Trend Micro - Securing Your Journey to the Cloud

one site fits all
Changements de paradigme : Prédictions de sécurité pour 2018 - Trend Micro


Changements de paradigme


Compétences et ressources : voici les deux éléments qui composent l’arsenal d’un cybercriminel. Toutefois, un cybercriminel ne peut pas violer la sécurité, ni même lancer des attaques sophistiquées sans d’abord trouver des failles dans un système. Les attaques massives par des programmes malveillants, les braquages par messagerie, les piratages d’appareils et les perturbations de services nécessitent tous une vulnérabilité sur le réseau, de nature technologique ou humaine, pour pouvoir être menés à bien.

L’accroissement de la connectivité et des interactions sur des réseaux non sécurisés est un fait. Malheureusement, l’implémentation inadéquate de technologies augmente le risque que les menaces soient mises en œuvre. Mettre en place les protections nécessaires quand et là où elles sont requises est un aspect essentiel de la sécurité dans ce paysage sans cesse changeant de la cybercriminalité.

En 2018, l’extorsion numérique sera au cœur du mode opératoire de la plupart des cybercriminels et leur permettra de s’accaparer des butins plus que juteux. Les vulnérabilités qui affectent les appareils IoT contribueront à étendre les surfaces d’attaque au fur et à mesure que ces appareils s’intègrent toujours plus massivement dans les environnements intelligents omniprésents. Le piratage des systèmes de messagerie d’entreprise forcera un nombre croissant de sociétés à délier les cordons de leur bourse. L’ère des fausses nouvelles et de la cyberpropagande persistera avec les techniques de cybercriminalité de la vieille école. L’apprentissage automatique et les applications blockchain susciteront l’espoir, en même temps qu’elles impliqueront des pièges. Les entreprises devront s’efforcer de se conformer aux directives du règlement général relatif à la protection des données (RGPD) moment où celui-ci entrera en vigueur. Non seulement les entreprises devront gérer leurs nombreuses vulnérabilités, mais les failles présentes dans leurs processus internes seront également mises à profit pour saboter la production.

Voici les menaces qui prédomineront en 2018. Elles démontreront encore une fois que le recours aux solutions de sécurité classiques pour lutter contre les menaces est vain aujourd’hui. Au fur et à mesure que les environnements deviennent de plus en plus interconnectés et gagnent en complexité, les menaces nous imposent de repenser notre approche de la sécurité.

Trend Micro a analysé les menaces actuelles et nouvelles, ainsi que les approches de la sécurité spécialement développées pour ce paysage. Poursuivez la lecture du présent document pour découvrir comment prendre des décisions éclairées en matière de sécurité, en vous focalisant sur les aspects qui prédomineront en 2018.

Le business model des ransomware restera une activité majeure des cybercriminels en 2018, tandis que d’autres formes d’extorsion numérique gagneront du terrain.

En 2017, nous avions prédit que les cybercriminels diversifieraient les ransomware en d’autres types d’attaques. Nous ne nous étions pas trompés : l’année avait commencé avec des incidents tels que les attaques réseau par WannaCry et Petya qui s’étaient propagées rapidement, la diffusion massive de spams Locky et FakeGlobe et les attaques par Bad Rabbit lancées contre plusieurs pays d’Europe de l’Est.

Les ransomware ne devraient pas disparaître de sitôt. Bien au contraire, on ne peut que s’attendre à de nouvelles attaques en 2018, y compris parallèlement à la progression d’autres types d’extorsion numérique. Les cybercriminels mettent la main sur des données essentielles pour inciter les victimes à passer à la caisse. Avec les ransomware-as-a-service (RaaS, ransomware en tant que service) qui sont toujours proposés sur les forums occultes et le bitcoin qui offre un mode de collecte des rançons sûr, les cybercriminels ne peuvent qu’être séduits par ce business model.

