Une tribune de David Grout, Director, Systems Engineering, Southern Europe FireEye.
5 choses que nous avons apprises des attaques de ransomware de ce week-end :
1- Les hackers utilisent et utiliseront de plus en plus les outils à disposition sur le web. Dans le cas de wannacry les cybers criminels ont utilisé des exploits et des vulnérabilités connues mais extrêmement efficace : MS017-10 et EternalBlue entre autres.
2- Les hackers réagissent vite et s’adaptent pour être plus efficace, dans le cas de wannacry ils ont dès ce week-end fait évoluer leurs versions de codes afin de ne plus avoir de systèmes autobloquant (Kill Switch).
3- La sécurité à 100% n’existe pas et n’existera jamais, la mise en place de plan de réponse adéquate est clef pour les entreprises afin de gérer des cas comme celui-ci de manière efficace.
4- La gestion de la communication en interne et en externe pour les entreprises devra être reconsidérée pour répondre à ce type d’attaque éclair.
5- Une gestion de la politique de patch des entreprises en se basant sur l’intelligence, la connaissance des risques est nécessaire aujourd’hui. Il faut sortir du modèle "one size fits all" ou l’on patch tout et n’importe quoi et se focaliser sur les vrais risques.
Le cyber-espace subit aujourd’hui peut être sa plus grande évolution, presque révolution et l’espace Européen n’est pas épargné. La multiplication des attaques sur les infrastructures, sur l’internet des objets, la mise en place de nouveaux règlements / de nouvelles lois sont autant de paramètres qui conduisent à cette révolution. Pour faire simple, le paysage des cyber menaces en Europe est sur le point de connaître un changement profond.
La première tendance majeure à laquelle on assiste l’accroissement des cyber risques sur les biens physiques avec un risque direct pour les citoyens. Bien que le vol de données financières et de santé touchant les personnes reste préoccupant, le spectre des cyber attaques touchant les infrastructures critiques est devenu une réalité en Europe. Ce nouveau risque apparu à la face du grand public à travers Stuxnet et Shamoon est sorti du domaine des seuls spécialistes en fin d’année 2014 avec une attaque significative contre une usine sidérurgique en Allemagne, et s’est accélérée en 2015 lorsque des ‘hackers’ de l’équipe connue sous le nom de Sandworm ont provoqué entre autre l’arrêt de centrales de production d’électricité en Ukraine.
En réponse à cette évolution, les entreprises et les gouvernements dans toute l’Europe doivent anticiper et prendre en compte ce risque et ses conséquences qui ne se mesureront plus seulement en pertes d’image et de réputation mais également en dommages à grande échelle sur des biens physiques ; pas uniquement en numéraires, mais aussi en potentiel pertes en vies humaines.
En outre, on note l’émergence de nouveaux phénomènes comme l’influence cyber et la déstabilisation de pouvoir à travers l’outil numérique. A la suite de l’élection présidentielle américaine, nous devons, pour la première fois, inclure les partis politiques et les élections démocratiques au sein des infrastructures critiques à risque. Nous voyons déjà cela en relation avec les élections se déroulant en Europe sur cette année 2017, le risque d’attaques visant à déstabiliser des institutions gouvernementales est devenu une réalité tangible, et les tentatives de piratages des sites du candidat Macron, des parties Allemands ou encore les fuites d’informations au cours de l’élection présidentielle française en a fourni l’illustration la plus récente.
La prise de conscience que la cyber sécurité est désormais une menace majeure en Europe n’a jamais été aussi forte et se reflète par des positions sans précédents de différents gouvernements vis à vis du risques cyber. Il s’agit d’une première étape importante. Mais l’un des plus grands défis dans toute l’Union Européenne aujourd’hui est d’aller au-delà de la prise de conscience du problème vers une compréhension spécifique et active des dangers à venir. L’expression "vous ne savez pas ce que vous ignorez" s’applique particulièrement bien à la cyber sécurité, où le manque de connaissance et d’identification a des conséquences majeures.
Principal indicateur de ce défi persistant et des progrès de l’Europe, FireEye a déterminé que les organisations dans toute l’Europe mettent plus de temps à identifier des cyber intrusions que d’autres continents, mais cet espace de temps à tendance à diminuer d’années en années. Le temps séparant l’intrusion de sa découverte, connu sous le nom de "durée d’exposition ou DWELL time" est d’après l’enquête la plus récente de 109 jours dans l’Union Européenne à comparer à une moyenne mondiale de 99 jours. Ce temps d’exposition reste néanmoins trop conséquent et ouvre la porte à des risques importants. Ce délai donne aux attaquants amplement le temps de pénétrer dans un réseau, d’y dénicher toutes les données intéressantes, de se déplacer latéralement au sein des environnements informatiques et d’y installer de multiples points d’entrée et portes dérobées. A titre de comparaison nos équipes de Red Team n’ont besoin en moyenne que de 3 jours pour obtenir les droits complets sur un environnement client.
L’une des raisons principales de ce plus long délai est le fait que les exigences de notifications sont beaucoup moins strictes en Europe, ce qui a limité l’obligation des entreprises européennes à divulguer publiquement le volume, l’étendue et le détail des cyber attaques significatives. Mais cette situation est sur le point de changer radicalement.
Réglementer veut dire responsabiliser
L’adoption par l’Union Européenne du nouveau et radical Règlement Général pour la Protection des Données (GDPR) exigera bientôt des entreprises dans toute l’Union de divulguer publiquement les cyber attaques dont elles sont victimes aux autorités de protection nationales et, lorsque les dommages potentiels sont substantiels, aux individus affectés. Le rapporteur désigné par le Parlement Européen pour mener les négociations finales du GDPR, Jan Albrecht, a déclaré au cours de l’été 2016 : "Le règlement GDPR ne va pas seulement changer les lois européennes de protection des données mais rien moins que le monde entier tel que nous le connaissons."
