![\"Cybers\u00e9curit\u00e9](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_1722692932-1-e1618564221264.jpg\" "\\"De")
<\/p>\n<\/p>\n
\u00ab\u00a0C\u2019est dans les vieux pots qu\u2019on fait les meilleures confitures<\/em>\u00a0\u00bb. Un adage populaire qui pourrait bien s\u2019appliquer au monde cyber, tant celui-ci sait jongler entre technologies du futur et nouveaux usages, tout en s\u2019appuyant sur ses savoir-faire et remettre au go\u00fbt du jour d\u2019anciennes m\u00e9thodes dont l\u2019efficacit\u00e9 n\u2019est plus \u00e0 prouver. Pistes de r\u00e9flexion.<\/strong><\/p>\n <\/p>\n Mais jusqu\u2019o\u00f9 peut aller l\u2019innovation dans le monde cyber\u00a0? Une question aujourd\u2019hui sur toutes les l\u00e8vres, mais impossible \u00e0 r\u00e9pondre. Et surtout, une question qui ne doit pas faire oublier l\u2019importance du socle commun de connaissances. Car si l\u2019innovation est bien l\u2019un des piliers de ce domaine, la capacit\u00e9 \u00e0 capitaliser sur un savoir-faire solide et \u00e0 recycler d\u2019anciennes techniques est \u00e9galement l\u2019un des points d\u2019ancrage du monde cyber<\/strong>.<\/p>\n Des march\u00e9s \u2013 qui hier n\u2019\u00e9taient pas concern\u00e9s par les menaces de cybers\u00e9curit\u00e9 \u2013 entrent aujourd\u2019hui dans le vif du sujet, et la prochaine cyberattaque m\u00e9diatique de demain<\/a> sera probablement en grande partie construite sur les fondations d\u2019une attaque d\u2019hier. Un savant m\u00e9lange donc entre neuf et ancien, qui sert aussi bien les int\u00e9r\u00eats des grands acteurs de la cybers\u00e9curit\u00e9 que ceux des attaquants, et qui entra\u00eene l\u2019\u00e9cosyst\u00e8me dans une course quasi-permanente entre les deux camps. D\u2019o\u00f9 l\u2019int\u00e9r\u00eat du c\u00f4t\u00e9 d\u00e9fenseurs, de faire front commun en partageant la connaissance et en \u00e9changeant de bonnes pratiques de s\u00e9curit\u00e9.<\/p>\n <\/p>\n Quand on pense cybers\u00e9curit\u00e9, on pense d\u2019abord au monde \u00ab\u00a0IT\u00a0\u00bb (technologies de l\u2019information), qui regroupe tout ce qui a trait \u00e0 l\u2019informatique et \u00e0 Internet. On pense moins souvent \u00e0 \u00ab\u00a0OT\u00a0\u00bb (pour \u00ab\u00a0Operational Technology<\/em>\u00a0\u00bb), qui s\u2019applique particuli\u00e8rement au secteur de l\u2019industrie, un secteur en pleine ouverture et en pleine transformation qui conna\u00eet \u00e0 son tour des probl\u00e9matiques de cybers\u00e9curit\u00e9.<\/p>\n L\u2019IT est un monde en constante \u00e9volution\u00a0: nouvelles applications, nouveaux terminaux, nouveaux usages, voire m\u00eame nouvelles populations avec l\u2019arriv\u00e9e de seniors dans ce domaine. Cette \u00e9volution effr\u00e9n\u00e9e, les acteurs de la cybers\u00e9curit\u00e9 ont appris \u00e0 vivre avec et \u00e0 imaginer des protections sans pouvoir r\u00e9ellement anticiper tout ce qui va se produire. \u00ab\u00a0Il faut accepter le risque et imaginer des solutions de s\u00e9curit\u00e9 en partant de cette philosophie<\/em>\u00a0\u00bb, indique Matthieu Bonenfant<\/strong>, Directeur Marketing chez Stormshield. A contrario<\/em>, le monde de l\u2019OT est un monde beaucoup plus contr\u00f4l\u00e9 et d\u00e9fini \u00e0 l\u2019avance. Chaque commande de chaque composant du syst\u00e8me industriel compte et doit \u00eatre connue et r\u00e9f\u00e9renc\u00e9e. C\u2019est l\u2019inverse de l\u2019improvisation, car les enjeux sont gros\u00a0: \u00ab\u00a0Si l\u2019on prend le risque de pouvoir se tromper de commande pour une station de transformation \u00e9lectrique par exemple, on prend le risque de faire tomber le r\u00e9seau<\/em>\u00a0\u00bb, ajoute Matthieu Bonenfant.