Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution

janvier 2019 par Marc Jacob

Lors du FIC, Bitdefender a choisi, suite au rachat de la société néerlandaise Red Socks, de mettre en avant une nouvelle solution de détection et d’investigation des flux réseau « Network Traffic Security Analytics » basée sur l’analyse de métadonnées et utilisant la Cyber Threat Intelligence de Bitdefender. Vincent Meysonnet, Responsable Technique Avant-Vente chez Bitdefender explique la stratégie de son entreprise.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Vincent Meysonnet : Pour la 11ème édition du Forum International de la Cybersécurité, Bitdefender a choisi, suite au rachat de la société néerlandaise Red Socks, de mettre en avant une nouvelle solution de détection et d’investigation des flux réseau « Network Traffic Security Analytics » basée sur l’analyse de métadonnées et utilisant la Cyber Threat Intelligence de Bitdefender (1er réseau mondiale de protection). Ce sera l’occasion pour nous de présenter aux RSSI et DPO, une nouvelle approche et une nouvelle vision de l’infrastructure, avec la mise en évidence de failles pouvant être exploitées par des attaquants. De plus, Bitdefender continue de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Vincent Meysonnet : Lorsque l’on parle de protection de la vie privée et de sécurité, qu’il s’agisse de la conception d’un produit ou d’une technologie, des questions comme la confidentialité, l’intégrité, la disponibilité, le chiffrement et la transparence viennent à l’esprit. Les principes fondamentaux de base de la sécurité tournent autour de la minimisation de la surface d’attaque, du moindre privilège d’accès, de l’évitement de la sécurité par l’obscurité et de la simplicité en termes de code et d’architecture.

Cependant, techniquement elles ne sont pas toujours applicables dans des scénarios du monde réel où les infrastructures sont diverses, où les systèmes existants sont entrelacés avec des technologies de pointe et où divers services tiers sont parfois intégrés pour effectuer diverses tâches de traitement. La conception préalable à la protection de la vie privée repose sur les mêmes grands principes que la sécurité, en ce sens qu’elle doit assurer la fonctionnalité, qu’elle doit être par défaut et qu’elle doit être proactive. En même temps, la protection de la vie privée doit être étroitement intégrée à la sécurité de bout en bout afin de s’assurer que les données sont collectées, stockées et diffusées de manière sécurisée sur divers canaux de communication.
De plus, il y a aussi un aspect juridique à la protection de la vie privée qui a récemment été mis en avant par la RGPD, soulignant davantage la nécessité d’entrelacer la sécurité et la protection de la vie privée et de ne pas se contenter de les superposer l’une sur l’autre.

Essentiellement, l’un des plus grands défis en termes de développement de produits et de technologies de sécurité et de protection de la vie privée est de trouver un équilibre entre convivialité, disponibilité et proactivité, tout en respectant les recommandations légales et les meilleures pratiques des règles et règlements en vigueur.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Vincent Meysonnet : Le premier conseil de Bitdefender est d’ordre technique : multiplier les couches de sécurité intégrant la protection de la vie privée sur l’ensemble des maillons de la chaine afin de réduire le scope d’infection possible et donc de réduire les risques liés à la fuite d’informations.
Il est ensuite humain : nous voulons sensibiliser les organisations et les utilisateurs sur la criticité des informations circulant au sein des entreprises et l’impact que cela peut avoir. De plus, la démocratisation des cursus de formation IT autour de la protection de la donnée pourra permettre une meilleure compréhension au sein des organisations. Financièrement la mise en place d’une architecture sécurisée peut être couteuse mais il faut pouvoir comparer ce coup à celui d’une perte de donnée qui lui est beaucoup plus élevé. Pour reprendre la baseline du FIC 2019 : « Vous pensez que la sécurité coûte chère, essayez la non-sécurité ! » Pour conclure, le principal conseil sera de trouver le bon compromis entre sécurité et protection de la vie privée avec expérience utilisateur et le coût financier par rapport à la valeur des données de l’organisation.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Vincent Meysonnet : Plus de 6 mois après l’application de la RGPD le constat est assez clair, la majorité des entreprises ne respectent pas encore la réglementation européenne du 25 mai 2018. Pour rappel, les entreprises qui dérogent au RGPD s’exposeront à de lourdes sanctions financières.

Cependant, et d’après la dernière ordonnance de la CNIL en date du 15 novembre on remarque que les professionnels continuent bien de s’approprier le sujet :

• 32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 15 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD ; • 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour depuis le 25 mai ; • Une hausse significative des contacts avec les publics, notamment les professionnels : 178 000 appels depuis janvier 2018 et ; 246 000 consultations des FAQ en ligne (178 000 en 2017)) ; • 7 millions de visites sur le site de la CNIL (4,4 millions en 2017) ; • 130 000 téléchargements de l’outil PIA pour réaliser une analyse d’impact sur la protection des données.

