Les technologies émergentes sont encensées comme des accélérateurs d’innovation. Mais sans sécurité intégrée, le virage numérique peut être critique pour l’entreprise.
Dans le cadre du passage au numérique, les technologies de l’information jouent un rôle central dans la plupart des chaînes de création de valeur. On observe une interconnexion croissante du monde virtuel et physique (TI et TO), même dans les plus petites entreprises. Cette complexité croissante et l’hyperconnectivité, également des aspects professionnels et privés, conduisent à une zone d’attaque nettement plus étendue: une lacune ou une inattention suffit déjà à entraîner une infection. Sans compter que les pirates se professionnalisent à un rythme effréné et exploitent également de nouvelles technologies telles que l’intelligence artificielle. Ajoutez la quasi-impossibilité de poursuites transfrontalières et nous voilà confrontés à un marché criminel mondial des cyberwares qui grandit sans cesse.
Le Gartner Report 2019 enregistre une croissance du nombre d’appareils installés de 21,5% entre 2018 et 2019, soit un total d’environ 4,8 milliards. On s’attend déjà à une croissance exponentielle pour 2020, peut-être légèrement affaiblie par la crise du coronavirus.
Des smart cities aux smart utilities en passant par la connected health, les smart homes et les connected cars, tout possède une adresse IP et est de plus en plus mis en réseau. Cela crée un flux massif de données intersectorielles, professionnelles et privées. De manière générale, nous avons affaire à une énorme zone d’attaque et à un potentiel de dommage croissant des attaques virtuelles.
Malheureusement, ni les fournisseurs ni les fabricants ne souhaitent miser sur la sécurité, car elle coûte cher. Comme il n’existe ni d’exigences minimales ni de normes comme pour les appareils électriques, cette lacune du marché conduit à un «Internet des objets non sécurisés». Et cet «héritage» qui est en cours de construction va malheureusement probablement nous poursuivre encore longtemps.
Selon le Threat Report 2020 de Palo Alto, les trois plus grandes menaces sont les «exploits», les mots de passe faibles et les vers IoT.
Dans la plupart des cas, les dispositifs IoT ne sont utilisés dans les «exploits» que comme un tremplin pour des «lateral movements» visant à attaquer d’autres systèmes dans un réseau. Dans ce contexte, nous observons un grand nombre de scans de réseaux, d’IP, de ports et de points vulnérables sur ces appareils. Les mots de passe faibles sont en deuxième position. L’utilisation d’un gestionnaire de mots de passe correct n’est pas vraiment résolue jusqu’à présent dans l’environnement IoT. Les vers IoT analysent les réseaux à la recherche de vulnérabilités telles que «l’exploit EternalBlue» qui tire profit d’une erreur de programmation dans l’implémentation SMB (Server Message Block) de Windows. Si un système vulnérable est découvert, le ver continue à se propager ou charge d’autres codes malveillants sur le système cible.
Le besoin de protection dans le domaine de l’IoT doit donc être évalué comme élevé à très élevé, car les dommages causés par les faiblesses de l’IoT dépassent le monde virtuel et ont des effets dans le monde physique. Quel patch permettra de réparer mon véhicule de société qui a été piraté par une attaque informatique? Comment prouver l’attaque? Quel type d’assurance couvre ces dommages avec des tarifs acceptables?
Les algorithmes d’autoapprentissage, aussi appelés méthodes d’apprentissage automatique ou profond, sont de plus en plus utilisés. Cela comprend notamment des systèmes basés sur les connaissances, l’analyse, la reconnaissance et la prédiction des modèles ainsi que la robotique. L’IA touche désormais de nombreux domaines de notre société: la création et l’utilisation de profils de navigateurs, les comportements d’achat, les diagnostics médicaux ou le pilote automatique des Tesla. L’IA, ou plus précisément la «corrélation intelligente des données», reste intéressante et importante, mais son utilité a été ou est surestimée.
Les méthodes d’apprentissage automatique peuvent par exemple faciliter grandement les diagnostics dans le domaine médical, mais c’est toujours le radiologue qui établit le diagnostic définitif. Les méthodes d’apprentissage automatique donnent également de bons résultats dans le domaine de la détection des fraudes pour les transactions bancaires en ligne. Elles ne peuvent toutefois pas être utilisées comme technologie unique dans la détection des fraudes. La raison est aussi banale que simple: les criminels s’adaptent également et mettent en œuvre les attaques aussi «intelligemment» que possible à l’aide de méthodes d’IA. Conclusion terre à terre: même l’IA ne peut pas faire nos devoirs à notre place, nous avons encore besoin de beaucoup d’expertise manuelle en plus des cadres de sécurité actuels ou d’un système de management de la sécurité de l’information (SMSI) entièrement intégré.
Il existe de bons cadres de sécurité pour les PME, tels que le «test rapide pour PME», une initiative conjointe d’ICTswitzerland, de la Confédération suisse, de la SATW, d’ISSS et d’autres. Par contre, les entreprises qui détiennent des données critiques doivent impérativement employer un SMSI complet.
Une autre approche de solution importante est l’intégration d’un prestataire CERT externe et neutre en termes de produits, explique le professeur Hannes Lubich:
Un CERT remplit une fonction essentielle dans la chaîne de service globale de la sécurité de l’information, avec des exigences élevées en matière d’engagement, de disponibilité, de confidentialité et d’intégrité, à savoir la fourniture d’une expertise pour le traitement rapide des incidents de sécurité aigus dans ses groupes respectifs. L’objectif principal de cette activité est donc de limiter l’étendue des dommages.
Prof. Dr Hannes Lubich
SWITCH élargit de manière ciblée les services CERT proposés (Operational Threat Intelligence & Threat Detection/Prevention, Incident Response, Community Building pour spécialistes, etc.) à d’autres secteurs ayant des infrastructures critiques et aux domaines de compétence des opérations de sécurité informatique évoqués ci-dessus, par exemple à des domaines tels que l’automatisation de la threat intelligence pour la détection rapide et la prévention des attaques, la sécurité des appareils mobiles ou la sécurité IoT et ICS.
En résumé, la combinaison d’Endpoint Protection & Response, de méthodes d’IA au sein de solutions SIEM ainsi que d’experts bien formés deviendra de plus en plus importante à l’avenir. La base de tous les efforts dans la lutte contre les cyberattaques est et reste toutefois un inventaire propre du matériel et des logiciels avec une évaluation des risques associés.