Les entreprises font face à deux types de menaces. Premièrement, les cyberattaques de leur site que l’on pourrait comparer à des tags sur un bâtiment. L’impact étant assez faible, les entreprises sont capables de le gérer. C’est rarement le cas avec le second type de menace, car il s’agit d’attaques sophistiques et très discrètes destinées à récupérer des données sensibles (espionnage économique notamment). Dans ce cas, les entreprises n’en ont pas conscience ou s’en aperçoivent lorsqu’il est trop tard.
Entretien avec Arnaud Kopp, CTO Europe du Sud chez Palo Alto Networks.
La transformation numérique fragilise la sécurité des entreprises. Comment adaptez-vous vos solutions à l’évolution des attaques ?
Arnaud Kopp : L’idée d’avoir un pare-feu qui ne fait que traiter des informations du réseau présente un manque de visibilité et de compréhension des applications et contenus. Pour Palo Alto Networks, la sécurité passe par une connaissance plus globale du périmètre de l’entreprise. Nous nous assurons que le pare-feu est capable de contribuer à améliorer la sécurité propre du réseau, mais surtout qu’il collabore avec les autres solutions de sécurité.
Cette notion de participatif est essentielle. Avec notre plate-forme de sécurité, nous cherchons à faire travailler ensemble les informations provenant de nos clients ou d’autres organisations, au sein de l’organisation « Cyber Threat Alliance ». Cela permet d’assurer une meilleure appréhension des prochaines étapes des cyberattaques. Nos prochaines innovations sont toujours en ligne avec les nouvelles tendances du numérique. Après la virtualisation et la mobilité, il y a notamment les attaques très ciblées c’est-à-dire visant une personne dans une entreprise. Dans cette optique, il est primordial de travailler sur la sécurité du poste de travail, ce qu’on appelle le endpoint.
Les attaques sont parfois très rapides. Quelles méthodes mettez-vous en place ?
A.K : Dès que nous commençons à découvrir des attaques et des vulnérabilités zéro day ou des logiciels malveillants, nous ne devons pas perdre de temps. Nous ne pouvons pas nous permettre d’attendre que des analyses et des comptes rendus soient rédigés. Ce délai est trop long. Nous cherchons à avoir un temps de réaction très court pour limiter la propagation.
Afin de limiter les faux positifs, nous générons des plages de 15 minutes pour vérifier des signatures grâce à des informations similaires qui sont remontées de différents points. C’est cette similitude qui nous permet de marquer des types de flux et de mises en relation. Nous regardons à quelle vitesse ces données identifiées sont en train de se diffuser. S’il s’agit d’une diffusion très lente, mais très ciblée, une solution collaborative ne peut être efficace. Il faut une autre solution sur le endpoint par exemple, pour cela nous disposons de notre produit TRAPS.
Les réseaux industriels sont devenus des cibles d’autant plus faciles qu’elles ont des contraintes particulières.
A.K : En effet, l’industrie a des besoins de continuité de fonctionnement. Par ailleurs, sur un réseau industriel, il y a les systèmes de contrôle et de pilotage basés sur des systèmes d’exploitation (Linux ou Windows) qui n’évoluent pas forcément dans le temps. Un système d’exploitation n’est pas mis à jour tous les six mois. Pour les industriels et les fabricants, le but est que cela fonctionne durant plusieurs années sans que trop de maintenance soit nécessaire. Sur ces systèmes, la difficulté est de placer une surveillance supplémentaire (zéro day) sans qu’il y ait d’impact sur le fonctionnement des applications comme nous le faisons sur des systèmes de pilotage de scanners dans le domaine médical. Notre rôle avec Traps est de placer des gilets pare-balles autour de ce système et des logiciels.
Des sociétés ont essayé de réduire les coûts avec une maintenance à distance ou des solutions complexes au niveau de la connectivité. Ces solutions présentent des limites. C’est la raison pour laquelle, Palo Alto Networks a une approche de segmentation afin d’éviter que des réseaux soient complètement interconnectés. Et si jamais, deux éléments importants doivent être connectés entre eux, il est important de mettre en place des points de supervision à intérieure du réseau industriel sans être intrusif pour autant. Il s’agit de surveiller ce qui se passe pour que les informations recueillies génèrent des protections au niveau des passerelles. Le but est qu’il y ait une collaboration entre des détections à un endroit du réseau pour qu’elles génèrent des protections à un autre endroit.
Le principal ultime est de générer le maximum de protection à bon escient, ce qui implique d’avoir de bonnes captures.
Les messageries électroniques sont toujours le principal vecteur d’attaque ?
A.K : Cela dépend de la motivation de l’attaque. S’il s’agit d’une attaque à diffusion très large (phishing et logiciels de racket notamment), c’est facile d’envoyer des codes malveillants à de nombreuses entreprises, car celles-ci ne mettent pas de limites au nombre d’emails reçu par jour et/ou par personne. Pour l’attaquant, cette méthode ne coûte pas cher mais le « retour sur investissement » n’est pas très élevé.
Pour des attaques plus ciblées, le principal vecteur d’attaque commence par une parfaite connaissance du fonctionnement de l’entreprise visée. L’attaquant doit mettre en place une stratégie afin que certains collaborateurs d’une entreprise viennent à lui et qu’ils soient ensuite entraînés vers des contenus qu’il peut maîtriser. C’est un peu comme le prédateur qui est caché près d’un point d’eau.
Face à ce type de menace, l’entreprise doit être capable de surveiller tous les usages des salariés. Nous avons eu le cas d’un client dont l’un des collaborateurs avait reçu sur son smartphone un faux message d’un service de livraison rapide. Ce message l’informait que le site pour consulter l’avancée de la livraison n’était pas compatible avec son téléphone mobile et qu’il fallait qu’il se connecte depuis son PC de bureau… où il y avait une vulnérabilité.
Toutes les entreprises peuvent être visées par une APT ?
A.K : Oui. Des APT peuvent viser par exemple des universités qui travaillent en sous-traitance pour des grands groupes industriels. Pour les attaquants il s’agit de trouver un point d’entrée qui est moins protégé. Or, dans le secteur universitaire, il y a un besoin de communiquer et d’échanger pour faire avancer la recherche. Pour un attaquant, l’infiltration du poste de travail d’un chercheur peut lui permettre de découvrir la roadmap d’une entreprise.
La surveillance du web par les États a-t-elle un impact sur vos activités ?
A.K : Nous n’avons pas constaté d’impacts négatifs, car nous ne collaborons pas avec des services de renseignements. Par contre, nous surveillons constamment notre réseau pour savoir si nous ne sommes victimes d’une attaque financée par un État pour savoir comment contourner nos solutions de sécurité. Nous proposons aussi nos produits à des sociétés de cybersécurité comme Thales en services managés. C’est important d’aller vers une collaboration et une gestion locale. C’est un premier pas vers la confiance.