![\"Vuln\u00e9rabilit\u00e9s](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1870782439-1024x725.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
C\u2019est un fait\u00a0: la tendance est \u00e0 la professionnalisation des groupes de cyber-criminels. De plus en plus organis\u00e9s, ils se structurent en diff\u00e9rentes \u201cbusiness units\u201d, de la conception \u00e0 la vente en passant par la diffusion et le support. Le point sur l\u2019\u00e9mergence d\u2019une v\u00e9ritable \u00e9conomie parall\u00e8le. <\/strong><\/p>\n L\u2019ann\u00e9e 2021 a \u00e9t\u00e9 marqu\u00e9e par l\u2019extension des ransomwares \u00e0 des cibles plus importantes, ou encore par des menaces autour de la confidentialit\u00e9 des donn\u00e9es. Et l\u2019acc\u00e9l\u00e9ration de la professionnalisation des groupes de cyber-criminels n\u2019a \u00e9chapp\u00e9 \u00e0 personne\u00a0: l\u2019industrie du malware s\u2019est d\u00e9velopp\u00e9e, et avec elle, une v\u00e9ritable \u00e9conomie parall\u00e8le de la cyber-menace s\u2019est structur\u00e9e<\/strong>, avec diff\u00e9rents corps de m\u00e9tiers. Pour faire face \u00e0 cette menace qui s\u2019organise et s'industrialise, entreprises et institutions doivent \u00eatre constamment \u00e0 la recherche de parades efficaces. Mais toutes les solutions sont-elles pertinentes\u00a0? Un bug bounty suffit-il \u00e0 d\u00e9tecter les failles pr\u00e9sentes dans les syst\u00e8mes informatiques d\u2019une entreprise\u00a0? N\u00e9gociateur de ran\u00e7on cyber est-il un m\u00e9tier du futur\u00a0?<\/p>\n <\/p>\n Le d\u00e9veloppement du march\u00e9 des cyberattaques est tel que l\u2019\u00ab\u00a0on peut aujourd\u2019hui sans aucun doute parler \u00e9conomie parall\u00e8le<\/em>\u00a0\u00bb explique S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 produits et Cyber-\u00c9vang\u00e9liste chez Stormshield. Une \u00e9conomie parall\u00e8le qui, selon les estimations<\/a>, p\u00e8serait pr\u00e8s de 1,5\u00a0billion de dollars chaque ann\u00e9e. Et un secteur qui s'organise aujourd\u2019hui comme un march\u00e9 classique avec ses marketplaces, ses fili\u00e8res de communication et de distribution, ses m\u00e9canismes d\u2019offre et de demande<\/a> ou de mise en concurrence. Voire de catalogues\u00a0: en entr\u00e9e de gamme, il est possible de se procurer des donn\u00e9es de cartes bleues pour 10\u00a0dollars, des identifiants de connexion entre 100 et 1\u00a0000\u00a0dollars, ou encore des malwares \u00e0 quelques dizaines ou centaines de dollars. Du c\u00f4t\u00e9 du haut de gamme se trouvent notamment les failles de type Zero-Day<\/em>, qui peuvent \u00eatre marchand\u00e9es au prix fort, de 500\u00a0000 \u00e0 2\u00a0millions de dollars<\/a>. Comme dans tout secteur \u00e9conomique, les agents sont \u00e0 la recherche de la meilleure rentabilit\u00e9<\/strong>. Et passent donc d\u2019une approche produit\/outils \u00e0 une approche de services\u00a0; c\u2019est l\u2019\u00e8re de campagnes malveillantes cl\u00e9s en main (Ransomware-as-a-Service<\/em> et Malware-as-a-Service<\/em>). En misant sur des attaques simples en