Gatewatcher publie son rapport cybersécurité 2018

Cybersécurité : bilan 2018 & perspectives 2019

 

Edito

 

Ces derniers mois, les services financiers, la santé, le secteur public mais aussi l’industrie, la banque ou encore l’énergie ont été les cibles de diverses cyberattaques. La sophistication, la sévérité et l’efficacité de ces attaques ont considérablement augmenté avec des fuites de données records et des malwares qui se répandent à l’échelle mondiale. L’autre paramètre à prendre en compte est l’évolution de la structuration des groupes d’attaquants et la facilité d’accès à des outils clés en main, qui simplifient le travail des pirates. Dans un monde de plus en plus numérique et interconnecté, la détection de menaces est donc un enjeu majeur et stratégique.

Dans un objectif de consolidation des capacités nationales de cybersécurité, la Loi de Programmation Militaire (LPM) pour 2014 – 2019 encourage les entreprises, administrations et industries françaises sensibles, qualifiées d’Opérateurs d’Importance Vitale (OIV), à investir dans les outils de cyberdéfense et notamment à se doter de moyens de détection d’intrusion. La transposition de la directive NIS en France, assurée par l’ANSSI, a également pour but de renforcer la sécurité des Opérateurs de Service Essentiels (OSE) au fonctionnement de l’économie et de la société.

Avec sa technologie innovante Trackwatch, Gatewatcher est la première plateforme de détection multi-vecteurs répondant aux exigences de durcissement de l’ANSSI dans le cadre de l’application de la LPM et a su devenir un partenaire de référence dans la détection de menaces avancées.

Jacques de La Rivière, CEO, Gatewatcher

 

Synthèse

 

Nous publions ce rapport afin de dresser le bilan cybersécurité de l’année qui vient de s’écouler et d’y regrouper les tendances et prévisions pour l’année à venir.

Parmi les sujets abordés, nous reviendrons sur les principaux événements cybersécurité de 2018, tant sur l’aspect technologique que géopolitique. Cette année encore, les hackers ont démontré leur capacité à atteindre des niveaux de sophistication et d’impact inédits, à contourner les systèmes de sécurité, et à exploiter les failles de sécurité.

En tirant les conclusions de cette année, certaines tendances se dessinent pour l’année à venir et nous avons souhaité les rassembler autour de trois thématiques : évolution des menaces, intelligence artificielle et machine learning, et enfin cadre législatif français.

 

Le bilan 2018

 

La recrudescence des attaques a marqué cette année, et la tendance ne semble pas prête de s’inverser. En effet, depuis quelques temps, le rapport bénéfice/risque paraît favorable aux attaquants. Pendant des années, la cybermenace était assez confidentielle, synonyme d’espionnage, de renseignement ou encore de vol de données. Avec l’apparition de phénomènes d’envergure mondiale (WannaCry, NotPetya), les cyberattaques sont devenues très concrètes aux yeux du grand public et ont déstabilisé les états les plus puissants.

Le cyberespace est-il devenu le nouveau terrain de guerre du 21ème siècle ? Aucun élément ne semble aller dans le sens de la négative. Les États-Unis ont même fait du cyberespace leur 5ème terrain de combat (Cyber Command). Cette année encore, le nombre de gros titres mentionnant des attaques entre états, sur des entreprises ou des particuliers n’a cessé d’augmenter. Bien que des mesures soient prises au niveau national ou international (Appel de Paris, Cybersecurity Tech Accord…), le rythme des attaques ne faiblit pas, bien au contraire.

Parmi les faits marquants de l’année qui vient de s’écouler, voici ceux que nous avons choisi de retenir :

  • Le cryptojacking est-t-il devenu plus fort que le ransomware ? 500 millions d’utilisateurs dans le monde auraient été victimes de cryptojacking en 2018. Rentable, facile à mettre en place et difficilement détectable pour les utilisateurs. Le boom des cryptomonnaies a donné des idées aux pirates pour gagner de l’argent en utilisant le matériel d’autrui (Coinhive, Cryptoloot, JSEcoin…). Les adwares (logiciels publicitaires) et le cryptojacking « brouillent » la frontière entre ce qui est de l’utilisation légitime et ce qui est de la cybercriminalité visant à s’infiltrer dans les infrastructures. Tant que l’intrusion n’est pas découverte, elle continue à fournir à l’attaquant un flux régulier de revenus.
  • Le SIM Swap n’est pas en reste. La récupération de codes de connexion, de code 2FA (double facteur d’authentification) ou 2SV (validation en deux étapes) permettent à l’attaquant de récupérer un grand nombre d’informations sur sa victime. En juillet 2018, un homme a été arrêté à Los Angeles pour avoir piraté une quarantaine de numéros de téléphone avec l’aide d’une bande de scammeurs, pour un butin total estimé à environ 5 millions de dollars.
  • Les ransomwares demeurent toujours une menace majeure, et s’en prennent de plus en plus aux entreprises et notamment au secteur de la santé. Le ransomware n’est donc pas mort, il s’adapte et devient plus sournois.
  • Les cybercriminels se tournent davantage vers les attaques « sans fichier » (CactusTorch par exemple). Le code est envoyé directement sur la mémoire de l’appareil, alors que les anti-virus s’attachent principalement à analyser les fichiers statiques. L’attaque est de ce fait extrêmement difficile à détecter puisqu’aucun logiciel n’a été installé sur l’ordinateur de l’utilisateur. Les experts de McAfee Labs ont noté une croissance de 432% des cyberattaques de ce type par rapport à 2017.
  • Le phishing continue également de faire des dégâts. Vade Secure a développé cette année la première édition de son rapport « Phishers’ Favorites» qui regroupe les 25 marques les plus usurpées par les cybercriminels en vue de mener des campagnes de phishing. Dans le Top 5 France, on retrouve, largement en tête, Microsoft, suivi de PayPal, Facebook, Netflix et Ameli.