<\/p>\n Mais quel point commun alors entre IT et OT\u00a0? La cybers\u00e9curit\u00e9 justement, et plus particuli\u00e8rement la capacit\u00e9 du monde cyber \u00e0 recycler certaines techniques de d\u00e9fense qui ont fait leurs preuves. Des m\u00e9thodes de protections qui prouvent leur efficacit\u00e9 depuis des dizaines d\u2019ann\u00e9es pour l\u2019IT r\u00e9pondent \u00e9galement parfaitement aux enjeux de l\u2019OT, qui se prend de plein fouet les probl\u00e9matiques cyber depuis l\u2019av\u00e8nement de l\u2019industrie 4.0<\/a>. \u00ab\u00a0L\u2019arriv\u00e9e de la cybers\u00e9curit\u00e9 dans l\u2019industrie est encore assez r\u00e9cente, et ce qui fonctionnait il y a quelques ann\u00e9es pour l\u2019IT peut aussi fonctionner aujourd\u2019hui pour l\u2019OT<\/em>\u00a0\u00bb, explique Adrien Brochot<\/strong>, Product Manager Stormshield. Partant de ce constat, les acteurs de la cybers\u00e9curit\u00e9 \u2013 et a fortiori les \u00e9diteurs \u2013 doivent \u00eatre en mesure de capitaliser en partageant leur savoir-faire pour r\u00e9pliquer des types de d\u00e9fense existants sur ces nouvelles infrastructures.<\/p>\n C\u2019est le cas par exemple de l\u2019IPS (Intrusion Prevention System<\/em>), qui permet une analyse fine des communications r\u00e9seau afin de v\u00e9rifier qu\u2019une faille d\u2019un protocole n\u2019est pas exploit\u00e9e ou qu\u2019une commande ill\u00e9gitime n\u2019a pas \u00e9t\u00e9 ins\u00e9r\u00e9e. Alors que l\u2019IPS constitue toujours un r\u00e9el besoin pour l\u2019IT, ce syst\u00e8me s\u2019av\u00e8re encore plus indispensable pour l\u2019industrie o\u00f9 les cons\u00e9quences d\u2019une alt\u00e9ration du contenu des connexions peuvent \u00eatre catastrophiques. N\u2019autoriser que ce qui est consid\u00e9r\u00e9 comme l\u00e9gitime et qui correspond \u00e0 un comportement r\u00e9f\u00e9renc\u00e9 est souvent primordial dans ce contexte. Le monde de l\u2019OT \u00e9tait tr\u00e8s peu connect\u00e9 \u00e0 Internet jusqu\u2019alors. Mais aujourd\u2019hui, les r\u00e9seaux op\u00e9rationnels sont connect\u00e9s de mani\u00e8re directe ou indirecte sur le Web, et les lignes de production aussi, d\u00e9sormais expos\u00e9es \u00e0 des menaces cybers, et \u00e0 des typologies d\u2019attaques utilis\u00e9es hier pour l\u2019IT.<\/p>\n <\/p>\n Les attaques, justement, ne sont pas en reste et profitent, elles aussi, du champ des possibles offert par l\u2019\u00e9volution du monde cyber\u00a0: les cyberattaques profitent \u00e0 la fois des savoir-faire d\u2019hier et des avanc\u00e9es technologiques.