilisateurs doivent être informés de leurs droits d'utilisateur récemment mis en évidence et les sociétés doivent s'assurer que les utilisateurs puissent les exercer. Ce bouleversement, selon lequel les citoyens de l'UE détiennent leurs données personnelles et que leurs données collectées sont simplement « en prêt », aura un impact sur l'intégralité des flux de travail liés aux données.
  • Seules les données minimales requises pour utiliser un service seront collectées. Les entreprises doivent revoir leurs pratiques de collecte des données pour les ajuster.

Ces changements vont forcer les entreprises à mener une révision de bout en bout du traitement des données afin d'être conformes et cela implique de séparer les données de l'UE de celles du reste du monde. Ceci s'avèrera particulièrement difficile pour les sociétés multinationales qui devront envisager de développer des systèmes de stockage de données complètement nouveaux pour les données de l'UE. Elles devront également revoir les clauses sur la protection des données de leurs partenaires de stockage sur cloud. Les entreprises doivent investir dans une solution de sécurité des données globale, y compris dans la formation des employés, afin de se conformer au RGPD.

8
Les auteurs de menaces trouveront de nouvelles tactiques d'attaques ciblées qui vont contourner les solutions anti-évasion.
Nous prévoyons que cette courbe d'apprentissage signifiera l'utilisation de plus de méthodes principalement prévues pour échapper aux technologies de sécurité modernes développées ces dernières années.

Les campagnes d'attaques ciblées ont été documentées pour la première fois il y a environ dix ans. Les auteurs de menaces se sont expérimentés avec le temps, alors que les infrastructures de réseau sont généralement restées les mêmes. Lorsque nous observons les déplacements des cybercriminels et leur capacité à ajuster leurs outils, tactiques et procédures (TTP) pour pouvoir cibler différentes entreprises dans divers pays, nous envisageons l'émergence de nouvelles techniques inattendues lors de futures attaques ciblées.

Nous prévoyons que cette courbe d'apprentissage signifiera l'utilisation de plus de méthodes principalement prévues pour échapper aux technologies de sécurité modernes développées ces dernières années. Les auteurs de menaces, par exemple, utilisaient généralement des binaires, puis ils sont passés aux documents, et utilisent à présent plus de fichiers script et de fichiers de commandes. Ils vont commencer à avoir recours de manière plus délibérée à la détection de sandbox pour voir si le réseau envoie les fichiers inconnus vers une sandbox et ils vont cibler ou inonder les sandbox. Nous pensons également que les fuites des machines virtuelles (MV) deviendront des composants hautement prisés des chaînes d'exploits avancées. Les bogues de fuites de MV auront diverses applications d'attaque dans le cloud, hormis l'évasion de sandbox.

Ces améliorations techniques sur le front des cybercriminels exigeront plus d'investissement de la part du service informatique et des administrateurs de sécurité. Ils se voient dans l'obligation de rechercher des technologies de sécurité qui peuvent les aider à obtenir une vision complète et à obtenir le contrôle total du réseau tout entier et des flux de données, en identifiant non seulement les indicateurs de compromission (IoC), mais aussi les indicateurs d'attaque dès leur apparition.

Les menaces inconnues peuvent être de nouvelles variantes des menaces connues ou existantes, ou des menaces complètement nouvelles encore à découvrir. Les solutions de sécurité qui utilisent l'apprentissage automatique peuvent être utilisées pour nous protéger contre les anciennes, alors que le sandboxing pourra gérer les plus récentes. Plutôt que de se cantonner à une stratégie de sécurité, la technologie multicouche cross-générationnelle développée sur la base d'une expérience approfondie acquise grâce à la surveillance, aux réponses données et à l'élaboration de mesures proactives face aux attaques ciblées sera extrêmement importante dans le combat contre ce type de campagne.






Comment faire front aux attaques ?

L'apprentissage automatique n'est pas du dernier cri en matière de technologie de sécurité, mais il pourrait devenir un élément essentiel dans la lutte contre les menaces de ransomware connues et inconnues et contre les attaques par kit d'exploits, entre autres. L'apprentissage automatique est déployé via un système à couches caractérisé par des entrées fournies par l'homme et l'ordinateur, le tout combiné à des algorithmes mathématiques. Ce modèle est alors confronté à un trafic réseau, ce qui permet à la machine de prendre des décisions rapides et précises quant à l'aspect malveillant ou non du contenu du réseau (fichiers et comportements).

Les entreprises doivent également se munir d'une protection éprouvée contre les techniques anti-évasion que les auteurs de menaces introduiront en 2017. Ce défi fait appel à une combinaison (versus une approche miracle) des différentes technologies de sécurité qui pourraient être disponibles sur le réseau pour constituer une défense contre la menace connectée. Des technologies comme celles-ci :

  • Anti-malware avancé (plus poussé que la liste noire)
  • Antispam et antihameçonnage sur le Web et les passerelles de messagerie
  • Réputation des sites Web
  • Systèmes de détection d'intrusion
  • Contrôle des applications (listes blanches)
  • Filtrage de contenu
  • Protection contre les vulnérabilités
  • Réputation des applications mobiles
  • Prévention des intrusions sur l'hôte et le réseau
  • Protection pare-feu sur l'hôte

La majorité des menaces actuelles peuvent être détectées par la combinaison des techniques mentionnées ci-dessus, mais pour venir à bout des menaces « zero-day » et « inconnues », les entreprises doivent utiliser la surveillance des comportements et le contrôle d'intégrité ainsi que le sandboxing.

L'IoT présente à la fois des risques et des avantages. Les utilisateurs d'appareils intelligents doivent apprendre à sécuriser leurs routeurs avant de permettre à n'importe quel appareil intelligent d'accéder à l'Internet par leur biais. Ils doivent également prendre en considération la sécurité au moment d'acheter un nouvel appareil intelligent. Offre-t-il un moyen d'authentification ou permet-il la modification du mot de passe ? Puis-je le mettre à jour ? Puis-je crypter les communications réseau ? Dispose-t-il de ports ouverts ? Le fournisseur offre-t-il des mises à jour du firmware ?

Les entreprises qui collectent les données auprès des citoyens de l'UE doivent s'attendre à une forte hausse des dépenses administratives, car elles doivent maîtriser les changements de processus et engager des DPO pour se conformer au RGPD. Un examen approfondi de la stratégie de protection de la société contribuera également au passage des audits.

Ces nouveaux défis exigent une nouvelle interprétation de la sécurité des postes de travail, une approche de la sécurité intergénérationnelle en combinant des techniques de détection des menaces éprouvées pour les menaces connues et inconnues avec des techniques de protection avancées comme le contrôle des applications, la prévention des exploits et l'analyse des comportements, la détection par sandbox et l'apprentissage automatique haute fidélité.

Former les employés aux attaques d'ingénierie sociale et aux toutes dernières menaces comme le BEC complètera leur culture en matière de sécurité, et c'est ce dont ils auront besoin pour renforcer les défenses de leur entreprise en 2017 et au-delà.

Télécharger le rapport (PDF)