menaces avancées : le nouvel ordre mondial
TRANSCRIPT
MENACES AVANCEES : LE NOUVEL ORDRE MONDIALConclusions du Sommet RSA sur les APTsOctobre 2011
Conclusions du Sommet
RSA sur les APTs
RESUMEEn juillet 2011 s’est tenue à huis clos une réunion organisée conjointement par RSA et TechAmerica, à laquelle ont assisté une centaine d’éminents responsables sécurité des secteurs public et privé. Le thème du sommet : les APT — Advanced Persistent Threats. Cet événement interactif fut l’occasion de débattre non seulement des attaques APT, mais aussi, plus généralement, des menaces de plus en plus sophistiquées perpétrées par des attaquants ultra organisés. Les participants y échangèrent notamment sur la thématique de la sécurité au niveau des utilisateurs finaux, points d’entrée privilégiés des menaces avancées. Autre thème abordé : l’insuffisance du partage d’informations sur les menaces, tant dans les secteurs public que privé. Une aubaine pour les hackers, qui peuvent ainsi tester les versions bêta de leurs méthodes d’attaque sur une entreprise, puis les peaufiner avant de lancer leur offensive sur la cible finale.
La particularité de ce type de menaces réside dans le temps, l’énergie et les ressources que les hackers sont disposés à consacrer à la conception d’attaques taillées sur mesure et particulièrement ciblées. À tel point que les solutions technologiques basées sur les signatures se retrouvent totalement dépassées. Comme le précise l’un des participants : « Ils ne vous attaquent pas sur vos points de défense, mais ciblent plutôt vos faiblesses, qu’il s’agisse de vos processus, de vos équipes ou de vos technologies ». Conséquence directe : les entreprises doivent désormais rester en permanence sur le qui-vive — partant du principe que leur sécurité est d’ores et déjà compromise —, et bâtir une capacité défensive qui ne repose pas sur la confiance dans une partie quelconque de leur infrastructure informatique ou de leurs collaborateurs.
De même, les menaces ne concernent plus seulement les entreprises ciblées, mais l’ensemble de l’écosystème des sociétés. Dans un tel contexte, le salut passera nécessairement par la consolidation de la chaîne d’approvisionnement et la visibilité sur les sous-traitants et partenaires commerciaux. « Notre objectif n’est pas la perfection en défense, mais de stopper les actions des malfaiteurs en divers points et niveaux de nos systèmes », confirme un participant.
Ce livre blanc fait le point sur les menaces avancées constatées directement par les entreprises, les forces de l’ordre ou services de répression et par les organismes gouvernementaux.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
Sommaire
2011 : « l’année de la brèche » ? .....................................................................................3
Des attaques de masse aux offensives ciblées ................................................................4
Collaborateurs : le maillon faible .....................................................................................4
Partage d’informations : le rideau de fer ..........................................................................5
Les attaquants visent un avantage, pas la notoriété ........................................................6
Chaînes logistiques : un point d’entrée de choix ..............................................................7
Révélation de menace : montre-moi tes failles, je te dévoilerai les miennes .....................8
La nouvelle norme : Agir comme si vous étiez déjà piraté ................................................9
La route à suivre ...........................................................................................................10
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
2011 : L’ANNEE DE LA BRECHE ?
La scène se passe dans une salle de conférence, au cœur de Washington D.C. Membres du Congrès américain, hauts responsables du FBI et de la NSA, et dirigeants des plus grandes entreprises mondiales sont réunis pour débattre d’une crise sécuritaire grandissante.
Nous sommes en plein mois de juillet. Le temps est radieux, idéal pour un déjeuner en terrasse. Pourtant, personne ne songe à profiter des rayons du soleil. En effet, l’heure est grave. Le cyber-espionnage — ces attaques électroniques destinées à exfiltrer des données hautement sensibles (propriété intellectuelle, brevets industriels, secrets d’Etat, etc.) — vient de franchir un nouveau cap. Dans la salle, l’atmosphère est empreinte d’inquiétude et de curiosité : Quelle est l’ampleur de ces attaques ? Quelles en sont les cibles ? Des tendances se dégagent-elles dans les techniques utilisées par les cybercriminels et autres hacktivistes ? Doit-on s’attendre à des révélations ? Pendant toute la matinée, certains participants écoutent attentivement les interventions de leurs pairs, tandis que d’autres vocifèrent. Mais tous ont en commun des expériences qui valent la peine d’être entendues.