L’arrivée à maturation des ransomware agit comme un catalyseur des campagnes d’extorsion numérique

Si l’évolution des tactiques cybercriminelles était révélatrice d’une quelconque tendance, elle démontre que les cybercriminels sont désormais exclusivement motivés par l’appât du gain et ne cherchent plus à inciter les utilisateurs à leur révéler leurs informations d’identification. Les menaces en ligne initiales consistaient essentiellement en des programmes de vol de données (infostealers) et des programmes malveillants qui pirataient les transactions bancaires en vue de subtiliser des informations confidentielles. Puis sont apparues les menaces dissimulées dans des solutions anti-programmes malveillants (FAKEAV), qui permettaient de duper les utilisateurs et les incitaient à télécharger ces logiciels, puis à payer pour pouvoir accéder à nouveau à leurs ordinateurs infectés. Émulant ce comportement des FAKEAV, les ransomware ont pris le relais depuis.

Le succès actuel des campagnes de ransomware, en particulier de l’extorsion, incitera les cybercriminels désireux de gagner beaucoup d’argent à cibler les populations les plus rentables. Les cybercriminels continueront d’utiliser des campagnes de phishing (hameçonnage) pour diffuser en masse par messagerie électronique la charge des ransomware afin d’affecter le plus grand nombre d’utilisateurs. Ils s’efforceront également de décrocher le jackpot en lançant contre une seule entreprise, éventuellement dans un environnement IIoT (Industrial Internet of Things - Internet industriel des objets), une attaque par ransomware qui perturbera ses activités et altèrera sa chaîne de production. Nous avons déjà pu observer les dégâts causés par les cyberattaques de masse WannaCry et Petya et ces conséquences ne tarderont pas à devenir le but visé de la menace.

L’extorsion entrera également en jeu quand le RGPD commencera à s’appliquer. Les cybercriminels pourraient cibler les données confidentielles protégées par ce règlement et exiger des entreprises le versement d’une rançon plutôt que de courir le risque de payer des amendes punitives pouvant représenter jusqu’à 4 pour cent de leur chiffre d’affaires annuel. Les cybercriminels pourront déterminer le montant à fixer pour la rançon de chaque entreprise sur la base des informations financières qui sont rendues publiques et calculer à partir de là le montant maximal des amendes que les sociétés pourraient devoir payer en cas d’infraction au RGPD. Cela entraînera une augmentation des tentatives de violation et des demandes de rançon. En outre, nous nous attendons à ce que le RGPD soit exploité comme une tactique d’ingénierie sociale, de la même manière que les violations de la législation sur les droits d’auteur et les avertissements de police ont été utilisés dans le cadre de campagnes FAKEAV et de ransomware antérieures.

Les utilisateurs et les entreprises peuvent se protéger contre ces tentatives d’extorsion numérique en utilisant des solutions de passerelle Web et de messagerie efficaces en première ligne de défense. Les solutions incluant l’apprentissage automatique haute-fidélité, le contrôle des comportements et la protection contre les vulnérabilités évitent que les menaces touchent leur cible. Ces fonctionnalités sont particulièrement utiles dans le cas des variantes de ransomware qui sont en train d’évoluer vers la diffusion sans fichier, c’est-à-dire qu’il n’y a aucune charge malveillante ni aucun fichier binaire détectable par une solution traditionnelle.

Les cybercriminels exploreront les nouveaux moyens de duper les appareils IoT à leur profit.

Les attaques de déni de service distribué (DDoS) de masse Mirai et Persirai qui ont piraté des appareils IoT, tels que des enregistreurs vidéo numériques (DVR), des routeurs et des caméras IP, ont déjà attisé le débat sur la vulnérabilité et la déstabilisation de ces appareils connectés. On a observé récemment que le botnet IoT Reaper, qui repose sur le code de Mirai, est de plus en plus exploité pour compromettre un réseau d’appareils, y compris de différentes marques.

Outre les attaques DDoS, nous pensons que les cybercriminels utiliseront les appareils IoT pour créer des proxys afin de dissimuler leur emplacement et le trafic Web, puisqu’ils savent que les autorités passent généralement au peigne fin les journaux et les adresses IP dans le cadre de leurs enquêtes criminelles et la recherche de preuves après infection. En créant un vaste réseau d’appareils anonymes (fonctionnant avec les informations d’identification par défaut et ne possédant quasiment aucun journal), les cybercriminels peuvent faciliter discrètement leurs activités sur le réseau compromis.

