Le paysage des menaces évolue à la vitesse de l’éclair, mais cela ne doit pas être un problème. Les entreprises qui suivent la directive NIS2 et le cadre des principes fondamentaux de la cybersécurité restent protégées. En effet, les nouvelles menaces suivent également l’ancienne chaîne d’élimination.
Le paysage des menaces évolue rapidement. De nouveaux bugs zero day apparaissent comme des champignons, le phishing et l’ingénierie sociale sont assistés par l’IA et les logiciels malveillants deviennent de jour en jour plus sophistiqués.
« L’époque de l’amateurisme est révolue depuis longtemps », déclare Ron Nath Mukherjee, consultant en cybersécurité chez Eset. « La cybercriminalité suit aujourd’hui de véritables processus industriels. Il y a toute une chaîne élaborée derrière. »
Mukherjee est soutenu par les autres experts en cybersécurité présents à la table ronde sur la directive NIS2, organisée par ITdaily. « C’est désormais le plus grand business au monde », ajoute Patrick Banken, Business Development Manager chez Kappa Data. « Pour la cybercriminalité, le coût annuel est déjà estimé à 10,5 billions de dollars en 2025 : la moitié du PIB des États-Unis. »
L’époque de l’amateurisme est révolue depuis longtemps.
Ron Nath Mukherjee, consultant en cybersécurité chez Eset
Mukherjee et Banken sont rejoints autour de la table par Sabine van Hoijweghen, Head of Sales et Partner chez Secutec, Bart Loeckx, Director Networking & Security chez Telenet Business, et Johan Klykens, Cybersecurity Certification Authority (NCCA) auprès du CCB.
Nouvelles attaques, même chaîne d’élimination
La question se pose alors de savoir comment les entreprises peuvent se protéger et dans quelle mesure une réglementation telle que la directive NIS2 peut être pertinente dans un paysage qui évolue si rapidement. « Nous espérons publier une mise à jour cette année avec des adaptations de nos directives concernant la directive NIS2 », déclare Klykens. « Et il s’avère que nous n’avons rien dû changer à la chaîne d’élimination. Elle reste exactement la même. »
Pour rappel, une cyberattaque réussie se compose de sept étapes :
- Reconnaissance : recherche et identification des cibles potentielles
- Armement : construction d’une charge utile avec un logiciel malveillant
- Livraison : transmission de la charge utile à la cible
- Exploitation : activation de la charge utile
- Installation : intégration d’une porte dérobée persistante, par laquelle les criminels peuvent conserver l’accès
- Command & control : communication via la porte dérobée avec les criminels
- Actions et objectifs : ici, les criminels atteignent leur but (vol de données, activation de rançongiciels…)
Même avec des moyens avancés et d’autres techniques, les criminels suivent cette chaîne d’élimination. Les organisations qui tentent de se protéger doivent briser la chaîne avant la septième étape, où les pirates récoltent le fruit de leur travail. « Nous nous concentrons donc sur les endroits où nous pouvons le faire », explique Klykens.
L’authentification multifacteur et le zero trust brisent la chaîne
Cela signifie très concrètement que les meilleures pratiques ne changent pas non plus. Klykens : « Les gens n’aiment plus m’entendre parler de l’authentification multifacteur, car c’est devenu banal, mais nous en constatons l’effet. Sans l’authentification multifacteur, le vol d’identifiants entraînait un incident majeur, aujourd’hui, avec l’authentification multifacteur, il s’agit d’un problème plus mineur pour lequel des plans de réponse standard sont prêts. »
« Le concept de zero trust est également de mieux en mieux compris », remarque Banken. « Tout ce qui passe par le net ne doit plus être considéré comme fiable. Il faut tout contrôler à nouveau. »
Le concept de zero trust est également de mieux en mieux compris.
Patrick Banken, Business Development Manager Kappa Data
Klykens confirme. « Il est possible que des identifiants soient volés, mais s’ils sont inutilisables, alors nous sommes sur la bonne voie. Nous devons examiner ce qui est possible pour un pirate après un tel événement, et limiter ces dommages secondaires. »
De cette façon, la chaîne d’élimination est brisée. Un incident peut se produire, mais cela n’entraîne pas de gros problèmes. « Nous n’allons jamais pouvoir arrêter complètement les cyberattaques, mais nous pouvons devenir plus résistants et au moins faire en sorte que le rapport coût-bénéfice ne soit plus aussi positif pour les criminels qu’il ne l’est actuellement. »
Au nom de la continuité des activités
« Nous avons maintenant la réglementation NIS2, et nous ne devons pas oublier à quoi elle sert et pourquoi elle a été créée », ajoute Loeckx. « Il ne s’agit pas de règles, mais de continuité des activités. La cyber-résilience est la base et évite les drames économiques. »
La directive NIS2 ne concerne pas les règles, mais la continuité des activités.
