Les menaces informatiques sont aujourd'hui plus complexes que jamais et ne montrent aucun signe d'essoufflement. Les programmes malveillants prolifèrent et gagnent constamment en sophistication, avec des pirates travaillant davantage main dans la main. Pour affronter efficacement les auteurs des attaques, les entreprises doivent faire de même en unissant leurs efforts. Par Bernard Montel, Directeur Technique chez RSA.

Les rivalités et l'instinct naturel de compétition doivent être mis de côté afin de partager des informations concernant les vecteurs des attaques pour peindre un tableau aussi complet que possible des différentes menaces rencontrées. Cette collaboration doit unir très étroitement des acteurs du secteur privé comme public, afin de damer le pion aux cybercriminels.

« Nous devons rester solidaires les uns des autres ou nous mourrons solitaires » : cette phrase de Benjamin Franklin trouve un écho au sein de l'industrie de la sécurité informatique quelques 200 ans après avoir été prononcée. Ces paroles pleines de sagesse résument la situation actuelle. Les programmes malveillants qui visent les réseaux et menacent aussi bien les entreprises que le grand public, gagnent sans cesse en sophistication et sont toujours plus nombreuses. Le besoin d'une collaboration renforcée entre les acteurs de l'industrie de la sécurité se fait impérieux, pour produire des résultats efficaces en venant rapidement à bout des programmes malveillants.

L'information, nerf de la guerre

Les menaces avancées persistantes ou APT (Advanced Persistent Threats) posent aujourd'hui les plus grands défis en terme de sécurité. Il s'agit d'attaques visant les réseaux, commanditées par des Etats avec pour finalité l'obtention d'informations en échange de rémunération ou d'appui politique. Difficulté de taille : les méthodes traditionnelles de protection ne sont pas à la hauteur face aux APT. En début d'année, une entreprise spécialiste de la sécurité a annoncé que 92 % des brèches ne sont pas décelées par une entreprise victime d'une attaque ; elles lui sont signalées par une société tierce. Ce chiffre édifiant peut être assimilé à un propriétaire qui découvre, en pleine nuit, qu'il a été victime de 8 cambriolages alors qu'il y en a eu en réalité 100.

Pour surmonter le problème, une nouvelle approche en matière de défense est nécessaire, appelant à une sécurisation par couches et au partage d'informations.

Les entreprises doivent bien comprendre qu'il n'existe pas de technologie imparable, faisant office de « balle en argent », pour éradiquer les APT. Une approche à plusieurs strates est la seule solution pour détecter les prochaines tentatives d'attaque. Chaque étage doit être équipé d'un système de surveillance - le périmètre, le réseau interne et les ordinateurs - pour disposer d'une image complète indiquant clairement l'état des différents niveaux.

Mais une question subsiste : que faut-il précisément surveiller ? Comment se préparer à la prochaine attaque ? Curieusement, la réponse réside dans le mode opératoire des pirates.

Des pirates frères d'armes

Le partage d'informations à haute dose est l'une des principales caractéristiques des pirates ciblant les réseaux. Ils sont très communicants et travaillent à plusieurs pour résoudre des problèmes, étant même ravis d'épauler des pairs inconnus cherchant à lancer des attaques de grande envergure. Les forums de discussion en ligne sont le ciment social numérique des pirates, en étant un parfait lieu de rencontre et de collaboration.

Le degré de collaboration y est incroyable. Les pirates disposent de modes d'emploi très accessibles pour préparer des attaques en ligne. Ils peuvent acheter des tutoriels dédiés à des vecteurs d'attaques spécifiques, bénéficier d'une assistance technique pour concevoir un cheval de Troie et même consulter des descriptions techniques d'attaques qui ont fait leurs preuves par le passé.

L'industrie de la sécurité devrait en tirer des leçons et recourir aux mêmes méthodes pour détecter et analyser les tremplins utilisés. Une recette qui nécessite une très grande ouverture de la part des victimes. Or les entreprises ont toujours été plutôt réticentes à communiquer au sujet de leurs failles de sécurité, redoutant autant la mauvaise publicité que la fuite de leur propriété industrielle. Les mentalités doivent donc absolument évoluer. Le paysage des menaces a suffisamment changé pour justifier la mise en commun d'informations, remisant de fait la tendance naturelle à la rétention d'éléments à caractère privé.

La nécessité de partager des informations

Le secteur de la finance se distingue régulièrement en matière de collaboration autour des problèmes de sécurité ; ses acteurs ont été les premiers à adopter des bonnes pratiques en la matière. Une attitude qui tombe sous le sens dans la mesure où ils sont la cible de la majorité des attaques motivées par l'appât du gain. Signe des temps, les pouvoirs publics sont désormais également enclins à partager avec des organismes financiers des informations relatives aux menaces informatiques.

En Europe, l'ENISA (European Network and Information Security Agency) s'est particulièrement distinguée par son travail. Cette agence a été créée pour faciliter l'échange d'informations relatives à la sécurité entre ses Etats membres, tout en promouvant la collaboration entre les secteurs public et privé. Il s'agit là d'une petite révolution dans la façon dont les pouvoirs publics traitent les informations sensibles. Alors qu'ils conservaient auparavant leurs données et leurs découvertes sans jamais les divulguer autrement qu'en interne, la nouvelle approche est le fruit d'une prise de conscience collective : l'intégrité des entreprises d'un pays représente un enjeu de taille pour la sécurité nationale dans son ensemble.

La collaboration entre les sociétés expertes en sécurité informatique et les banques a également fait un bond, plus important que dans la plupart des autres secteurs. A titre d'exemple, le RSA eFraudNetwork met à disposition une banque de données commune des profils d'attaques. Les données recueillies proviennent de multiples sources dans le monde : clients, utilisateurs finaux, fournisseurs d'accès Internet (FAI), RSA Anti-Fraud Command Center et contributeurs tiers. Grâce à la collaboration entre les entreprises et organisations, cette banque de données donne accès à un immense réseau d'éléments d'identification d'actes de piratage. D'autres projets similaires existent, tous contribuant à repérer en temps réel des agissements financiers illicites pour y mettre un terme.

Collaboration et sécurité en vedette

Les technologies évoluent constamment, à l'instar des méthodes employées par les pirates. Très organisés, ces derniers collaborent avec une grande liberté d'action. Un niveau d'entraide identique est indispensable aux acteurs de l'industrie de la sécurité et aux entreprises pour réussir à limiter les menaces posées par ces groupes. Il doit concerner les secteurs public et privé ainsi que les entreprises se livrant une concurrence acharnée. Seule une action menée de front peut faciliter la détection et la prévention des actes de cybercriminalité.

Bernard Montel, Directeur Technique chez RSA