L’intelligence artificielle au secours de la cybersécurité

0
367

Face à la multiplication et à la sophistication des nouvelles menaces, les entreprises doivent revoir leur stratégie de cybersécurité. De nouvelles solutions à base d’intelligence artificielle permettent notamment d’assurer une protection plus efficace.

Le constat dressé par le dernier baromètre du cabinet PwC et de l’institut Ipsos fait froid dans le dos. Si, à l’échelle mondiale, la cybersécurité est devenue l’une des quatre préoccupations les plus importantes pour les dirigeants d’entreprise, la menace semble minorée en France. 29 % des sociétés seulement perçoivent la cybersécurité comme un enjeu prioritaire et cette prise de conscience est surtout le fait des grands comptes (52 %). Plus gênant encore, seule une entreprise sur deux a mis en place une stratégie dédiée pour lutter contre les cyber-risques.

Pourtant, la menace est tout sauf virtuelle. Selon une autre étude, celle du Cesin, le club des RSSI, 92 % des entreprises sondées affirment avoir été attaquées une ou plusieurs fois. Depuis un an, une sur deux observe même une augmentation de 48 % du nombre d’attaques. Arrêt de la production, indisponibilité du site internet, perte de chiffre d’affaires… Pour un quart d’entre elles, des impacts sur le business ont été ressentis.

Selon la formule consacrée : la question pour les dirigeants d’entreprise n’est plus « est-ce que je vais me faire attaquer ? » mais « quand ? ». Ils doivent, de plus, faire face à des menaces protéiformes. Au-delà des « classiques » attaques en déni de service (DDos), de défiguration de site web, de vol d’information ou de fraude externe, de nouveaux fléaux sont apparus. Dans le sillage des attaques WannaCry et NotPetya qui ont mis le monde en émoi en 2017, le ransomware est devenu la cyberattaque la plus fréquente.

Avec cette technique, encore appelée rançongiciel, les pirates exigent une rançon pour déverrouiller les données que leur malware a préalablement chiffrées. Avec un coût médian de 175 000 euros (rançon, temps d’arrêt, prestations…), la France a été, l’an dernier, le deuxième pays le plus touché par ce fléau juste derrière les Etats-Unis d’après un rapport de Sophos.

Directeur de Symantec EMEA, Laurent Heslault observe même une explosion du phénomène ransomware ces derniers mois. « Alors qu’il concernait par le passé essentiellement des particuliers, la menace touche désormais les entreprises dans une proportion de 50/50. On note aussi un glissement des ransomwares vers le mobile, essentiellement sur Android. La prochaine génération pourrait attaquer les objets connectés, des smart TV ont déjà été corrompues. »

Multiplication des nouvelles menaces 

Pour Philippe Trouchaud, associé, à la tête de la cyber intelligence chez PwC, le crime organisé opère sa transformation numérique. « Les attaques physiques de banque baissent au profit du ransomware. Il n’y a pas besoin d’hommes mais d’ordinateurs. Les risques sont moins grands. Si les pirates se font pincer, la justice sera plus clémente ». La défense contre ces ransomwares, c’est bien sûr de faire des sauvegardes régulières sur un site distant. « Des PME ont mis la clé sous la porte faute d’avoir eu ce réflexe de base », déplore Laurent Heslault.

Autre menace « tendance », le cryptomining ou cryptojacking. Les pirates utilisent la puissance de calcul d’ordinateurs ou de serveurs pour effectuer le travail de minage nécessaire pour l’extraction de crypto-devises. En février dernier, des milliers de sites administratifs étaient infectés par du code malveillant. Avec ce concept né de la folie spéculative autour du Bitcoin et autres crypto-monnaies, les hackers volent non pas de la donnée mais de la CPU et de la Ram. Les dommages sont donc moins importants.

Le cryptojacking consomme néanmoins de l’électricité, de la bande passante et fait vieillir prématurément des machines en situation de surchauffe. Il a aussi un impact sur l’empreinte carbone et la productivité de l’entreprise. « Démarrer Excel avec ou sans tâche de mining en toile de fond augmente de 5 à 10 le temps de lancement », constate Laurent Heslault. Variante du cryptojacking, le cloud account hijacking consiste à récupérer des instances cloud d’entreprise pour faire du minage.

Si ransomware ou cryptojacking se répandent en masse, d’autres menaces plus sophistiquées sont conçues pour une cible donnée. Ces attaques dites concertées, ou APT, pour « advanced persistent threat » vont s’étaler sur des semaines voire des mois. « A la différence de la pêche au filet, les APT vont exploiter toutes les faibles du système et utiliser l’ingénierie sociale », explique Michel Lanaspèze, directeur marketing de Sophos pour l’Europe de l’Ouest. L’objectif est de s’ancrer durablement dans le système d’information et d’exfiltrer des données au fil de l’eau. Le tout, sous le radar de la DSI. Selon un rapport de FireEye il s’écoule en moyenne 175 jours entre le début de l’intrusion et le moment de sa découverte.

 Cloud, le maillon faible

La transformation numérique expose également les entreprises à des nouveaux risques. Appelés à se multiplier, les objets connectés sont autant de portes d’entrée à leur système d’information (SI). Ces objets peu ou pas sécurisés conservent souvent le mot de passe constructeur de type « admin » ou « 12345 ». En octobre 2016, le botnet Mirai constitué de caméras IP zombies avait paralysé l’activité d’OVH et du fournisseur de DNS américain Dyn des heures durant. Depuis, de nombreuses variantes de Mirai ont émergé, la dernière en date s’appelle Torii.

Pour l’heure, les menaces autour de l’IoT concernent surtout l’industrie qui, conformément au concept d’’usine du futur, a multiplié les capteurs sur ses lignes de production dans un environnement dit Scada (Supervisory control and data acquisition). « Comme on ne peut pas mettre un antivirus et un pare-feu devant chaque objet connecté, il faut prévoir un cloisonnement dans l’architecture réseau pour que leur vulnérabilité potentielle n’ait pas d’impacts sur le SI traditionnel », conseille Alain Bouillé, président du Cesin et RSSI du groupe Caisse des Dépôts.

En revanche, la généralisation du cloud concerne toutes les entreprises. « Avec le cloud, le SI est exposé à tous les vents, poursuit Alain Bouillé. Avant, les données étaient au chaud dans le datacenter, elles sont aujourd’hui éclatées dans le nuage. » Les applications officielles en mode SaaS ne sont que la partie visible de l’iceberg.
Selon une récente étude du Cesin et de Symantec, une entreprise utilise en moyenne cinquante fois plus d’applications et de services cloud qu’elle n’en a recensés. Les salariés font notamment grande consommation des webmails de type Google Mail ou Yahoo Mail et des applications de partage de fichiers comme Dropbox ou WeTransfer.