<\/p>\n En r\u00e9alit\u00e9, 90% des nouvelles attaques sont bas\u00e9es sur d\u2019anciennes et les attaquants trouvent juste des adaptations de ces derni\u00e8res pour passer les barri\u00e8res de s\u00e9curit\u00e9 et entrer dans un syst\u00e8me<\/em><\/p>\n Si de nouvelles failles et de nouveaux environnements sont exploit\u00e9s par les attaquants, les principes-m\u00eames de l\u2019exploitation de ces failles et de ces environnements \u00e9voluent lentement. Et pour rentabiliser les cyberattaques, les groupes de cyber criminels font souvent appels aux recettes qui ont d\u00e9j\u00e0 fait leurs preuves. \u00ab\u00a0En r\u00e9alit\u00e9, 90% des nouvelles attaques sont bas\u00e9es sur d\u2019anciennes et les attaquants trouvent juste des adaptations de ces derni\u00e8res pour passer les barri\u00e8res de s\u00e9curit\u00e9 et entrer dans un syst\u00e8me<\/em>\u00a0\u00bb, pr\u00e9cise Adrien Brochot. En effet, le recyclage a la cote en cybers\u00e9curit\u00e9\u00a0; certains \u2018nouveaux\u2019 malwares n\u2019\u00e9tant en r\u00e9alit\u00e9 que des variations de leurs pr\u00e9d\u00e9cesseurs.<\/p>\n De fait, les bases de donn\u00e9es qui recensent ces malwares et leurs variations multiples deviennent trop denses et trop lourdes pour \u00eatre support\u00e9es par les syst\u00e8mes d\u2019exploitation. On ne r\u00e9f\u00e9rence alors que les malwares les plus r\u00e9cents au sein de ces bases, ce qui repr\u00e9sente pour les attaquants une opportunit\u00e9 d\u2019exploiter de vieux malwares, qu\u2019on aurait presque oubli\u00e9s\u2026 Prenons le cas du malware Emotet<\/a> par exemple, dont les premi\u00e8res attaques ont \u00e9t\u00e9 observ\u00e9es en 2014 et qui, selon l\u2019Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (ANSSI), reprendrait du service en cette rentr\u00e9e 2020.<\/p>\n Les cyberattaques sont aussi fr\u00e9quemment d\u00e9roul\u00e9es \u00e0 des p\u00e9riodes de temps diff\u00e9rents, d\u2019une part parce qu\u2019elles ont prouv\u00e9 leur efficacit\u00e9 par le pass\u00e9, d\u2019autre part parce que m\u00eame si des patchs correctifs sont publi\u00e9s lorsqu\u2019une faille est d\u00e9couverte, tout le monde n\u2019applique pas ces patchs, en tout cas pas simultan\u00e9ment\u00a0: ce laps de temps est un point d\u2019entr\u00e9e id\u00e9al pour les attaquants, qui eux aussi profitent de cette nouvelle faille fra\u00eechement r\u00e9v\u00e9l\u00e9e.<\/p>\n En effet, depuis quelques ann\u00e9es maintenant, la d\u00e9couverte de failles et les cyberattaques occupent grandement la sc\u00e8ne m\u00e9diatique et varient en fonction des effets de mode, servant \u00e0 la fois les int\u00e9r\u00eats de ceux qui souhaitent s\u2019en pr\u00e9munir, comme de ceux qui souhaitent les exploiter. Certaines typologies d\u2019attaques sont particuli\u00e8rement m\u00e9diatis\u00e9es, comme les ransomwares, les chantages \u00e0 la webcam<\/a>, ou encore les fameuses arnaques au Pr\u00e9sident<\/a>. Ce type d\u2019attaque a particuli\u00e8rement eu le vent en poupe ces derni\u00e8res semaines avec la crise sanitaire du Covid-19\u00a0: on note une recrudescence d\u2019usurpations d\u2019identit\u00e9 (ministres, directeurs d\u2019h\u00f4pitaux et autres acteurs cl\u00e9 de la crise sanitaire) dans le but de soutirer des fonds. Mais il existe aussi des typologies d\u2019attaques qui, au contraire, passent litt\u00e9ralement sous le radar m\u00e9diatique<\/a>, et sont gard\u00e9es au chaud par une partie de l\u2019\u00e9cosyst\u00e8me qui les analyse \u2013 certaines agences \u00e9tatiques utilisant cette m\u00e9thode pour ensuite les exploiter discr\u00e8tement, \u00e0 l\u2019abri de tout effet buzz. Pour creuser le sujet, l\u2019\u00e9pisode \u00ab\u00a0Shadow Brokers<\/em><\/a>\u00a0\u00bb du podcast Darknet Diaries<\/strong> est un incontournable.