Quels vont être les impacts des ‘cybermenaces’ sur le fonctionnement des entreprises en 2015 ? Quelles réponses la "cybersécurité" va-t-elle leur apporter ?
Nous ne le savons pas exactement mais il existe certaines tendances intéressantes qui méritent de retenir notre attention.
Les attaaues DDoS en pleine ampleur
Tout d’abord, les attaques DDoS continuent de gagner en ampleur et en fréquence et servent de plus en plus à masquer d’autres formes de cybercriminalité. Selon la dixième étude annuelle d’Arbor Networks sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), le pic d’attaque observé sur Internet en 2014 a été d’environ 400 Gbit/s, en nette augmentation par rapport aux 309 Gbit/s enregistrés en 2013. Cela représente des volumes massifs de trafic et, heureusement, des attaques de cette ampleur sont assez rares.
Des attaques aux débits de plus en plus élevés
Le phénomène intéressant est la recrudescence des attaques qui mettent en œuvre des débits élevés. Les données de l’observatoire ATLAS d’Arbor Networks pour 2013 ont fait apparaître 39 attaques supérieures à 100 Gbit/s, principalement vers la fin de l’année. La France a largement été visée par ces attaques. En 2014, ce nombre a bondi à 159. Ces attaques intensives ont principalement été générées au moyen de différentes techniques d’amplification dites par réflexion exploitant les protocoles DNS, NTP ou SSDP, essentiels au bon fonctionnement des serveurs d’entreprises ou de centres de données.
L’amplification par réflexion DNS est depuis longtemps un des moyens les plus efficaces pour déclencher des attaques DDoS massives. En 2014, les protocoles NTP et SSDP ont été fréquemment utilisés pour leurs capacités d’amplification par réflexion. Mais il en existe qui vont certainement être mis en œuvre en 2015 pour contourner les actions correctives des opérateurs et continuer à générer des attaques à forts débits toujours plus nombreuses.
De graves dommages collatéraux
L’aspect particulièrement préoccupant de la prolifération de ces attaques volumétriques de grande envergure tient au risque de dommages collatéraux qu’elles peuvent causer dans les réseaux des opérateurs ou des centres de données. Ces attaques peuvent entraîner des ralentissements et des interruptions de service pour de multiples clients. Dans l’enquête Arbor WISR 2014 plus d’un tiers des entreprises et des opérateurs de centres de données ont signalé des attaques ayant saturé leur connexion Internet. La conséquence immédiate en est la demande accrue de services de protection contre les attaques DDoS auprès des opérateurs (MSSP) mais aussi le besoin de renforcer cette protection incontournable dans ‘le cloud’ par une protection sur site qui accroit la réactivité en cas d’attaque et augmente la précision de son traitement.
Ensuite, les attaques DDoS sont de plus en plus utilisées dans le cadre de campagnes plus vastes. Elles sont fréquemment associées à l’hacktivisme idéologique et au jeu en ligne car les attaques dans ces secteurs ont été largement médiatisées. Il est toutefois intéressant de noter que les attaques DDoS servent de plus en plus à faire diversion afin de détourner les équipes de sécurité d’un vol de données ou d’une fraude financière. Dans la dernière enquête WISR, 19 % des opérateurs interrogés voient dans la diversion pour le vol de données une motivation courante voire très courante des attaques DDoS. D’autres études récentes l’ont également relevé. Les entreprises doivent savoir qu’une attaque DDoS peut être le signe d’un autre incident en cours et renforcer leur sécurité en conséquence, en particulier s’il n’existe pas d’autre motif manifeste pour cette attaque.
De grandes entreprises victimes d'attaques cette année
Enfin, cette année, il est certain que de grandes entreprises, qui ont investi dans de multiples niveaux de sécurité, seront victimes de pirates informatiques. En 2014, un nombre sans précédent d’entreprises ont subi des fuites considérables de données et cette tendance va se poursuivre en 2015. Le récent piratage de l’assureur-santé Anthem aux Etats-Unis en est un exemple. Les processus traditionnels de sécurité, périmétriques et réactifs, ne sont tout simplement pas à la hauteur face aux outils et à la persistance des nouveaux acteurs de la scène cybercriminelle. Les entreprises doivent donc trouver des outils qui leur permettent d’accélérer l’analyse des alertes, de sorte que les équipes de sécurité puissent améliorer leur couverture. Cette année, nous allons également voir un nombre croissant d’entreprises compléter leurs processus classiques de réponse aux incidents, déclenchés par les événements, par des outils de recherche proactive des menaces ciblant leurs ressources critiques. Cette tendance existe depuis un certain temps déjà mais elle monte aujourd’hui en puissance, en particulier dans les grandes entreprises.
En résumé, nous ne savons pas avec certitude ce que cette année nous réserve mais nous pouvons tirer les enseignements des observations des années précédentes. En veillant à nous tenir au fait des menaces qui rôdent et à comprendre comment utiliser au mieux les solutions et ressources disponibles pour les combattre, nous pourrons réduire au minimum les risques pour nos entreprises.
Le vieil adage "le savoir est le pouvoir" s’applique à la lutte contre les cybermenaces : les entreprises ne pourront se protéger que des menaces qu’elles auront pu identifier. Les meilleurs outils seront ceux qui permettent de ‘voir’ ce que les autres ne ‘verront’ pas.