Quelles nouvelles cyberattaques craindre en 2020?
Publié par Stéphanie Marius le - mis à jour à
Au-delà de la fraude au paiement, les retailers sont confrontés à une multitude d'attaques annexes (déni de service, intrusion, vol de data, ransomwares...) face auxquelles il importe de s'adapter constamment.
En 2019, 23% des demandes d'assistance auprès de la plateforme Cybermalveillance.gouv.fr de la part de professionnels étaient liées à des pratiques de hameçonnage(1), loin devant les rançongiciels (8%) et les fuites de données (5%). L'intrusion dans les systèmes informatiques, suivie du cryptage des données et d'une demande de rançon (ransomware, ou rançongiciel) est pourtant au coeur de l'actualité et des craintes des marques. Les fraudeurs innovent et un nouveau phénomène se répand depuis plusieurs mois: "Un groupe de cybercriminels a eu l'idée de récupérer les données de leurs victimes avant de les chiffrer, explique Jérôme Notin, directeur général de Cybermalveillance. Lorsque le Comex refuse de payer, ils envoient aux dirigeants un extrait des données et menacent de divulguer le reste." L'attaque pose ainsi de graves problèmes de violation du RGPD, de secrets commerciaux, de propriété intellectuelle...
L'exemple de Bouygues Construction, visé le 30 janvier par un ransomware, est emblématique: "L'entreprise est en train de reconstruire son système d'information faute d'avoir payé la rançon demandée, précise Eric Heddeland, vice-président Europe du Sud de Barracuda Networks, spécialisé dans la cybersécurité. Les données visées par ce type d'attaques ne sont pas décryptables." Pour éviter cela, il importe d'effectuer régulièrement des tests de restauration de ses sauvegardes pour vérifier que les fichiers ne sont pas vérolés. Des solutions telles que "Cloud to Cloud Backup" (Barracuda Networks) permettent par exemple de suppléer aux messageries Microsoft 365, lesquelles ne possèdent pas d'outils de sauvegarde ni d'archivage, et le temps de rétention des données n'excède pas 90 jours.
Le vol de données stratégiques et la "fraude au président" en hausse
La "fraude au président" se perfectionne: le hacker entre dans le système informatique et observe les relations entre les collaborateurs. Puis il se fait passer pour un dirigeant, et demande à la personne chargée d'effectuer les virements de réaliser un transfert en urgence vers un nouveau compte. Alors que certaines entreprises ont mis en place un système de double authentification, par SMS et vocale, les fraudeurs parviennent désormais à imiter artificiellement la voix d'un des dirigeants. Barracuda Networks propose ainsi aux services RH la solution Fishline pour vérifier la bonne utilisation de leur messagerie interne, fondée sur des scénarios d'attaque. Lorsqu'un utilisateur se fait piéger, il est invité à suivre une formation dédiée.
Selon le Rapport sur la protection des applications rédigé par F5Labs (propriété de F5 Networks, acteur américain de la cybersécurité), le phishing (via l'envoi d'e-mails renvoyant vers un site web) est responsable de 21?% des vols de données. "Non seulement la majorité des sites de phishing sont chiffrés, mais ils utilisent également des certificats légitimes, ce qui renforce la confiance de la victime", met en garde Arnaud Lemaire, manager ingénieur systèmes de F5 Networks. Selon Google, le phishing aurait d'ailleurs augmenté de 350% durant le confinement.
Pour les équipes de sécurité des retailers, la meilleure approche est celle de la "présomption de violation". Selon Arnaud Lemaire, "cela consiste à collecter le trafic d'attaques et surveiller ses journaux de logs. On peut comparer ces données sur les attaques sophistiquées au trafic d'attaques auquel on est confronté. Cela permet d'éliminer les attaques courantes et de déterminer si l'on est ciblé, auquel cas il est utile d'examiner la source des attaques et les modèles."