Baptisée « Advanced Persistent Threats Summit », la réunion fait suite à une série d’incidents de sécurité graves, survenus en début d’année 2011. Dès le mois de mai, certains s’étaient déjà avancés à qualifier 2011 de « Year of the Breach » (année de la brèche). Depuis plusieurs mois, des attaques retentissantes faisaient en effet la une des journaux, certaines étant l’œuvre de groupes d’hacktivistes comme Anonymous et Lulzsec. Cependant, une crise plus large semblait se profiler. De fait, parmi les attaques d’hacktivistes qui ont visé Sony, HBGary Federal et l’OTAN, on a également assisté à l’infiltration des cibles les plus variées par des cybercriminels clandestins disposant à la fois d’une expertise rare, d’importants moyens financiers et de ressources spécialisées qui sont habituellement l’apanage des filières étatiques. Or, ces attaques présentaient des caractéristiques inédites : elles étaient discrètes, de longue haleine et alliaient des compétences techniques et sociales. Pour infiltrer leurs cibles, certaines utilisaient l’ingénierie sociale, tandis que d’autres tiraient parti de vulnérabilités « zero-day », à savoir l’exploitation d’une faille de sécurité non encore identifiée dans un logiciel.
Si les attaques avancées ne sont pas un phénomène nouveau, les participants au sommet ont noté deux tendances émergentes : les menaces sont devenues plus audacieuses et plus fréquentes. Autres caractéristiques notables, elles sont désormais ciblées au millimètre, taillées sur mesure, soigneusement préparées, et intègrent à la fois des composantes techniques et sociales. De telles attaques complexes et sophistiquées sont généralement connues sous le nom d’APT (Advanced Persistent Threats), mais les participants ont fait remarquer de manière judicieuse que les hackers ne recherchaient pas la sophistication pour elle-même mais juste pour que le travail soit fait, donc ils peuvent ne pas avoir recours à des méthodes « avancées » pour parvenir à leurs fins. C’est pourquoi il est extrêmement difficile d’en donner une définition précise, et, comme l’a souligné l’un des intervenants, « tenter de définir ces attaques pourrait nous limiter et reviendrait à se fixer des œillères. Les caractéristiques étant fortement dynamiques, nous devons les réévaluer en permanence ». Au cours de ce sommet, les experts se sont avant tout intéressés aux techniques de hackers ultra organisés. Leurs attaques — APT et autres — vont de l’espionnage à l’hacktivisme.
Pendant neuf heures, les participants ont débattu, partagé leurs expériences et échangé leurs avis en la matière. Ce livre blanc présente quelques points clés de ces discussions. Il a pour vocation de faire progresser le dialogue, l’innovation et la connaissance, grâce aux témoignages de quelques-uns des plus éminents experts de la sécurité informatique.
page 3
Ils ne vous attaquent
pas sur vos points de
défense, mais ciblent
plutôt vos faiblesses,
qu’il s’agisse de vos
processus, de vos
équipes ou de vos
technologies.
Tenter de définir [les
attaques avancées]
pourrait nous limiter
et reviendrait à nous
fixer des œillères.
Les caractéristiques
étant fortement
dynamiques, nous
devons les réévaluer en
permanence.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
DES ATTAQUES DE MASSE AUX OFFENSIVES CIBLEES En 2000, le ver ILOVEYOU infecta plus de 50 millions de PC. Le mécanisme était simple, mais imparable : l’utilisateur recevait un e-mail avec pour objet « ILOVEYOU ». Lorsqu’il cliquait sur le fichier joint, intitulé « LOVE-LETTER-FOR-YOU », un ver informatique infectait son PC. Si les dommages étaient importants, une solution partielle arriva sous forme de logiciel antivirus : celui-ci s’appuyant sur une signature virale pour identifier le fichier malicieux et bloquer l’action du virus.
De nos jours, les malwares génériques restent nombreux, mais les antivirus reposant sur les signatures — au niveau du réseau ou de l’hôte — permettent d’en limiter la contagion. Ce qui démarque les récentes menaces est leur défiance de ce mécanisme de signature. Dans le monde des menaces avancées, les malwares évoluent très rapidement, et les participants au sommet ont d’ailleurs fait état de plusieurs cas de malwares dédiés réalisés sur mesure pour viser une cible précise. Certains malwares ont même été compilés dans les heures qui ont précédé le lancement d’une attaque.
Les témoignages apportés par les participants et les intervenants ont mis en lumière un fait avéré : les outils de sécurité traditionnels, basés sur les signatures, ne constituent plus à eux seuls un rempart efficace contre les nouvelles attaques perpétrées par des auteurs ultra organisés. Si les modes de diffusion de certaines menaces avancées restent standards, les stratégies d’infiltration sont, pour leur part, souvent personnalisées en fonction de la cible. À cet effet, les hackers utilisent les réseaux sociaux pour collecter des informations et identifier les utilisateurs qu’ils vont viser au sein de l’entreprise. E-mails, Skype et messageries instantanées constituent les vecteurs d’infection les plus couramment cités lors du sommet. Les malwares sont quant à eux véhiculés sous la forme de fichiers PDF, de fichiers HTML compressés, de scripts, d’exécutables ou de pièces jointes.
