L'évolution des besoins en cybersécurité proactive
Les crises qui se déroulent en Ukraine ont révélé de nouvelles facettes des conflits entre États-nations, dont les répercussions vont bien au-delà de la région géographique immédiate. En tant qu’entreprise mondiale, nous éprouvons une immense empathie pour tous ceux qui sont blessés, déplacés ou autrement touchés négativement par les attaques en cours, y compris nombre de membres de notre famille élargie F5. Sans négliger les aspects très réels et très humains du conflit Russie-Ukraine, nos clients nous ont également demandé de les guider sur les types de cyberattaques qu’ils pourraient voir davantage dans les jours à venir, à la lumière des événements récents. En conséquence, l’article ci-dessous vise à répondre à ces questions d’une manière simple, respectueuse et pratique.
Le rôle des cyberattaques dans les conflits entre États-nations a donné lieu à de nouvelles préoccupations en matière de cybersécurité, à une échelle différente de celle à laquelle de nombreuses organisations sont traditionnellement confrontées, soulignant encore davantage l’importance de se défendre contre les attaques sophistiquées grâce à une stratégie de cybersécurité proactive.
Avec l’évolution d’Internet, les opérations commerciales mondiales ont considérablement changé. La transformation numérique se produit à une échelle exponentielle, stimulant à parts égales les avancées technologiques et la sophistication des cyberattaques. Parallèlement, les organisations d’aujourd’hui doivent toujours faire face à des attaquants traditionnels motivés par des raisons financières, mais aussi à des États-nations et à des acteurs motivés par des causes ayant des objectifs plus larges. Bien entendu, avec l’augmentation de la sophistication des cyberattaques, les protections correspondantes doivent également évoluer régulièrement. Dans l’économie actuelle, vous êtes beaucoup plus susceptible de rencontrer des acteurs étatiques qui développent des exploits pour des vulnérabilités connues (et inconnues).
Dans la pratique, cela conduit les acteurs étatiques à développer des exploits qui ciblent en permanence l’infrastructure Internet (et les services critiques) d’autres nations. Bien que les scénarios les plus immédiats qui viennent à l’esprit soient des conflits géopolitiques entre États-nations, bon nombre des mêmes principes doivent désormais être largement appliqués aux pratiques traditionnelles de sécurité des entreprises, d’autant plus que les États-nations attaquent souvent une combinaison de ressources Internet gouvernementales et du secteur privé comme moyen de déstabilisation. En conséquence, les cyberattaques ciblées constituent une menace importante à la fois pour l’intégrité des nations et pour ceux qui tentent de mener des activités commerciales connexes avec (ou au sein de) une zone géographique ciblée. Cela a conduit à une cybersécurité proactive et continue, devenue un besoin accru pour tous les types d’organisations.
Cyberattaques ciblées
D’une manière générale, les adversaires des États-nations lancent des cyberattaques ciblées pour affaiblir gravement l’infrastructure des États-nations et perturber la fonctionnalité de leurs systèmes Internet, ce qui peut à son tour avoir un impact sur l’infrastructure financière et militaire. La figure 1 présente un exemple d’ attaque ciblée (dans ce cas, le phishing) en action.
Figure 1 : Attaque de phishing ciblée en action
Les cyberattaques ciblées sont exécutées à l’aide de codes malveillants conçus pour mener des opérations furtives. Certains exemples de codes malveillants sont les exploits (exploitation des vulnérabilités), les rootkits (falsification du noyau et du mode utilisateur pour des opérations non autorisées), les kits d'administration à distance (gestion des systèmes compromettants), les Wipers (destruction des Master Boot Records du système), les ransomwares (cryptage des données sensibles et demande de rançon) et bien d'autres. Bien que généralement désignées sous le terme de cyberattaques, ces tactiques individuelles peuvent être considérées comme des « armes numériques ».
Les attaquants des États-nations ciblent les infrastructures : Les armes numériques en plein essor
Lors des conflits entre États-nations, les adversaires mènent une grande variété d’attaques, les menaces numériques s’ajoutant à celles de nature physique traditionnelle. Les États-nations d’aujourd’hui sont parfaitement familiarisés avec la mise en œuvre de multiples séries de cyberattaques, dont voici quelques exemples marquants :
- Lancer des attaques par déni de service distribué (DoS) à partir de différents emplacements géographiques sur Internet pour détruire des infrastructures critiques et des portails de communication est une stratégie opérationnelle bien pensée lors de conflits entre États-nations. Par exemple, des adversaires peuvent être déterminés à affecter des sites Web à vocation militaire utilisés pour gérer les affaires internes afin de perturber les communications officielles. Les portails Web des institutions financières sont également généralement destinés à avoir un impact sur les opérations bancaires et financières.
- Déclencher des attaques de destruction de données en distribuant du code malveillant avancé via des attaques de téléchargement par inadvertance. Le code malveillant est soit hébergé sur les portails Web compromis, soit joint à des e-mails de phishing (ciblés par nature) et, à l'aide de l'ingénierie sociale, les utilisateurs ciblés sont obligés d'interagir avec le portail Web ou l'e-mail de phishing pour installer du code malveillant sur les systèmes ciblés. Une fois le code malveillant installé, il a la capacité d’effacer des systèmes complets en supprimant des données et en rendant le système inutilisable.
