"Les entreprises doivent travailler aux méthodes de reconnaissance"
Avec les Advanced Persistent Threats, les cybercriminels ont la plupart du temps une cible précise. Une fois qu’ils ont pénétré le réseau, ils y naviguent parfois durant plusieurs mois en catimini. En entretien, Lorenz Inglin, responsable Cyber Defense chez Swisscom, explique comment les PME peuvent se protéger de telles attaques.
Qui sont les victimes les plus fréquentes des cyberattaques avancées?
En matière de cyberattaques avancées, et surtout d’Advanced Persistent Threats (APT), il s’agit souvent d’espionnage. Les assaillants veulent tirer des avantages politiques, industriels ou militaires à partir d’informations volées. Des organisations exposées comme la Commission fédérale pour la protection ABC ou des sociétés détenant des données précieuses et des secrets industriels sont également des cibles potentielles. Mêmes des hommes politiques ont déjà été victimes d’APT. Il peut s’agir aussi de chantage dans le but d'atteindre un objectif encore plus important. Mais les cyberattaques peuvent aussi être motivées par l’argent et viser des établissements financiers.
Quels signes doivent alerter une entreprise qu’elle est touchée?
S’agissant des attaques avancées pour des motifs d’espionnage, les indices sont en général peu nombreux. Les malfaiteurs sont très bien équipés et formés. Ils ne veulent à aucun prix se faire remarquer pour maintenir aussi longtemps que possible leur position et pouvoir extraire des données. Ces assaillants se déplacent toutefois dans le réseau et laissent certaines traces. Un trafic réseau suspect avec des serveurs de commande et de contrôle identifiés ou le comportement anormal d’un utilisateur - une connexion à des horaires inhabituels à partir d'un emplacement inhabituel, un grand nombre d’accès inattendus, etc. - peuvent servir d’indices. Idem pour des alertes d’antivirus suspectes qui renvoient à des outils de piratage informatique, des mails d’hameçonnage professionnels très ciblés sur l’entreprise ou le comportement étrange de systèmes plantant sans explication, une charge élevée ou un nombre inhabituellement haut de requêtes sont autant de symptomes d’une attaque en cours. Lorsque l’argent ou le sabotage sont au cœur des motivations des pirates, les effets secondaires de l’attaque sont souvent détectables immédiatement. Si, par exemple, des systèmes sont désactivés, des données cryptées ou d'importantes sommes d’argent transférées, on le remarque la plupart du temps très vite.
À la mi-2016, on a appris que des inconnus avaient perpétré une attaque APT à l’encontre de la RUAG. Quelles leçons peut-on tirer de ce cas?
L’attaque contre la RUAG a montré qu’il est très difficile d’empêcher des pirates expérimentés de pénétrer dans un réseau. Tout n’est au final qu’une question de moyens mis en œuvre. Les entreprises doivent par conséquent absolument travailler aux méthodes de reconnaissance. Un pirate qui se déplace dans un réseau doit être détecté aussi vite que possible et ses actions doivent être suivies. Il convient en outre d’éviter une réaction précipitée, qui bloquerait l’accès de l’assaillant. En premier lieu, il faut saisir l’étendue de l’attaque et identifier les emplacements dans lesquels le pirate s’est installé. En plus de l’authentification à deux facteurs, de la collecte de logs, de la réduction des droits d’administrateurs locaux, un monitoring de la sécurité peut aider à détecter le plus rapidement possible de telles attaques. Les collaborateurs doivent par ailleurs savoir que faire des mails de hameçonnage. À cet effet, il faut mettre en œuvre un campagne d’information.
Comment réduire le facteur de risque humain?
Les mesures techniques comme l’authentification à double facteurs, des réglementations strictes de mot de passe ou le monitoring aident à prévenir les comportements humains fautifs. Parallèlement, il faut bien éduquer les collaborateurs. Pour qu’une entreprise soit sûre, elle doit former régulièrement ses collaborateurs à la sécurité informatique et renforcer leur conscience des APT.