Le vol de données au cœur des nouvelles cybermenaces
Podcast: Play in new window | Download (Duration: 14:54 — 9.1MB)
Subscribe: Apple Podcasts | Spotify | Android | RSS | More
Le vol de données a changé la nature des cybermenaces. L’AFCDP, avec qui nous avons déjà réalisé deux interviews (ici et là) organisait le 9 février 2023, sa 17euniversité à la maison de la chimie à Paris. Devant un parterre impressionnant de représentants de la protection des données (DPO ou Data Protection Officers), le colonel Naëgelen, DGA de l’ANSSI a appelé à un rapprochement des fonctions des RSSI et des DPO. Rapprochement devenu indispensable du fait de l’évolution des attaques en cybersécurité.
Le vol de données au cœur des nouvelles cybermenaces selon le DGA de l’ANSSI
Le caractère abject des attaques contre les hôpitaux
Emmanuel Naëgelen est directeur adjoint de l’ANSSI, Agence nationale de la sécurité des systèmes d’information. Il occupe un poste traditionnellement dévoué à un militaire. Ce qui est son cas, puisqu’il est colonel de l’armée de l’Air.
Il a une longue expérience de la cyberdéfense depuis 2009.
Des attaques en baisse mais le vol de données qui progresse
Le rapport de l’ANSSI de 2022 vient de sortir. On peut y lire que les cyberattaques par rançongiciel, si elles ont heureusement un peu baissé en nombre en 2022, ont beaucoup évolué et touché en priorité les PME et ETI (40 %) et les collectivités locales (23 %) et institutions de santé (10 %), soit près des trois quarts des attaques par ransomware pour ces trois cibles principales.
Des attaques contre les hôpitaux que le colonel Naëgelen a qualifiées d’abjectes.
Il a déclaré s’être rendu compte que « la multiplication de ces attaques rapprochait naturellement les RSSI (responsables de la sécurité informatique) et les DPO (qui ont la charge de la protection des données).
DPO et RSSI sont dans le même bateau
Emmanuel Naëgelen
“Peut-être même que certains sont les deux à la fois ?” a-t-il ajouté. Même si certains dans la salle ont fait valoir “que les DPO avaient besoin de dormir”, il fut immédiatement conforté dans cette hypothèse, en entendant la première question posée par un représentant de l’AFCDP qui cumulait les deux responsabilités.
Des menaces élevées et qui changent de nature
À l’image des veilles sur la réputation, il convient de surveiller les divulgations de données concernant son organisation ou ses partenaires et d’appliquer les recommandations relatives à l’authentification multifacteur et aux mots de passe disponibles sur le site de l’ANSSI.
ANSSI —panorama de la cybermenace 2022
Les menaces de cybersécurité sont élevées en ce moment, comme le montre le rapport de l’ANSSI. Mais le plus inquiétant selon son DGA, c’est la perfection de la menace.
Face à ces menaces, un constat “triste” selon lui : ce sont toujours les mêmes vulnérabilités qui sont exploitées.
Ainsi, le 3 février 2023, l’ANSSI a-t-elle posté une alerte sur un composant ESXi de VMware qui date de février 2021 ! “Le Patch est sorti, mais n’a pas été appliqué. L’impact a été énorme” a ajouté Emmanuel Naëgelen.
Les deux types d’acteurs de la menace
Ces menaces ont deux origines, a-t-il expliqué.
Les menaces en provenance des États
Ceux-ci sont précurseurs depuis une vingtaine d’années. Mais la menace évolue. “Avant, ce type d’attaques était réservé aux grandes puissances, mais depuis quelques années, de nouvelles catégories d’États recourent à des entreprises privées comme NSO GROUP”, l’éditeur israélien du tristement célèbre Pegasus. Ce logiciel espion a été à l’origine d’une brouille entre le Maroc et la France en 2021.
De la prolifération des logiciels espions
“L’Industrie du logiciel espion a ainsi permis de démocratiser la pratique de la surveillance informatisée. Elle le fait avec des performances qui sont vraiment dignes du très haut niveau de la première ligne. Et pour cause, NSO Group occupe aujourd’hui environ 700 ingénieurs qui ne font presque qu’une seule chose : développer un logiciel qui vise à pirater des iPhone”.
“À titre de comparaison, l’ANSSI emploie 600 personnes”, a-t-il ajouté, alors pas étonnant que cet “outil soit extrêmement performant”. Les cibles de ces attaques ? Les chefs d’État, les diplomates de façon classique, “mais aussi des dissidents, des journalistes, voire certains hauts dignitaires ou leurs maîtresses…”.
Cela constitue un “sacré changement de doctrine”, ajouta le DGA de l’ANSSI.
On observe une “véritable prolifération de ces outils que personne n’est capable de contrôler à cet instant”
Les sous-traitants plus vulnérables que les cibles finales
“Nous constatons aussi que les États visent de plus en plus souvent les sous-traitants des grands groupes, sous-traitants qui sont évidemment moins robustes que les cibles finales”.