- Le vol de propriété intellectuelle (PI) lors d’un conflit temporel est également l’une des principales cibles des adversaires des États-nations. Le raisonnement est généralement le suivant : Si l’infrastructure d’un État-nation est déjà compromise, il peut y avoir une opportunité de voler de la propriété intellectuelle qui pourrait être utilisée à diverses fins ultérieurement.
Dans le même ordre d’idées, voici une brève description des cyberattaques notables susceptibles d’être utilisées comme « armes numériques » dans les conflits entre États-nations :
| Type de cyberattaque | Nom de code malveillant (« Arme numérique ») |
Caractéristiques |
|---|---|---|
| Déni de service distribué (DDoS) | Botnet inconnu | Déni de service : Impact sur la disponibilité des infrastructures critiques telles que les portails Web des institutions financières, militaires, etc. |
| Distribution de logiciels malveillants | Porte des murmures | Destruction des données et blocage du système : Corruption du Master Boot Record (MBR) des systèmes compromis et cryptage des fichiers sensibles |
| Distribution de logiciels malveillants | Essuie-glace hermétique | Destruction des données et blocage du système : Corruption et effacement des fichiers sensibles sur les systèmes compromis |
Tableau 1 : Un code malveillant susceptible d'être utilisé dans des cyberattaques lancées lors de conflits entre États-nations
En utilisant les armes numériques énumérées ci-dessus, les acteurs étatiques peuvent lancer une série d’attaques de grande envergure pour avoir un impact grave sur les infrastructures détenues par les gouvernements et les organisations. Cela fait généralement partie d’une stratégie plus vaste visant à perturber la capacité de l’État-nation à communiquer librement et à perturber à la volée les systèmes financiers et militaires en contournant l’intégrité, la disponibilité et la confidentialité des systèmes actifs de l’infrastructure.
Encore une fois, même si cela peut sembler plus immédiatement pertinent pour les États-nations en conflit, il existe un risque plus large lorsque les outils et les exploits utilisés dans ces attaques se frayent un chemin dans le paysage des menaces plus vaste. (Un exemple historique de cela est le bug NotPetya de 2017.)
Sécurisation des infrastructures critiques
La cybersécurité proactive est devenue l’approche incontournable. Alors que les gouvernements sont généralement responsables de veiller à ce que les infrastructures critiques (y compris les portails Web militaires, les sites Web des institutions financières, y compris l'infrastructure SCADA) soient surveillées et protégées en permanence contre les cyberattaques, les frontières entre la sécurité des secteurs public et privé sont devenues beaucoup plus nuancées. Dans l’ensemble, la sécurisation de l’infrastructure réseau et des applications déployées est essentielle pour contourner les attaques réseau telles que les attaques DDoS et les codes malveillants distribués sur le réseau afin de préserver l’intégrité des ressources de l’infrastructure sans affecter la disponibilité. Plus important encore, il est également nécessaire de protéger les applications critiques contre les attaques HTTP. L’aspect le plus important est de garantir que la communication sur Internet reste ininterrompue. Pour cela, les organisations doivent s’assurer que leur infrastructure est dotée de mécanismes de sécurité pour lutter contre les cyberattaques.
Les premières étapes vers une cybersécurité proactive
Le rythme accéléré de la transformation numérique a entraîné l’adoption d’applications modernes par les gouvernements et les organisations pour atteindre l’efficacité opérationnelle. Cependant, ces applications nécessitent une protection contre les cyberattaques avancées, qui peuvent être ciblées ou de grande envergure. Il devient encore plus important en période de conflit entre États-nations de garantir que les applications critiques puissent rester disponibles. Les gouvernements et toutes les organisations doivent rester vigilants quant aux points clés suivants à prendre en compte :
- Les applications Web et les API sont omniprésentes dans le paysage numérique actuel. Les protéger contre les abus et les attaques est primordial pour maintenir une posture de sécurité positive. Les services et solutions tels que Web App and API Protection (WAAP) offrent non seulement une protection contre les attaques Web, mais incluent également des fonctionnalités de sécurité natives.
- L’exploitation et les abus ne sont pas les seuls moyens d’attaque. Les attaques par déni de service peuvent empêcher l’accès aux ressources critiques. Une stratégie de cybersécurité proactive doit également inclure la capacité de contourner les attaques DoS basées sur les applications pour garantir que les applications critiques restent disponibles.
- Être proactif nécessite également la capacité d’identifier les signes d’une éventuelle attaque. La plupart des organisations n’ont pas la capacité de détecter les attaques de manière précoce en raison d’une visibilité incomplète sur toutes les applications, infrastructures et environnements. La santé des actifs numériques est déterminée par des signaux numériques et constitue un élément fondamental de la cybersécurité proactive. Une stratégie d’observabilité qui permet la détection précoce d’attaques potentielles offre la possibilité de réagir rapidement et de neutraliser une attaque.
La construction d’une posture de cybersécurité solide et robuste doit inclure la disponibilité, c’est-à-dire que l’on peut toujours utiliser des applications critiques si elles sont attaquées. Assurer la sécurité avec résilience et une disponibilité ininterrompue sont les critères de référence de la cybersécurité proactive, sachant que les menaces (et les mesures d’atténuation) ne cesseront jamais d’évoluer.