Derek Manky, Global Security Strategist, Fortinet : « Notre économie digitale est le berceau d’une innovation technologique qui, si elle crée des
opportunités pour la cybersécurité, présente néanmoins de réels risques. La prolifération des
dispositifs connectés et l’hyperconnectivité actuelle nourrissent un environnement criminel
particulièrement difficile à maîtriser. D’ailleurs, les cybercriminels tirent parti de l’automatisation et
de l’intelligence artificielle à grande échelle, sur l’ensemble des vecteurs d’attaque. Les attaques
comme WannaCry et NotPetya laissent présager des perturbations et des impacts économiques
attendus dans un proche futur, avec, à la clé, la prise en otage de données et d’éléments de
propriété intellectuels, voire la mise à l’arrêt des services commerciaux. Les frameworks de
sécurité qui misent sur l’automatisation, une intégration étroite et une segmentation stratégique
s’annoncent critiques pour déjouer les attaques intelligentes de demain. »

La transformation digitale au service du bon grain, mais aussi de l’ivraie

Sur les deux prochaines années, nous assisterons à des vecteurs d’attaques qui continueront à
se développer, tandis que la visibilité et le contrôle sur les infrastructures actuelles devraient
diminuer. La prolifération des équipements en ligne accédant aux informations personnelles et
financières, et la mise en réseau de quasiment tous les objets (les multiples dispositifs de
l’Internet des Objets, les infrastructures critiques des automobiles, des maisons et des bureaux,
jusqu’aux villes connectées) ont créé de nouvelles opportunités pour les cybercriminels et autres
assaillants. Le marché de la cybercriminalité est véloce à adopter les innovations les plus
récentes en matière d’intelligence artificielle pour lancer des attaques toujours plus efficaces.
Nous nous attendons à ce que cette tendance s’accélère en 2018, avec, à la clé, les résultats
suivants :

– L’avènement des Hivenets et Swarmbots autonomes : face à des attaques
sophistiquées comme Hajime and Devil’s Ivy ou Reaper, nous nous attendons à ce que
les cybercriminels remplacent leurs réseaux botnets par des hivenets, à savoir des
clusters intelligents d’équipements piratés qui ciblent plus efficacement les vecteurs
d’attaques. Les hivenets vont tirer avantage d’une compétence d’apprentissage
autonome pour cibler les systèmes vulnérables à très grande échelle. Ils seront capables
de communiquer entre eux et de prendre des décisions sur la base d’informations de
veille en local qui sont partagées. De plus, les équipements piratés gagneront en
intelligence et agiront sans instruction de la part de ceux contrôlant le botnet. Les
hivenets pourront ainsi croître de manière exponentielle sous forme d’essaims (swarm),
en multipliant leurs cibles et en empêchant les remédiations post-incident. Si les attaques
n’utilisent pas encore la technologie swarm, cette dernière est néanmoins embarquée
dans leur code : il est donc probable que, dans le futur, les assaillants intègrent un
apprentissage autonome à ce type d’attaque. Des swarms d’équipements piratés
identifieront et cibleront de manière simultanée différents vecteurs d’attaque, accélérant
ainsi leurs exactions tout en en élargissant leur périmètre. Cette rapidité d’action pèsera
lourdement sur la capacité à prédire les attaques, et donc à les combattre. FortiGuard
Labs ont enregistré 2,9 milliards de tentatives de communication par des botnets sur
seulement un seul trimestre de cette année, ce qui en dit long que le danger potentiel
des hivenets et des swarmbots.

– Le rançonnage des services commerciaux toujours plus lucratif : l’activité des
ransomware a été 35 fois plus importante sur la seule année dernière avec les
ransomworms et attaques similaires. Cette tendance devrait d’ailleurs se poursuivre,
avec comme prochaine cible de prédilection des ransomware les fournisseurs de
services cloud, dans l’objectif de générer toujours plus de revenus. Les réseaux
complexes et hyperconnectés des fournisseurs cloud constituent un talon d’Achille pour
des centaines d’entreprises, d’administrations, d’infrastructures critiques ou d’acteurs des
soins de santé. Nous nous attendons à ce que les cybercriminels capitalisent sur des
technologies d’Intelligence Artificielle et les associent à des méthodes d’attaques multivecteurs,
ceci afin d’analyser, de détecter et d’exploiter les faiblesses des
environnements des fournisseurs de services cloud. Ces attaques, particulièrement
rémunératrices pour les organisations criminelles, peuvent interrompre les services à
l’intention de centaines d’entreprises, avec un impact final sur des dizaines ou des
centaines de milliers de clients.

