Cybersécurité : les enseignements du rapport Fortinet 2017

“L’innovation technologique qui sous-tend notre économie numérique entraîne le meilleur comme le pire en matière de cybersécurité" rappelle Phil Quade, Chief Information Security Officer, Fortinet, en prélude au rapport annuel que publie cette société implantée à Sophia et connue comme l'un des leaders mondiaux du domaine. Son rapport 2017 sur les principales menaces, pointe notamment des pratiques de cybersécurité défaillantes et des applications à risque qui favorisent les infections liées à des cyberattaques dévastatrices. Mis en avant également cette année, le problème posé par les cybercriminels qui tirent parti de vulnérabilités déjà connues et maximisent l’impact de leurs exactions avec des menaces hybrides dénommées Ransomworms.

"Les cybercriminels s'intéressent surtout aux vulérabilités déjà connues"

Cette étude révèle que des carences en matière de cybersécurité et une utilisation hasardeuse des applications permettent à des attaques basées sur des vers de tirer parti de vulnérabilités le plus rapidement possible. "Il est une thématique qui est trop rarement abordée, à savoir la capacité à maîtriser les dommages d’un incident de sécurité simplement en optant pour une hygiène et des pratiques de cybersécurité pertinentes et efficaces", poursuit Phil Quade.

"Les cybercriminels ne se contentent pas de mener leurs exactions en capitalisant sur les nouvelles vulnérabilités zero-day. Au contraire, ils s’intéressent aussi et surtout aux vulnérabilités déjà connues, d’où un gain de temps qui leur permet de s’investir davantage dans des innovations techniques qui assureront la furtivité et la non-détection de leurs attaques."

"Les nouveaux logiciels malveillants basés sur des vers accélèrent la propagation d’une infection sur les plateformes et systèmes. Une sécurité de type “intent-based”, qui privilégie l’automatisation et une intégration étroite, s’impose donc face à cette nouvelle réalité.”

Contrer les infrastructures "Crime-as-a-service"

Les infrastructures Crime-as-a-Service et les outils autonomes d’attaque permettent aux cybercriminels d’opérer simplement à l’échelle mondiale. Les menaces telles que WannaCry se sont distinguées compte tenu de leur rapidité de propagation et de leur capacité à s’en prendre à de très nombreuses organisations. Mais elles auraient pu être maîtrisées en amont si les pratiques de sécurité des organisations avaient été à la hauteur. En effet, les adversaires rencontrent le succès simplement en tirant parti de vulnérabilités non patchées pour mener leurs attaques. Dans ce contexte, l’automatisation grandissante des attaques permet aux assaillants de ne plus se limiter à des secteurs d’activité spécifiques, renforçant ainsi l’impact et la nocuité des attaques au fil du temps.

• Les ransomworms progressent : WannaCry, tout comme NotPetya, ont su cibler une vulnérabilité disposant d’un patch de correction depuis déjà 2 mois environ. Les organisations qui ont su contrer ces attaques avaient un de ces deux points en commun : elles disposaient d’outils de sécurité mis à jour pour détecter les attaques utilisant cette vulnérabilité et/ou elles avaient déployé le patch de correction suite à sa publication. Jusqu’à WannaCry et NotPetya, les vers réseau s’étaient faits quelque peu discrets, et ce, pendant prés d’une décennie.
• Des attaques d’une sévérité critique : plus d’un tiers des entreprises ont subi un exploit de sévérité importante à critique sur le second trimestre 2017. 90% des organisations ont dû faire face à des exploits utilisant des vulnérabilités qui étaient connues depuis trois  années et plus. Dix ans et plus après l’identification de certaines vulnérabilités, 60% des entreprises connaissent encore des attaques qui y sont associées. Sur le second trimestre, ce ne sont pas moins de 180 milliards d’exploits, 62 millions de logiciels malveillants et 2,9 milliards de tentatives de communication de botnet qui ont été détectés.
• Une activité soutenue en dehors des heures ouvrées : les menaces automatisées ne connaissent ni les week-ends, ni les nuits. Près de 44% de tous les exploits interviennent pendant le week-end ou la nuit. Pendant les week-ends, le volume quotidien des exploits est deux fois plus important que lors d’un jour ouvré.

Les usages technologiques présagent de nouvelles menaces

La rapidité et l’efficacité sont essentielles pour l’économie numérique, incitant donc à une tolérance zéro pour les indisponibilités systèmes ou d’équipements. Les usages et les configurations technologiques des applications, des réseaux et des équipements évoluent. En réponse, les exploits, logiciels malveillants et botnets en font de même.

Les cybercriminels sont prêts à tirer parti des faiblesses et opportunités des nouveaux services et technologies. L’utilisation de logiciels grand public dans un cadre professionnel, ou d’objets connectés vulnérables au sein de réseaux est source de risques potentiels, car ces technologies ne sont pas gérées, mises à jour ou remplacées de manière cohérente. De plus, le trafic Web chiffré, bien que nécessaire à la sécurité et la confidentialité des données transitant via Internet, représente un défi pour de nombreux outils de sécurité qui ne disposent d’aucune visibilité sur ces communications chiffrées.

• Usage des applications : certaines applications peuvent être des vecteurs de risque et des passerelles d’entrée pour les menaces. Les organisations qui ne brident pas l’utilisation du Peer to Peer subissent sept fois plus de logiciels malveillants et de botnets que leurs homologues prohibant ces applications P2P. De même, les organisations autorisant les applications de proxy font état de neuf fois plus de botnets et de logiciels malveillants que celles qui les interdisent. De manière surprenante, l’idée qu’une utilisation plus forte d’applications Cloud ou de réseaux sociaux entraine un volume plus important de malware et d’infections par botnets, n’est étayée par aucune preuve.
• Analyse par secteur d’activité : le secteur de l’enseignement surperforme quasiment tous les autres secteurs selon les critères d’infrastructure ou d’applications mesurés. De son côté, le secteur de l’énergie témoigne de l’approche la plus conservatrice.
• Internet des Objets : près d’une organisation sur 5 a connu un logiciel malveillant ciblant les dispositifs mobiles. Les objets connectés représentent toujours et encore un défi puisqu’ils ne bénéficient pas du niveau de contrôle, de visibilité et de protection des dispositifs plus classiques.
• Chiffrement du trafic Web : les communications chiffrées sur le Web établissent un second record d’affilée ce trimestre. La proportion du trafic HTTPS s’apprécie par rapport au trafic HTTP et ressort à 57%. Cette tendance s’annonce majeure et durable, les menaces utilisant les communications chiffrées pour se dissimuler.