> Enjeux IT > Hackers et entreprises : une histoire de comportements

Hackers et entreprises : une histoire de comportements

Enjeux IT - Par iTPro.fr - Publié le 21 janvier 2015
email

Suite à la publication du rapport annuel sur la sécurité, Christophe Jolly, Directeur Sécurité Cisco France, revient sur les comportements des hackers mais aussi sur celui des entreprises.

Hackers et entreprises : une histoire de comportements

ITPro.fr : Quels sont les procédés des attaquants ?

Christophe Jolly : Le pirate lorsqu’il lance une attaque, son premier travail va être de se renseigner. Evitons de parler de la menace tout venante comme voler les informations d’une carte mais concentrons-nous sur les attaques ciblées. Un attaquant qui met en place une attaque ciblée, veut aller chercher de l’information et poser un point d’entrée dans une entreprise. Son premier job avant de commencer va être de savoir comment fonctionne l’entreprise, comment elle est organisée, avec une gestion directe ou en sous-traitance, comment elle est organisée au niveau technique – où sont les ressources fragiles – et puis après regarder les hommes qui sont dans cette entreprise, où sont les personnes clefs, les personnes qui sont visibles sur internet.

Donc, tout un travail de renseignement pour comprendre l’environnement et préparer la prochaine phase qui est l’attaque. Et plus le temps passe, plus l’attaque va être difficile à bloquer parce qu’elle est diffuse, de plus en plus cachée à l’intérieur de la masse, du trafic et des outils. Une fois qu’on a passé l’attaque et qu’on fait une vraie démarche professionnelle, on va poser un point d’appui dans l’entreprise, quasi invisible, maintenu en compétition opérationnelle pour ensuite réaliser l’opération finale qui est de donner de l’information ou bien de prendre et comprendre des process, ou encore casser un élément interne de l’entreprise et bien d’autres choses. Donc, trois phases dans une vraie attaque complexe, renseignement, passage d’une attaque et passage en compétition opérationnelle.

Une entreprise doit se protéger de la même manière et mette en place des outils avant l’attaque, à savoir identifier ses ressources, connaître ses vulnérabilités, mettre en place une muraille d’outils qui vont délimiter les points fragiles de l’entreprise pour ensuite mettre en place les outils de détection. Evidemment ne pas s’arrêter là, en installant des outils qui vont collecter de l’information pour être en mesure en cas de doute de reconstruire le cheminement de ce comportement et être capable de périmétrer précisément l’attaque.

ITPro.fr : Existe-il une évolution du comportement des hackers et de ces menaces ?

Christophe Jolly : En effet, il y’a une évolution importante de la menace en général. Là où ces dernières années, les attaques étaient assez orientées vers certains vecteurs, on se rend compte aujourd’hui que sans évoluer en nombre, on a toujours autant d’attaques mais elles sont plus diffuses, plus réparties sur de nombreux vecteurs. La cible des hackers est globalement un peu toujours la même. Chaque type d’attaquants a ses objectifs que ce soit une recherche d’argent facile ou une cible précise, comme des attaques contre des états,  ce qui implique des groupes d’activistes ou des attaques terroristes. On a, en fonction de la nature de l’attaquant, une cible qui ne va pas changer. La manière, en revanche,  de percer la carapace est en train de changer et d’être de plus en plus répartie sur un périmètre.

Dans les entreprises, la surface d’attaque étant de plus en plus importante à cause des objets de l’internet, du BYOD, des interactions ou encore du nombre important d’applications, les agresseurs utilisent ce facteur de manière intelligente. Jusqu’à maintenant  Java était un des vecteurs importants de ces attaques. A présent, on observe une baisse brutale de 34% des attaques sous Java, non par manque d’activité des attaquants mais parce que les attaques Java sont bien comprises et maîtrisées par les personnes qui se protègent. Du coup, plutôt que de continuer de taper à cet endroit, le bouclier est en train de se renforcer, alors on frappe juste à côté notamment par l’utilisation de combinaison d’attaques flash et Java ou par un morceau de code par Java et au travers d’un malware flash se rassemblant au niveau de la cible.

ITPro.fr : Quelle est la réaction des entreprises face à ses attaques ? Ne sont-elles pas trop confiantes ?

Christophe Jolly : Le rapport fait ressortir la différence entre le sentiment d’être protégé et la réalité. Je pense qu’on est un peu entre les deux. On est extrêmement bien protégé contre des menaces identifiées et classiques. La difficulté des entreprises peut-être, c’est qu’elles se rendent compte d’une chose, l’attaquant a toujours l’initiative, il a le choix des armes et du point d’attaque. Les entreprises ne sont pas sereines, on n’est jamais à l’abri d’une attaque.

Ce qu’il faut garder à l’esprit, c’est qu’on peut être attaqué et qu’il ne faut pas s’arrêter uniquement aux outils de détection. On met en place un outil mais il a ses limites. Il n’existe pas d’outil magique qui fait du 100%. Même en mettant les bons outils de détection, il faut pouvoir garder un travail après l’attaque, il faut être en mesure de regarder à l’intérieur du réseau et de détecter des indicateurs de compromission, de comportements anormaux et de garder un esprit d’étonnement. Une machine qui change de comportement, a plus de trafic pendant la nuit alors qu’il ne se passe rien d’habitude, une application qui apparait à un endroit où elle n’a pas lieu d’être, toutes ces choses-là sont des indicateurs qui vont laisser penser que l’attaque est déjà passée et qu’on est déjà dans une phase de maintien en condition opérationnelle de l’attaque,  les agresseurs sont arrivés à l’intérieur de l’organisation.

ITPro.fr : Est-ce que de manière générale les entreprises sont bien protégées ?

Christophe Jolly : Sur la base de ce qu’on connait, oui. En revanche, plus le temps passe, plus les choses se complexifient, moins on en connait et plus l’attaquant tape où il le souhaite. A partir de ce constat, il faut revenir à plus de modestie, enlever certains tabous et se dire « j’ai mis en place les outils, j’ai dépensé beaucoup d’argent mais cel n’empêche pas que je puisse être attaqué quand même. Il faut que garder la capacité à pouvoir surveiller quelque chose qui parait anormal dans mon réseau».

ITPro.fr : Quelles sont les mauvaises méthodes et les bonnes méthodes ?

Christophe Jolly : La sécurité dans une entreprise est un travail d’équipe qui touche aussi bien l’employé lambda qu’il faut briefer sur la bonne manière de travail comme par exemple les e-mails et les liens. Une entreprise où les dirigeants ne sont pas conscients des problématiques SSI est une entreprise en risque. Réellement la SSI comme beaucoup de domaine transverse passe par l’ensemble des gens pour une prise de conscience de tout le monde.

Alors, après qu’est ce qui est du bon usage ou du mauvais usage, tout dépend des entreprises. Le mauvais, c’est l’exemple de l’entreprise qui s’est fait attaquer, en réponse met un budget sur la table et demande au RSSI de boucher le trou, là où l’attaquant est passé. Mauvaise pratique, la sécurité n’est pas une affaire d’outils ou de budgets mais de mise en place de bons process. Se calquer sur la démarche de l’attaquant, regarder comment il fonctionne ou utilise le social engineering, essayer de voir à quels endroits il faut se positionner, enfin, comment construire les éléments permettant de se protéger.

Téléchargez cette ressource

Travail à distance – Guide complet pour les Directions IT et Métiers

Travail à distance – Guide complet pour les Directions IT et Métiers

Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.

Enjeux IT - Par iTPro.fr - Publié le 21 janvier 2015