On notera également les évolutions structurelles des groupes de cybercriminels, qui tendent de plus en plus vers le « As-A-Service » : des « boîtes à outils » mises à disposition des attaquants sur le marché noir. Ce nouveau mode de fonctionnement rend les attaques plus accessibles à des individus isolés et pas toujours très expérimentés.

Une constante cependant : la faille humaine reste la faille préférée des hackers ! En effet, malgré des solutions de détection et de protection performantes, le facteur humain est toujours aussi imprévisible. De plus en plus d’entreprises en ont pris conscience et la sensibilisation s’accompagne aujourd’hui de véritables formations. Pour preuve, 62 %  des  entreprises  ont mis  en  place  des  procédures  de  vérification  du  respect  des recommandations des RSSI par les salariés [1].

La transformation numérique apporte elle aussi son lot de risques car elle impacte directement le niveau de vulnérabilité d’une entreprise. En 2017, 73 % des entreprises françaises ont fait face à une ou plusieurs demandes de rançons, 38 % ont subi une fraude externe, 30 % un vol d’information, 25% ont été touchées par des attaques en déni de service et 16 % par une défiguration de site web.

Au niveau national, le site malveillance.gouv.fr lancé en octobre 2017 à l’initiative de Mounir Mahjoubi, Secrétaire d’état au numérique, a tiré son premier bilan cette année : au total, ce sont plus de 25 000 victimes qui se sont déclarées, dont 12% de PME.

 

Les perspectives pour 2019

                                 

        

A la lumière des événements de l’année 2018, plusieurs tendances se dégagent pour l’année à venir. Concernant l’évolution des menaces tout d’abord.

L’orientation qui nous inquiète le plus pour les mois à venir est celle des malwares hybrides. Leurs capacités fonctionnelles sont réduites au maximum pour passer à travers les mailles du filet, mais leur charge virale est extrêmement puissante et furtive à la fois. Cette sophistication ne va faire que croître ; et s’ajouter à l’industrialisation de la cybercriminalité et à la croissance exponentielle du nombre d’internautes et d’objets connectés… multipliant d’autant les points d’entrée possibles pour les attaquants.

Une autre évolution à surveiller est le ciblage des attaques, amorcé en 2018, qui devrait devenir de plus en plus courant. La plupart des attaquants se concentre aujourd’hui sur un ciblage de qualité (d’entreprises ou de particuliers) pour maximiser les rendements et causer plus de dégâts.

Les attaques sur les mobiles et l’IoT vont également se généraliser. En effet, comme nous l’avons vu précédemment dans le bilan 2018, il n’est désormais plus nécessaire d’être un programmeur de génie : il existe sur le Dark Web des malwares en version « clé en main » (Malware as a Service, Exploit kits…). Les malwares Android notamment, sont particulièrement accessibles grâce au framework AFE (Android Framework for Exploitation).

La démocratisation et la multiplication des objets connectés dans les maisons et les entreprises sont autant de nouveaux points d’entrée pour les attaquants. Ils permettent de lancer des attaques par déni de service distribué (DDoS). On se souvient notamment des sites Twitter, Amazon ou encore AirBnB rendus inaccessibles par le malware Mirai, qui s’était appuyé sur le botnet de centaines de milliers de caméras de sécurité. La sécurisation de l’IoT sera un donc véritable enjeu pour l’année à venir.

Les routeurs vont également devenir une cible privilégiée. Considérés comme des appareils qui ne font que transmettre des paquets, les routeurs sont très peu mis à jour et sont donc de plus en plus vulnérables. Même si elles sont à la marge aujourd’hui et bien moins courantes que le cryptojacking ou le phishing, les attaques de ce type risquent de devenir une vraie tendance en sécurité qu’il faudra surveiller.

Continuons avec l’intelligence artificielle et le machine learning, qui sont depuis quelques mois le véritable « buzzword » dans le secteur de la cybersécurité. Certes, ces technologies constituent une vraie plus-value, notamment pour la détection. Elles permettent de palier aux limites des solutions de détection par signature qui sont de plus en plus impactées par la lourdeur de leur base de données (IDS/IPS). La recherche d’activités inhabituelles grâce à l’intelligence artificielle est la meilleure réponse face à l’insuffisance des signatures mais elle ne remplace pas pour autant les moteurs de détection actuels. L’intelligence artificielle et le machine learning permettent d’effectuer des analyses comportementales d’envergure en intégrant de grandes quantités (plusieurs Gbps) et types de données (flux, métadonnées, logs…).