Concernant les particuliers, depuis le début de l’année, la CNIL a reçu 9 700 plaintes, soit 34% de plus qu’en 2017 sur la même période. 6 000 plaintes ont été reçues depuis le 25 mai.
De plus, selon un sondage IFOP réalisé en octobre pour la CNIL, 66% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. Cette hausse de la sensibilité s’explique principalement par des facteurs anxiogènes exprimés par les personnes interrogées : la peur du piratage ou du vol de données et les scandales de piratages sur les réseaux sociaux. Les spam et les sollicitations commerciales émergent également dans les principaux motifs de cette sensibilisation accrue.

Face à ces inquiétudes, la connaissance du RGPD apparait globalement bonne, 65% des Français en ayant déjà entendu parler. Néanmoins, seule une courte majorité (54%) estime à ce stade comprendre ce que le RGPD a changé sur les droits des personnes et les obligations des professionnels. Une fois mieux informés sur ce règlement, les français portent un regard largement positif sur celui-ci, puisque 73% considèrent qu’il est efficace pour mieux protéger les données personnelles.

Ce sondage a été réalisé en ligne, du 30 au 31 octobre, auprès d’un échantillon de 1003 personnes, représentatif de la population française âgée de 18 ans et plus.

Pour conclure, l’arrivée de la réglementation RGPD a permi de sensibiliser sur la criticité de la donnée personnelle et la donnée en entreprise. Ce qui a eu également comme résultante la prise de conscience de l’importance de ces données et de ce fait, une augmentation du niveau de sécurité au sein des entreprises et la mise en place de plus en plus souvent d’un DPO.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Vincent Meysonnet : Le Ransomware a perdu sa place de numéro un des cybermenaces pour les particuliers et les entreprises au cours du premier semestre 2018, après avoir été en tête de liste pendant des années. Bien qu’il soit quelque peu dépassé par les pirates cryptographiques, le logiciel de rançon s’est rapidement rétabli, ce qui montre que les logiciels malveillants de cryptage de fichiers sont là pour rester. Et tout porte à croire que 2019 sera marquée par l’émergence de nouvelles menaces. Chez Bitdefender, voici nos 10 principales prévisions pour l’espace de cybersécurité en 2019 (et au-delà).

Le Ransomware
La forme la plus rentable de logiciels malveillants, les logiciels en rançon demeurent une menace constante. Nous enregistrons encore un grand nombre d’infections chaque jour, mais la bonne nouvelle, c’est que le nombre de demandes de rançon n’augmente plus - il plafonne. L’une des raisons est déjà bien documentée : les logiciels de rançon ont été relégués au second plan dans le détournement par cryptage au cours de l’année écoulée, les mauvais acteurs ayant pris goût à voler la puissance de calcul pour générer des devises numériques tout en volant sous le radar. Mais un facteur encore plus important derrière la stagnation de la rançon des logiciels malveillants est l’émergence de solutions dédiées visant directement à contrecarrer cette forme de malware. Il y aura toujours de nouvelles versions de rançon, certaines plus complexes que d’autres et d’autres plus difficiles à attraper, mais nous ne nous attendons pas à ce que la rançon prenne des proportions beaucoup plus importantes. Du moins pas plus gros que l’année dernière.

Internet des objets (IdO)
Nous nous attendons à davantage d’attaques exploitant l’Internet des Objets (IoT) / les dispositifs intelligents / connectés. Alors que les législateurs s’efforcent de trouver un moyen de réglementer l’espace de l’IdO, les attaquants continueront de tirer parti de leurs faiblesses inhérentes. Les pirates informatiques sont de plus en plus efficaces pour pirater des produits d’IdO tels que les babyphones, les caméras de surveillance et autres appareils ménagers. Et les dispositifs médicaux connectés sont loin d’être sûrs non plus. En fait, les implants corporels qui prennent en charge la connectivité sans fil peuvent mener aux premières attaques de rançon où vous devez payer ou mourir. Ça a l’air dingue ? N’oubliez pas qu’en 2013, l’ancien vice-président américain Dick Cheney a demandé à ses médecins de désactiver la fonction sans fil de son stimulateur cardiaque pour empêcher les terroristes de le pirater.
Dans une autre tendance notable du paysage de l’IdO, les fabricants sautent sur le wagon cellulaire, passant progressivement du WiFi au LTE et de l’ipv4 à l’ipv6. Bien que ce changement promette une sécurité accrue, il ouvrira probablement une nouvelle boîte de Pandore puisqu’il s’agit d’un terrain relativement nouveau pour l’écosystème de l’IdO.

Attaques MacOS à la hausse
La part d’Apple sur le marché des ordinateurs de bureau augmente, et les logiciels malveillants conçus pour infecter les Macs augmentent en même temps. Nous prévoyons une augmentation du nombre d’attaques ciblant les utilisateurs de Mac, ce que nous commençons déjà à voir dans notre télémétrie interne. Nos données montrent non seulement de nouveaux logiciels malveillants spécifiques à MacOS, mais aussi des mécanismes et outils spécifiques à MacOS conçus pour capitaliser sur les Macs après une brèche. Nous l’avons déjà vu dans les APT précédents qui hébergeaient des composants spécifiques à Mac.

