QUESTIONS - RÉPONSES : LE PAYSAGE DES MENACES EN 2017 – EMEA

2017

RAPPORT SPÉCIAL / DÉCEMBRE 2016

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 2

SOMMAIRE

Introduction 3

Que réserve l'année 2017 pour la région EMEA ? 4

Dans quelles technologies de sécurité les entreprises investiront-elles en 2017 ? 6

À quoi doit-on s'attendre du côté des groupes étatiques ? 8

Quel secteur ou type d'entreprise risque de se retrouver contre toute attente dans la tourmente en 2017 ? 9

Comment les attaquants exploiteront-ils l'essor de l'Internet des objets et des systèmes cyberphysiques ? 10

Les groupes APT vont-ils poursuivre leur offensive sur les systèmes de contrôle industriel ? 12

Avec l'entrée en fonction du nouveau Président des États-Unis, que peut-on attendre de la nouvelle administration américaine ? 12

Quels malwares seront utilisés en 2017, et comment les entreprises pourront-elles les contrer ? 13

Le combat à venir 15

RAPPORT SPÉCIAL / QUESTIONS - RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 3

Même si personne ne peut préjuger de l'avenir, le secteur de la cybersécurité sait malheureusement que certains types d'attaques et délits continueront de plus belle. Depuis plus de dix ans maintenant, FireEye et d'autres experts du secteur se livrent au difficile exercice des pronostics pour l'année à venir. Certaines de ces prévisions se sont réalisées, avant de disparaître de la circulation. D'autres restent pleinement d'actualité, notamment en ce qui concerne les ransomwares, la pénurie de compétences et les menaces émanant des États.

Pour découvrir ce que nous réserve 2017, plongez-vous dans notre rapport Questions - réponses : Le paysage des menaces en 2017 — EMEA. Dans ce document, Kevin Mandia (PDG), Grady Summers (CTO) et d'autres membres de l'équipe de direction nous livrent leurs prévisions pour cette année. Vous y trouverez également des éclairages des experts Mandiant, une entreprise FireEye, chef de file incontesté en matière de protection et de neutralisation de menaces de cybersécurité avancées.

Sans oublier les contributions importantes des équipes FireEye iSIGHT Intelligence et FireEye Labs. L'équipe FireEye iSIGHT Intelligence produit une cyberveille qui donne aux entreprises des informations concrètes et contextualisées pour mieux appréhender les motivations et objectifs des attaquants, les campagnes d'attaque et leurs indicateurs techniques, ainsi que les malwares utilisés et les vulnérabilités qu'ils exploitent. FireEye Labs est quant à elle la division de recherche et analyse des menaces de FireEye. Elle  surveille et analyse continuellement les menaces détectées par ses 11  millions de capteurs déployés sur des réseaux et terminaux dans 60 pays.

INTRODUCTION

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 4

Que réserve l'année 2017 pour la région EMEA ?

Les nombreuses attaques contre le secteur financier observées en 2016 dans la région EMEA, notamment le feu nourri que subissent des systèmes critiques de type SWIFT, sonnent comme autant de rappels de l'impact considérable que peut avoir un attaquant habile et déterminé.

RAPPORT SPÉCIAL / QUESTIONS ET RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 5

Nous devrions assister à une multiplication des cyberattaques à visées politiques, généralement en lien direct avec des conflits mondiaux ou régionaux. Dans  le domaine du cybercrime à motivation financière, les attaques vont certainement gagner en agressivité et en dynamisme. En d'autres termes, les ransomwares, l'exploitation rapide des vulnérabilités connues et les malwares de vol d'informations continueront de poser de sérieux problèmes à la plupart des entreprises EMEA en 2017.

Les nombreuses attaques contre le secteur financier observées en 2016 dans la région EMEA, notamment le feu nourri que subissent des systèmes critiques de type SWIFT, sonnent comme autant de rappels de l'impact considérable que peut avoir un attaquant habile et déterminé. En 2017, ces systèmes et d'autres infrastructures critiques vont vraisemblablement conserver les faveurs de cyberpirates chevronnés et motivés par l'appât du gain. Par ailleurs, les attaquants devraient multiplier les fraudes aux cartes de crédit/débit, les virements bancaires illicites, les retraits massifs d'espèces sur les DAB, voire les compromissions de systèmes de paiement en magasin. Ils devraient donc également s'intéresser aux fournisseurs et entreprises spécialisés dans la recherche et le développement de ce type de système. Les pays moins développés, notamment, resteront une cible de choix pour les cybercriminels cherchant à rafler le contenu des DAB. En effet, ces pays sont plus susceptibles que d'autres d'utiliser des logiciels et systèmes d'exploitation obsolètes sur leurs DAB, sans compter que les systèmes de vidéosurveillance et les contrôles de sécurité physiques y sont moins présents. Une véritable aubaine pour les pirates.