Au-delà de l’infiltration, la personnalisation des techniques s’applique en outre à l’exfiltration des données. Grâce à des méthodes ultra élaborées, les hackers parviennent en effet à compresser, crypter et transmettre les données vers d’autres entreprises compromises, ne laissant ainsi aucune trace ni de l’origine de l’attaque, ni de la destination des données dérobées. Ce passage du générique au personnalisé, des attaques de masse aux offensives ciblées, contraint les équipes de sécurité à repenser leurs stratégies au-delà des simples signatures et à procéder à une évaluation de l’efficacité de leur système de protection. Pour les participants au sommet, le talon d’Achille de la plupart des stratégies de défense actuelles
est désormais les collaborateurs, et non pas les technologies.
COLLABORATEURS : LE MAILLON FAIBLE « Les collaborateurs constituent le maillon faible » : un cliché qui a la vie dure dans la sécurité des informations. Les experts de la sécurité savent depuis longtemps que les utilisateurs peuvent faire de mauvais choix, cliquer sur des liens compromettants et installer des malwares sans se méfier. De simples ruses suffisent à les piéger. Pour lutter contre ces menaces, les départements informatiques multiplient les contrôles : filtrage des e-mails malveillants en amont, blocage des liens malicieux par le réseau, détection de contenus douteux via les scans réseau et, en bout de chaîne, l’antivirus de l’hôte, dernier rempart destiné à bloquer les attaques qui seraient passées entre les mailles du filet. Certes, ces solutions ont prouvé leur efficacité face aux attaques génériques de masse ; il suffit de mettre rapidement à jour la base de signatures virales pour immuniser les utilisateurs. Elles s’avèrent cependant impuissantes face à des attaques avancées. Ces dernières reposent en effet sur des scénarios suffisamment crédibles pour inciter les utilisateurs à cliquer sur des boîtes de dialogue proposant de prétendues mises à jour logicielles pour contrer de faux malwares, récupérer les contenus placés en zones de quarantaine et exécuter (sans s’en rendre compte) des actions pour le compte de l’attaquant.
Au fil des discussions, le facteur « humain » s’est imposé comme l’un des thèmes phares du sommet. Avec une question centrale : est-il possible de sensibiliser les collaborateurs à un comportement plus responsable ? Les participants ont donc été invités à se prononcer sur l’affirmation suivante : « il est possible d’apprendre aux collaborateurs à se prémunir contre la plupart des attaques de type phishing ». Tandis que 35 % se sont déclarés d’accord ou tout à fait d’accord avec cette affirmation, 57 % se sont prononcés en désaccord ou en désaccord total — les 8 % restants étant sans opinion. page 4
Seuls 35 % des
participants au
sommet considèrent
qu’il est possible
d’apprendre aux
collaborateurs à se
prémunir contre la
plupart des attaques
de type phishing.
57 % pensent le
contraire.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
Les participants s’accordent sur un point : les hackers savent parfaitement user des faiblesses et des comportements de chacun pour les retourner contre leurs victimes. Pour ce faire, ils font preuve d’une créativité sans borne pour identifier les collaborateurs qui les aideront à atteindre leur objectif. Comme le faisait remarquer l’un des participants : « Les escroqueries sur Internet sont d’ordinaire des actions de masse, peu ciblées et élaborées ». Mais les menaces avancées défient ce stéréotype. Un autre participant souligne justement : « le périmètre de l’entreprise n’est pas le firewall, mais nos utilisateurs. Ces derniers ne voient pas leur PC comme un adversaire, mais comme un outil — une extension d’eux-mêmes. Ils lui vouent donc une entière confiance. »
À elle seule, la technologie ne peut prétendre résoudre les lacunes humaines. Les entreprises doivent donc sensibiliser leurs collaborateurs aux thématiques de sécurité et les mettre en
face de leurs responsabilités personnelles.
PARTAGE D’INFORMATIONS : LE RIDEAU DE FER Contrairement aux idées reçues, la sécurité informatique véhicule une forte composante collaborative. Les experts sont généralement prompts à échanger des idées, meilleures pratiques et analyses. Toutefois, lorsqu’il s’agit de dévoiler les détails d’un incident ou d’une tentative d’intrusion, les portes se ferment. De même, les structures juridiques et techniques en matière de partage d’informations interentreprises s’avèrent encore largement immatures. D’où la principale faiblesse du secteur de la sécurité informatique : l’absence d’une intelligence temps réel sur les menaces.
