Les attaques ciblées (APT) expliquées par les experts

Aujourd’hui, on parle beaucoup de tous les malwares qui tapissent nos activités de tous les jours. Certains sont plus dangereux que d’autres, pour les particuliers comme pour les entreprises. Et pour les organisations, certaines attaques sont vraiment à craindre, notamment lorsque la propriété intellectuelle est une part fondamentale dans la vie de l’entreprise. Les menaces avancées persistantes, ou APT, font partie des menaces les plus sophistiquées qui existent dans le paysage informatique d’aujourd’hui. À l’occasion de la conférence RSA Europe qui s’est déroulée à Amsterdam, nous avons rencontré Neil Thacker, Security Strategist chez WebSense, Jaime Blasco directeur d’Alien Vault Labs et Costin Raiu, directeur de la GReAT Team chez Kaspersky Lab. Avec eux, nous avons décrypté les spécificités de ces attaques et la façon dont les organisations peuvent s’en protéger.

Advanced Persistent Threats. L’expression fait un peu peur n’est-ce pas ? Mais elle existe depuis quelques années déjà.  » Advanced  » parce que les outils utilisés pour mener ces attaques sont a priori plus sophistiqués que ce qu’utilisent habituellement les cyber-criminels. Et  » Persistent « , parce qu’une fois qu’une brèche est ouverte dans une organisation, elle peut parfois perdurer pendant des mois voire des années dans certains cas. Ces attaques ciblent principalement les entreprises. Cependant, les particuliers ne sont pas forcément à l’abri : vous-même n’êtes peut-être pas une cible intéressante, mais cibler votre ordinateur personnel peut-être utile pour les cyber-criminels qui visent un membre de votre famille ayant un poste stratégique dans une société. Les dégâts causés par ces attaques sont beaucoup plus importants que ceux des simples malwares car, comme le dit Neil Thacker,  » elles utilisent différents vecteurs, différents types d’Exploits, différents types de vulnérabilités, pour avoir accès aux données sensibles d’une entreprise. «  Mais que ciblent les cyber-criminels qui utilisent ce genre d’attaques ciblées ?

La propriété intellectuelle, cible principale

La plupart des entreprises stockent les données importantes sur leur réseau informatique. Des brevets, des dessins d’inventions ou d’innovations, des modèles, même des données sensibles ou des secrets d’entreprises. C’est toute cette propriété intellectuelle qui est ciblée par les APT. Les cyber-criminels vont identifier un employé ayant accès à ces données sensibles, et de préférence qui n’est pas au fait de tous les problèmes de sécurité, pour s’implanter dans son réseau, et collecter toutes les informations qui transitent par son biais.  » Si vous possédez ce genre de données à l’intérieur de votre entreprise, vous devriez être au courant de ce genre de menaces, et surtout mettre en place tous les moyens qui sont à votre disposition pour les protéger. «  prévient Jaime Blasco. Mais ces menaces avancées et persistantes peuvent aussi causer des dommages directes et paralyser le fonctionnement de l’entreprise ciblée, comme nous l’explique Costin Raiu, responsable des recherches chez Kaspersky Lab :  » Nous avons vu des cas où ces attaques causaient des dommages directes aux activités de la compagnie. Par exemple, l’attaque contre Saudi Aramco, la compagnie pétrolière : 30.000 ordinateurs ont été paralysés au mois d’août de cette année par une attaque ciblée. Donc oui, la propriété intellectuelle est la cible la plus fréquente, mais la paralysie de tout son réseau informatique et donc de son activité peut également être une conséquence.  » Une fois ce constat établi, comment et avec quels outils les entreprises peuvent se protéger contre ces attaques ?

Pas de solution miracle, mais des moyens de lutter

La première chose à savoir, et c’est ce que nous ont répondu d’une même voix nos trois experts, c’est qu’il n’existe pas de solution miracle. Cependant, chacun d’entre eux y va de ses conseils pour diminuer les risques au maximum. Pas de recette magique donc, mais des comportements et des processus à adopter comme l’explique Jaime Blasco :  » Evidemment vous avez besoin de certaines technologies pour vous protéger de ces menaces, mais pour moi, la solution est une combinaison de processus, de technologies et de comportement humain. La prévention et l’éducation sont les facteurs les plus importants. «  Costin Raiu ajoute qu’ » il est très utile d’étudier les victimes d’APT. En le faisant, on se rend compte que 95% de ces attaques arrivent aux entreprises qui ont des standards de sécurité non-strictes. Ils ne connaissent pas les risques ni les pratiques en termes de sécurité, ils n’installent pas les derniers patchs ni n’utilisent d’Anti-Virus. Donc il faut apprendre de ses erreurs. Il faut être sûr d’avoir le dernier patch, le dernier système d’exploitation, d’utiliser un navigateur bien entretenu [comme Chrome ou Firefox] avec les derniers patchs installés.  » Et il faut bien évidemment éduquer les utilisateurs sur ses menaces. Si vous parvenez à réunir tous ces ingrédients, vous serez beaucoup mieux protégés contre ces attaques ciblées.  » Et pour Neil Thacker  » cela passe aussi par l’éducation de certains employés. «  Mais cette éducation doit être dispensée à tous les niveaux qui composent l’organisation. Ne sous-estimez pas les cyber-criminels : si vous-même êtes informé sur les risques et que vous avez pris vos dispositions, ils n’hésiteront pas à cibler vos partenaires un peu moins vigilants, et donc à les utiliser pour vous atteindre.

En conclusion de cet échange avec ces trois experts, on dira que ces attaques ciblées ou APT vont continuer à exister et à se développer, tant que les entreprises auront des données qui attirent les convoitises. La solution miracle n’existe pas, mais la prévention et l’éducation au sein même de son organisation semblent être les premiers éléments d’une sécurité renforcée. Gardez tout de même à l’esprit, que la sécurité à 100% est un mirage, et qu’il ne tient qu’à vous de garder les yeux ouverts.