Avis d’expert | 2017 l’année des malwares

Avis d’expert | 2017 l’année des malwares

L’année 2017 a été particulièrement marquée par les malwares. En effet, les publications régulières des Shadow Brokers ont alimenté la machine à exploiter les vulnérabilités de façon fulgurante. Depuis le mois de mai, on constate une rupture de paradigme au sein de nombreuses organisations. L’exploitation de certaines vulnérabilités a eu de tels impacts et surtout un tel retentissement médiatique, que leur correction n’est plus un sujet de sécurité informatique mais bel et bien une priorité traitée au plus haut niveau de l’entreprise. C’est ce que j’ai pu observer ces dernières années au sein d’une grande institution bancaire française.

Depuis plusieurs années les menaces évoluent avec les vagues de Cryptolocker, ransomwares et autres fuites d’informations. Néanmoins, elles sont désormais nettement plus évoluées et touchent souvent les grandes entreprises (médias, industrie et finance) avec en particulier le réseau interbancaire SWIFT.

Cette situation est devenue un élément de benchmark interne : la sécurité en place aurait-elle pu bloquer ces attaques ? Il est préférable de pouvoir y répondre favorablement en expliquant pourquoi et surtout comment, ou d’avoir un plan d’actions détaillé et prêt à être validé rapidement par les   plus hautes instances.

Dans la pratique, le processus peut s’avérer plus long : entre les temps de proposition, de validation et enfin d’exécution, il peut se passer de longs mois durant lesquels les solutions tactiques doivent être efficaces pour permettre de réduire les impacts au maximum. C’est d’ailleurs un très bon moyen de mesurer l’efficacité des autres équipes ; par exemple les équipes d’infrastructure doivent restaurer les données lorsqu’elles sont chiffrées. C’est donc l’occasion de tester l’ensemble de la chaîne commençant par l’identification des éléments à protéger et passant par la réalisation de sauvegardes régulières et efficaces.

Depuis plus de deux ans, le monde de la cybersécurité sait que « cela arrivera ». La question est de savoir quels seront les véritables impacts et les capacités de réaction des équipes. Dans ce contexte les entreprises s’équipent de solutions afin de renforcer la sécurité de leur système d’information. Celles-ci permettent de répondre aux problématiques de détection et de blocage. Cette stratégie s’avère néanmoins incomplète si elle n’est pas accompagnée d’une organisation spécifique en interne capable de gérer une telle situation. Les entreprises les moins touchées sont bel et bien celles qui mixent les différentes approches en considérant que toutes les strates sont aussi importantes les unes que les autres, y compris la gestion de crise.

Il est nécessaire de rappeler les règles d’hygiènes fondamentales avec la mise en place des processus pour réaliser les tâches de sécurité opérationnelles fondamentales : s’assurer de la bonne protection des systèmes d’information, que ce soit l’application des derniers patchs de sécurité ou des mises-à-jour antivirales. Ensuite, dans une approche de défense en profondeur, la mise en place de couches de sécurité complémentaire et surtout la prise en compte de la security by design (en complément de la privacy by design) dans les études d’architecture est primordiale. Celle-ci permet d’assurer rapidement et sur le long terme la sécurité des systèmes d’information, en particulier ceux les plus exposés à Internet mais aussi aux partenaires.

Par ailleurs, il est important d’intégrer à la stratégie sécurité la sensibilisation auprès de tous les collaborateurs pour éviter que l’élément le plus faible de la chaîne soit, in fine, une personne qui clique sur un lien ou ouvre une pièce jointe infectée.

Enfin, il est nécessaire d’étudier rapidement les nouvelles solutions qui permettent non seulement de détecter et de bloquer les nouvelles menaces mais aussi de limiter les impacts en industrialisant les retours à une situation opérationnelle.

On en arrive alors non plus à mesurer le risque mais la performance de la sécurité. C’est dans cette optique que NES intervient auprès de ses clients.

Philippe MOLINES

01 53 38 57 00 – marcom@nes.fr