Évolution des besoins d’une cybersécurité proactive
La crise actuelle en Ukraine a mis en lumière de nouvelles facettes des conflits entre États-nations dont l’impact va bien au-delà de la région géographique immédiate. En tant qu’entreprise internationale, nous éprouvons une grande empathie pour tous ceux qui sont touchés, déplacés ou affectés d’une autre manière par les attaques en cours, notamment un grand nombre de membres de la famille F5. Sans négliger les aspects très réels et très humains du conflit entre la Russie et l’Ukraine, des clients nous ont également demandé de leur fournir des conseils sur les types de cyberattaques qu’ils pourraient voir se multiplier dans les jours à venir, à la lumière des événements récents. En conséquence, l’article ci-dessous vise à répondre à ces demandes de manière directe, respectueuse et pratique.
Le rôle des cyberattaques dans les conflits entre États-nations a fait naître de nouvelles préoccupations en matière de cybersécurité, à une échelle différente de celle à laquelle de nombreuses organisations ont été confrontées traditionnellement, ce qui souligne encore davantage l’importance de se défendre contre les attaques sophistiquées par une stratégie de cybersécurité proactive.
Avec l’évolution d’Internet, les opérations commerciales mondiales ont énormément changé. La transformation numérique se produit à une échelle exponentielle, ce qui stimule au même rythme les progrès technologiques et la sophistication des cyberattaques. Parallèlement, les organisations d’aujourd’hui doivent toujours faire face à des attaquants traditionnels motivés par des raisons financières, mais aussi à des États-nations et à des acteurs dont les objectifs sont plus larges. Bien entendu, avec la sophistication croissante des cyberattaques, les protections correspondantes doivent elles aussi évoluer régulièrement. Dans l’économie d’aujourd’hui, il est beaucoup plus probable que vous rencontriez des acteurs étatiques qui développent des exploits pour des vulnérabilités connues (et inconnues).
En pratique, cela conduit les acteurs étatiques à développer en permanence des exploits qui ciblent l’infrastructure Internet (et les services critiques) d’autres nations. Si les scénarios qui viennent immédiatement à l’esprit sont les conflits géopolitiques entre États-nations, bon nombre des mêmes principes doivent maintenant être appliqués de manière générale aux pratiques de sécurité traditionnelles des entreprises, en particulier parce que les États-nations attaquent souvent une combinaison de ressources Internet gouvernementales et privées comme moyen de déstabilisation. Les cyberattaques ciblées constituent donc une menace importante pour l’intégrité des nations, mais aussi pour ceux qui tentent de mener des activités commerciales connexes avec (ou dans) une région ciblée. C’est pourquoi la cybersécurité proactive et continue est devenue une priorité pour tous les types d’organisations.
Cyberattaques ciblées
De manière générale, des États-nations adverses lancent des cyberattaques ciblées pour affaiblir gravement l’infrastructure leur cible et perturber le fonctionnement de leurs systèmes Internet, ce qui peut avoir un impact sur les infrastructures financières et militaires. La figure 1 présente un exemple d’attaque ciblée (dans ce cas, le phishing) en action.
Figure 1 : Attaque d’hameçonnage ciblée en action
Les cyberattaques ciblées sont exécutées à l’aide de code malveillant conçu pour mener des opérations furtives. Parmi les exemples de code malveillant, citons les exploits (exploitation des vulnérabilités), les rootkits (altération du noyau et du mode utilisateur pour des opérations non autorisées), les boîtes à outils d’administration à distance (gestion des systèmes compromis), les wipers (destruction des Master Boot Records du système), les rançongiciels (chiffrement des données sensibles et demande de rançon) et bien d’autres. Bien que l’on parle généralement de cyberattaques, on peut considérer ces tactiques individuelles comme des « armes numériques ».
Les États-nations attaquants ciblent les infrastructures : les armes numériques se multiplient
Les adversaires ont recours à des attaques très variées lors des conflits entre États-nations, les menaces numériques côtoyant celles de nature physique traditionnelle. Les États-nations d’aujourd’hui sont rompus à l’art de mener de multiples types de cyberattaques, dont les exemples les plus marquants sont présentés ci-dessous :
- Le lancement d’attaques par déni de service distribué (DoS) à partir de diverses emplacements sur Internet, visant à mettre hors service des infrastructures critiques et des portails de communication, est une stratégie opérationnelle bien conçue lors de conflits entre États-nations. Par exemple, les adversaires peuvent être déterminés à affecter les sites web de type militaire et ceux utilisés pour le traitement des affaires internes afin de perturber les communications officielles. Les portails web des institutions financières sont aussi couramment ciblés pour avoir un impact sur les opérations bancaires et financières.
- Il est aussi possible de déclencher des attaques de destruction de données en distribuant du code malveillant avancé via des attaques de type « drive-by download ». Le code malveillant est soit hébergé sur des portails web compromis, soit joint à des courriels d’hameçonnage (ciblés par nature). Grâce à l’ingénierie sociale, les utilisateurs ciblés sont contraints d’interagir avec le portail web ou le courriel hameçon pour installer le code malveillant sur les systèmes ciblés. Une fois le code malveillant installé, il a la capacité d’anéantir des systèmes complets en supprimant les données et en rendant le système inutile.