Nous devons également nous attendre à une augmentation des vulnérabilités IoT sur le marché dans la mesure où de nombreux fabricants, voire la plupart, commercialisent des appareils qui ne sont pas sécurisés de par leur conception. Ce risque peut être aggravé par le fait que l’installation de correctifs sur les appareils IoT n’est peut-être pas aussi simple que l’installation de correctifs sur des PC. Un seul appareil non sécurisé, sur lequel un correctif n’a pas été installé ou qui n’a pas été mis à jour vers la version la plus récente, peut servir de point d’entrée sur le réseau central. L’attaque par KRACK a prouvé que même la connexion sans fil proprement dite pouvait compromettre la sécurité. Cette vulnérabilité affecte la plupart des appareils qui se connectent au protocole WPA2, si ce n’est tous, ce qui sème le doute sur la sécurité de la technologie 5G, qui devrait pénétrer l’intégralité des environnements connectés.

Appareils qui seront ciblés par les interruptions d’activité et la cybercriminalité

Compte tenu des centaines de milliers de drones qui pénètrent dans l’espace aérien américain seul, le contrôle des véhicules aériens peut être extrêmement complexe. Nous nous attendons à ce que le nombre d’accidents ou de collisions impliquant des drones ne soit que le point de départ, car on a déjà découvert que des pirate accédaient aux ordinateurs, saisissaient des informations sensibles et pirataient les livraisons. De la même manière, les appareils omniprésents à domicile tels que les enceintes sans fil et les assistants vocaux peuvent permettre aux pirates de localiser des maisons et tenter de s’y introduire par infraction.

Nous anticipons également une augmentation du biopiratage, par le biais des dispositifs prêts-à-porter et des appareils médicaux en 2018. Les dispositifs de suivi des activités biométriques, tels que les cardiofréquencemètres et les bandes d’exercice, peuvent être interceptés pour recueillir des informations sur les utilisateurs. On a même découvert que des appareils vitaux tels que les stimulateurs cardiaques comportaient des vulnérabilités qui peuvent être exploitées pour lancer des attaques potentiellement mortelles.

Les utilisateurs, de même que les autorités de réglementation, doivent reconnaître aujourd’hui que tous les appareils IoT n’intègrent pas de mécanismes de sécurité, et encore moins une sécurité renforcée. Ces appareils sont souvent vulnérables, à moins que les fabricants ne procèdent régulièrement à une évaluation des risques et des audits de sécurité. Il incombe également aux utilisateurs de configurer la sécurité sur leurs appareils, ce qui peut impliquer des mesures aussi simples que changer le mot de passe par défaut et installer régulièrement les mises à jour du firmware.

Les pertes mondiales résultant du piratage des systèmes de messagerie d’entreprise dépasseront les 9 milliards de dollars en 2018.

D’après le FBI (Federal Bureau of Investigation), le piratage des systèmes de messagerie d’entreprise (BEC ou Business E-mail Compromise) touche plus d’une centaine de pays et les pertes exposées identifiées ont connu une très forte augmentation de 2 370 pour cent entre janvier 2015 et décembre 2016. Cette hausse n’est pas surprenante puisque le piratage des systèmes de messagerie d’entreprise est pour les cybercriminels ce que sont les cambriolages pour les criminels « hors ligne ». Les attaques BEC sont rapides, nécessitent peu de moyens et peuvent permettre de gagner gros, selon la cible, comme le montrent les pertes enregistrées qui s’élèvent à 5 milliards de dollars.

Nous pensons que le piratage des systèmes de messagerie d’entreprise se multipliera en 2018, entraînant plus de 9 milliards de dollars* de pertes à l’échelle mondiale. Cette forte augmentation des pertes projetées sera en partie due à la connaissance croissante du piratage des systèmes de messagerie d’entreprise et des tactiques employées, qui permettra une meilleure identification et le signalement accru de ces attaques. Le piratage des systèmes de messagerie d’entreprise exploite essentiellement les approches du phishing et s’est avéré efficace. Nous continuerons d’observer des cas où des dirigeants d’entreprise se verront usurper leur identité en vue d’obtenir le transfert d’argent. Nous avons notamment assisté à l’augmentation des tentatives d’attaques des systèmes de messagerie d’entreprise impliquant la tromperie du PDG. Il est également intéressant de voir qu’au lieu d’installer des enregistreurs de frappe, les auteurs d’attaques de systèmes de messagerie d’entreprise ont recours à des sites et des PDF de phishing, qui coûtent moins cher que des enregistreurs de frappe intégrant des services de chiffrement. Grâce au phishing, ils peuvent accéder à des comptes à moindre coût.