nombre suffisant \u2013 et gr\u00e2ce \u00e0 des co\u00fbts d\u2019op\u00e9ration et d\u2019infrastructures relativement faibles \u2013, les cyber-criminels peuvent gagner gros. Ainsi, selon le cabinet Deloitte, une cyberattaque bas de gamme co\u00fbtant 34\u00a0dollars par mois peut rapporter jusqu\u2019\u00e0 25\u00a0000\u00a0dollars. Une manne financi\u00e8re qui peut devenir par la suite un fonds d\u2019investissement\u00a0; r\u00e9guli\u00e8rement en 2021, des membres du groupe LAPSUS$ postaient des offres de corruption sur le r\u00e9seau Reddit, \u00e0 destination de collaborateurs de grands groupes pr\u00eats \u00e0 monnayer leurs acc\u00e8s au r\u00e9seau interne<\/a>.<\/p>\n Et pour couronner le tout, les groupes de cyber-criminels ont parfois recours \u00e0 des techniques commerciales<\/strong> proches de celles utilis\u00e9es par les entreprises ayant pignon sur rue. S\u00e9bastien Viou confirme\u00a0: \u00ab\u00a0on trouve aujourd\u2019hui des abonnements pour obtenir de fa\u00e7on r\u00e9guli\u00e8re des moyens d\u2019attaques. Ils proposent des r\u00e9ductions, des promotions comme \u201c11 mois achet\u00e9s, un offert<\/em>\u201d\u00a0\u00bb. Et certains vont m\u00eame jusqu\u2019\u00e0 proposer des services apr\u00e8s-vente<\/a>, ajoute-t-il.<\/p>\n Les auteurs de menace arrivent de mieux en mieux \u00e0 adapter leurs demandes aux montants que leurs victimes sont sujettes \u00e0 payer compte tenu de l\u2019augmentation des co\u00fbts de reprise et du risque de subir une atteinte \u00e0 la r\u00e9putation si leurs donn\u00e9es \u00e9taient divulgu\u00e9es<\/em>.<\/p><\/blockquote>\n Le d\u00e9veloppement exponentiel de ce \u201csecteur\u201d est port\u00e9 par l\u2019\u00e9cosyst\u00e8me des ransomwares, dont \u00ab\u00a0le montant des gains peut atteindre plusieurs millions d\u2019euros et sert \u00e0 financer tout un syst\u00e8me qui se structure, se hi\u00e9rarchise et se professionnalise de plus en plus<\/em>\u00a0\u00bb, pr\u00e9cise S\u00e9bastien Viou. Un \u00e9cosyst\u00e8me (malheureusement) hyper actif, puisqu\u2019une nouvelle attaque par ransomware a lieu en moyenne toutes les 11 secondes selon Le journal du net<\/em><\/a>. Un march\u00e9 de la ran\u00e7on qui aurait \u00ab\u00a0probablement atteint un point d\u2019\u00e9quilibre<\/em>\u00a0\u00bb expliquait le Centre canadien pour la cybers\u00e9curit\u00e9 dans un bulletin publi\u00e9 fin 2021<\/a>. D\u2019apr\u00e8s ce dernier, \u00ab\u00a0les auteurs de menace arrivent de mieux en mieux \u00e0 adapter leurs demandes aux montants que leurs victimes sont sujettes \u00e0 payer compte tenu de l\u2019augmentation des co\u00fbts de reprise et du risque de subir une atteinte \u00e0 la r\u00e9putation si leurs donn\u00e9es \u00e9taient divulgu\u00e9es<\/em>\u00a0\u00bb. Cette \u00e9conomie parall\u00e8le en pleine expansion fait donc sonner toutes les alarmes chez les acteurs de la cybers\u00e9curit\u00e9. Dans la doctrine officielle, l\u2019ANSSI recommande de ne pas payer de ran\u00e7on<\/a>\u00a0: cela fait partie des premiers conseils donn\u00e9s aux victimes. Mais en pratique, cette r\u00e8gle