À cela s’ajoute l’incapacité de mesurer le savoir-faire et la compétence en sécurité de l’information. Tandis que l’échec est immédiatement pointé du doigt, l’excellence en matière de sécurité est rarement reconnue. Dans cet environnement difficile et bipolaire, les entreprises sont peu enclines à partager les informations sur les attaques dont elles ont été victimes — en particulier si ces attaques ont réussi. Or, le partage rapide d’informations est essentiel à la capacité d’adaptation. Plus que jamais, l’agilité est de mise. Comme l’a souligné l’un des participants, « nul ne peut se défendre correctement en se repliant sur soi. Il est essentiel de se tourner vers l’extérieur, de scruter l’horizon pour voir arriver la tempête ».
Les lacunes en matière de partage d’informations entre entreprises sont apparues comme l’un des grands thèmes de ce sommet sur les APTs. Plusieurs explications ont été avancées : absence d’un forum dédié, capable de préserver la confidentialité des échanges ; mécanismes de partage d’informations en temps réel inexistants, et pourtant essentiels pour faire face à l’évolution constante des attaques ; inquiétudes quant à la réaction du public à l’annonce d’une attaque ; ou encore responsabilité juridique liée à la divulgation d’un incident.
Certains responsables ont reconnu bénéficier de conseils précieux et d’informations relatives aux menaces via leurs relations personnelles, dans le cadre de réseaux informels. Nombre de participants se connaissant déjà, un véritable sentiment de cohésion a dominé la réunion. Ont également été abordés les défis que représentent les approches formelles en matière d’échange d’informations, en particulier le manque de véritable structure juridique destinée à encadrer de tels échanges, sans que planent les questions de responsabilité. Autre point soulevé : la valeur — et les risques — liés au partage des données relatives aux menaces de sécurité entre des concurrents directs.
Tandis qu’une poignée de programmes de partage d’informations n’ont plus à faire leurs preuves — à l’instar du FS-ISAC —, de nombreuses initiatives collaboratives peinent à atteindre leurs objectifs. Les réseaux informels règnent en maîtres, mais leurs résultats s’avèrent souvent inégaux et peu évolutifs, créant par là même des brèches dans lesquelles les hackers sont prompts à s’engouffrer. La sécurité informatique a donc besoin d’une meilleure structure de communication des informations relatives aux menaces. Pour y parvenir, elle doit pouvoir s’appuyer sur des partenariats public-privé inédits. Et s’affranchir des questions de responsabilité juridique.
page 5
Le périmètre de
l’entreprise n’est plus
le firewall, mais nos
utilisateurs. Ces derniers
ne voient pas leur PC
comme un adversaire,
mais comme un outil
— une extension d’eux-
mêmes. Ils lui vouent
donc une entière
confiance.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
Les participants au sommet ont fait remarquer que le partage d’informations entre les hackers fonctionne beaucoup plus efficacement qu’entre les entreprises légitimes. Les hackers n’ont pas de contraintes juridiques, pas de questions de responsabilité ni de réglementations comparables à celles qui régissent les entreprises privées et les organismes publics ou gouvernementaux. Comme le souligne l’un des intervenants : « les attaquants savent user de nos faiblesses et comportements — notre culture, nos actionnaires, et nos situations de contentieux — pour les retourner contre nous ».
Les participants s’accordent à considérer le partage d’informations en temps réel comme une priorité stratégique absolue pour la communauté de la sécurité. Pour ce faire, ils ont esquissé une ébauche de cahier des charges susceptible de sous-tendre la mise en place d’une telle structure : terminologie et processus de reporting standardisés, immunité juridique pour le partage d’informations ou toute action menée à des fins de cyber-sécurité, et infrastructure technique pour partager et analyser les informations sur les menaces à une « cadence machine ». « Nous devons aboutir à un ensemble d’indicateurs riches et dynamiques »,
précise un intervenant.
LES ATTAQUANTS VISENT UN AVANTAGE, PAS LA NOTORIETE Les attaques avancées ne sont pas le fait de simples amateurs en quête d’un moment de gloire. Elles requièrent généralement des mois de planification et de préparation minutieuse afin de découvrir et de cartographier, petit à petit, le réseau interne de la cible visée. Mais cette phase de reconnaissance va parfois bien plus loin : les hackers identifient des collaborateurs clés, examinent les détails de leur vie en écumant les médias sociaux, et mettent au point des attaques sur mesure, à la fois discrètes, patientes et redoutablement efficaces. Certes, les attaques des cybercriminels qui cherchent à dérober les numéros de cartes de crédit et autres données monnayables ont elles aussi gagné en sophistication, mais les attaques avancées sont d’un genre différent. Elles relèvent de plus en plus souvent de l’espionnage et se concentrent sur l’exfiltration de données spécifiques représentant une valeur et une importance stratégiques pour le commanditaire — qu’il s’agisse de gouvernements étrangers, de concurrents ou de filières criminelles organisées. Pour parvenir à leurs fins, les entités qui se cachent derrière ces attaques sont prêtes à investir des moyens considérables.