La simplicité avec laquelle on peut connaître la hiérarchie de l’entreprise ciblée (il est possible que celle-ci soit publiée sur les réseaux sociaux et le site Web de l’entreprise) et la concision des e-mails facilitent la mise au point d’un stratagème efficace pour gagner de l’argent. Toutefois, une autre menace motivée par l’appât du gain des cybercriminels pèse sur les entreprises : la mise en danger des processus d’entreprise ou BPC (Business Process Compromise). Avec la mise en danger des processus d’entreprise, les cybercriminels obtiennent des informations sur les rouages internes de l’entreprise, en particulier du service financier, dans le but de modifier les processus internes (en exploitant éventuellement les vulnérabilités de la chaîne logistique de l’entreprise) et de décrocher le Graal. Cependant, dans la mesure où ce type d’attaque nécessite une planification à long terme et davantage d’efforts, la mise en danger des processus d’entreprise devrait moins faire la une des journaux en 2018, contrairement au piratage des systèmes de messagerie d’entreprise, qui est beaucoup plus simple.

Il est possible de contrer le piratage des systèmes de messagerie d’entreprise en formant les employés de manière adéquate, car ce type d’attaque repose sur l’ingénierie sociale. Les entreprises doivent implémenter des protocoles stricts sur les processus internes, en particulier lors de la réalisation de tout type de transaction. Les entreprises, quelle que soit leur taille, doivent avoir recours à plusieurs vérifications et doivent notamment mettre à la disposition des utilisateurs un autre canal de communication établi, par exemple le téléphone, pour procéder à un double contrôle. Les solutions Web et de passerelle qui permettent la détection précise des tactiques d’ingénierie sociale et des comportements trompeurs peuvent aussi être capables de bloquer les attaques des systèmes de messagerie d’entreprise.

*Le chiffre de 9 milliards de dollars repose sur le calcul de la moyenne mensuelle des pertes signalées entre juin et décembre 2016 et sa multiplication par 12. Cela suppose uniquement une croissance stable des victimes et des incidents de type BEC.

Les campagnes de cyberpropagande seront affinées à l’aide des techniques éprouvées et testées dans le cadre des campagnes de spams antérieures.

Le triangle des fausses nouvelles se compose des éléments suivants : les motivations sur lesquelles repose la propagande, les réseaux sociaux servant de plate-forme pour les messages, ainsi que les outils et les services permettant la diffusion des messages. En 2018, nous pensons que la cyberpropagande se propagera grâce aux techniques conventionnelles, les mêmes qui étaient employées pour diffuser les spams par e-mail et via le Web.

Les kits DIY (Do-it-yourself ou Faites-le vous-même) sous forme de logiciels, par exemple, peuvent diffuser automatiquement des spams sur les réseaux sociaux. Même le référencement naturel (SEO, Search Engine Optimization) Black Hat a été adapté pour le référencement social (SMO, Social Media Optimization), des centaines de milliers d’utilisateurs pouvant alors fournir du trafic et des chiffres sur différentes plates-formes. Des e-mails de spear phishing envoyés à des ministères étrangers à l’exploitation flagrante de documents pour discréditer les autorités, les contenus douteux peuvent se propager librement et susciter des opinions avec force, voire même des protestations réelles.

En outre, les informations falsifiées peuvent discréditer des entreprises et nuire à leurs performances et leur réputation. Des chercheurs s’intéressent même à des outils de manipulation des contenus audio et vidéo qui permettent de créer des films d’apparence réaliste qui rendent encore plus difficile la distinction entre les contenus authentiques et les faux contenus. Les campagnes politiques manipulées continueront de mettre en œuvre des tactiques de dénigrement et de changer délibérément la perception du public, grâce aux outils et aux services qui sont déjà disponibles sur les marchés occultes.