<\/p>\n L\u2019enjeu cl\u00e9 pour les attaquants est, et sera toujours, d\u2019exploiter ce qui est mal prot\u00e9g\u00e9<\/em><\/p>\n \u00ab\u00a0L\u2019\u00e9volution des cyberattaques, c\u2019est un peu comme l\u2019\u00e9volution de la mode vestimentaire\u00a0: il y a du neuf, du vieux, et du neuf cr\u00e9\u00e9 selon les codes du vieux<\/em>\u00a0\u00bb s\u2019amuse \u00e0 dire Matthieu Bonenfant, qui pr\u00e9cise que \u00ab\u00a0certaines techniques anciennes vont vite trouver leurs limites et vont donc \u00eatre adapt\u00e9es et mises au go\u00fbt du jour pour redevenir performantes, et ce, ainsi de suite<\/em>\u00a0\u00bb. En 2017, l\u2019attaque du ransomware Wannacry avait beaucoup fait parler d\u2019elle, paralysant en partie bon nombre de grandes entreprises et organisations, comme le g\u00e9ant industriel fran\u00e7ais Renault<\/a>. Pourtant, Wannacry, tout comme NotPetya quelques mois plus tard, pr\u00e9sentait de tr\u00e8s nombreuses similitudes dans son mode de propagation avec le ver Conficker, 10 ans auparavant.<\/p>\n Capitalisation sur l\u2019ancien, adaptation des cyberattaques, mise \u00e0 profit des avanc\u00e9es technologiques\u2026 S\u2019il fallait synth\u00e9tiser l\u2019\u00e9volution des cyberattaques en une seule id\u00e9e, voici ce qu\u2019il faudrait avant tout retenir, selon Matthieu Bonenfant\u00a0: \u00ab\u00a0L\u2019enjeu cl\u00e9 pour les attaquants est, et sera toujours, d\u2019exploiter ce qui est mal prot\u00e9g\u00e9<\/em>\u00a0\u00bb.<\/p>\n <\/p>\n Prot\u00e9ger, c\u2019est bien le r\u00f4le-cl\u00e9 des solutions de cybers\u00e9curit\u00e9<\/strong>. Mais pour prot\u00e9ger, il faut d\u2019abord d\u00e9terminer la mani\u00e8re dont fonctionnent les cyberattaques et comprendre les incidents cyber. D\u00e9cortiquer, analyser les modes op\u00e9ratoires des attaquants et \u00eatre en veille permanente sur les derni\u00e8res failles d\u00e9couvertes, mettre au point des syst\u00e8mes capables de collecter les \u00ab traces \u00bb des cyberattaques, sont autant d\u2019\u00e9l\u00e9ments cl\u00e9s qui permettent d\u2019adopter une posture de d\u00e9fense ad\u00e9quate.<\/p>\n Les analystes s\u00e9curit\u00e9 jouent un r\u00f4le d\u00e9terminant dans la capacit\u00e9 \u00e0 appr\u00e9hender une cyberattaque. Leur r\u00f4le est \u00e0 la fois d\u2019identifier le vecteur d\u2019attaque (le r\u00e9seau, une cl\u00e9 USB<\/a>, etc.) et de comprendre la ou les actions men\u00e9es par l\u2019attaque et la mani\u00e8re dont elle s\u2019est propag\u00e9e au sein des r\u00e9seaux, qu\u2019ils soient informatiques ou op\u00e9rationnels. Cette connaissance est n\u00e9cessaire pour avoir une bonne ma\u00eetrise de l\u2019\u00e9cosyst\u00e8me cyber \u2013 lister les diff\u00e9rentes typologies d\u2019attaques, disposer de catalogues de failles, de patchs \u2013 mais aussi pour \u00eatre capable de prendre de la hauteur et d\u2019adapter les solutions de cybers\u00e9curit\u00e9 en cons\u00e9quence. Le point de vue \u00ab tech \u00bb est donc primordial pour diagnostiquer une cyberattaque et comprendre son impact.