Les cyberattaques de grande envergure se comptent déjà par dizaines, alors que l’année 2016 n’est même pas à sa moitié. Pour y remédier, chaque entreprise adopte sa propre stratégie et parade, mais peu d’entre elles mettent en place des moyens de les anticiper et de les prévenir. Il existe pourtant un moyen simple d’anticiper ces genres d’attaque : se servir de l’intelligence appliquée au cyber défense. C’est-à-dire opter pour le cyberdéfense active.
L’importance de connaître l’ennemi
Pour anticiper les attaques, il est nécessaire de connaître le fonctionnement des infrastructures et celui des cybercriminels. Cela ne sera possible qu’avec une analyse minutieuse de leur mode opératoire. Avant d’attaquer, les hackers s’attachent à recueillir le maximum d’informations sur leurs cibles. Parfois, ils vont même jusqu’à utiliser des techniques de social engineering pour détecter une faille. Il est courant qu’un employé peu prudent clique sur un lien sans le moindre doute et ainsi « faire entrer le loup dans la bergerie ». Justement, c’est cette approche ciblée et proactive que les entreprises doivent appliquer.
Certaines entreprises de grande envergure ont déjà compris l’importance de connaître l’ennemi et leurs services informatiques. Ils procèdent à des audits dans le but d’identifier, de comprendre et de prévenir les failles potentielles. Pour un début, la mesure est louable, mais elle est loin d’être satisfaisante face à la complexité toujours évolutive des techniques de cyber crime. La difficulté réside dans le fait que les audits soient fondés sur ce que l’on sait, alors que les criminels utilisent des techniques que nous n’avons pas encore mises à jour. Et c’est exactement là que l’intelligence appliquée au cyber sécurité trouve tout son sens. Les solutions ponctuelles, comme les antivirus, sont utiles pour parer les micro-attaques quasi anodines qui ciblent les entreprises au quotidien. Elles permettent de documenter ces attaques. Les audits et autres tests apportent de l’information supplémentaire. L’intelligence, elle, consiste à tirer profit de ces informations corrélées pour bénéficier d’une vision globale du réseau.
Ne pas tout surveiller
L’intelligence de la cyberdéfense devient de plus en plus efficace à mesure que le volume d’informations dont l’entreprise dispose sur son réseau augmente. Il est, par exemple, plus facile d’évaluer le risque d’un flux sortant de données si l’on est capable de le comparer à d’autres. Il faut donc identifier des comportements suspects. Donc, il faut tout surveiller ? La réponse est « non » puisque certaines parties du SI sont plus exposées aux dangers que d’autres. C’est le cas du DNS, qui est certainement la porte dérobée préférée des cybercriminels. Pourquoi ? Parce que la majorité des entreprises ne savent même pas qu’elle existe.
Le DNS est le protocole qui permet la navigation internet et implique qu’aucune entreprise ne peut s’en passer. C’est aussi un protocole ancien et donc souvent ignoré. Il est à la fois utile et dangereux. Grâce au DNS, plus de 91 % des malwares échappent aux canaux classiques. Ils utilisent ces derniers pour créer un canal de communication avec leur centre de commande. On connaît également des cas d’exfiltration des données utilisant le DNS. Cela ne concerne qu’une partie des attaques de malware, mais le risque associé est très important. Ils volent en effet des petites quantités de données pendant de longues périodes. L’intelligence permet de se défendre contre les attaques actuelles, mais également contre leurs versions avancées du futur. En même temps, il ne faut jamais abandonner. Comprendre les différentes possibilités des cybercriminels est primordial, ils seront toujours imaginatifs et nous nous devons de les défier.