n\u2019est pas toujours \u00e9vidente \u00e0 suivre. Comme l\u2019a r\u00e9v\u00e9l\u00e9 le Canard Encha\u00een\u00e9<\/em><\/a>, les gendarmes sont intervenus dans le cadre de la n\u00e9gociation d\u2019une ran\u00e7on pour une grande soci\u00e9t\u00e9 de transport maritime international, attaqu\u00e9e en 2020. \u00ab\u00a0L\u2019entreprise, qui risque de perdre 60 millions par jour de panne, choisira de l\u00e2cher quelques biftons<\/em>, ironisait le m\u00e9dia. Un an plus tard, gr\u00e2ce aux infos recueillies par le GIGN durant la n\u00e9gociation, les ran\u00e7onneurs seront cueillis pr\u00e8s de Kiev<\/em>\u00a0\u00bb. D\u2019autres institutions ou entreprises ont admis avoir c\u00e9d\u00e9, comme l\u2019Universit\u00e9 de Maastricht<\/a>.<\/p>\n Une situation qui ne peut pas laisser le secteur de la cybers\u00e9curit\u00e9 sans r\u00e9action. Mais avec quelle riposte\u00a0?<\/p>\n <\/p>\n Pour r\u00e9pondre \u00e0 cette menace cyber professionnalis\u00e9e, l\u2019\u00e9conomie de la cybers\u00e9curit\u00e9 s\u2019est en effet elle aussi structur\u00e9e. Rien qu\u2019en Europe, le march\u00e9 \u00e9tait \u00e9valu\u00e9 \u00e0 23,7\u00a0milliards d\u2019euros<\/a> en 2020 et devrait atteindre, selon les estimations, 43,8\u00a0milliards d\u2019euros en 2026.<\/p>\n Un march\u00e9 et un secteur qui a d\u00e9j\u00e0 fait preuve de capacit\u00e9 d\u2019adaptation<\/strong>, notamment avec le d\u00e9veloppement des bug bounties et pen-tests. L\u2019id\u00e9e, qui remonte au milieu des ann\u00e9es 1990<\/a>, consiste \u00e0 proposer des r\u00e9compenses \u00e0 celles et ceux qui parviennent \u00e0 identifier des failles dans les syst\u00e8mes informatiques des entreprises. Suffisant pour imaginer l\u2019av\u00e8nement d\u2019un syst\u00e8me vertueux, o\u00f9 les failles seraient identifi\u00e9es par les \u00e9diteurs avant les cyber-attaquants\u00a0? Pas vraiment, car s\u2019ils peuvent s\u2019av\u00e9rer efficaces, les bug bounties ont leurs limites<\/strong>. Pour le chercheur en cybers\u00e9curit\u00e9 et hacker Baptiste Robert<\/strong>, \u00ab\u00a0ils contribuent \u00e0 mettre la cybers\u00e9curit\u00e9 sur le devant de la sc\u00e8ne dans les m\u00e9dias. Mais certaines entreprises pensent \u00e0 tort que cela suffit \u00e0 assurer sa d\u00e9fense<\/em>\u00a0\u00bb. Par ailleurs, le business model associ\u00e9 \u00e0 la m\u00e9thode est critiquable\u00a0: \u00ab\u00a0tout travail m\u00e9rite salaire<\/em>\u00a0\u00bb, ass\u00e8ne-t-il. Certains amateurs ou professionnels peuvent en effet passer plusieurs semaines \u00e0 la recherche d\u2019un bug, sans obtenir de r\u00e9mun\u00e9ration s\u2019ils n\u2019y parviennent pas. Comme le constate le cofondateur de Predicta Lab, la m\u00e9thode est d\u2019autant plus questionnable que les participants sont souvent relativement jeunes, et qu\u2019ils r\u00e9sident dans des pays o\u00f9 les salaires moyens sont bas. Dans le cas de Facebook<\/a>, ce sont par exemple les chercheurs et chercheuses russes et indiens qui sont le plus souvent r\u00e9compens\u00e9s. \u00ab\u00a0On leur fait miroiter un gain potentiel qui