- Le vol de la propriété intellectuelle (PI) pendant un conflit est également l’une des principales cibles des États-nations adverses. Le raisonnement est généralement le suivant : si l’infrastructure d’un État-nation est déjà compromise, il peut y avoir une opportunité de voler des éléments de propriété intellectuelle qui pourraient être utilisés à diverses fins par la suite.
Dans le même ordre d’idées, voici une rapide ventilation des cyberattaques notables susceptibles d’être utilisées comme « armes numériques » dans les conflits entre États-nations :
| Type de cyberattaque | Nom de code malveillant (« Arme numérique ») |
Caractéristiques |
|---|---|---|
| Déni de service distribué (DDoS) | Unknown Botnet | Déni de service : impact sur la disponibilité des infrastructures critiques telles que les portails web des institutions financières, militaires, etc. |
| Distribution de logiciels malveillants | Whisper Gate | Destruction des données et blocage du système : corruption du Master Boot Record (MBR) des systèmes compromis et chiffrement des fichiers sensibles |
| Distribution de logiciels malveillants | Hermetic Wiper | Destruction des données et destruction du système : corruption et effacement des fichiers sensibles sur les systèmes compromis |
Tableau 1 : Code malveillant susceptible d’être utilisé dans les cyberattaques lancées lors de conflits entre États-nations
À l’aide des armes numériques énumérées ci-dessus, les acteurs étatiques peuvent lancer une série d’attaques considérables afin de porter gravement atteinte aux infrastructures appartenant à des gouvernements et des organisations. Cela fait généralement partie d’une stratégie plus large visant à perturber la capacité de l’État-nation à communiquer librement, et à perturber les systèmes financiers et militaires à la volée en contournant l’intégrité, la disponibilité et la confidentialité des systèmes actifs de l’infrastructure.
Encore une fois, si cela peut sembler plus immédiatement pertinent pour les États-nations en conflit, il existe un risque plus large lorsque les outils et les exploits utilisés dans ces attaques se frayent un chemin dans le paysage plus large des menaces (le bug NotPetya de 2017 constitue un exemple historique de ce phénomène).
Sécuriser les infrastructures critiques
La cybersécurité proactive est devenue l’approche nécessaire prédominante. Si les gouvernements sont généralement chargés de veiller à ce que les infrastructures critiques (y compris les portails web militaires, les sites web des institutions financières et les infrastructures SCADA) soient surveillées et protégées en permanence contre les cyberattaques, la frontière entre la sécurité du secteur public et celle du secteur privé est devenue beaucoup plus floue. Globalement, la sécurisation de l’infrastructure réseau et des applications déployées est essentielle pour contourner les attaques réseau telles que les attaques DDoS et le code malveillant distribués sur le réseau, afin de préserver l’intégrité des ressources de l’infrastructure sans en compromettre la disponibilité. Plus important encore, il faut également protéger les applications critiques contre les attaques HTTP. Le plus important est de s’assurer que la communication sur Internet reste ininterrompue. Pour cela, les organisations doivent s’assurer que leurs infrastructures sont dotées de mécanismes de sécurité pour lutter contre les cyberattaques.
Les premières étapes vers une cybersécurité proactive
Le rythme accéléré de la transformation numérique a entraîné l’adoption d’applications modernes par les gouvernements et les organisations afin de parvenir à l’efficacité opérationnelle. Cependant, ces applications nécessitent une protection contre les cyberattaques avancées, qui peuvent être de nature ciblée ou généralisée. Il devient encore plus pertinent, en période de conflit entre États-nations, de veiller à ce que les applications critiques puissent rester disponibles. Les gouvernements, et toutes les organisations, doivent rester vigilants en tenant compte des points clés suivants :
- Les applications web et les API sont omniprésentes dans le paysage numérique actuel. Les protéger contre les abus et les attaques est primordial pour maintenir une position de sécurité positive. Les services et les solutions tels que web App and API Protection (WAAP) ne se contentent pas de fournir une protection contre les attaques basées sur le web, mais incluent des fonctions de sécurité natives.
- L’exploitation et l’abus ne sont pas les seuls modes d’attaque. Les attaques par déni de service peuvent empêcher l’accès aux actifs critiques. Une stratégie de cybersécurité proactive devrait également inclure la capacité de contourner les attaques par déni de service basées sur les applications afin de garantir que les applications critiques restent disponibles.
- Pour être proactif, il faut également être capable d’identifier les signes d’une éventuelle attaque. La plupart des organisations n’ont pas la capacité de détecter rapidement les attaques en raison d’une visibilité incomplète de l’ensemble des applications, infrastructures et environnements. La santé des actifs numériques est déterminée par les signaux numériques et constitue un élément fondamental de la cybersécurité proactive. Une stratégie d’observabilité qui permet une détection précoce des attaques potentielles offre la possibilité de réagir rapidement et de neutraliser une attaque.
La mise en place d’une posture de cybersécurité forte et robuste doit inclure la disponibilité, c’est-à-dire le fait de pouvoir toujours utiliser les applications critiques si elles sont attaquées. La sécurité, la résilience et la disponibilité ininterrompue sont les critères de référence de la cybersécurité proactive, étant entendu que les menaces (et les mesures d’atténuation) ne cesseront jamais d’évoluer.