L'EMEA regorge de jeunes entreprises cherchant à s'imposer sur les marchés régionaux et internationaux. La plupart des marchés et secteurs de ces pays émergents continuent d'évoluer lentement. Si  l'adoption de nouvelles technologies jouera un rôle essentiel dans la recherche de gains d'efficacité, ces entreprises devront également concentrer leurs ressources sur la cybersécurité en 2017. Selon les

observations de FireEye lors de ses nombreuses missions partout dans le monde, les entreprises en croissance sont souvent vulnérables aux compromissions et aux violations de sécurité.

Au minimum, les entreprises dont le dispositif de sécurité est moins abouti devraient contrôler la présence d'indicateurs de compromission en examinant les points d'entrée et de sortie du réseau, en analysant tous les outils de journalisation de la sécurité et en déterminant les méthodes en place pour identifier et signaler les risques de sécurité. Pour y parvenir, il leur faudra se concentrer sur les mécanismes d'authentification et de détection des compromissions de comptes utilisateur, en plus de soumettre les journaux à une analyse comportementale visant à identifier les menaces à haut risque. Pour intervenir efficacement sur une violation de sécurité, l'entreprise doit mettre en place une équipe de gestion de crise, délimiter le périmètre de l'incident, éviter les remédiations prématurées et faire appel à des services d'intervention sur incidents professionnels le cas échéant.

La pénurie de compétences en cybersécurité restera un autre grand problème de la région EMEA en  2017. Cette situation contraint les pouvoirs publics, les entreprises privées et les éditeurs de solutions de sécurité à puiser dans le même vivier de talents. À ce jeu, le secteur public sort souvent perdant puisqu'il peut rarement offrir les mêmes salaires et avantages que le privé. Ce point est tout particulièrement préoccupant dans la mesure où la numérisation progresse dans la région EMEA. De fait, les communications, le traitement des informations sensibles et le stockage de ces données passent de plus en plus par Internet et de moins en moins par des documents papier. Si le secteur public ne parvient pas à attirer des professionnels compétents pour protéger ces informations et se défendre contre d'autres menaces, il finira par perdre le contrôle des données numérisées. L'une des solutions consiste à mener des actions de pédagogie sur la cybersécurité dans la région EMEA, une autre serait que les entreprises investissent dans l'automatisation.

En 2017, nous devons nous attendre à une augmentation soutenue des attaques dans les régions moins matures en termes de cybersécurité, ce qui est le cas de l'EMEA. Le rapport FireEye M-Trends 2016 révèle en effet que le délai moyen entre une compromission et sa détection est de 469 jours dans cette

région du globe. Un constat en fort contraste avec le délai moyen mondial de 146 jours. D'autre part, l'équipe de simulation d'attaques (Red Team) de Mandiant ne met en moyenne que trois jours après l'accès initial à un environnement pour s'emparer des identifiants d'un administrateur de domaine. Il apparaît donc clairement que des progrès restent à faire, et ce dans toutes les régions.

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 6

Nos entretiens avec les directeurs et autres responsables de la sécurité informatique en 2016 ont révélé une préoccupation commune : la simplification. FireEye s'attend donc à des investissements considérables dans des solutions d'orchestration et d'automatisation en 2017.

Dans quelles technologies de sécurité les entreprises investiront-elles en 2017 ?

RAPPORT SPÉCIAL / QUESTIONS ET RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 7

Ces dernières années, les entreprises ont investi massivement dans des technologies et infrastructures de sécurité qui soit sont

peu compatibles, soit mobilisent excessivement de temps et de personnel pour surveiller et traiter la masse d'alertes générées. Les entreprises cherchant à simplifier leur environnement en  2017 miseront vraisemblablement sur l'intégration. Une seule vue centralisée de tous leurs besoins en sécurité leur permettra d'améliorer considérablement leur protection et de prendre conscience de la véritable valeur des produits achetés. Ce concept, l'orchestration de la sécurité, est en partie à l'origine de notre rachat d'Invotas début 2016.

L'automatisation est la dernière pièce de ce puzzle. Compte tenu de la pénurie de ressources affectant le secteur, elle devrait se généraliser en  2017. L'automatisation permet d'optimiser quantité de processus critiques, un atout particulièrement intéressant pour les entreprises qui peinent à tenir le rythme de menaces et cyberattaques en perpétuelle évolution. FireEye est déterminé à aider ses clients à pallier la grave pénurie d'experts en automatisant leurs processus de sécurité et en intégrant la cyberveille à leurs opérations. Les fonctionnalités d'orchestration de la sécurité devraient permettre aux entreprises de passer du stade d'alerte à la remédiation en quelques minutes.