Par ailleurs, les entités perpétrant beaucoup de ces attaques avancées se distinguent souvent des groupes d’hacktivistes sur qui les projecteurs se sont braqués récemment. Ces groupes cherchent pour leur part à dénoncer et exposer au grand jour les activités de leurs cibles, et s’enorgueillissent d’exploits qu’ils n’hésitent pas à étaler au grand jour. A contrario, les auteurs d’attaques avancées opèrent dans la plus grande discrétion. Ils fuient toute publicité et cherchent avant tout à ne pas être découverts.
À ce propos, une hypothèse intéressante a été émise lors du sommet : certaines attaques avancées se feraient passer pour des attaques d’hacktivistes. Objectif : brouiller les pistes, et rejeter la faute sur des groupes qui se retrouvent volontiers sous les feux de la rampe. Dans un tel contexte, en présence d’un bouc émissaire volontaire, il s’avère extrêmement difficile d’évaluer l’ampleur du phénomène et d’identifier les véritables coupables lors des analyses post-incidents.
page 6
Les attaquants savent
user de nos faiblesses
et comportements
— notre culture,
nos actionnaires,
et nos situations de
contentieux — pour les
retourner contre nous.
Nul ne peut se défendre
correctement en se
repliant sur soi. Il est
essentiel de se tourner
vers l’extérieur, de
scruter l’horizon pour
voir arriver la tempête.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
Il est possible
de contrôler les
risques émanant
des équipements
détenus ou gérés par
les collaborateurs.
Tout à fait d’accord 0 %
D’accord 32 %
Sans opinion 7 %
Pas d’accord 40 %
Pas du tout d’accord 21 %
CHAINES D’APPROVISIONNEMENT : UN POINT D’ENTREE DE CHOIX Les menaces avancées ont montré que la sécurité doit s’appréhender à l’échelle de l’écosystème. Les hackers prennent le temps d’infiltrer des cibles intermédiaires parmi les fournisseurs de la cible principale (prestataires de services, consultants, juristes, etc.) La sécurité de la chaîne d’approvisionnement est donc plus que jamais d’actualité. Or, les entreprises disposent généralement d’une visibilité limitée des opérations et de la sécurité de leurs fournisseurs. Bien que monnaie courante, les garanties contractuelles attestant des processus de sécurité en place chez les fournisseurs font rarement l’objet de vérifications. Pourtant, pour atteindre leur cible finale, les hackers remontent de plus en plus loin dans la chaîne d’approvisionnement. Certains intervenants ont même relaté des attaques ayant visé les fournisseurs de fournisseurs — soit deux maillons en amont dans la chaîne. De tels témoignages soulèvent de nombreuses interrogations en matière de confiance, de stratégie, d’externalisation et de capacité à gagner en visibilité à l’échelle de la chaîne de valeur étendue.
En matière de sécurité, la loi du maillon faible s’impose : la sécurité d’une entreprise est à la hauteur de celle de son fournisseur le plus vulnérable. De fait, dans un écosystème intégré, les entreprises ne bénéficient pas seulement des forces de leurs fournisseurs, elles héritent également de leurs vulnérabilités et des risques auxquels ils sont exposés. S’il est aisé d’évaluer les avantages d’un fournisseur, il est beaucoup plus difficile d’en mesurer les risques. Or, face aux menaces avancées, il est impératif de tendre vers une approche de la sécurité couvrant l’ensemble de l’écosystème. Les hackers ne manqueront pas d’exploiter les moindres faiblesses des acteurs de la chaîne. Une surveillance de la sécurité de chacun d’eux représente donc non seulement un besoin, mais aussi un véritable enjeu. Les entreprises ne peuvent plus se contenter des garanties contractuelles. En ce sens, les participants au sommet ont proposé plusieurs pistes de réduction des risques :
– Base de notation commune de la réputation des fournisseurs. L’un des experts a proposé la création d’une base de données publique rassemblant des informations relatives aux pratiques des fournisseurs en matière de sécurité, et contenant des notations selon un barème spécifique à chaque secteur. Une telle approche pourrait nécessiter des outils contractuels particuliers. Elle présenterait cependant un double avantage : d’une part, elle permettrait aux entreprises de faire des choix avisés en matière de risques, et, d’autre part, la visibilité accrue inciterait les fournisseurs à améliorer leurs pratiques de sécurité.
– Évaluation externe de la sécurité des fournisseurs. Une grande entreprise a présenté la solution qu’elle a mise en place pour évaluer le profil public d’un fournisseur : surveillance de la façon dont les collaborateurs internes du fournisseur partagent les informations sur les réseaux publics, exécution de scans bruts sur ses systèmes, etc. L’entreprise a intégré ce processus dans sa procédure de validation précontractuelle de ses fournisseurs.
