Symantec vient de publier l'analyse d'une nouvelle campagne de cyberattaques ciblant des grandes entreprises du secteur de l'énergie. Via son réseau mondial de capteurs de menaces, la société a repéré un groupe très organisé et rassemblant différentes compétences technologiques, dénommé « Dragonfly ». Ce groupe a lancé des attaques ciblées à des fins de cyberespionnage contre des entreprises occidentales, plus particulièrement aux Etats-Unis, en Espagne et en France.
Probablement soutenu par un État, ces cyber-attaquants, ou cyber-mercenaires, ont utilisé une combinaison de logiciels malveillants et de techniques d'attaques pour pénétrer les réseaux de ces grandes entreprises d'infrastructures critiques et donc essentielles pour le pays, via leurs sous-traitants : des PME et ETI spécialisées mais ne disposant pas nécessairement des politiques de sécurité adéquates, présentant ainsi une porte d'entrée vers leurs clients.
Ces cyberattaques mises à jour récemment démontrent plusieurs choses.
Les enseignements
D'une part, le cyber espionnage via des groupes organisés que l'on peut qualifier de cyber mercenaires ou cyber pirates est une tendance lourde en cyber sécurité ces prochains mois. Nous l'annoncions en tout début d'année, mais cela se confirme : la conjugaison de différentes compétences technologiques à des fins malveillantes augmentent les « chances de réussite » de ce type d'attaques.
D'autre part, cette opération de cyber-espionnage illustre la forte augmentation des attaques ciblées : (presque) oubliés le spam ou les attaques massives : l'an passé, ces attaques précises, à des fins spécifiques, ont augmenté de 91%*. Autre point à noter : elle concerne avant tout des PME (en France, 80% des attaques ciblées* touchent des entreprises de moins de 250 salariés), qui consacrent très logiquement et fort malheureusement moins de ressources à la protection de leurs informations et réseaux, et présentent une porte d'entrée (voire parfois un boulevard !) vers les serveurs et données de leurs clients, les grandes entreprises.
Les conséquences
Si les conséquences de ces cyber attaques demeurent à déterminer précisément, l'objectif les sous-tendant semble être principalement le cyber-espionnage. Cependant, compte tenu du caractère critique qu'est le secteur de l'énergie, des possibilités de sabotage ne sont pas exclues. Nous ne verserons pas ici dans le scénario du pire ni dans la science-fiction : ce qui est en général principalement ciblé, ce sont les informations. Les données ont une valeur de plus en plus élevée, qu'elles concernent les individus (identités, coordonnées bancaires...) et bien sûr les entreprises : si l'on vole le menu de votre cantine, c'est ennuyeux, mais a au final peu de conséquences. Si un cyber attaquant cible et atteint votre stratégie commerciale, les informations liées à vos brevets ou le processus de fabrication de vos produits pour mieux les modifier, les conséquences en sont toutes autres !
Ces informations font partie du patrimoine de l'entreprise, tout comme ses bâtiments ou son réseau électrique. La plupart du temps virtuelles et reposant sur des terminaux et serveurs, et donc moins visibles, elles n'en sont pas moins essentielles et sont indispensables au bon fonctionnement et à la croissance de l'entreprise, et doivent à ce titre être correctement protégées. Et comme le bâtiment abritant l'entreprise ou les différents collaborateurs contribuant à son succès, ces données doivent faire l'objet d'une véritable gestion de risques : quelles sont les informations essentielles ? Où se trouvent-elles ? qui peut y avoir accès ? quelles menaces pèsent sur elles ?
Une approche simple de la sécurité :
Cette protection des informations passe par une approche relativement simple, mais nécessaire, et des mesures d'éducation et d'équipement technologique adaptées, qui se résument en trois points clés :
• Connaître ses données : la protection doit concerner essentiellement les données, pas les équipements ou le datacenter. Savoir précisément où les données confidentielles résident et transitent permet d'adopter les meilleures règles et procédures de protection ;
• Former les employés : prodiguer des conseils sur la protection des données, y compris sur les règles et procédures de protection des données confidentielles stockées sur les équipements personnels et professionnels ;
• Adopter une politique de sécurité efficace : renforcer l'infrastructure de sécurité en misant sur des technologies éprouvées en matière de prévention des pertes de données, de protection des réseaux et points de contact, de cryptage et d'authentification.
Hélas, cette dernière campagne de cyber espionnage n'est probablement pas la dernière. Néanmoins, elle contribue à la prise de conscience des dangers réels auxquels sont exposées les informations des entreprises, des états et des particuliers. A travers une approche structurée, il est néanmoins possible de les limiter.