peut faire r\u00eaver, mais ils ne sont pas assur\u00e9s d\u2019\u00eatre pay\u00e9s \u00e0 la fin<\/em>\u00a0\u00bb, regrette-t-il. Certains gagnent gros<\/a> (entre 100 000 et 1 million de dollars), mais ils constituent l\u2019exception. \u00c0 l\u2019inverse, les sommes promises sur le darknet pour la revente d\u2019informations sensibles sont souvent plus attrayantes\u2026 D\u00e9but avril 2022, Microsoft a d\u00e9voil\u00e9 son nouveau programme de r\u00e9compense pour la d\u00e9couverte de bug bounty, avec une prime maximale de... 30 000 dollars pour les vuln\u00e9rabilit\u00e9s concernant les serveurs. Une somme qui appara\u00eet comme bien faible ; \u00ab il y a fort \u00e0 parier que des dents ne manqueront pas de grincer chez les entreprises clientes de Microsoft<\/em> \u00bb, analyse Val\u00e9ry Marchive<\/strong>, dans son article publi\u00e9 sur le Mag IT<\/em><\/a>.\u00a0Des sommes \u00e0 prendre avec recul toutefois, tant il existe d'autres niveaux de bug bounties comme par exemple Microsoft (encore) o\u00f9 certains bug bounties concernant leurs plateformes peuvent atteindre jusqu'\u00e0 250 000 dollars. Certaines plateformes comme Zerodium<\/a> poussent les bug bounties au-del\u00e0 du million de dollars, voire jusqu'\u00e0 2,5\u00a0millions de dollars pour une Zero-Day sur Android. \u00ab\u00a0Zerodium n'est pas si diff\u00e9rent de certains sites de revente de Zero-Day pr\u00e9sents sur le darkweb<\/em>, ajoute Edouard Simp\u00e8re<\/strong>, Responsable Cyber Threat Intelligence Stormshield. Mais celui-ci est l\u00e9gal car il alimente un r\u00e9seau d'ench\u00e8res pour satisfaire les besoins en Zero-Day d'entit\u00e9s \u00e9tatiques que celles-ci pourront ensuite r\u00e9utiliser dans un cadre offensif cibl\u00e9. C'est aussi malheureusement gr\u00e2ce \u00e0 ce type de plateformes qu'on en arrive \u00e0 avoir des outils similaires \u00e0 P\u00e9gasus<\/em>\u00a0\u00bb.<\/p>\n Comment d\u00e8s lors s\u2019assurer que cette \u00e9conomie de la cybers\u00e9curit\u00e9 puisse r\u00e9pondre aux \u00e9volutions des menaces\u00a0? Une autre piste a \u00e9t\u00e9 explor\u00e9e\u00a0: le d\u00e9veloppement d\u2019une \u00e9conomie autour des ransomwares. Elle repose notamment sur des n\u00e9gociateurs qui servent d\u2019interm\u00e9diaires entre entreprises et cyber-criminels, dans le cadre d\u2019une attaque par ransomware<\/a>. Le Monde<\/em><\/a> d\u00e9crit ainsi leur r\u00f4le, qui \u00ab\u00a0ne se limite pas seulement \u00e0 parlementer avec les pirates\u00a0: ils aident \u00e9galement les victimes \u00e0 mieux s\u2019organiser pour surmonter cette exp\u00e9rience, qui est souvent v\u00e9cue comme une longue travers\u00e9e du d\u00e9sert<\/em>\u00a0\u00bb. \u00c0 l\u2019\u00e9vocation de ce terme, Renaud Feil<\/strong> tique. Le patron de Synacktiv<\/a>, une entreprise sp\u00e9cialis\u00e9e dans les audits de s\u00e9curit\u00e9, consid\u00e8re que le fait de n\u00e9gocier avec des cyber-criminels est \u00ab\u00a0tr\u00e8s controvers\u00e9. D\u00e9j\u00e0, parce qu\u2019il est illusoire de penser qu\u2019on a de vrais leviers de n\u00e9gociation. Contrairement \u00e0 une prise d\u2019otages o\u00f9 l\u2019attaquant est face \u00e0 un risque important voire vital si les autorit\u00e9s s\u2019en m\u00ealent, les cyber-attaquants savent que le rapport de force leur est plut\u00f4t favorable<\/em>\u00a0\u00bb, d\u00e9taille-t-il. Mais alors quelle place pour les interm\u00e9diaires en n\u00e9gociation\u00a0?