Tout au long du sommet, la consolidation de la chaîne d’approvisionnement a constitué un thème récurrent, revenant régulièrement au fil des discussions et des sessions. L’un des intervenants s’est même risqué à une déclaration un brin provocatrice : « certaines entreprises sont excellentes sur les évaluations, mais s’en sortent beaucoup moins bien lorsqu’il s’agit de sécurité réelle ». Les discussions ont permis de mettre en évidence trois besoins essentiels : une visibilité accrue des fournisseurs, une standardisation des moyens d’évaluation, et la mise en œuvre d’un véritable système de référence permettant de comparer des éléments sur la base de critères communs. La réalisation de ces trois conditions permettra une surveillance continue des fournisseurs dans le temps.
La sécurisation de l’écosystème est essentielle, et la liste des avantages est longue. Elle constitue une condition nécessaire pour lutter non seulement contre les menaces avancées, mais aussi contre l’essor de l’hacktivisme et la maturation du cyber crime, sans oublier la réponse qu’elle apporte aux besoins croissants en matière d’audit.
page 7
Certaines entreprises
sont excellentes sur
les évaluations, mais
s’en sortent beaucoup
moins bien lorsqu’il
s’agit de sécurité
réelle.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
REVELATION DE MENACE : MONTRE-MOI TES FAILLES, JE TE DEVOILERAI LES MIENNESSi les expressions menaces avancées et APT sont quelque peu galvaudées, il ne fait aucun doute que les cyber-attaques ultra sophistiquées et ciblées sont bien plus fréquentes que ne le suggèrent les gros titres des journaux. Pour preuve : la plupart des participants ont avoué avoir été la cible d’une menace avancée ou d’une attaque APT au cours des douze derniers mois.
Si ces attaques sont nouvelles pour certains secteurs, plusieurs participants issus des domaines de l’armement, des agences gouvernementales américaines ou des infrastructures stratégiques n’ont pas manqué de rappeler que l’espionnage, et en particulier les APT, faisaient depuis longtemps partie de leur quotidien.
Pourtant, peu d’informations circulent publiquement sur ces attaques. Ce n’est qu’une fois que les entreprises intègrent « le cercle » fermé des victimes qu’elles réalisent la mine d’informations auxquelles elles peuvent accéder. Ainsi, les responsables de la sécurité des entreprises ciblées par de telles attaques sophistiquées avouent n’avoir eu accès aux informations détenues par d’autres organisations victimes qu’après avoir elles-mêmes dévoilé leurs propres incidents. La plupart découvrent les réseaux informels de partage d’informations en phase post-incident, ce qui réduit à néant tout effort de prévention.
Au-delà du partage d’informations, peu d’entreprises développent de véritables compétences en matière de réponse aux incidents et de communication de crise. Par ailleurs, certains experts ont alerté sur le faux sentiment de sécurité que procurent les plans de crise. Ces derniers ne doivent en aucun cas être statiques ni ponctuels. Au contraire, les entreprises doivent impérativement réaliser des analyses détaillées sur une base annuelle, voire semestrielle. Objectif : résoudre les problèmes, identifier les collaborateurs idoines et adapter en permanence les plans à l’environnement actuel. Autre suggestion : conserver l’ensemble des fonctions et plans d’intervention à la fois sur des systèmes en ligne et hors ligne, et disposer d’une version papier des numéros de téléphone des équipes, afin de préserver toutes ses facultés de réaction en cas de panne réseau.
Dans le cadre d’une discussion approfondie sur la planification de la réponse aux incidents et la divulgation des attaques, l’un des experts — juriste —, a fait part de son avis en la matière : « les juristes doivent être de la partie, mais ne doivent pas prendre les commandes. » En effet, leur mission étant de limiter les risques, ils ont souvent tendance à favoriser la non-divulgation des informations. Mais la réduction des risques ne constitue pas le seul aspect à prendre en considération. Entrent également en ligne de compte le devoir d’éthique envers les clients et le public, ainsi que les risques d’atteinte à la réputation en cas de fuite d’informations sur un incident de sécurité qui aurait été volontairement étouffé par l’entreprise. Un participant prévient : « dans un contexte de lassitude face aux attaques et aux pertes de données répétées, une faille de sécurité peut être pardonnée. Pas le silence. » Et un autre conférencier de commenter : « responsables de la sécurité et dirigeants se doivent de soutenir toute victime d’une attaque et de l’encourager à partager l’information de sorte que d’autres en bénéficient dans les meilleurs délais. Pourquoi ? Les victimes craignent le battage médiatique, dont le risque est en fait l’impact en termes de marketing et d’image. Or plus on
partage l’information, mieux c’est. Il n’y a pas de sécurité dans l’obscurité. »
page 8
Les juristes doivent
être de la partie, mais
ne doivent pas prendre
les commandes.