MACROs et attaques sans fichier
Le nombre et la portée des attaques exploitant les MACRO de Microsoft Office augmenteront également. Les MACROs sont une caractéristique, pas un bug, comme le dit le vieil adage. Ce qui en fait l’appât parfait pour les victimes sujettes aux escroqueries d’ingénierie sociale - où l’agresseur convainc la victime de participer essentiellement à ses propres abus. Nous nous attendons à des attaques sans fichier - telles que celles qui utilisent powershell et d’autres formats liés au système comme reg, mshta, etc. - d’augmenter également son périmètre au cours de l’année à venir.

Applications potentiellement indésirables (PUA) et cryptojacking
Les applications potentiellement indésirables (PUA), y compris les adwares, ne représentent pas en soi une menace énorme, mais elles ne sont pas innocentes non plus. Par exemple, vous pourriez télécharger une application apparemment légitime sans savoir qu’elle est livrée avec un crypto miner ou même un malware.
Nous prévoyons une augmentation du nombre de mineurs JavaScript intégrés dans les pages Web - comme l’incident de piratage cryptographique de YouTube où des attaquants ont mené une campagne de publicité malveillante et ont injecté des mineurs dans des publicités affichées sur YouTube.
Enfin, nous pouvons nous attendre à un passage des téléchargements de logiciels malveillants par drive-by-down à l’exploitation minière par drive-by-mining à grande échelle. En d’autres termes, l’utilisation d’API d’exploitation minière sur le Web qui exécutent l’exploitation cryptographique, directement dans le navigateur de l’utilisateur, au lieu de kits d’exploitation pour télécharger des logiciels malveillants sur l’ordinateur de la victime.

Lutte contre les menaces invisibles
Les exploits au niveau du réseau seront à l’honneur l’an prochain, et ils seront vraisemblablement mis en vedette par les médias sociaux, si l’histoire en est une indication. Et les chercheurs devront consacrer des ressources considérables à l’analyse des implants matériels, des portes dérobées matérielles et des défauts de conception du matériel, ainsi que des compromis dans la chaîne d’approvisionnement des logiciels.

Les APT ciblant les banques
Nous nous attendons à ce que les menaces persistantes et avancées continuent d’émerger, avec une attention renouvelée pour le secteur bancaire, rappelant le groupe Carbanak qui fera la une des journaux en 2014 pour avoir utilisé une campagne de type APT pour voler l’argent des banques. Les pirates auraient volé des centaines de millions de dollars non seulement aux banques, mais aussi à plus d’un millier de clients privés, ce qui aurait entraîné l’introduction du logiciel malveillant par hameçonnage par courriel.

GDPR pour montrer ses crocs
Voici une prédiction positive pour changer : Grâce aux efforts renouvelés de l’UE pour protéger les informations personnelles identifiables - sous la forme du règlement général sur la protection des données entré en vigueur en mai de cette année - nous devrions nous attendre à ce qu’il y ait moins de "fuites de donnée" ou, à tout le moins, qu’elles fassent les gros titres. Les incidents de sécurité seront mieux contenus au niveau de l’organisation afin d’éviter les pénalités qui pourraient entraîner la faillite d’une entreprise. N’oubliez pas que la RGPD peut infliger des amendes allant jusqu’à 4 % du chiffre d’affaires annuel de la victime, ce qui peut se traduire par des centaines de millions, voire des milliards de dollars dans le cas des grandes entreprises et sociétés.

L’ingérence électorale en Europe
2019 est l’année où l’Europe élit les membres du Parlement européen. Si l’on se fie à l’évolution récente de la situation aux États-Unis, il faut s’attendre à des troubles en Europe, y compris des attaques parrainées par l’État contre les systèmes électoraux, de la propagande sur les médias sociaux et d’autres formes d’"ingérence". Si, il y a quelques années, ces actes n’étaient que des rumeurs, les événements des deux dernières années confirment à eux seuls que les grandes puissances mondiales ne reculeront devant rien pour influencer les résultats politiques de leurs adversaires.

Un virage vers les attaques mobiles
Les services de Fintech ouvrent la voie à une nouvelle tendance très rentable pour les pirates informatiques, en particulier dans l’espace mobile. Plus ils gèrent d’argent pour le compte de leurs utilisateurs, ou plus l’intégration avec les systèmes bancaires traditionnels est étroite, plus ils recevront d’attention des cybercrooks qui développeront probablement de nouvelles menaces visant ces services spécifiques en 2019.

GS Mag : Quel est votre message à nos lecteurs ?

Vincent Meysonnet : Bitdefender est de nouveau partenaire du FIC à Lille, les 22 et 23 janvier ! Rencontrez notre équipe sur le stand E30 et discutons ensemble de vos enjeux de cybersécurité. Ce sera aussi l’occasion de vous présenter notre nouvelle solution de sécurité du trafic réseau : Bitdefender Network Traffic Security Analytics. Au programme également, une démonstration technique le 22 janvier de 14h à 14h30 : Détection d’une cyberattaque, de la prévention à l’investigation et la remédiation.

De plus, l’année 2019 sera pleine de nouveautés tant au niveau menaces qu’au niveau sécurité, en effet, de nombreuses innovations vont être présentées cette année et Bitdefender sera bien évidement là pour vous accompagner dans cette évolution.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants