Attaques APT : l’être humain doit devenir le maillon fort

Les attaques ciblées visant à récupérer les données confidentielles des entreprises font régulièrement la Une des journaux. Savamment alimentée par le buzzword, cette menace reste efficace, car les entreprises n’ont pas mis en place toutes les solutions de sécurité nécessaire. Par ailleurs, la sensibilisation des salariés n’est pas assez généralisée. Entretien avec Cédric Pernet, Senior Threat Researcher, Cyber Safety Solutions, Trend Micro.

Est-ce que les APT ont augmenté ?
Cédric Pernet : Les attaques APT n’ont jamais été aussi médiatisées qu’actuellement. Alors qu’il était rare avant 2010 de lire des publications exposant de telles attaques, le nombre de papiers et billets de blog exposant ces attaques a explosé depuis, grossissant sans cesse.
Cela ne veut pas forcément dire qu’il y a eu une augmentation du nombre d’attaques. Il faut prendre en compte le fait que ces publications soient devenues un outil de marketing technique très puissant et très prisé par de nombreuses sociétés travaillant dans la fourniture de solutions de sécurité informatique, de réponse à incident ou de gestion de la cybercriminalité.

“En France cependant, les structures de détection de type SOC/NOC sont

encore très en retard par rapport à d’autres.”

Ces publications présentent des attaques diverses et variées, et la qualité de ces publications est d’ailleurs très variable. Il faut prendre garde à certaines publications dont le but est de « faire du buzz » et qui finalement n’apportent pas grand-chose aux experts du domaine ou aux différentes entités de sécurité informatique (SOCs, CSIRTs/CERTs, etc.) qui se nourrissent des indicateurs fournis dans ces exposés. De nombreuses sociétés de réponse à incident à l’échelle mondiale ont acquis une plus grande maturité sur le sujet et communiquent beaucoup plus librement dessus, tant que le respect de la confidentialité de leurs clients est maintenu.
Les détections, comme vous le soulignez, tendent également à être plus performantes à l’échelle planétaire. En France cependant, les structures de détection de type SOC/NOC sont encore très en retard par rapport à d’autres. Ces structures éprouvent des difficultés à partager leurs informations sur les campagnes d’APTs avec leurs homologues, ce qui pourtant leur serait très bénéfique.
Pour être clair, je pense que l’exposition des APT a fortement augmenté, mais que le nombre d’attaques en elle-même n’a pas tant évolué que ça.

La crédulité d’utilisateurs

Est-ce que les entreprises ont renforcé la sécurité de leurs données confidentielles ?
Renforcer la sécurité des données confidentielles exige un énorme travail. Il faut ensuite effectivement essayer de les protéger, ce qui donne lieu à de nombreux débats et de nombreuses solutions très différentes existent pour cela. Il faut travailler sur le stockage des données, qui devrait toujours se faire de façon chiffrée, mais aussi sur tous les accès à ces données : accès restreints au plus petit nombre possible d’utilisateurs, et détection d’éventuelles « fuites » par le réseau de l’entreprise vers l’extérieur. Les publications sur les APT ont réussi à sensibiliser certains acteurs, mais pas tous. Il y a ceux qui n’ont tout simplement pas les moyens de déployer énormément de sécurité, ou encore ceux qui pensent ne jamais être ciblés par des attaquants APT…

Les décideurs ne sont pas assez sensibilisés aux menaces numériques.

Quelles sont les mesures à prendre pour éviter l’espionnage ? Dans votre précédente interview à SecuriteOff, vous rappeliez que ce type d’informations ne devaient pas être sur des supports connectés. Mais les décideurs ont-ils ce réflexe alors qu’ils sont tous ou presque sur Office 365… (la confidentialité des emails est-elle garantie) ?
Je pense de plus en plus qu’on ne pourra jamais éviter totalement de telles attaques. Les campagnes d’APT n’évoluent pas forcément au fil du temps, et pourtant elles fonctionnent. Les compromissions initiales se font encore et toujours principalement en abusant de la crédulité d’utilisateurs mal informés ou non suspicieux qui gèrent leurs mails de façon inappropriée.

“Ces utilisateurs le font généralement par commodité,

la paresse étant l’un des pires ennemis de la sécurité…”

Selon moi il faut procéder à de larges campagnes de sensibilisation dans les entreprises, au moins une ou deux fois par an. Des campagnes de type « simulation d’APT » peuvent être effectuées par certaines sociétés, ou à minima des campagnes de phishing ciblant tous les employés. L’effet est d’autant plus important lorsque l’on montre à chaque employé ciblé qu’il a été « victimisé » et que cela peut mener à une compromission de l’ensemble des données de l’entreprise. Il ne s’agit pas de jeter la pierre, mais plutôt de mieux faire connaître les méthodes des attaquants. Sur ce genre d’exercice de « phishing », les statistiques du nombre d’utilisateurs ayant eu un comportement permettant l’infection sont intéressantes, mais je trouve le nombre d’utilisateurs ayant signalé le mail de phishing aux structures de sécurité encore plus intéressant.

La fameuse clé USB…

Pour en revenir aux préoccupations des supports connectés, il faut évidemment restreindre le plus possible le stockage d’informations confidentielles sur ces supports. Une bonne solution consiste à avoir d’autres réseaux non connectés à celui de l’entreprise. Je parle de réseaux locaux qui permettent aux utilisateurs nécessitant les mêmes ressources de travailler ensemble. Les limites de cette alternative sont par contre atteintes avec les attaques de type « air gap » ou par les actions de certains utilisateurs qui vont quand même faire transiter des données entre les réseaux par le biais de clefs USB par exemple. Ces utilisateurs le font généralement par commodité, la paresse étant l’un des pires ennemis de la sécurité…
Au niveau du réseau, il faut se munir de capacités de DPI. Il faut avoir un maximum de visibilité sur le réseau et ne pas se contenter de déployer quelques sondes de détection. Il faut que des analystes en menaces confirmés monitorent le réseau tous les jours, tout comme il faut des analystes qui examinent toutes les détections de comportements anormaux sur les machines des utilisateurs et les serveurs.

Trop bavards

La confidentialité des informations critiques peut-elle être compatible avec le « besoin » d’être toujours connecté et de disposer de ces informations ?
La balance entre le confort de l’utilisateur et la gestion des données sensibles n’est pas facile à équilibrer. Un travail collaboratif peut pourtant se faire sans être connecté à un réseau d’entreprise, mais plutôt à un réseau local. Cela n’est cependant pas possible dans tous les cas, notamment lorsque des employés répartis partout dans le monde ont besoin d’accéder à la donnée.
Chaque information reliée d’une quelconque façon que ce soit à Internet pourra potentiellement être dérobée.

Finalement, le risque humain n’est-il pas le principal paramètre à identifier et à cibler dans une campagne de cyberespionnage ?
Effectivement, l’humain reste le paramètre le plus vulnérable dans cette chaîne de compromission. La curiosité, l’ennui, l’appât du gain, la méconnaissance de l’outil informatique… Autant d’éléments qui rendent la vie plus facile à ces attaquants. D’autant plus dans un monde aussi connecté et dans lequel les employés n’ont jamais été aussi visibles. Je vous mets au défi de trouver une entreprise de taille moyenne dont on ne puisse pas trouver des employés sur les réseaux sociaux…