Il est probable qu’on recense des tentatives visant à influencer le résultat du vote à travers de fausses nouvelles au cours des prochaines élections générales suédoises. Il en ira de même lors des élections de mi-mandat aux États-Unis, puisque les réseaux sociaux peuvent être mis à profit pour amplifier les messages clivants, comme la présumée ingérence lors de la précédente élection présidentielle des États-Unis et « l’usine à trolls » derrière un influenceur sur Twitter.

À chaque fois qu’une fausse nouvelle est publiée et republiée, le lecteur l’assimile de plus en plus et finit par la considérer comme un fait avéré. Il sera difficile de distinguer le vrai du faux, car les auteurs de propagande exploitent d’anciennes techniques qui ont fait leurs preuves.

Les fausses nouvelles et la cyberpropagande feront leur effet, car il n’existe aucun moyen fiable de détecter ou de bloquer les contenus manipulés. Les sites des réseaux sociaux, notamment Google et Facebook, ont déjà pris des mesures pour empêcher la propagation de fausses histoires entre des fils et des groupes, mais celles-ci ont eu peu d’impact à ce jour. En conséquence, c’est aux utilisateurs d’exercer le filtrage final. Mais tant que ces derniers ne sont pas capables de distinguer les fausses nouvelles, ces contenus persisteront en ligne et les lecteurs non avertis et crédules continueront de leur accorder du crédit.

Les auteurs de menaces surferont sur la vague de l’apprentissage automatique et des technologies blockchain pour développer leurs techniques d’évasion.

Appréhender l’inconnu. C’est l’une des promesses majeures de l’apprentissage automatique, processus par lequel les ordinateurs sont formés, mais pas délibérément programmés. Pour une technologie relativement récente, l’apprentissage automatique offre un grand potentiel. Toutefois, on peut déjà se rendre compte que l’apprentissage automatique n’est peut-être pas la panacée en matière d’analyse des données et d’identification des informations. L’apprentissage automatique permet aux ordinateurs d’apprendre grâce aux charges de données qu’il reçoit. En d’autres termes, l’apprentissage automatique ne peut être efficace et précis que si le contexte qu’il reçoit de ses sources est également efficace et précis.

Si on se projette dans l’avenir, l’apprentissage automatique sera un élément clé des solutions de sécurité. Mais bien qu’il révèle un fort potentiel pour la prise de décisions plus précises et ciblées, il pose également une question importante, à savoir : L’apprentissage automatique peut-il être dévoyé par les programmes malveillants ?

Nous avons découvert que le ransomware CERBER utilise un chargeur que certaines solutions d’apprentissage automatique ne sont pas capables de détecter, car le programme malveillant est conçu de manière à ne pas paraître malveillant. Cela est particulièrement problématique pour les logiciels qui utilisent l’apprentissage automatique (qui analyse les fichiers sans exécution ni émulation) avant leur exécution, comme c’est le cas du ransomware UIWIX (imitation de WannaCry) qui ne comporte aucun fichier que l’apprentissage automatique avant l’exécution doive détecter ou bloquer.

L’apprentissage automatique peut être un puissant outil, mais il n’est pas infaillible. Bien que les chercheurs étudient déjà les possibilités qu’offre l’apprentissage automatique pour le contrôle du trafic et l’identification des éventuels exploits de type « zero day », il n’est pas présomptueux de supposer que les cybercriminels utiliseront ces mêmes capacités pour prendre les devants. Il est également possible de tromper les moteurs d’apprentissage automatique, comme le montre la légère manipulation des panneaux routiers reconnus différemment par les voitures autonomes. Les chercheurs ont déjà démontré comment les modèles d’apprentissage automatique comportent des angles morts que les adversaires peuvent exploiter.

Bien que l’apprentissage automatique améliore assurément la protection, nous pensons qu’il ne doit pas complètement prendre le pas sur les mécanismes de sécurité. Il doit être considéré comme une couche de sécurité supplémentaire intégrée dans une stratégie de défense approfondie, et non comme une balle d’argent. Une défense à couches multiples associée à une protection de bout en bout, de la passerelle jusqu’à l’extrémité, pourra faire obstacle aux menaces de sécurité, connues et inconnues.