Cela étant, tous les systèmes de cyberveille ne se valent pas. L'observation de la région EMEA  révèle un paysage de la sécurité d'une grande diversité, tant en termes de menaces que de cybermaturité. D'où le besoin essentiel d'une cyberveille fiable et instantanée pour permettre aux entreprises de prendre des

décisions avisées en fonction du risque posé à leurs activités. En effet, seul ce type de cyberveille permet non seulement de réduire le délai entre détection et reprise d'activité, mais aussi de comprendre les méthodes, les motivations et la détermination des cyberattaquants. C'est l'une des raisons qui nous a incités à racheter iSIGHT Partners. Ses solutions agissent en complément de FireEye et de Mandiant pour offrir une visibilité complète sur tout le cycle de vie des attaques, c'est-à-dire avant, pendant et après une cyberattaque ou violation de sécurité.

Nous pensons aussi que l'automatisation et la cyberveille devraient contribuer à résoudre la pénurie d'experts. Ce problème très réel ne se résoudra pas du jour au lendemain. En fait, il risque encore de s'aggraver avec l'essor de l'Internet des objets. La multiplication des objets connectés exige des connaissances spécialisées en matière de sécurité et de protection.

Face au déficit de compétences, le secteur de la cybersécurité misera sur l'innovation sous la forme d'une plus grande automatisation. En ce sens, FireEye prévoit une accélération de l'adoption d'outils de sécurité capables de réagir sans intervention humaine ou presque en cas d'attaque. Nous prévoyons également l'essor des technologies d'intelligence artificielle et d'orchestration de la sécurité dans les outils de sécurité des éditeurs et constructeurs.

Les entreprises auront tout intérêt à s'engager dans la simplification  et la consolidation de leurs technologies — un phénomène déjà observé au sein d'établissements bancaires majeurs qui doivent gérer et sécuriser des centaines d'agences et des dizaines de milliers de salariés.

Les fonctionnalités d'orchestration de la sécurité devraient permettre aux entreprises de passer du stade d'alerte à la remédiation en quelques minutes.

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 8

En  2016, nous avons assisté à une augmentation des actes d'agression manifestes de la part de la Russie, une tendance qui devrait se poursuivre en 2017. Les attaques contre le Comité

national démocrate (DNC) et d'autres organismes liés aux élections sont des exemples patents de l'agression russe. La Russie possède d'énormes moyens cybernétiques, de même qu'une excellente sécurité opérationnelle pour masquer la source de ses attaques. En outre, compte tenu de la relation complexe entre le Kremlin et les cyberpirates russes opérant dans le privé, il est très difficile d'attribuer les attaques à l'État russe et de comprendre le mode opératoire de ces groupes de pirates. Le président russe Vladimir Poutine a réfuté toute responsabilité dans les attaques, en dépit des accusations portées par le FBI et d'autres hauts responsables de la sécurité nationale américaine. Son implication reste difficile à prouver par des moyens conventionnels.

Depuis toujours, la voie diplomatique s'est révélée payante face aux cybermenaces émanant de pays comme la Russie. Il est possible qu'en 2017, voire en 2018, la Russie finisse par trouver avec les États-Unis un accord semblable à celui conclu entre la Chine et les Américains.

À quoi doit-on s'attendre du côté des groupes étatiques ?

RAPPORT SPÉCIAL / QUESTIONS ET RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 9

Le 25 septembre 2015, les présidents Barack Obama et Xi  Jinping ont en effet convenu qu'aucun des deux gouvernements ne mènerait ou ne soutiendrait délibérément le vol informatique de capital intellectuel en vue de se procurer un avantage économique. En dépit d'une diminution globale des compromissions de réseaux perpétrées par des groupes basés en Chine contre des entreprises américaines et de 25 autres pays depuis le milieu de l'année 2014, reste à voir quel sera l'impact de ces mesures probablement temporaires sur la politique chinoise en matière de cyberopérations.

Il est toutefois probable qu'en 2017, la Chine continue de mener ses cyberopérations pour réaliser des objectifs stratégiques clés. Outre les États-Unis, des pays comme le Japon, l'Australie et la Corée du Sud restent la cible d'actes de cyberespionnage de la part de la Chine. Compte tenu de certains événements géopolitiques, la menace devrait perdurer dans l'année qui vient. Même s'il faudra réévaluer la menace posée par les activités de cyberespionnage chinoises (et d'ailleurs) au fil du temps, pour l'heure, les entreprises doivent rester vigilantes.

Bien que la Chine et la Russie tiennent le haut du pavé (sans oublier l'Iran et la Corée du Nord), bien d'autres pays pratiquent le cyberespionnage. La tendance devrait se poursuivre en  2017. Ainsi, il apparaît que Hacking Team, une entreprise italienne spécialisée dans la cybersécurité offensive, comptait parmi ses clients des dizaines d'agences de renseignements et d'organismes militaires lorsqu'elle a été victime d'une violation de sécurité très médiatisée en  2015. Ainsi, pas moins de 21 pays hébergeaient des infrastructures servant au lancement d'opérations en lien avec cette entreprise.