La montée en puissance des attaques complexes
Autre préoccupation des retailers, le SIM swap (récupération de SMS par des fraudeurs dans le cadre d'une authentification de transaction via 3D Secure) est à démystifier. En effet, "le phénomène est globalement sur le déclin en France, même s'il continue d'exister, sporadiquement. Le haut de la vague a plutôt eu lieu entre 2014 et 2016", rassure Frédéric Dubout, senior business consultant, fraude et identité d'Experian France. Par ailleurs, le coeur de cible du SIM swap concerne davantage les virements bancaires, "bien plus lucratifs, avec des montants moyens avoisinant les 4000 euros", complète Frédéric Dubout. Lui sont désormais préférés la fraude à la portabilité du numéro, des malwares sur smartphone (à l'instar des attaques MitMo, ou "Man in the Mobile", visant à détourner la double authentification lors d'un paiement), des malwares visant le "SIM toolkit" (Muraena et Necrobrowser, par exemple) et le hacking du réseau mobile.
Enfin, plusieurs acteurs de la cybersécurité mettent en garde contre des attaques plus complexes visant les sites de vente en ligne. En effet, une attaque en déni de service (qui paralyse une plateforme en la submergeant de connexions) peut cacher une tentative d'intrusion: "Lors d'une attaque DDoS (ou attaque en déni de service), la plupart des organisations s'efforcent de faire fonctionner leur site, chacune essaie de mettre en place des mesures de protection, et un tel volume de trafic peut avoir un impact sur les systèmes de gestion de logs et de reporting, prévient Arnaud Lemaire, manager ingénieur systèmes de F5 Networks. Cet écran de fumée peut aider un attaquant à cibler un dispositif prédéterminé et bénéficier d'une vulnérabilité pour pénétrer le système."
L'absence de régionalisation et la complexification des attaques constituent des défis de taille, face auxquels les retailers ne sont pas les mieux armés, par comparaison avec le secteur financier, par exemple: "Il est important de noter que les retailers ne sont pas les plus avancés en termes de cybersécurité, ils n'ont pas encore mis en place les technologies de nouvelle génération", s'inquiète André Porruncini, enterprise account executive IDF de l'éditeur Sophos. Ainsi, la protection des plateformes et des bases de données des retailers repose sur de nouvelles logiques: compréhension des usages et responsabilisation de tous les collaborateurs, identification des éléments critiques, mise en place de systèmes de défense plus complexes et en profondeur... Plus que jamais, l'équilibre entre risque et création de valeur est à repenser.
(1) Étude Cybermalveillance.gouv.fr et Institut national de la consommation, menée en juin 2019.
L'intérêt de l'IA pour se protéger
Thomas Gayet, directeur du CERT digital.security, cabinet de conseil spécialisé dans la cybersécurité, explique les applications de l'intelligence artificielle dans la lutte contre la fraude et le niveau de maturité des retailers sur chaque technologie.
L'IA pour l'investigation des alertes et la recherche proactive de compromission
Les analystes d'un SOC (Security operation center) partent d'une alerte émanant d'un SIEM ou d'un autre outil pour ensuite en déterminer la criticité, l'étendue, l'urgence ainsi que les éléments techniques permettant de stopper les attaques et d'y remédier. Ils accèdent pour cela à un puits de données (data lake) où sont stockés différentes informations. De plus, ce puits de données peut être exploité pour rechercher des traces d'autres attaques qui n'auraient pas été détectées en temps réel.
Maturité très faible des retailers
- L'IA appliquée à la réponse sur incident
Pour répondre aux incidents de cybersécurité, les équipes CERT ou CSIRT (dédiées à la sécurité digitale) effectuent de nombreuses tâches qui peuvent être en partie automatisées. Les plateformes de réponse aux incidents proposent des scénarios de réponse afin de faciliter la sélection, l'exécution et l'enchaînement des tâches. Certaines commencent également à intégrer des technologies d'IA afin d'assister plus efficacement les intervenants.
Maturité faible des retailers
- L'IA appliquée à la gestion des vulnérabilités
La gestion des vulnérabilités est devenue un point de tension pour les équipes opérationnelles. En effet, sur les milliers de vulnérabilités publiées tous les ans, seule une fraction est vraiment utilisée. Cette complexité incite les fournisseurs d'outils de gestion des vulnérabilités à intégrer des technologies d'IA dans leurs solutions afin d'améliorer la découverte des équipements déployés, le scan des vulnérabilités, la détermination des risques associés en lien avec l'intelligence sur la menace, la priorisation et le déploiement des patchs.