Une autre technologie nouvelle qui devrait révolutionner le monde des entreprises et qui est exploitée par les cybercriminels est la technologie blockchain. Celle-ci a beaucoup fait parler d’elle dans le contexte des crypto-monnaies numériques et comme une forme de sécurité infaillible. L’adoption du registre décentralisé devrait se généraliser au cours des cinq à dix prochaines années. Toutefois, de nombreuses initiatives actuelles reposent déjà sur la technologie blockchain, allant de startups et de géants des secteurs technologique et financier jusqu’à des gouvernements dans leur ensemble, visant toutes à révolutionner les business models.

La technologie Blockchain fonctionne en obtenant le consensus requis entre les participants, ce qui complique les modifications non autorisées ou l’altération délibérée de la blockchain. Plus il y a de transferts, plus les séries deviennent complexes et occultes. Cette obfuscation peut être perçue comme une opportunité par les cybercriminels qui cherchent à améliorer leurs vecteurs d’attaque. Ils ont déjà réussi à cibler la blockchain dans le cas du piratage d’Ethereum DAO, qui a conduit à la perte de plus de 50 millions de dollars de monnaie numérique.

Comme la plupart des technologies prometteuses qu’on croyait infaillibles à un moment donné, l’apprentissage automatique et la technologie blockchain doivent être suivis de près.

De nombreuses entreprises ne prendront des mesures définitives concernant le règlement général de protection des données que lorsque le premier procès majeur aura lieu.

L’Union européenne (EU) implémentera finalement le RGPD en mai 2018, ce qui devrait avoir un impact significatif sur la gestion par les entreprises des informations des citoyens européens, y compris si ces sociétés se trouvent hors des frontières européennes. Dans le cadre de notre étude, nous avons découvert que la majorité des dirigeants (dans 57 pour cent des entreprises) rechignent à respecter le RGPD, certains ignorant ce que sont les informations personnelles identifiables et se souciant même peu des pénalités financières potentielles.

Les réfractaires ne se soumettront aux exigences du RGPD qu’après l’exercice de sanctions par les autorités de réglementation. Les gardiens de la confidentialité des données peuvent interférer avec les opérations des entreprises en interdisant complètement à des sociétés de traiter certaines données. Il est également possible que les procès, qu’ils soient intentés par les autorités ou les citoyens mêmes, changent la donne.

Par exemple, Equifax, l’agence américaine d’évaluation de la cote de solvabilité, aurait pu faire face à une amende d’un montant effarant, puisque certains consommateurs britanniques ont également déclaré avoir été affectés, si la violation avait eu lieu après l’entrée en vigueur du RGPD et si l’agence n’avait pas annoncé l’incident plus tôt qu’elle n’a choisi de le faire. La société de taxi internationale Uber aurait également pu se voir infliger une amende considérable après l’annonce d’une violation des données plus d’un an après les faits. Le non-respect de la clause de notification des violations donnera lieu à des amendes réglementaires pouvant aller jusqu’à 20 millions d’euros, ou jusqu’à 4 pour cent du chiffre d’affaires annuel global de l’entreprise réalisé au cours de l’exercice financier précédent, selon le montant le plus élevé.

En conséquence, les entreprises qui se mettent en conformité avec les exigences du RGPD se rendront compte de l’importance de disposer d’un responsable de la protection des données (DPO) dédié, capable de conduire le traitement et le contrôle des données. Les responsables de la protection des données sont particulièrement nécessaires au sein des entreprises et des secteurs d’activité qui gèrent des données sensibles. Les sociétés devront revoir leur stratégie de sécurité des données, notamment la classification de la nature des données et la séparation des données concernant l’Union européenne de celles associées au reste du monde.

