Cybersécurité : les hackers éthiques sont-ils vraiment efficaces ?

Cropped Favicon Economi Matin.jpg
Par Chris Marrison Publié le 18 avril 2016 à 5h00
Cyber Securite Informatique White Hats
2/3Les deux-tiers des intrusions informatiques passent inaperçues les premiers mois.

En informatique un test d’intrusion consiste à examiner un réseau IT afin d’en identifier les vulnérabilités susceptibles d’être exploitées par des individus malintentionnés.

Grâce à des attaques de type « white hat », les hackers testent les infrastructures réseaux des entreprises en contact avec l’extérieur, tels que ses serveurs Web, sa messagerie et ses firewalls. Et dernièrement, le nombre de ces points d’accès potentiels ne cesse de grandir à mesure que les réseaux voient leur taille et leur complexité augmenter.

Le BYOD, le cloud et le Shadow IT sont quelques-uns des phénomènes récents qui conduisent à une multiplication des équipements connectés aux réseaux, utilisant chacun une panoplie de plus en plus vaste d’applications professionnelles et personnelles.

Alors que des milliards d’équipements connectés ne cessent de proliférer et de modifier le périmètre du réseau, il en va de même des points d’entrée potentiels pour des attaques, repoussant ainsi les frontières du réseau au point de les faire quasiment disparaître. Les réseaux deviennent essentiellement amorphes et l’explosion imminente de l’Internet des objets va à nouveau en redessiner les contours. En effet, plus le périmètre à surveiller est importante et plus les points d’accès potentiels sont nombreux, plus il est difficile d’empêcher les intrusions.

Face à cette situation, on serait tentés de croire que les tests d’intrusion n’ont jamais été aussi essentiels pour contrer les cybermenaces. Or ce n’est peut-être pas nécessairement le cas.

Que faire à la suite d’un piratage ?

Lors d’un récent exercice mené par Cisco sur des infrastructures réseau d’entreprise, 100 % d’entre eux présentait du trafic suspect destiné à des sites Web hébergeant une forme ou une autre de malware. De plus, sachant que 2/3 des intrusions passent généralement inaperçues pendant des mois, la question n’est plus tellement de savoir si un système a été piraté mais plutôt ce qu’il faut faire à la suite de ce piratage.

Alors que les périmètres ne cessent de s’étendre et de se déplacer et qu’aucun firewall n’est clairement efficace à 100 %, les équipes de sécurité informatique doivent envisager une nouvelle approche pour la protection de leur réseau.

Etant donné que le malware se trouve probablement déjà à l’intérieur du système, mieux vaut consacrer moins de ressources à des mesures telles que les tests d’intrusions et davantage à la recherche de méthodes efficaces de surveillance pour traquer, identifier et contrer ces menaces existantes.

Une fois l’entreprise consciente de la probabilité d’un piratage de son réseau, elle pourra plus rapidement identifier et isoler le malware qui s’y est infiltré.

Nouvelles menaces

Par le passé, les cyberattaques servaient à gagner de la notoriété ou du prestige, ou tout simplement pour le plaisir. Pour atteindre leur but, les hackers avaient tendance se faire remarquer, ce qui les rendait relativement faciles à identifier et à isoler.

Aujourd’hui toutefois, la principale motivation de ces attaques est souvent l’appât du gain. Cette nouvelle catégorie complexe regroupe des menaces persistantes avancées (APT) spécifiquement conçues pour rester invisibles. S’infiltrant en toute discrétion dans un réseau, elles ne sont pas détectées pendant des jours, des semaines voire des mois d’affilée, siphonnant de précieuses informations professionnelles, personnelles ou financières.

Tant qu’ils étaient connectés à un système interne, les ordinateurs d’une entreprise étaient protégés par leur firewall. Aujourd’hui, la liberté offerte par la mobilité fait que les utilisateurs ont continuellement accès à Internet via divers appareils, leur permettant de télécharger des applications et des contenus où et quand ils le souhaitent, ce qui accentue considérablement le risque d’un piratage de leur réseau.

Souvent, à la suite d’un spam ou d’une campagne de spear-phishing, les utilisateurs peuvent cliquer sur un lien d’apparence inoffensive dans un message ou un document, établissant ainsi une connexion avec un site Web où le principal élément d’une attaque sera téléchargé. De fait, aussi surprenant que cela puisse paraître, près de la moitié des machines piratées ne révèlent aucun malware lors d’attaques APT.

Au cœur du réseau

Utilisé par la quasi-totalité des protocoles de communication réseau pour se connecter à leurs domaines destinataires, le système de noms de domaines (DNS) est généralement considéré comme le « carnet d’adresses » d’Internet. De même, le DNS est utilisé par les APT pour contacter leurs serveurs de commande et de contrôle (C&C) et en recevoir des instructions, y télécharger des charges malveillantes supplémentaires et y exfiltrer des informations sensibles appartenant à l’entreprise piratée.

C’est ici dans le DNS, au cœur du réseau informatique, que les APT peuvent être le plus efficaces, une fois qu’elles ont franchi le périmètre sans se faire remarquer. Et, c’est donc ici, où se trouve une sorte de goulet d’étranglement pour intercepter les malwares, que les équipes de sécurité informatique doivent porter toute leur attention. Au lieu de se focaliser sur les tentatives d’intrusion dans le système, les entreprises doivent désormais s’intéresser aux tentatives d’exfiltration.

Cropped Favicon Economi Matin.jpg

Chris Marrison, Consulting Solutions Architect, Infoblox

Laisser un commentaire

* Champs requis