« La dépendance accrue des entreprises à la numérisation de ses outils de travail et de communication les rendent plus fragiles face aux attaques », pointe Thierry Karsenti, vice-président de Check Point, société israélienne de solutions de sécurité. Du fait de la diffusion massive des tablettes et smartphones, la surface d’attaque est aujourd’hui beaucoup plus importante qu’il y a quelques années. Les applications installées sur les terminaux mobiles ont accès aux données personnelles de l’utilisateur (contacts, photos, etc.), ce qui les rend vulnérables. Ainsi Apple vient de retirer 256 applications compromises par des malwares de son Appstore. Alexandre Vandevelde, ingénieur système chez Proofpoint, note que « la messagerie est le premier vecteur d’infection. L’étude 2015 de Verizon met en avant que 91 % des attaques sont initiées par un e-mail pour voler de l’information ou infecter un poste de travail ». Les attaques peuvent être visibles lorsque les fichiers sont cryptés et sont suivis d’une demande de rançon. « Le risque le plus insidieux est l’infection d’un poste de manière silencieuse et qui n’est pas détectée. Dans ce cas, les données sont dérobées en continu », ajoute Alexandre Vandevelde.

Le cyberespionnage constitue ainsi le gros de la menace car les attaquants ont accès à des données essentielles de l’entreprise qui leur rapportent beaucoup d’argent, sans courir de risques. « Pour la plupart des attaques d’espionnage industriel, les techniques utilisées ne nécessitent pas de grandes ressources en interne. Il suffit de louer les services de pirates sur le darknet pour 100 €/mois pour qu’ils tentent d’accéder aux données d’un responsable contenues sur son téléphone ou son ordinateur. Et cela, sans qu’il s’en rende compte », affirme Thierry Karsenti. Les attaques telles que les dénis de service et autres menaces coordonnées se font par des réseaux d’ordinateurs nommés botnets. Le rapport Sécurité 2014 de Check Point, basé sur la surveillance d'événements dans plus de 10 000 entreprises dans le monde entier, a constaté qu'au moins un bot (code autonome qui interagit avec les serveurs) a été détecté dans 73 % des entreprises, contre 63 % l'année précédente. Plus de 3 bots sur 4 étaient actifs pendant plus de quatre semaines et communiquaient généralement avec leur centre de commande et de contrôle. Le cloud qui a séduit un nombre croissant d’entreprises, pour exécuter des applications ou héberger des données sensibles, doit être utilisé en connaissance de cause. Il ne peut être question, par exemple, de stocker un projet sensible chez un prestataire de cloud dont les moyens techniques de sécurisation et les engagements contractuels ne seraient pas clairs. Le recours à un cloud public est déconseillé dès qu’il s’agit d’y placer des données très confidentielles.

Les outils de sécurité peinent à contenir les nouvelles attaques
Une formation du personnel concerné est primordiale pour prévenir les attaques, mais n’est pas toujours suffisante. « Le PMU a réalisé une campagne test de phishing (faux mails) auprès de ses collaborateurs et a constaté que 6 % d’entre eux ont rempli des formulaires en ligne en donnant leurs coordonnées personnelles et que 22 % ont ouvert la pièce attachée contenant le malware », note Alexandre Vandevelde.
Les outils classiques tels que le pare-feu et les antivirus sont impuissants à contrer une attaque zero-day, à savoir un code malicieux encore inconnu des solutions de sécurité. « Si l’empreinte d’une attaque est inconnue, il est possible parfois d’isoler les fichiers compromis et de les placer dans un sandbox (zone de mise en quarantaine des fichiers) », indique Thierry Karsenti. La menace doit être prise au sérieux au vu des exemples médiatisés comme celui d’Anthem, gros assureur américain qui s’est vu dérober les données personnelles de dizaines de millions d’assurés par un malware d’extraction des informations.

Si malgré toutes les protec­tions et une formation du personnel, une entre­prise subit une attaque, elle doit avoir mis en place un plan de réponse. Alexandre Vandevelde conseille une action en quatre points :

• D’une part, agir pour minimiser l’incident (isolement de la machine infectée, mise à jour des équipements, etc.).
• Ensuite, analyser en détail (logs, interrogation des personnes impactées,… ) pour comprendre l’attaque : qui nous attaque et dans quel but ?
• Il faut bien entendu également restaurer les données compromises (grâce aux backups notamment).
• Enfin, la communication au sein de l’équipe en charge de la réponse est importante, ainsi qu’avec les personnes qui sont impactées par l’attaque. Il s’agit en particulier de mettre à jour régulièrement les informations sur les personnes à contacter.

L’exemple de la chaîne TV5, qui a mis plusieurs mois pour retrouver une activité normale du SI après une attaque massive, montre que l’infection peut aussi détruire les fichiers de logs qui permettent de comprendre l’intrusion et de réparer dans les meilleurs délais.
L’enjeu pour bien investir dans une solution de sécurité est un équilibre entre le coût total d’investissement (logiciels, politique de sécurité, etc.) et les risques encourus par une attaque informatique. L’entreprise doit déterminer le degré de confidentialité de son périmètre d’information, sachant qu’une solution de sécurité bien conçue doit nécessairement englober le facteur humain comme vecteur d’attaque.

Le piratage massif du site de rencontres Ashley Madison

Au mois d’août 2015, le site de rencontres adultères Ashley Madison a été victime d’une attaque massive concernant 33 millions de comptes. Des informations très sensibles, comme les préférences sexuelles ou le numéro de téléphone, se sont retrouvées dans la nature avec les conséquences que l’on devine pour les clients du site, dont un député et un activiste américain des valeurs familiales. Un mois après un ultimatum public par le groupe de pirates, les données dérobées sont devenues accessibles à tous. D’autres sites de rencontre, tels que AdultFriendFinder et TopFace, ont aussi été attaqués avec demande de rançon, montrant que la motivation des attaquants dépend du niveau de sensibilité des informations. Outre l’atteinte à la vie privée des abonnés, ce type d’attaque atteint profondément et durablement l’image et détruit bien entendu la relation de confiance entre un site et ses clients.