Lorsque le règlement GDPR entrera en vigueur le 25 mai 2018, les entreprises auront changé la façon dont elles stockent et traitent les données personnelles des individus. Le traitement de la donnée est lui aussi un peu extrêmement important souvent laissé de côté. De plus, leur responsabilité sera beaucoup plus strictement engagée et elles pourront être soumises à des sanctions concernant la non notification des cyber attaques et l’absence de protection des données personnelles. Ses implications sont aujourd’hui quantifiables : 4% du Chiffre D’Affaire annuel ou 20M€. Le 1er janvier 2016, les autorités hollandaises ont mis en place un "mini GDPR", qui a entraîné la publication de plus de 5500 rapports de cyber incidents en une seule année. En extrapolant ces chiffres à l’ensemble de l’Union Européenne, il est facile d’imaginer la profondeur des changements qui s’annoncent.
Bien que le règlement GDPR n’entre en vigueur qu’en mai 2018, il est temps pour les entreprises de s’y préparer. Lorsque les cyber attaques commencent à faire les gros titres des principaux quotidiens européens, les équipes dirigeantes dans les entreprises sont plus que jamais incitées à répondre aux interrogations de la part des autorités de protection des données, des agences de supervision et de la presse concernant leur état de préparation. Ceci posé, les éléments qui suivent sont essentiels :
Prendre la cyber sécurité uniquement sous le spectre de l’infrastructure IT est une erreur. Les membres de l’équipe de direction des entreprises doivent s’impliquer ou au moins se tenir informés de ce risque dynamique. Dans une organisation, le CEO et le Directeur Financier doivent pouvoir répondre aux questions suivantes :
- Quelles sont les principales vulnérabilités de l’entreprise aux cyber attaques ?
- Quelles sont les principales stratégies en place pour adresser ces risques ?
- Des ressources suffisantes sont-elles été consacrées à cette tâche ?
De plus l’apparition d’un nouveau rôle : DPO (Data Protection Officer) est clef dans la prise de conscience des équipes de direction et dans la mise en lumière de l’importance de la gestion des données personnelles.
Une évaluation précise des vulnérabilités via une étude de risques cyber est essentielle. Chaque entreprise doit procéder à une évaluation précise des vulnérabilités. Le meilleur endroit pour commencer est d’évaluer les processus de sécurité de l’entreprise par rapport à un standard établi ou à travers des méthodologies déjà utilisées par des équipes de consulting aguerries. Les bonnes questions à se poser : Quels sont les actifs les plus critiques de l’entreprise ? L’entreprise s’appuie-t-elle en priorité sur des données en propre, dans le cloud ? A-t-on évalué les véritables conséquences financières directes et indirectes d’une attaque à grande échelle ?
Les cyber risques sont désormais un problème du ressort des conseils d’administration. Les agences de supervision en Europe vont exercer une pression beaucoup plus forte sur les équipes de management au cours de l’année 2017. Les membres des conseils d’administration poseront à n’en pas douter beaucoup de questions sur la correction de vulnérabilités logicielles et les risques qui en découlent, sur le mise en place de procédures d’authentification forte pour les accès aux données, et sur l’évaluation des risques concernant des fournisseurs ou des partenaires extérieurs. Si l’entreprise prend plus de temps à identifier une intrusion que d’autres du même secteur, son conseil d’administration trouvera-t-il cela satisfaisant ?
Les entreprises devront faire preuve de transparence avec le monde extérieur. Si l’hypothèse est correcte que les cyber attaques seront un problème de plus rendu public par les entreprises européennes au cours des prochains 12 ou 18 mois, il est temps maintenant pour elles de commencer à construire des relations de confiance avec les autorités judiciaires et de protection des données, le monde politique et la presse. Il semble primordiale pour elles de mettre en place en 2017 les schémas de réponses à incidents, de s’entrainer et de pratiquer afin d’être prêt en mai 2018.
Les gouvernements européens doivent tendre la main au monde de l’entreprise. Etant données les menaces particulières touchant les infrastructures critiques, les gouvernements devront communiquer de façon plus affirmative avec le monde de l’entreprise sue deux fronts :
- En partageant leurs renseignements en temps réel concernant les techniques, les outils et les procédures d’attaques connues les plus récentes. Cela comprend des informations tactiques comme des adresses IP, des domaines mais aussi des informations plus stratégiques comme des tendances, des cibles de prédilections.
- En alertant promptement les entreprises que leurs systèmes ont été attaquées. Un degré plus élevé de confiance entre les administrations publiques et l’industrie génèrera des dividendes dans de nombreux domaines.
Il n’est pas facile pour un dirigeant d’entreprise d’avouer un manque de préparation concernant n’importe quelle menace, mais dans le cas de la cyber sécurité, les enjeux sont trop élevés. Il est maintenant temps pour chaque entreprise d’évaluer en profondeur et de façon critique l’ensemble de ses politiques et de ses procédures et de se préparer au chemin difficile qui s’annonce. La solution ne passera pas par un outil miracle capable de répondre oui à la GDPR mais par la mise en place d’une approche alliant processus, outils et personnel dans un obejctif commun d’amélioration de la sécurité et de capacité de réponses rapides au cas où. La capacité de comprendre les impacts d’une attaque, de les limiter et de réagir dans un délai court sera les nouveaux métriques de calculs pour les citoyens.