<\/strong> Faut-il les interdire\u00a0? Comme \u00e9l\u00e9ments de r\u00e9ponse, le Parquet de Paris s\u2019est lui dot\u00e9 d\u2019une section cybercriminalit\u00e9 visant \u00e0 emp\u00eacher que ce type d\u2019interm\u00e9diaires ne puissent vivre des ransomwares, expliquait le capitaine Paul-Alexandre Gillot lors du FIC 2021. La question de leur interdiction s\u2019est pos\u00e9e\u2026 et se pose encore.<\/p>\n <\/p>\n Comme pour tout sinistre, faire appel \u00e0 un assureur qui propose de couvrir les cons\u00e9quences d\u2019une attaque informatique, serait-elle la solution miracle\u00a0? Le CEO de Synacktiv salue l\u2019initiative, mais privil\u00e9gie la piste d\u2019indemnisations assur\u00e9es par l\u2019\u00c9tat, sur le m\u00eame mod\u00e8le que celui qui existe en cas de catastrophes naturelles. \u00ab\u00a0Plusieurs assurances ont tent\u00e9 de se lancer sur ce march\u00e9<\/em>, pr\u00e9cise Renaud Feil. Mais elles refusaient finalement de payer les ran\u00e7ons. La plupart ont arr\u00eat\u00e9, le risque et le co\u00fbt pour l'assurance \u00e9tant tr\u00e8s important et difficile \u00e0 anticiper pour l'avenir<\/em>\u00a0\u00bb. S\u00e9bastien Viou partage cette retenue\u00a0: \u00ab\u00a0Il y a des entreprises qui deux ans apr\u00e8s avoir subi une attaque n\u2019ont toujours pas touch\u00e9 d\u2019argent de la part de leur assurance. De plus, cela semble sur le principe coh\u00e9rent de s\u2019assurer contre le vol de sa propri\u00e9t\u00e9 intellectuelle dans une entreprise, mais si l\u2019assurance paye la ran\u00e7on, n\u2019est-elle pas complice\u00a0? N\u2019entretient-elle pas le business des ransomwares\u00a0?<\/em>\u00a0\u00bb<\/p>\n C\u2019est le constat que fait Guillaume Poupard<\/strong>, directeur de l\u2019ANSSI. Au cours d\u2019une r\u00e9union sur la cybers\u00e9curit\u00e9 des TPE-PME au S\u00e9nat qui s\u2019est tenue en avril 2021<\/a>, il n\u2019a pas h\u00e9sit\u00e9 \u00e0 d\u00e9noncer le jeu \u00ab\u00a0trouble<\/em>\u00a0\u00bb de certains assureurs<\/strong>. S\u2019il estime que le paiement d\u2019une ran\u00e7on puisse para\u00eetre rationnel aux yeux d\u2019un assureur, cette approche se r\u00e9v\u00e8le selon lui contre-productive. \u00ab\u00a0Il convient de lutter contre ces acteurs, sous peine de voir un v\u00e9ritable \u00e9cosyst\u00e8me se cr\u00e9er<\/em>\u00a0\u00bb, avertit Guillaume Poupard. En France, le gouvernement penche depuis quelques mois sur le sujet, envisageant l\u2019interdiction de tout versement de ran\u00e7on par les assurances, voire l\u2019interdiction de telles assurances cyber<\/a>.