Dans un contexte de
lassitude face aux
attaques et aux pertes
de données répétées,
une faille de sécurité
peut être pardonnée.
Pas le silence.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
Considérez que vous
êtes déjà piraté,
agissez et vivez dans
ce nouveau contexte
de défiance.
page 9
Mon entreprise a
mis en place une
véritable stratégie
de gestion des
menaces APT.
Vrai 46%
Faux 54%
Notre objectif n’est
pas la perfection en
défense, mais de
stopper les actions des
malfaiteurs en divers
points et niveaux de
nos systèmes.
LA NOUVELLE NORME : AGIR COMME SI VOUS ETIEZ DEJA PIRATéLes événements des douze derniers mois ont démontré que des attaquants déterminés peuvent toujours trouver moyen d’exploiter des failles à travers les individus ou les environnements informatiques complexes actuels. Il est par conséquent irréaliste de chercher à empêcher à tout prix les attaquants d’entrer. De fait, les entreprises ont tout intérêt à planifier leur défense et agir d’emblée en mode post-incident. « Considérez que vous êtes déjà piraté, agissez et vivez dans ce nouveau contexte de défiance », conseille un éminent responsable de la sécurité.
La sécurité repose sur trois principes fondamentaux : cloisonnement, défense en profondeur et limitation des privilèges. Utilisés conjointement, ces trois principes limitent les risques : si un système (ou un collaborateur) est compromis, il n’en résulte pas une compromission de l’ensemble du système. Si en théorie cela paraît simple, en pratique la mise en œuvre de ces trois principes s’avère difficile. Les entreprises ont longtemps compté sur la notion de « périmètre », où un grand rempart — sous la forme de firewalls et de passerelles de sécurité —, protège l’entreprise, avec les bons (les utilisateurs internes) d’un côté du mur et les méchants (les attaquants) de l’autre.
Cette vision périmétrique de la sécurité est totalement dépassée. Dans l’entreprise moderne d’aujourd’hui, les frontières sont impossibles à définir. Elles sont devenues totalement poreuses, avec l’intégration d’utilisateurs externes de confiance partielle, allant des clients aux fournisseurs, en passant par les sous-traitants et autres prestataires de services et de solutions de Cloud Computing. À l’éradication des frontières traditionnelles s’ajoute la consumérisation de l’informatique, qui a fait entrer dans la sphère professionnelle une multitude d’équipements non gérés et qui expose l’entreprise à des services — et des fournisseurs — opaques. Autre conséquence de la consumérisation : l’instauration d’un plus grand flou entre vie professionnelle et vie privée des employés. Nous sommes donc passés de l’illusion d’un périmètre de sécurité à un état de compromission permanent.
Intégrer le fait que certains systèmes, collaborateurs ou services soient peut-être déjà sous l’emprise des attaquants permet d’aborder la stratégie de sécurité informatique sous un tout autre jour. Et oblige les entreprises à revenir aux trois fondamentaux : cloisonnement, défense en profondeur et limitation des privilèges. L’objectif est de fermer la fenêtre d’exposition et de limiter les dommages en concentrant les efforts sur le cloisonnement des systèmes, le blocage des fuites de données sensibles et la contention de la malveillance. Ce nouveau modèle requiert en outre de repenser les moyens de partage des informations sensibles — code source, plans produits, et feuilles de route stratégiques — moyens souvent basés sur des processus collaboratifs qui supposent que le périmètre de sécurité peut neutraliser les attaquants.
La sécurité s’améliore par une plus grande prise en compte des contextes et situations : avoir la capacité de comprendre ce qui se passe au-delà des frontières du réseau, pour mieux détecter les menaces qui se profilent à l’horizon. Pour y parvenir, les entreprises étendent leur champ de vision au-delà de leur infrastructure pour se projeter à l’échelle de leur écosystème. Cette approche repose cependant sur le partage actif, entre les organisations, des informations relatives aux menaces. Autre condition : bénéficier d’une visibilité accrue de la sécurité des fournisseurs et services providers à l’échelle de la chaîne d’approvisionnement.
Dans un tel contexte, il est essentiel d’identifier les ressources numériques devant être protégées, leur emplacement, les personnes habilitées à y accéder, et les moyens de les verrouiller en cas de violation. Cette faculté de resserrer l’étau avant et pendant une attaque est primordiale, et requiert un processus mature de gestion des incidents. Pour ce faire, la réponse aux incidents ne saurait être considérée exclusivement comme une fonction de sécurité. Elle relève en fait d’une compétence organisationnelle qui doit être développée et constamment aiguisée, bien avant la survenue d’une attaque. Au moment de l’incident, il est déjà trop tard pour planifier toute réponse. En revanche, miser sur le développement des compétences en amont permet de lancer automatiquement les activités et processus de ré-médiation — tel un réflexe.