Les autres régions devront se mettre en phase avec ces réglementations relatives à la gestion des données en mettant en place un cadre similaire au champ d’application étendu et des sanctions plus strictes en cas de non-conformité. L’autorité sanitaire des États-Unis, la FDA (Food and Drug Administration), a déjà reconnu plusieurs autorités européennes de réglementation des médicaments pour améliorer ses contrôles. L’Australie s’apprête à adopter ses propres lois régissant la notification des violations de la confidentialité des données sur la base du Privacy Amendment (Notifiable Data Breaches) Act 2017, tandis que le Data Protection Bill du Royaume-Uni est en cours d’actualisation pour être mis en conformité avec la législation européenne après le Brexit. Entre-temps, le « Bouclier de protection de la vie privée » (Privacy Shield), entente conclue entre l’Union européenne et les États-Unis, devra prouver à quel point il est contraignant, en dépit des préoccupations exprimées par l’Union européenne.

Les plates-formes et les applications d’entreprise seront exposées à des risques de manipulation et de vulnérabilités.

Dans l’environnement actuel, où l’Industrie 4.0 accentue l’interconnexion entre les processus de production et les systèmes cyber-physiques et les définit en fonction des logiciels, des risques peuvent surgir dans plusieurs domaines. La notion du jumeau numérique, du réplica virtuel ou de la simulation du processus ou de la production réel permet aux entreprises de résoudre les problèmes de performances susceptibles d’affecter les ressources physiques réelles. Toutefois, bien que cette approche soit sur le point de transformer les opérations, le réseau de production peut être infiltré par des acteurs malveillants qui visent à manipuler le système et à entraîner des perturbations et des dommages opérationnels. En manipulant le jumeau numérique proprement dit, ces acteurs peuvent donner aux processus de production une apparence légitime alors, qu’en fait, ils ont été modifiés.

En outre, les données de production qui sont directement (ou indirectement) transférées par le biais des systèmes d’exécution de la fabrication (MES) vers des systèmes SAP ou d’autres systèmes de planification des ressources d’entreprise (ERP) risquent également d’être compromises. Si une information manipulée ou une commande erronée est envoyée à un système ERP, les machines pourront faire l’objet de processus de sabotage en exécutant des décisions erronées, par exemple la livraison d’un nombre incorrect de fournitures, des transferts d’argent indus et même la saturation des systèmes.

Les systèmes d’entreprise ne sont pas les seules cibles ; en 2018, nous nous attendons à découvrir d’autres failles de la sécurité sur les plates-formes Adobe et Microsoft. Mais ce qui va être particulièrement intéressant, c’est l’attention renouvelée accordée aux vulnérabilités basées sur le navigateur et côté serveur.

Pendant des années, les vulnérabilités présentes dans les plug-ins intégrés aux navigateurs connus tels qu’Adobe Flash Player, Microsoft Java et Silverlight, ont été visées. Nous pensons toutefois qu’en 2018, les faiblesses des moteurs JavaScript affecteront les navigateurs modernes mêmes. Des problèmes de plantage de Google Chrome version 8 au fait que le moteur Chakra de Microsoft Edge est passé en open source, les vulnérabilités présentes dans les navigateurs basés sur JavaScript se multiplieront en 2018 étant donné l’usage généralisé du script sur le Web.

Les cybercriminels montreront aussi un regain d’intérêt pour l’exploitation des vulnérabilités coté serveur pour la diffusion de charges malveillantes. Nous pensons que l’utilisation du protocole SMB (Server Message Block) et des exploits Samba diffusant des ransomware s’accentuera en 2018. Les vulnérabilités du protocole SMB, en particulier, peuvent être exploitées sans interaction directe avec l’utilisateur. En fait, une vulnérabilité du protocole SMB a été mise à profit dans l’exploit EternalBlue qui a paralysé de nombreux réseaux exécutant Windows lors des attaques par ransomware WannaCry et Petya et lors de la récente attaque par Bad Rabbit qui a exploité EternalRomance. De la même manière, le logiciel Samba disponible en open source sous Linux est capable d’exploiter les vulnérabilités du protocole SMB.

Du fait des attaques lancées contre les processus de production à travers les logiciels SAP et ERP, les entreprises doivent accorder une attention prioritaire à la sécurité des applications associées. L’accès aux applications devra être géré et contrôlé afin d’éviter tout accès non autorisé.