– Malware polymorphe de nouvelle génération : nous assisterons rapidement à la
genèse de malware conçus entièrement par des machines et sur la base d’une détection
automatique de vulnérabilités et d’analyses complexes de données. Si le malware
polymorphe n’est guère nouveau, il devrait néanmoins fortement évoluer. L’Intelligence
Artificielle devrait permettre la mise en œuvre de processus définis par machine pour
éviter toute détection. Face à l’évolution naturelle d’outils déjà existants, les assaillants
seront capables d’affiner leurs exploits aux spécificités de chaque faiblesse identifiée.
Les malware sont déjà capables d’utiliser les modèles d’apprentissage pour contourner la
sécurité en place et produire plus d’un million de variantes de virus par jour. Mais, à ce
jour, cette perspective est basée seulement sur un algorithme et il est difficile d’évaluer
précisément le résultat. FortiGuard Labs a enregistré 62 millions de détections de
malware sur un trimestre en 2017. Sur ce volume, nous avons assisté à près de 17 000
variantes liées à plus de 2 500 malware différents. L’automatisation croissante des
malware rendra cette situation encore plus critique sur l’année à venir.

– Les infrastructures critiques en première ligne : les fournisseurs d’infrastructures
critiques continuent à être des cibles privilégiées. Ces organisations opèrent des réseaux
essentiels qui protègent des services et des informations critiques. Cependant, la
majorité des infrastructures critiques et des réseaux industriels sont fragiles, puisqu’ils
ont été conçus pour fonctionner de manière cloisonnée. Mais les attentes des
collaborateurs et du grand public pour une réponse toujours plus rapide à leurs besoins
ont commencé à faire évoluer ces réseaux, avec notamment le besoin d’une sécurité
dédiée à des environnements conçus à l’origine pour être isolés. Face à l’importance de
ces réseaux et aux conséquences potentiellement dévastatrices des piratages ou
d’indisponibilités, les opérateurs d’infrastructures critiques se retrouvent désormais sous
le feu d’organisations criminelles ou terroristes, voire d’états. L’audace des assaillants et
la convergence des technologies opérationnelles et d’information rendent la sécurité des
infrastructures d’autant plus critique pour 2018 et au-delà.

– Le Darkweb et la cyberéconomie criminelle à l’origine de nouveaux services
automatisés : le Darkweb évolue au rythme des mutations de la cybercriminalité. Nous
nous attendons à l’émergence de nouvelles offres de services au sein du Darkweb, les
fournisseurs d’outils de Crime-as-a-Service s’orientant vers des technologies
d’automatisation. Nous assistons déjà à des services évolués proposés sur les marchés
du Darkweb et utilisant l’apprentissage automatique (machine learning). À titre
d’exemple, un service nommé FUD (Fully Undetected) permet aux développeurs de
soumettre leur code logiciel et leur malware à ce service d’analyse, et ce, contre
rémunération. Ils reçoivent, en retour, un rapport leur indiquant la propension des outils
de sécurité de différents éditeurs à détecter ces malware. Pour accélérer le
développement de malware, nous assisterons à l’utilisation du machine learning, capable
de modifier le code à la volée sur la base de ce qui a été détecté en laboratoire,
accentuant ainsi la furtivité des menaces. Les outils de sandbox tirent également parti du
machine learning pour identifier des menaces inconnues et créer des mesures de
protection en temps réel. Il est possible que cette approche soit automatisée et utilisée
dans l’autre sens pour cartographier les réseaux, identifier de nouvelles cibles,
déterminer les points faibles de ces cibles et même modéliser une cible pour mener une
tentative d’intrusion virtuelle, une étape préliminaire à l’exécution d’une attaque
personnalisée en environnement réel.

Garder une longueur d’avance sur les menaces : tendances et temps forts

Les cybercriminels jouent la carte de l’innovation en matière d’automatisation et d’intelligence
artificielle, pour ainsi disposer d’outils qui pèseront lourdement sur l’économie digitale. Les
solutions de sécurité doivent être bâties autour de technologies de sécurité étroitement intégrées,
d’une veille décisionnelle sur les menaces et de frameworks de sécurité configurables et temps
réel. La sécurité se doit d’être ultra-performante, avec une prise en charge automatisée des
incidents, une veille sur les menaces et des capacités d’auto-apprentissage : c’est à ce titre que
les réseaux sauront prendre des décisions efficaces et de manière autonome. Cette approche, si
elle renforce la visibilité et des fonctions centralisées de gestion, permet également une
segmentation stratégique pour intégrer en profondeur la sécurité au sein des infrastructures
réseau. L’identification, le confinement et la prise en charge des équipements piratés sont ainsi
accélérés. Cette sécurité s’attache également à lutter contre les attaques, sur différents
écosystèmes, des endpoints et modules réseau en local et jusqu’au cloud. Enfin, les principes de
base d’une sécurité pertinente doivent être intégrés dans nos protocoles de sécurité
fondamentaux. Ce point est souvent oublié, mais il reste néanmoins essentiel pour limiter les
conséquences délétères qu’il s’agit précisément de maîtriser.