Un constat de l’ANSSI qui ne rassurera personne et qui démontre la fragilité des États. Y compris en face de plus petites nations qui peuvent désormais se hisser à la hauteur des plus puissantes.
Les menaces en provenance des cybercriminels
Deuxième source des attaques cyber décrites par le colonel Naëgelen, les cybercriminels. “Ils ont énormément progressé depuis 4 à 5 ans, car ils ont industrialisé leurs capacités et pratiquent désormais la pêche au chalut sur Internet pour attraper tout type de poisson, petit comme gros”.
L’arrestation d’un affilié de Lockbit au Canada a démontré le changement de paradigme de la cybercriminalité : “À lui seul il a fait 100 victimes en France”. Rien d’étonnant à cela, car “la France est le deuxième pays le plus visé par Lockbit dans le monde”.
C’est en effet ce que nous apprenait Luca Berni, directeur du conseil, Threat Intelligence Services de Palo Alto Networks Unit 42, lors d’une conférence IT for Business, le 8 février à Paris.
Les affiliés de Lockbit, un RaaS populaire en ce moment, sont nombreux. Ils sont capables de s’attaquer “à un État complet comme cela a été le cas l’été dernier au Monténégro, et en avril au Costa Rica, qui a été obligé de se déclarer en état d’urgence suite à une attaque par un groupe cybercriminel”, le gang russophone Conti.
Un ransomware dont les experts de la cybersécurité Palo Alto Networks déclaraient en 2021 “qu’il n’est pas aisé de le bouter hors de son réseau” et qui est tombé en désuétude. Il est probable que ses affiliés aient rejoint le gang Lockbit, la nouvelle star du rançongiciel.
Au-delà du chiffrage, le chantage à la divulgation des données
Autre évolution intéressante de l’année 2022, plutôt que de chiffrer les systèmes d’information, désormais, “ces cybercriminels s’investissent dans le vol des données et au chantage à la divulgation”.
Il s’agit d’une stratégie très efficace. Avec des données personnelles sensibles juridiquement et évidemment critiques pour la réputation des entreprises et des établissements. Cela permet aussi de porter directement atteinte à la confiance des clients ou des usagers.
Ensuite, les cybercriminels mènent des attaques ciblées sur les personnes avec ces vols de données. Ou encore pour revendre les données afin de permettre des attaques en ingénierie humaine.
Quand vous avez récolté ces données, vous pouvez monter dans un deuxième temps des arnaques. Cela se fait à partir des identifiants ou des mots de passe que vous avez pu récupérer.
Voici l’explication de la nécessité du rapprochement ou à tout le moins, de le collaboration entre RSSI et DPO. Car les deux fonctions sont désormais liées.
Le vol de données dans la cybercriminalité
“Le vol de données est manifestement la nouvelle méthode utilisée par ces cybercriminels pour rendre encore plus efficace l’ensemble de leurs actions”, a précisé le représentant de l’ANSSI.
Et cette tendance n’est pas près de s’éteindre. La récente attaque contre Royal Mail le démontre avec sa menace de divulgation des données. L’œuvre du gang Lockbit, toujours lui.
“Mais pourquoi un tel niveau de menace”, a-t-il demandé ?
Il est dû à plusieurs facteurs liés à la numérisation de notre société et de nos entreprises. Mais le facteur récurrent est que l’on rencontre “toujours les mêmes faiblesses, qui sont certes quasiment toutes documentées par les défenseurs, par les éditeurs de logiciels”.
“Manifestement, ces correctifs ne sont pas toujours appliqués. Ce qui fait qu’aujourd’hui plusieurs milliers de serveurs sont régulièrement touchés par ces attaques” poursuit le colonel Naëgelen.
Mais comme l’a fort bien dit Alain Bauer, désormais professeur de criminologie appliquée au Conservatoire national des arts et métiers, à New York et Shanghai, il faut veiller à ce que les “États prennent des dispositions punitives contre les criminels et cessent de stigmatiser les victimes”.
Or, cela tombe bien, la démarche prônée par l’ANSSI est en appui des acteurs du public et du privé.
Comment se protéger des cybermenaces et des vols de données ?
Le colonel Naëgelen a décrit l’approche comme réticulaire et servicielle », des mots beaucoup moins savants qu’il paraît, nous a-t-il dit pour nous rassurer.
- Démarche réticulaire : en réseau avec le privé et le public et tous les relais ;
- Démarche servicielle : en apportant des services en lignes automatisés.
GIP, CSIRT, etc.
Le GIP cybermalveillance.gouv.fr « a fêté ses 5 ans et peut désormais se vanter de beaux résultats avec 8 millions de visiteurs, ce qui a permis de traiter 600 000 demandes d’assistance avec 15 agents seulement ».
L’ANSSI a promu en 2021/2022 la création, dans le cadre de France Relance, de plusieurs centres de réaction cyber. Cela s’est fait dans des secteurs d’activité comme le domaine maritime, la santé ou l’aviation. 12 régions de France sont concernées et bientôt les territoires d’outre-mer.