Ils doivent cependant être considérés dans une approche complémentaire, avec d’autres moteurs de détection. En effet, les intelligences artificielles peuvent elles aussi être la cible d’attaques. Se pose alors la question de la protection et de la robustesse de l’IA, notamment face à des attaques de type adversarial qui ont pour but de la tromper en effectuant des changements mineurs sur les informations qui lui sont soumises. De nombreuses entreprises peuvent être tentées de faire appel à la seule intelligence artificielle pour leurs outils de sécurité, mais il ne faut pas perdre de vue qu’elle reste une technologie vulnérable. Son utilisation doit être couplée avec une vraie stratégie de cybersécurité. Pour ce qui est des attaques entièrement générées grâce à l’IA, cela relève pour nous plus du fantasme marketing que de la réalité. On peut effectivement trouver de nombreux articles sur des intelligences artificielles développées par des chercheurs qui ont réussi à créer des malwares. Mais l’automatisation et l’industrialisation de la création de menaces ne sont pour le moment pas d’actualité, tout comme l’utilisation d’un script avancé.

Enfin, nous tenions à revenir sur le cadre légal et législatif qui entoure ces problématiques cybersécurité, notamment au niveau national.

Bien que la mise en application du RGPD ait monopolisé les discussions une bonne partie du premier semestre, la loi du 13 juillet 2018 fait suite à la Loi de Programmation Militaire 2014-2019. Elle fixe les orientations relatives à la politique de défense et trace une trajectoire de programmation des moyens militaires pour la période 2019-2025. Ce point charnière a donc été le moment idéal pour remettre la protection du cyberespace au cœur des débats : ce sont plus de 1,6 milliard d’euros qui seront consacrés à la défense du cyberespace et 1000 cyber combattants supplémentaires d’ici 2025.

La souveraineté numérique est amenée à devenir un véritable enjeu stratégique dans les mois à venir. La France accorde une importance toute particulière à ce sujet, comme en démontre l’exigence de l’ANSSI dans la délivrance des Visa Sécurité. Les niveaux de qualification et de certification exigent un durcissement et une robustesse maximales de la part des fournisseurs et prestataires évalués.

 

Conclusion

 

 

S’il y a bien une tendance sur laquelle tous les experts semblent s’accorder, c’est l’augmentation du nombre d’attaques, mais également du nombre d’attaquants. Ils disposent de plus en plus d’outils pour mettre en œuvre des tactiques sophistiquées et ciblées à moindre coût.

Du côté des entreprises, les mentalités changent, la cybersécurité n’est plus considérée comme un coût mais comme un véritable investissement à long terme.

Si le cadre législatif français oblige les entreprises à se doter de sondes de détection durcies, il paraît toutefois indispensable de dissocier les moyens disponibles en matière de cybersécurité. L’IA et le machine learning ont apporté de réelles avancées dans la détection d’attaques ciblées, mais restent néanmoins insuffisantes pour une entreprise qui souhaite mettre en place une stratégie de cybersécurité complète et efficace.

En 2018, les cybercriminels ont cherché la rentabilité et ciblé majoritairement les entreprises. Les Etats ont également pris conscience de l’importance de protéger le cyberespace, comme l’a montré l’Appel de Paris lancé en novembre par Emmanuel Macron.

En 2019, les entreprises, administrations et industries devront se mobiliser davantage pour disposer d’un véritable arsenal pour détecter et se protéger. La cybersécurité est et restera un enjeu militaire et une arme géopolitique dans les mois à venir.

 

A propos de Gatewatcher

 

Gatewatcher est la première plateforme française de détection d’intrusions et de menaces avancées. Notre équipe est composée d’experts en sécurité, réseau, chiffrement et machine learning. Le projet a démarré en 2015 à l’initiative de Jacques de La Rivière, ingénieur ESIEA, et Philippe Gillet, expert en sécurité.

Le produit et l’entreprise sont reconnus par les experts de la cyber sécurité. Institutions publiques, entreprises et industries critiques (énergie, banques, transports…) nous font confiance.

Durant le FIC 2016 (Forum International de la Cybersécurité), Gatewatcher a reçu le prix France Cybersecurity, qui récompense l’innovation dans le secteur de la cybersécurité. Le produit est également en cours de qualification auprès de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). Gatewatcher a également été sélectionné pour l’application de la Loi de Programmation Militaire (LPM) qui oblige les entreprises françaises stratégiques, qualifiées d’Opérateurs d’Importance Vitale (OIV), à prendre des mesures préventives et d’ordre techniques et organisationnelles, afin de détecter et gérer les menaces sur les réseaux et systèmes informatiques. Ces mesures permettent de réduire l’exposition aux risques de cyber crimes et d’optimiser la qualité des services fournis par les entreprises.

 

[1] Rapport OpinionWay pour le CESIN (15 janvier 2018)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

onze − sept =