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
page 10
Un expert de la sécurité présent dans l’assistance a d’ailleurs conseillé à ses pairs « mettez à profit vos temps de paix ». La phase précédant une attaque est en effet critique. En modélisant les menaces et en déroulant des exercices de réponse aux incidents, les entreprises peuvent s’assurer du bon fonctionnement des relations entre les équipes fonctionnelles et les collaborateurs clés.
Et l’un des participants de confirmer : « Notre objectif n’est pas la perfection en défense, mais
de stopper les actions des malfaiteurs en divers points et niveaux de nos systèmes ».
LA ROUTE A SUIVRELa réalité des menaces avancées requiert une véritable rupture avec les approches de sécurité traditionnelles — avec des entreprises capables d’être agiles et de prospérer même dans cet environnement de défiance. Cette approche doit être appliquée de manière globale : la défense contre les menaces avancées n’est pas une fonction isolée, mais un prolongement naturel d’une sécurité à la fois robuste et agile.
La complexité informatique est notre ennemi. Comme l’a suggéré un participant, « pour chaque dollar dépensé en sécurité, nous devrions consacrer 9 autres dollars à nous débarrasser des systèmes obsolètes, faire du nettoyage, documenter à nouveau tout ceci et mieux comprendre notre environnement existant ». La plupart des failles actuelles sont imputables à une infrastructure informatique complexité ingérable. La sécurité informatique reposant sur la loi du « maillon faible », son efficacité passe nécessairement par une parfaite connaissance des équipements, processus et points de terminaison. Mais au-delà de la simplification de l’infrastructure et du déploiement d’une sécurité efficace, nous devons également faire preuve de créativité et réfléchir aux motivations des attaquants, qui dépassent largement le simple cadre du vol de données. Intoxication, paralysie ou embarras sont autant de motifs qui sous-tendent les attaques — avancées ou autres.
Chaque nouvelle technologie est l’occasion d’intégrer la composante sécurité dès la phase de conception, et de prendre un nouveau départ. Nous sommes au début d’un mouvement important vers des services et systèmes en Cloud Computing et cela s’accompagnera d’un bouleversement technologique radical. Comme l’a fait remarquer l’un des participants, « si nous n’arrivons pas à régler vraiment la sécurité avec le Cloud, honte à nous. »
Aujourd’hui plus que jamais, la sécurité est l’affaire de tout un écosystème où chaque acteur est investi d’une responsabilité. Les attaquants sont capables de coopérer, de partager des informations, de remonter la chaîne d’approvisionnement, d’exploiter les négligences des salariés d’entreprises et de contourner les dispositifs de sécurité en place. Pour contre-attaquer, il nous faut un nouveau mode de collaboration et de l’innovation en termes de défense. Coopération, partage d’informations et agilité accrue : telles sont les armes qui nous permettront de vaincre les attaques APT et autres menaces avancées.
La réponse aux
incidents ne saurait
être considérée
exclusivement comme
une fonction de
sécurité. Elle relève en
fait d’une compétence
organisationnelle qui
doit être développée et
constamment aiguisée,
bien avant la survenue
d’une attaque.
Si nous n’arrivons pas
à régler vraiment la
sécurité avec le Cloud,
honte à nous !
Livre blanc RSA
Conclusions du Sommet RSA sur les APTs
EMC2, EMC, RSA et le logo RSA sont des marques ou des marques déposées d’EMC Corporation aux états-Unis et
dans d’autres pays. Les autres marques citées sont la propriété de leurs détenteurs respectifs. ©2011 EMC
Corporation. Tous droits réservés. Publié aux états-Unis.
h9038-aptnwo-wp-1011
A PROPOS DE RSARSA, la Division Sécurité d’EMC, est le premier fournisseur de solutions sécurité, de gestion du risque et de la conformité pour l’accélération business. RSA contribue au succès des plus grandes entreprises mondiales en solutionnant leurs challenges de sécurité les plus complexes et sensibles. Ces défis comprennent notamment gérer le risque organisationnel, sécuriser l’accès mobile et la collaboration, prouver la conformité et sécuriser les environnements virtuels et Cloud.
En combinant les contrôles métiers sensibles majeurs au niveau de la certification d’identité, du chiffrement et gestion de clés, du SIEM, du Data Loss Prevention et de la protection contre la Fraude avec des capacités eGRC leaders de l’industrie ainsi que des services efficaces de consulting, RSA apporte la visibilité et la confiance à des millions d’identités utilisateurs, aux transactions qu’elles exécutent et aux données qu’elles génèrent. Pour plus d’information, visitez www.RSA.com et www.EMC.com.
www.rsa.com
Conclusions du Sommet RSA sur les APTs