lun, 09/01/2017 - 16:17
Les fournisseurs de sécurité prétendent bien souvent qu’ils sont mieux placés que leurs concurrents pour protéger les entreprises contre les cyberattaques. Tout cela est bien joli, mais quelles preuves avons-nous qu’ils disent vrai ?
Si, depuis quelque temps, chaque nouvelle année est qualifiée d’année du piratage, 2016 aura sans conteste été « l’année du rançongiciel » ou ransomware pour les intimes. Il suffit, pour s’en rendre compte, de parcourir les unes des journaux, de regarder les taux alarmants d’infection et d’examiner les pertes financières collectives qui se chiffrent en centaines de millions d’euros chaque trimestre. Microsoft, la BBC et des centaines, si ce n’est des milliers d’individus et d’entreprises en ont été victimes au cours des 12 derniers mois. La situation est grave et presque tous les experts du secteur s’accordent pour dire qu’elle ne fera qu’empirer.
Comme le produit des rançons est réinvesti dans la recherche et le développement, rien d’étonnant à ce que chaque nouvelle variante de programme malveillant soit plus puissante que les précédentes et utilise des techniques toujours plus intelligentes, capables de duper aussi bien les solutions antivirus traditionnelles que les sandbox réseau. Face à la véritable épidémie de cybercriminalité engendrée par les rançongiciels, les entreprises tentent par tous les moyens de s’assurer une meilleure protection et de trouver une solution efficace pour réduire les interruptions d’activité, les pertes de données et les risques financiers. Il ne s’agit pas d’un discours faussement alarmiste : des incidents se produisent tous les jours, comme en témoignent les innombrables rapports publiés.
La triste réalité est que les fournisseurs de sécurité vantent, sans aucune preuve à l’appui, les mérites de leurs produits, sachant qu’ils ont été conçus pour les menaces statiques du passé. Et si, ou plutôt quand, le produit se montre inefficace, vous, le client, n’avez aucun recours. Pas de garantie. Pas de politique de retour. Le procédé est comparable à celui des ventes pour cause de cessation de commerce. Les clients se sont lassés de ces arguments marketing creux, ce qui explique la crise de crédibilité dont souffre aujourd’hui le secteur de la sécurité. Nous le ressentons tous. Et ce constat ne date pas d’hier. Le problème est que nous ne savions pas comment nous y prendre pour redresser la barre.
Que pouvons-nous faire ?
Les garanties de sécurité sont un sujet presque tabou dans le secteur de la sécurité. À la vérité, les fournisseurs ne savent pas eux-mêmes jusqu’à quel point leurs produits sont efficaces, ni s’ils fonctionnent réellement. Essayez de leur demander les données de performances réelles, sur le terrain, de leur produit et voyez leur réaction. Ils éluderont la question. Soit ils ne disposent pas de telles informations, soit elles les mettraient dans l’embarras. À la place, ils s’empresseront de vous présenter une démonstration du produit spécialement « mise en scène » pour vous jeter de la poudre aux yeux et occulter les failles du produit.
Les sceptiques ou, devrions-nous plutôt dire, les défenseurs de la sécurité, ne manqueront pas de souligner qu’il est impossible de garantir une sécurité à 100 %. D’un point de vue technique, ils ont effectivement raison. N’importe quel système peut être piraté et n’importe quel dispositif de sécurité peut être court-circuité. En revanche, ils passent totalement à côté du sujet. Lorsque vous achetez un nouveau téléviseur à écran plat, une nouvelle voiture, un nouvel ordinateur ou tout autre bien de ce type, aucun des constructeurs n’osera affirmer que son produit est fait pour durer éternellement ni qu’il ne tombera jamais en panne. Cela ne les empêche pourtant pas de fournir des garanties, comme cela est d’usage dans l’industrie. C’est même une pratique exigée par le client. Si ces constructeurs et les autres grands acteurs de l’industrie moderne y parviennent, le secteur de la sécurité devrait pouvoir en faire autant. Nous n’avons tout simplement jamais essayé et il est grand temps que nous nous y mettions.
D’après le magazine Wired, le marché mondial de la cybersécurité pesait 3,5 milliards de dollars en 2004. Il était estimé à 78 milliards en 2015 et devrait atteindre 120 milliards en 2017. J’ai récemment réalisé un sondage sur Twitter pour savoir si les personnes interrogées avaient discuté des garanties avec leurs fournisseurs. Il est apparu que 21 % l’avaient fait et que 21 % envisageaient de le faire. Toutefois, 33 % des répondants ont été déroutés par la question ou ont jugé l’idée tout à fait inédite, ce qui prouve la nécessité d’une meilleure sensibilisation aux avantages des garanties de sécurité. Le concept fait cependant peu à peu son chemin. Les fournisseurs commencent à écouter les clients qui leur demandent d’engager leur responsabilité et attendent une garantie financière.
