La récente attaque sur les postes de travail du nouveau président de la République qui a porté sur 12 Go de données diverses (e-mails, documents texte), s’ajoute à une longue série d’actes de piratage concernant les institutions et les entreprises. OVH, le plus grand fournisseur d’accès internet européen, a subi en septembre 2016 une vaste attaque DDoS (déni de service) via un groupe de 150 000 caméras de sécurité infectées. En mai 2016, LinkedIn a vu 164 millions d’adresses et de mots de passe divulgués publiquement. Encore ne s’agit-il que d’exemples médiatisés car un nombre important d’organisations de travail publiques et privées ont été attaquées ou le seront à terme.

« La menace la plus importante est aujourd’hui le phishing (hameçonnage) qui consiste à utiliser de faux sites et e-mails prétendument légitimes pour demander à l’utilisateur de cliquer sur un lien, de télécharger un fichier contenant un outil de cryptage, ou encore d’obtenir des mots de passe ou des coordonnées bancaires. Les chevaux de Troie peuvent, notamment, prendre la main sur le poste de l’utilisateur et rebondir sur le réseau de l’entreprise », explique Pierre-Yves Popihn, directeur technique de NTT Security. Selon le rapport de novembre 2016 de l’éditeur de solutions de sécurité MalwareBytes, les ransomwares représentent 66 % des menaces, loin devant les autres attaques. Ce type de malware crypte vos fichiers et vos images et demande une rançon, de 500 à 1000 € pour les décrypter. Peu d’entreprises s’exécutent sachant que les pirates ne livrent quasiment jamais les clés de décryptage. Ces sommes paraissent faibles mais la note peut vite s’alourdir si on multiplie le montant de cette rançon par le nombre de postes infectés.

Au-delà des pertes d’exploitation, il faut se méfier des attaques silencieuses, à l’insu de l’entreprise, par un cheval de Troie qui porte un keylogger (surveillance des saisies clavier) pour détecter les mots de passe et autres informations. Olivier Mirtin, responsable Grands Comptes de Fortinet précise que pour ce type d’attaques, « la durée de découverte d’une attaque est aujourd’hui de 205 jours. Tous les grands comptes sont attaqués à des degrés divers avec ou sans vol de données. Par exemple, une banque au Bengladesh a subi trois attaques pour un préjudice total de 81 millions $. Les malwares sont des attaques multicanales qui prennent en compte tous les comptes de l’attaqué (mail, sms, comptes personnels, Facebook, Whats’app, etc.) et permettent de mettre en confiance la personne ciblée. Cette dernière est alors destinatrice d’un e-mail portant une « charge » indétectable par les outils classiques de sécurité Firewall, anti-virus, IPS, etc.), point de départ d’une attaque sophistiquée dont le but est de chiffrer les données de l’entreprise et de proposer leur déchiffrement contre rançon ».

Les attaques sur les applications mobiles et l’IoT
« Depuis 2015, on assiste à une montée en puissance des menaces sur les applications mobiles qui peuvent prendre le contrôle des smartphones et des tablettes, récupérer les données GPS, les contacts, écouter via le micro, etc. De manière globale, les attaques peuvent s’effectuer via tout ce qui est connecté comme les parcs d’imprimantes et multifonctions, photocopieurs, climatiseurs et caméras vidéo », précise Thierry Karsenti, VP Technique EMEA de Check Point ».

Face à ces nouveaux risques, les entreprises doivent faire évoluer leur perception de la sécurité. « Les responsables doivent aussi s’interroger sur l’importance des informations dérobées, suite à un vol ou à une perte de smartphone ou de tablette, pour être sensibilisés aux risques sur les mobiles », préconise Pierre-Yves Popihn. La protection passe par la prévention avec la diffusion d’une charte de sécurité reprenant les précautions de base, la mise en place d’outils et de procédures préventives ainsi que la sauvegarde régulière des informations sensibles et essentielles (projets, contacts, mots de passe, etc.). Quand l’attaque est découverte, les informations dérobées sont déjà utilisées ou rendues publiques. Enfin, il ne faut pas négliger les protections contre les méthodes d'ingénierie sociale. Il s’agit des conversations par e-mail ou par téléphone avec des individus qui se présentent comme des dirigeants de l’entreprise ou des interlocuteurs légitimes et qui demandent des versements frauduleux ou des codes d’accès. Lors de demandes de cette nature, la précaution de base consiste à s’assurer de l’identité véritable du demandeur.

Le prochain périmètre à surveiller sera celui de l’IoT (Internet des objets) car il y aura plusieurs milliards de dispositifs connectés dans quelques années et il est très difficile de les sécuriser en raison de l’hétérogénéité des réseaux de communication, des nombreux systèmes d’exploitation embarqués et des nombreux types d’objets (capteurs divers, caméras, etc.). La tâche des RSSI (responsable de la sécurité des systèmes d’information) va se complexifier notoirement.