Bart Loeckx, Director Networking & Security Telenet Business
Le cadre Cyber Fundamentals, que Klykens a contribué à développer, a été écrit avec cet objectif en tête. Il le souligne : « Nous l’avons élaboré avant même que la directive NIS2 n’existe. »
Pris de vitesse
L’approche fondamentale des menaces ne change donc pas, ce qui fait que la réglementation NIS2 reste extrêmement pertinente, même dans un paysage des menaces en évolution. Il existe cependant quelques changements importants à constater dans les techniques d’attaque. Bien que la chaîne d’élimination ne change pas, les attaquants la parcourent de plus en plus fréquemment.
« Nous constatons que le temps pendant lequel les attaquants sont présents dans une entreprise est à nouveau plus court », déclare van Hoijweghen. « Il y a un an ou deux, nous constations que les attaquants étaient présents dans un réseau pendant des semaines ou des mois. » Le temps entre les étapes six et sept de la chaîne d’élimination était donc long : les pirates se familiarisaient avec le réseau et essayaient de recueillir le plus d’informations possible avant de passer réellement à l’action.
Nous constatons que le temps pendant lequel les attaquants sont présents dans une entreprise est à nouveau plus court.
Sabine van Hoijweghen, Head of Sales et Partner Secutec
« Ce n’est plus le cas aujourd’hui », explique van Hoijweghen. « Il s’agit généralement d’attaques éclair, et non de campagnes ciblées. Les robots automatisés pénètrent là où ils le peuvent et les pirates ne se soucient plus des analyses approfondies du réseau. Ce n’est différent que dans le cas d’attaques lourdes et ciblées. »
Des robots à la recherche d’opportunités
Loeckx insiste sur cette automatisation. « Nous devons vraiment faire prendre conscience aux gens qu’ils ne sont pas visés individuellement. Vous êtes simplement attaqué par une machine automatisée. »
« Il existe un parallèle évident avec les cambriolages classiques », estime-t-il. « Avez-vous la maison du quartier où il y a une échelle dans le jardin et où la fenêtre est ouverte ? Il en va de même dans le monde numérique. » Les opportunités sont exploitées par des robots automatisés. Quiconque ne se présente pas comme une cible facile dès la première étape de la chaîne d’élimination s’épargnera bien des ennuis.
« Il est donc très important de regarder de l’extérieur ce que l’on peut trouver de votre organisation », ajoute van Hoijweghen. « C’est ce que trouvent les robots et les cybercriminels. Pourtant, de nombreuses entreprises se concentrent exclusivement sur la gestion des actifs internes, et n’ont pas une bonne visibilité sur ce point. »
Brisez la chaîne, sauvez les meubles
La réglementation NIS2 offre un outil aux entreprises, petites et grandes, pour concentrer la protection d’une part sur la rupture de la chaîne d’élimination et d’autre part sur la garantie de la continuité des activités. Cela est pertinent pour tout le monde.
Loeckx : « Les entreprises ne doivent vraiment plus penser « que viendraient-ils chercher chez nous ». Dans un premier temps, ce n’est pas une personne physique qui recherche une faille, mais ce sont des robots qui arrivent au hasard. Et tout le monde possède des données importantes. Je me souviens de l’histoire d’une entreprise de restauration qui avait été victime d’une attaque à Noël et qui ne savait plus ce qu’elle devait livrer à qui. La continuité des activités est essentielle pour tout le monde. »
Ce sont même spécifiquement les PME qui courent un risque élevé, pour elles, il s’agit vraiment de survivre.
Johan Klykens, Cybersecurity Certification Authority (NCCA) CCB
« Ce sont même spécifiquement les PME qui courent un risque élevé », conclut Klykens. « Pour elles, il s’agit vraiment de survivre. Que se passe-t-il si une attaque de rançongiciel arrête votre flux de trésorerie pendant un certain temps ? Certaines entreprises ne survivent pas à cela. »
Le fait que les attaques évoluent et que l’IA soit aujourd’hui dans le jeu ne pose pas de problème majeur selon tous les experts autour de la table. Les fondements d’une bonne protection restent en effet les mêmes.
Ceci est le troisième article d’une série de trois à la suite de notre table ronde sur la directive NIS2. Cliquez ici pour visiter la page thématique avec les autres articles, la vidéo et nos partenaires.