De plus, une dizaine de fournisseurs de sécurité m’ont officieusement confié qu’ils travaillaient activement à leurs propres garanties de sécurité, en partenariat avec des cyberassureurs pour couvrir leur responsabilité. C’est l’équation parfaite. Pour les fournisseurs de sécurité, la clé de la réussite réside dans la différenciation. À cet égard, la tranquillité d’esprit des clients est le nerf de la guerre. Bien qu’elles en soient encore à leurs balbutiements, les garanties de sécurité commencent à susciter l’adhésion du secteur, la perspective d’une nouvelle ère dans laquelle les fournisseurs de sécurité seront culturellement tenus d’apporter la preuve de leurs allégations. C’est tout simplement incroyable !
Quid de la cyberassurance ?
Revenons-en aux rançongiciels. La plupart des professionnels de l’informatique savent déjà fort bien que les produits traditionnels anti-programmes malveillants sont totalement inefficaces face aux menaces ciblées modernes. À titre d’exemple, le problème a pris une telle ampleur que le Lloyd’s, marché de l’assurance depuis 328 ans, a délaissé les menaces traditionnelles, telles que les incendies et les attentats terroristes, au profit de la souscription des cyber-risques.
Les rançongiciels tiennent aujourd’hui une place importante dans les polices d’assurance et les déclarations de sinistre. Selon Graeme Newman, qui travaille chez CFC Underwriting, ils comptent pour 90 % des déclarations de sinistre de ses clients. Ayant été amené à parcourir de nombreuses « conditions d’utilisation » concoctées par les fournisseurs pour s’affranchir de leurs responsabilités, Graeme Newman comprend très bien ce qui pousse les entreprises à verser les rançons. Et lorsque les victimes paient, souvent parce qu’elles n’ont pas d’autre choix si elles veulent reprendre leurs activités, cela a pour effet de renforcer et d’encourager les activités des pirates informatiques.
Comment assurer notre protection ?
Les cyberattaques sont plus intelligentes et plus furtives que jamais lorsqu’il s’agit d’échapper à la détection. Nous avons récemment découvert un programme malveillant qui était capable de déterminer s’il était ouvert sur une machine de test ou virtuelle et non sur une machine réelle. Dans le premier cas de figure, il ne s’exécutait pas, ce qui fait que la machine ne semblait pas infectée. En clair, ce type de programme malveillant intègre des fonctions « anti-criminalistiques ». Ce n’est pas la première fois que nous rencontrons un tel phénomène et ce ne sera pas la dernière.
Les souches de programmes malveillants actuelles ciblent généralement les terminaux qui, d’après les études, continuent d’être les maillons faibles de la sécurité informatique. Bien trop d’entreprises s’appuient sur des technologies dépassées pour assurer, en vain, leur sécurité.
L’acquisition et le déploiement de technologies de cybersécurité représentent un investissement conséquent en termes de ressources et de budget. Ces solutions ne devraient-elles pas suffire à elles seules à protéger les entreprises contre les risques d’attaques par rançongiciel sans qu’elles aient en plus à dépenser leurs précieux deniers dans une assurance ? Je pense bien évidemment que si. L’enjeu est trop important et les fournisseurs de sécurité bénéficient depuis trop longtemps d’un passe-droit. Il est temps pour eux de tenir leurs promesses. Faites-vous une faveur et rendez service à l’ensemble du secteur : exigez des garanties des fournisseurs de sécurité. Invitez-les à y réfléchir.
A propos de l'auteur
Jeremiah Grossman est Responsable de la stratégie de sécurité chez SentinelOne, pirate informatique professionnel, ceinture noire de jiu-jitsu brésilien, pilote de course hors route, fondateur de la société WhiteHat Security et résident de l’île de Maui à Hawaï. Il a reçu de nombreuses récompenses du secteur et a été publiquement remercié par Microsoft, Mozilla, Google, Facebook et bien d’autres entreprises de les avoir informées des vulnérabilités de leurs systèmes, une façon polie de dire « de les avoir piratées ». Il a précédemment occupé un poste de Responsable de la sécurité des systèmes d’information chez Yahoo.