Technologies émergentes et sécurité informatique

Les technologies émergentes sont encensées comme des accélérateurs d’innovation. Mais sans sécurité intégrée, le virage numérique peut être critique pour l’entreprise.

Texte: Michael Fuchs, publié le 27.08.2020

Dans le cadre du passage au numérique, les technologies de l’information jouent un rôle central dans la plupart des chaînes de création de valeur. On observe une interconnexion croissante du monde virtuel et physique (TI et TO), même dans les plus petites entreprises. Cette complexité croissante et l’hyperconnectivité, également des aspects professionnels et privés, conduisent à une zone d’attaque nettement plus étendue: une lacune ou une inattention suffit déjà à entraîner une infection. Sans compter que les pirates se professionnalisent à un rythme effréné et exploitent également de nouvelles technologies telles que l’intelligence artificielle. Ajoutez la quasi-impossibilité de poursuites transfrontalières et nous voilà confrontés à un marché criminel mondial des cyberwares qui grandit sans cesse.

IoT: smart, quand tout communique?

Le Gartner Report 2019 enregistre une croissance du nombre d’appareils installés de 21,5% entre 2018 et 2019, soit un total d’environ 4,8 milliards. On s’attend déjà à une croissance exponentielle pour 2020, peut-être légèrement affaiblie par la crise du coronavirus.

Des smart cities aux smart utilities en passant par la connected health, les smart homes et les connected cars, tout possède une adresse IP et est de plus en plus mis en réseau. Cela crée un flux massif de données intersectorielles, professionnelles et privées. De manière générale, nous avons affaire à une énorme zone d’attaque et à un potentiel de dommage croissant des attaques virtuelles.

Malheureusement, ni les fournisseurs ni les fabricants ne souhaitent miser sur la sécurité, car elle coûte cher. Comme il n’existe ni d’exigences minimales ni de normes comme pour les appareils électriques, cette lacune du marché conduit à un «Internet des objets non sécurisés». Et cet «héritage» qui est en cours de construction va malheureusement probablement nous poursuivre encore longtemps.

IoT Top Threats 2020

Selon le Threat Report 2020 de Palo Alto, les trois plus grandes menaces sont les «exploits», les mots de passe faibles et les vers IoT.

Dans la plupart des cas, les dispositifs IoT ne sont utilisés dans les «exploits» que comme un tremplin pour des «lateral movements» visant à attaquer d’autres systèmes dans un réseau. Dans ce contexte, nous observons un grand nombre de scans de réseaux, d’IP, de ports et de points vulnérables sur ces appareils. Les mots de passe faibles sont en deuxième position. L’utilisation d’un gestionnaire de mots de passe correct n’est pas vraiment résolue jusqu’à présent dans l’environnement IoT. Les vers IoT analysent les réseaux à la recherche de vulnérabilités telles que «l’exploit EternalBlue» qui tire profit d’une erreur de programmation dans l’implémentation SMB (Server Message Block) de Windows. Si un système vulnérable est découvert, le ver continue à se propager ou charge d’autres codes malveillants sur le système cible.

Le besoin de protection dans le domaine de l’IoT doit donc être évalué comme élevé à très élevé, car les dommages causés par les faiblesses de l’IoT dépassent le monde virtuel et ont des effets dans le monde physique. Quel patch permettra de réparer mon véhicule de société qui a été piraté par une attaque informatique? Comment prouver l’attaque? Quel type d’assurance couvre ces dommages avec des tarifs acceptables?

Intelligence artificielle: les devoirs restent les mêmes

Les algorithmes d’autoapprentissage, aussi appelés méthodes d’apprentissage automatique ou profond, sont de plus en plus utilisés. Cela comprend notamment des systèmes basés sur les connaissances, l’analyse, la reconnaissance et la prédiction des modèles ainsi que la robotique. L’IA touche désormais de nombreux domaines de notre société: la création et l’utilisation de profils de navigateurs, les comportements d’achat, les diagnostics médicaux ou le pilote automatique des Tesla. L’IA, ou plus précisément la «corrélation intelligente des données», reste intéressante et importante, mais son utilité a été ou est surestimée.

Les méthodes d’apprentissage automatique peuvent par exemple faciliter grandement les diagnostics dans le domaine médical, mais c’est toujours le radiologue qui établit le diagnostic définitif. Les méthodes d’apprentissage automatique donnent également de bons résultats dans le domaine de la détection des fraudes pour les transactions bancaires en ligne. Elles ne peuvent toutefois pas être utilisées comme technologie unique dans la détection des fraudes. La raison est aussi banale que simple: les criminels s’adaptent également et mettent en œuvre les attaques aussi «intelligemment» que possible à l’aide de méthodes d’IA. Conclusion terre à terre: même l’IA ne peut pas faire nos devoirs à notre place, nous avons encore besoin de beaucoup d’expertise manuelle en plus des cadres de sécurité actuels ou d’un système de management de la sécurité de l’information (SMSI) entièrement intégré.

Cadres de sécurité éprouvés et CERT multisecteur

Il existe de bons cadres de sécurité pour les PME, tels que le «test rapide pour PME», une initiative conjointe d’ICTswitzerland, de la Confédération suisse, de la SATW, d’ISSS et d’autres. Par contre, les entreprises qui détiennent des données critiques doivent impérativement employer un SMSI complet.

Une autre approche de solution importante est l’intégration d’un prestataire CERT externe et neutre en termes de produits, explique le professeur Hannes Lubich:

 

Un CERT remplit une fonction essentielle dans la chaîne de service globale de la sécurité de l’information, avec des exigences élevées en matière d’engagement, de disponibilité, de confidentialité et d’intégrité, à savoir la fourniture d’une expertise pour le traitement rapide des incidents de sécurité aigus dans ses groupes respectifs. L’objectif principal de cette activité est donc de limiter l’étendue des dommages.

Prof. Dr Hannes Lubich

SWITCH élargit de manière ciblée les services CERT proposés (Operational Threat Intelligence & Threat Detection/Prevention, Incident Response, Community Building pour spécialistes, etc.) à d’autres secteurs ayant des infrastructures critiques et aux domaines de compétence des opérations de sécurité informatique évoqués ci-dessus, par exemple à des domaines tels que l’automatisation de la threat intelligence pour la détection rapide et la prévention des attaques, la sécurité des appareils mobiles ou la sécurité IoT et ICS.

En résumé, la combinaison d’Endpoint Protection & Response, de méthodes d’IA au sein de solutions SIEM ainsi que d’experts bien formés deviendra de plus en plus importante à l’avenir. La base de tous les efforts dans la lutte contre les cyberattaques est et reste toutefois un inventaire propre du matériel et des logiciels avec une évaluation des risques associés.

L'auteur
Michael   Fuchs

Michael Fuchs

Michael Fuchs a étudié l’informatique à la haute école spécialisée zurichoise (ZHAW) et a décroché un MAS en sécurité de l’information à la haute école de Lucerne (HSLU). Il travaille comme Senior Security Consultant dans l’équipe de SWITCH-CERT depuis 2014 et se spécialise dans le développement des secteurs d’activité.

E-mail

#Security

 

Cet article a été publié pour la première fois sur inside-it.ch et inside-channels.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts en sécurité de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.

Tags
Security
Autres articles