Quels sont les différents types de cyberattaques auxquelles nous assistons actuellement ?

Il existe de multiples tactiques et techniques que les attaquants peuvent utiliser pour atteindre leurs objectifs malfaisants, mais nous pourrions diviser les attaques en 2 types : attaques ciblées et attaques opportunistes, selon si une entité victime est ou non la seule cible de l’attaquant.
Statistiquement parlant, les principales attaques observées utilisent les vecteurs d’entrée de phishing et d’abus des vulnérabilités des systèmes pour obtenir un accès à distance, avec comme conséquences majeures des vols de données et du chiffrement par ransomware.

Quelles sont les stratégies de défense des entreprises et des administrations publiques ?

Ces dernières années, une tendance nette s’est dessinée en faveur de la prévention. L’objectif était très clair : empêcher les attaquants de réussir à mettre un pied dans l’entité visée. Si l’objectif était simple à définir, la mise en œuvre de ces mesures n’est pas aisée et présente de grands défis techniques et humains. Le résultat est que, malgré les mesures de prévention mises en place, les attaques ont continué à porter leurs fruits.

Aujourd’hui, la tendance s’oriente vers un modèle dans lequel il existe un équilibre entre les mesures préventives et défensives. En d’autres termes, on suppose donc que l’attaquant peut accéder à notre réseau en contournant nos mesures de prévention. Les nouvelles stratégies de sécurité incluent maintenant également des solutions pour détecter et répondre aux attaques évoluant en interne.

Quelles sont les dernières tendances en matière de cybersécurité ?

Parallèlement au net mouvement vers le cloud public, de nouvelles solutions apparaissent pour protéger ces environnements. Par ailleurs, le périmètre du réseau évolue et est de moins en moins défini, ce qui est renforcé par les potentielles centaines de modifications par semaine, via l’automatisation des changements de configurations.

Dans le domaine de l’automatisation appliquée à la cybersécurité, l’utilisation de l’intelligence artificielle est à la fois prometteuse et problématique. Nous disposons de solutions très efficaces pour détecter les menaces à l’aide d’algorithmes d’apprentissage supervisé et non supervisé, entre autres. De l’autre côté, des groupes d’attaquants commencent déjà à appliquer ces mêmes modèles pour trouver de nouveaux moyens de lancer des attaques, par exemple pour attaquer automatiquement les systèmes d’authentification, collecter de manière optimale des données sensibles, etc.

MITRE et la NSA ont conseillé aux organisations de commencer à mettre en œuvre le cadre D3FEND dans leurs plans de sécurité. Ce nouveau cadre complète celui existant sur les tactiques et techniques des attaquants (ATT&CK) et se veut un catalogue de contre-mesures défensives.

Quelles solutions Vectra AI apporte-t-elle dans ce domaine ?

Vectra AI est très fière de dire que nous sommes la société qui a le plus de brevets référencés dans le cadre de MITRE D3FEND. C’est à ce jour la seule solution NDR référencée. Le fait que 9 des 18 contre-mesures proposées par MITRE D3FEND dans la catégorie "Analyse du trafic réseau" soient basées sur les brevets de Vectra AI est une reconnaissance claire de l’esprit d’innovation de notre société ; et une reconnaissance tout aussi claire du fait que les techniques de détection des activités non autorisées basées sur l’analyse du trafic réseau doivent être mises en œuvre.

Vectra AI analyse directement le trafic réseau et d’autres sources de données pertinentes en utilisant une combinaison de science des données, d’apprentissage automatique et d’analyse comportementale. Nous établissons des priorités claires et incluons le contexte pertinent afin que nos clients puissent identifier rapidement et facilement les attaques actives et neutraliser la menace le plus tôt possible.

Nous avons récemment été témoins de plusieurs cyberattaques/attaques par ransomwares contre des entreprises et des administrations. Que doivent faire les organisations pour prévenir ces attaques ?

Le problème des ransomwares est un problème qui touche aussi bien les acteurs privés que publiques, de toute taille. Nous devons travailler sur l’aspect humain d’une part et sur le plan technique d’autre part, Parfois, même les personnes ayant un niveau élevé de connaissances en matière de cybersécurité peuvent être trompées et ouvrir la porte à l’attaquant qui peut alors s’introduire dans le SI cible. Nous devons donc disposer d’outils qui nous protègent de ces défaillances. Ces outils, ou plutôt ces solutions de cybersécurité, doivent s’adapter au mode de fonctionnement des attaquants. Ce mode de fonctionnement est en train d’évoluer, passant d’attaques de ransomwares opportunistes à des attaques de ransomwares plus sophistiquées et très ciblées. Ces dernières sont appelées RansomOps, car il s’agit de véritables opérations, un business model avec des opérateurs de Ransom proposant des services aux attaquants affiliés. Les attaquants évaluent le potentiel des victimes et étudient leur modèle économique, en cherchant à maximiser le bénéfice économique à tirer de l’attaque (exemples avec l’attaque contre l’US Colonial Pipeline ou encore contre le distributeur de produits chimiques Brenntag).

Nous pensons que les attaques par ransomwares constitueront de plus en plus un test pour les stratégies de continuité des activités de nombreuses entreprises et administrations publiques. Il faut des plans d’urgence vraiment solides, des approches de détection et de réponse aux menaces fondés sur l’intelligence artificielle.