Il est recommandé aux utilisateurs et aux entreprises de rechercher régulièrement les mises à jour des logiciels et d’appliquer les correctifs aussitôt qu’ils sont disponibles. Toutefois, dans la mesure où les administrateurs peuvent avoir du mal à déployer immédiatement les mises à jour, nous recommandons l’intégration de la protection contre les vulnérabilités dans les systèmes, de sorte que les plates-formes soient protégées contre les vulnérabilités non corrigées et « zero-day » (au jour zéro). Les solutions réseau devraient également sécuriser les appareils connectés contre les intrusions éventuelles par l’application de correctifs virtuels et la surveillance proactive du trafic Web.



Assurer la sécurité en 2018

Étant donné les diverses menaces existantes dans le panorama actuel et qui devraient prévaloir en 2018, des vulnérabilités et ransomware aux spams et attaques ciblées, le mieux que les entreprises et les utilisateurs puissent faire, c’est de réduire les risques d’intrusion au niveau de toutes les couches.

Meilleure visibilité et protection de la sécurité sur plusieurs couches pour les entreprises

Pour lutter contre les menaces de masse et vous protéger contre les menaces futures, les entreprises doivent déployer des solutions de sécurité qui garantissent la visibilité de tous les réseaux et soient capables de détecter les vulnérabilités et les attaques et de protéger vos systèmes contre celles-ci. Toutes les intrusions éventuelles et l’exposition des ressources à des risques seront évitées grâce à une stratégie de sécurité dynamique mettant en œuvre des techniques de différentes générations et prenant en charge différentes menaces. Ces technologies de sécurité sont notamment les suivantes :

  • Scan en temps réel. Les scans actifs et automatiques permettent de détecter les programmes malveillants de manière efficace et d’améliorer la performance des machines.
  • Réputation des fichiers et des sites Web. La détection et la prévention des programmes malveillants par le biais de techniques anti-spam, de la réputation des sites Web et du contrôle des applications protègent les utilisateurs contre les exploits et les attaques par ransomware.
  • Analyse comportementale. Les programmes malveillants avancés et les techniques de contournement des défenses traditionnelles sont détectés et bloqués de manière proactive.
  • Apprentissage automatique haute fidélité. Les entrées fournies par l’homme associées aux informations sur les menaces permettent la détection rapide des menaces connues et inconnues et une protection précise contre ces dernières.
  • Sécurité des endpoints. La sécurité employant la technologie de sandboxing, la détection des violations et les fonctionnalités de détection des endpoints détectent les activités suspectes et évitent les attaques et les mouvements latéraux au sein du réseau.

Meilleures pratiques et protection continue des utilisateurs finaux

L’accès aux informations à l’aide de différents appareils et applications s’est généralisé dans le monde toujours plus connecté d’aujourd’hui. Quel que soit l’appareil, l’application ou le réseau, les utilisateurs pourront combler les lacunes en termes de sécurité grâce à des configurations appropriées :

Modification des mots de passe par défaut. Définissez des mots de passe uniques et complexes sur les appareils intelligents, en particulier sur les routeurs, afin de réduire considérablement les risques de piratage.

Configuration de la sécurité sur les appareils. Modifiez les paramètres par défaut des appareils de manière à maintenir les paramètres de confidentialité sous contrôle et implémentez le chiffrement afin d’éviter tous contrôles et utilisations non autorisés des données.

Application des correctifs en temps opportun. Mettez à jour le firmware vers sa version la plus récente (ou activez la fonction de mise à jour automatique, si celle-ci est disponible) afin d’éviter les vulnérabilités non corrigées.

Dissuasion des tactiques d’ingénierie sociale. Faites toujours attention aux e-mails que vous recevez et aux sites que vous visitez, car ceux-ci peuvent contenir des spams, des messages de phishing, des programmes malveillants et des attaques ciblées.

Les entreprises et les utilisateurs sont mieux armés si les protections mises en place couvrent l’intégralité du cycle de vie des menaces, sur plusieurs couches de sécurité. De la passerelle de messagerie et Web à l’endpoint, l’implémentation d’une défense connectée garantit une protection optimale contre les menaces sans cesse changeantes prédominantes en 2018 et à l’avenir.