<\/p>\n La mani\u00e8re dont \u00e9volue le monde cyber est un challenge pour les acteurs de la cybers\u00e9curit\u00e9<\/a> et notamment les \u00e9diteurs, qui doivent \u00e0 la fois se concentrer sur de nouvelles techniques, l\u2019\u00e9volution de celles-ci, le tout en gardant un \u0153il sur l\u2019existant. Ils ont en quelque sorte un devoir de m\u00e9moire, et il en va de leur responsabilit\u00e9 de ne pas d\u00e9laisser d\u2019anciennes techniques de protection dont l\u2019utilisation devient moindre avec le temps, car c\u2019est pr\u00e9cis\u00e9ment ce qu\u2019attendent les attaquants. \u00c0 l\u2019image d\u2019Emotet dont il \u00e9tait question plus t\u00f4t dans cet article, d\u2019autres malwares font r\u00e9guli\u00e8rement des retours fracassants comme ceux qui utilisaient des macros dans la suite Office. Un malware ne sera jamais aussi dangereux que si on le pense disparu.<\/p>\n Toujours dans cet esprit de cr\u00e9er une continuit\u00e9 entre l\u2019ancien et le vieux, les \u00e9diteurs des solutions de cybers\u00e9curit\u00e9 \u00ab\u00a0ont un r\u00f4le crucial d\u2019information au sein de l\u2019\u00e9cosyst\u00e8me\u00a0: conf\u00e9rences, salons, r\u00e9daction de livres-blancs, pr\u00e9sentation de use cases, etc.<\/em>\u00a0\u00bb explique Adrien Brochot, pour qui ces temps d\u2019\u00e9changes et ces outils facilitent le partage de connaissance et la capitalisation au sein de la communaut\u00e9 cyber.<\/p>\n <\/p>\n Pour tirer le meilleur de l\u2019\u00e9volution du monde cyber et de l\u2019\u00e8re num\u00e9rique, les acteurs de la cybers\u00e9curit\u00e9 ont tout int\u00e9r\u00eat \u00e0 se penser comme un \u00e9cosyst\u00e8me et \u00e0 faire de la cybers\u00e9curit\u00e9 une cause commune et une responsabilit\u00e9 collective. Si de nombreux acteurs au sein de cet \u00e9cosyst\u00e8me sont concurrents, cela n\u2019emp\u00eache en aucun cas de partager information et connaissance et de cr\u00e9er des partenariats. De plus, de nombreuses bases de donn\u00e9es techniques sont accessibles et enrichies par la communaut\u00e9, comme VirusTotal<\/a>, qui analyse et recense des fichiers suspects contenant potentiellement une charge malveillante, ou encore MITRE ATT&CK<\/a> qui r\u00e9f\u00e9rence un grand nombre de techniques d\u2019attaques et permet aux acteurs cyber d\u2019avoir \u00e0 disposition un r\u00e9f\u00e9rentiel \u00e0 jour.<\/p>\n Ce partage de connaissance peut aussi se faire par le biais de groupements d\u2019int\u00e9r\u00eat public, comme le portail cybermalveillance.gouv.fr<\/a>, qui permet aux entreprises et aux particuliers de signaler des actions malveillantes perp\u00e9tr\u00e9es sur le Web. Ou encore par le biais de centres d\u2019alerte et de r\u00e9action aux attaques informatiques (les fameux CERT, pour computer emergency response team<\/em> ou CSIRT, pour computer security incident response team<\/em>), qui informe quasiment en temps r\u00e9el sur les menaces cyber majeures. Ces CERT peuvent \u00eatre publics comme priv\u00e9s, nationaux (CERT-FR<\/a> pour la France) comme internationaux (CERT-EU<\/a> pour l\u2019\u00e9quivalent europ\u00e9en). \u00ab\u00a0L\u2019\u00e9cosyst\u00e8me d\u2019acteurs cyber est tr\u00e8s riche en information et en outils, mais aussi tr\u00e8s h\u00e9t\u00e9rog\u00e8ne dans sa mani\u00e8re de pr\u00e9senter et de recenser la connaissance\u00a0: c\u2019est donc en partie un challenge de r\u00e9ussir \u00e0 faire le tri et d\u2019acc\u00e9der rapidement et facilement \u00e0 une information quand on en a besoin<\/em>\u00a0\u00bb, pr\u00e9cise Matthieu Bonenfant.