À quoi servent tous ces CSIRT (Computer Security Incident Response Team) ? « Ils sont là pour apporter aussi, au niveau local, en proximité, une première réponse en termes de prévention, mais aussi de gestion de crise ».
Un maillage territorial important et une nouvelle directive européenne
En bref, car j’ai simplifié, un maillage territorial important. celui-ci s’est également accompagné de la montée en puissance de la gendarmerie avec la création du ComCyberGend.
En dehors de ces actions, « la réglementation européenne va être un levier extrêmement puissant pour lutter contre cette cybercriminalité » a ajouté le colonel Naëgelen, et notamment la révision de la directive 17, la directive européenne sur la sécurité des réseaux et des systèmes d’information qui vient d’être promulguée au Journal officiel de l’Union européenne
[NDLR Que nous n’avons pas pu trouver parmi les nombreux sites de l’UE].
Élargir le spectre pour inclure les PME, les ETI et les collectivités locales
« L’objectif de cette directive, c’est d’aller vraiment vers une cybersécurité de masse au profit encore une fois, des établissements publics, des entreprises, des collectivités », a expliqué le DGA de l’ANSSI. Avec elle, « nous allons passer de 6 à 23 secteurs d’activité régulés ».
Autre point de taille, « cette nouvelle directive ne s’adresse pas seulement aux grands groupes ni aux administrations centrales. Elle vise également les PME et les ETI et quasiment toutes les collectivités territoriales ».
Comme nous l’avons vu ci-dessus, ce sont bien les cibles privilégiées des cybercriminels.
Il ne reste plus qu’à espérer que ces mesures entreront en vigueur plus vite que le prochain « fork » de Lockbit. Alors qu’une version du Builder a été déjà divulguée sur Twitter par un développeur en désaccord avec le gang.
Où va le monde de la cybercriminalité ?
Selon Luca Berni de Palo Alto Networks Unit 42, « Si l’on regarde les modèles d’activités passées, chaque fois qu’un groupe devient célèbre, il a tendance à changer de nom. Va-t-il être rebaptisé ?
La fuite du Builder a entraîné des vols de données imputables au système Lockbit. Même si celles-ci ne sont pas liées au gang principal. La menace du cryptage ne disparaîtra pas de sitôt, même si les entreprises sont moins enclines à payer des rançons ».
Les menaces en permanente reconfiguration
Les menaces sont donc sans cesse en reconfiguration. Et les cybercriminels se montrent agiles et rapides. Bien plus que leurs cibles qui tendent à mettre beaucoup de temps à appliquer les patches de sécurité. Quand ils ne les oublient pas, purement et simplement.
Une mise en place des parades adaptées qui ne va pas toujours de soi pour les petites entreprises en effet, même si leur arsenal logiciel est moindre (15 solutions en moyenne, 10 pour les ETI et 50 pour les grandes entreprises selon Alain Bouillé, DG du CESIN, dont 85 % des membres sont des RSSI)
Les solutions d’EDR améliorent les choses
Pour Alain Bouillé, il existe de nombreuses solutions d’EDR (Endpoint Detection and Response – voir ici pour les détails). Celles-ci permettent, même s’il n’y a pas de miracles, de prévenir bien des attaques.
« On note une forte hausse du déploiement des EDR, devenu une réalité dans 81 % des entreprises », proclame le CP du dernier baromètre du CESIN. « Les outils de gestion des vulnérabilités ainsi que les services de SOC comptent parmi les dispositifs jugés les plus efficaces. Enfin, on peut noter que 6 entreprises sur 10 ont recours à des offres innovantesL'innovation va de la compréhension (intuitive ou non) du comportement de l’acheteur à la capacité d’adaptation à l'environnement issues de start-up ».
Un niveau de satisfaction qui monte
Et les résultats sont là selon le DG du groupe d’experts de la cybersécurité :
« Le niveau de satisfaction de nos membres a évolué », a-t-il déclaré lors de la présentation de son baromètre le 8 février. « Avant, ils étaient mitigés, mais cette année, ils déclarent 88 % de satisfaction, même si cela varie en fonction de la qualité de la mise en œuvre ».
[Lire également notre article sur le zero trust]
Les parades existent, mais rien ne vaut la collaboration RSSI/DPO
Les parades existent, même si on assiste bien à un jeu de chat et de souris. Raison supplémentaire pour que RSSI et DPO collaborent afin de mettre en place les mesures les plus efficaces. Comme l’incontournable double authentification qui permet de limiter les dégâts.
Mais ce n’est pas tout. Il faudra mieux collaborer pour éviter ces fuites de données qui permettent de sophistiquer les attaques d’hameçonnage et d’ingénierie humaine. Et ceci jusque dans les rangs des professionnels.
Il nous faudra suivre les progrès de la collaboration DPO/RSSI. Ainsi que son impact sur la prévention des vols de données. Rendez-vous pour la 18e université de l’AFCDP en 2024.