<\/p>\n Mais le march\u00e9 pourrait aussi bien s\u2019effondrer de lui-m\u00eame. En janvier 2022, les prix de ces assurances ont augment\u00e9 de fa\u00e7on exponentielle, avec des hausses allant\u2026 jusqu\u2019\u00e0 100%. C\u2019est \u00ab\u00a0\u00e0 prendre ou \u00e0 laisser<\/em>\u00a0\u00bb comme le r\u00e9sume justement l\u2019AGEFI<\/a>. Certains se demandent si ces nouveaux tarifs ne signeront pas la fin d\u2019une offre. \u00ab\u00a0Il y a cinq ans, les assureurs se bousculaient pour vendre des polices d\u2019assurance cyber. D\u00e9sormais, celles-ci se vident de leur substance. Au-del\u00e0 des hausses tarifaires, le probl\u00e8me est la capacit\u00e9 et l\u2019app\u00e9tit des assureurs \u00e0 prendre du risque<\/em>\u00a0\u00bb, reconnaissait Oliver Wild<\/a>, pr\u00e9sident de l\u2019Association pour le management des risques et assurances de l\u2019entreprise. Mais les cyber-assurances doivent aussi faire face \u00e0 un autre probl\u00e8me, qui vient des cyber-criminels eux-m\u00eames. En effet, en fonction des informations qu\u2019ils arrivent \u00e0 glaner, ils prennent en compte la pr\u00e9sence d\u2019une assurance ou non dans le choix des cibles mais aussi dans le montant des ran\u00e7ons exig\u00e9es<\/a>. La ran\u00e7on de la gloire pour les assurances cyber ? Pire encore, le fait d\u2019\u00eatre assur\u00e9 ne garantit pas d\u2019\u00eatre indemnis\u00e9<\/a>, comme le relate un article publi\u00e9 en mai 2022 sur Numerama<\/em>.<\/p>\n <\/p>\n Que faire, alors, pour \u00e9viter le d\u00e9veloppement d\u2019un march\u00e9 parall\u00e8le, peu ou pas encadr\u00e9\u00a0? Pour Baptiste Robert, il convient de se rappeler que \u00ab\u00a0la s\u00e9curit\u00e9 maximum, \u00e7a n\u2019existe pas. On peut r\u00eaver \u00e0 un syst\u00e8me vertueux o\u00f9 l\u2019on d\u00e9couvre les failles en amont, o\u00f9 aucun site ou syst\u00e8me ne pourrait \u00eatre hack\u00e9, mais ce n\u2019est pas r\u00e9aliste<\/em>\u00a0\u00bb. Pour le chercheur, la meilleure solution possible reste de mettre des barri\u00e8res d\u2019entr\u00e9e aux attaquants pour tenter de les \u00ab\u00a0d\u00e9motiver<\/em>\u00a0\u00bb le plus possible. Et de faire en sorte que le co\u00fbt d\u2019une cyberattaque reste sup\u00e9rieur \u00e0 ses potentiels b\u00e9n\u00e9fices.<\/p>\n","protected":false},"excerpt":{"rendered":" C\u2019est un fait\u00a0: la tendance est \u00e0 la professionnalisation des groupes de cyber-criminels. De plus en plus organis\u00e9s, ils se structurent en diff\u00e9rentes \u201cbusiness units\u201d, de la conception \u00e0 la vente en passant par la diffusion et le support. Le point sur l\u2019\u00e9mergence d\u2019une v\u00e9ritable…<\/p>\n","protected":false},"author":31,"featured_media":271154,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1612],"tags":[4368],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[],"class_list":["post-271153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-veille-securite","tag-la-cybersecurite-par-stormshield"],"acf":[],"yoast_head":"\nDes failles informatiques \u00e0 deux millions de dollars<\/h2>\n
C\u00f4t\u00e9 cybers\u00e9curit\u00e9, la contre-attaque s\u2019organise<\/h2>\n
L\u2019assurance cyber tous risques, une fausse bonne id\u00e9e\u00a0?<\/h2>\n