<\/p>\n La couche technique (aka<\/em> les analystes s\u00e9curit\u00e9) joue l\u00e0 encore un r\u00f4le de premier plan dans la capacit\u00e9 de l\u2019\u00e9cosyst\u00e8me \u00e0 partager ses bonnes pratiques de s\u00e9curit\u00e9 et ses savoir-faire. Ces experts ont leur propre \u00e9cosyst\u00e8me au sein de la communaut\u00e9 cyber, hors de port\u00e9e de diff\u00e9rends commerciaux \u00e9ventuels ou autres strat\u00e9gies concurrentielles. Et cela repr\u00e9sente une v\u00e9ritable aubaine et une r\u00e9elle plus-value pour les acteurs cyber, car la mise en commun des savoirs se fait ici avant tout sous le prisme de la technique, avec une soif d\u2019apprentissage qui nourrit l\u2019\u00e9cosyst\u00e8me. Ainsi, les analystes techniques analysent, d\u00e9cortiquent et partagent leurs trouvailles, avec l\u2019objectif de toujours s\u2019am\u00e9liorer.<\/p>\n <\/p>\n Le partage de connaissance et de bonnes pratiques de cybers\u00e9curit\u00e9 est donc une dimension essentielle de l\u2019\u00e9cosyst\u00e8me, en cela qu\u2019elle incite les acteurs cyber \u00e0 se challenger, \u00e0 s\u2019am\u00e9liorer, \u00e0 \u00e9voluer, et \u00e0 imaginer des solutions de demain toujours plus performantes, au service de la pr\u00e9vention et de l\u2019analyse des risques.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00ab\u00a0C\u2019est dans les vieux pots qu\u2019on fait les meilleures confitures\u00a0\u00bb. Un adage populaire qui pourrait bien s\u2019appliquer au monde cyber, tant celui-ci sait jongler entre technologies du futur et nouveaux usages, tout en s\u2019appuyant sur ses savoir-faire et remettre au go\u00fbt du jour d\u2019anciennes m\u00e9thodes…<\/p>\n","protected":false},"author":27,"featured_media":196615,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1608],"tags":[4363],"business_size":[682,683,681],"industry":[695,689,703,2123,691,693,699,701,697],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1595,1570,1565,1530],"class_list":["post-196612","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-paroles-experts","tag-la-cybersecurite-premiers-pas","business_size-eti","business_size-grande-entreprise","business_size-pme","industry-administrations-publiques","industry-banque-et-finance","industry-commerce-et-e-commerce","industry-datacenters-fr","industry-defense-et-organisations-militaires","industry-education-et-enseignement","industry-industrie-fr","industry-operateurs-et-mssp","industry-sante-et-etablissements-de-soin","listing_product-breach-fighter-fr","listing_product-sds-fr","listing_product-ses-fr","listing_product-sns-fr"],"acf":[],"yoast_head":"\nDes savoir-faire d\u00e9pass\u00e9s pour certains secteurs, mais parfaitement adapt\u00e9s \u00e0 d\u2019autres<\/h2>\n
Faire du neuf avec du vieux\u00a0: les cyberattaques ne sont pas en reste<\/h2>\n
Adrien Brochot,<\/strong> Product Manager Stormshield<\/pre>\n<\/blockquote>\n
Matthieu Bonenfant,<\/strong> Directeur Marketing chez Stormshield<\/pre>\n<\/blockquote>\n
Quid du r\u00f4le des solutions de cybers\u00e9curit\u00e9 dans tout \u00e7a\u00a0?<\/h2>\n
De l\u2019importance du partage de connaissance et des bonnes pratiques<\/h2>\n