Au cours des dernières années, ces pays et d'autres se sont procurés des outils et des conseils d'experts étrangers pour mieux comprendre le mode opératoire du cyberespionnage et d'autres types d'attaques. Dès lors, à mesure qu'ils gagneront en maturité opérationnelle et affineront leurs compétences techniques, ils seront de plus en plus nombreux à commanditer des cyberopérations ciblant des rivaux régionaux, des terroristes étrangers, des opposants au régime, des multinationales et certains gouvernements occidentaux. En outre, plusieurs cyberpuissances émergentes  — notamment en Asie du Sud et en Amérique latine  — abritent déjà des «  centres de formation  » de cybercriminels auxquels leurs gouvernements respectifs n'hésitent pas à faire appel.

Plus inquiétant encore, nombre de ces cyberpuissances émergentes ont une doctrine militaire très floue en matière de cyberopérations. De même, l'attribution des pouvoirs de commandement varie considérablement d'un pays à l'autre — du chef de l'État au simple commandant de première ligne. Sans compter qu'elles se sont souvent opposées lors de conflits meurtriers au cours des dernières décennies. Tous ces facteurs laissent à penser que ces pays seraient disposés à lancer des cyberattaques dévastatrices, notamment contre les infrastructures critiques et les services publics d'autres puissances, si les tensions devaient s'intensifier.

En 2016, nous avons assisté à une augmentation des actes d'agression manifestes de la part de la Russie, une tendance qui devrait se poursuivre en 2017.

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 10

La situation politique internationale et les enjeux de sécurité devraient entraîner une augmentation des tentatives APT d'infiltration d'institutions

religieuses sur ordre de commanditaires. De même, en dépit des informations personnelles et données sensibles qu'elles détiennent, ces  institutions sont relativement peu protégées. Elles offrent donc un excellent retour sur investissement pour tout commanditaire.

Les institutions religieuses occidentales sont tout particulièrement vulnérables. D'une part pour la convoitise qu'elles suscitent chez certains États, d'autre part par le peu d'inclination qu'ont leurs gouvernements à les considérer comme d'éventuelles cibles de cyberespionnage.

La Russie pourrait ainsi se concentrer davantage sur les missionnaires occidentaux opérant dans le pays et sur des chefs religieux influents sur la scène politique internationale. Depuis le 20 juillet 2016, de nouvelles restrictions sont entrées en vigueur concernant le prosélytisme de rue et des groupes religieux non officiels  — tout particulièrement les missionnaires mormons et les témoins de Jéhovah vivant en Russie. Il est donc probable que le cyberespionnage sera utilisé dans le but de surveiller leurs activités.

Quel secteur ou type d'entreprise risque de se retrouver contre toute attente dans la tourmente en 2017 ?

La chose n'est pas nouvelle  : un groupe de pirates commandité par le gouvernement russe, APT28, déguisait son trafic réseau malveillant en utilisant un nom de domaine similaire à celui du Vatican pour duper certaines de ses cibles.

À l'heure où des millions de Chinois profitent de l'assouplissement des libertés religieuses pour adhérer à des groupes de confession chrétienne et musulmane, la Chine pourrait penser que sa stabilité et sa sécurité publique sont menacées. Sans doute va-t-elle vouloir surveiller de près les activités des ONG religieuses opérant au sein de ses frontières, les chefs religieux possédant une base de fidèles dans le pays (notamment le Dalaï-Lama), l'impact des chefs religieux sur la politique étrangère de ses voisins ou encore le rôle des groupes religieux dans l'organisation des minorités ethniques en Chine.

L'Inde voit elle aussi grandir l'influence de l'identité religieuse sur les prises de position politiques, notamment chez les nationalistes hindous actuellement majoritaires au sein du gouvernement. La montée des tensions religieuses dans le pays pourrait facilement conduire à une récurrence des cyberattaques pour le compte de commanditaires privés ou étatiques, ce pour protester contre le traitement discriminatoire de la minorité musulmane.

RAPPORT SPÉCIAL / QUESTIONS ET RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 11

En  2017, les États devraient intensifier leurs offensives contre les systèmes cyberphysiques  — des simples équipements électroménagers grand public jusqu'aux centrales nucléaires.

Leur objectif : intimider des puissances étrangères en perturbant le fonctionnement même de l'appareil d'État, en instaurant un climat de peur et en prenant en otage les systèmes physiques à des fins de marchandages politiques.

Comment les attaquants exploiteront-ils l'essor de l'Internet des objets et des systèmes cyberphysiques ?

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 12

Globalement, la prolifération des systèmes cyberphysiques et l'essor de l'Internet des objets (IoT) devraient permettre aux attaquants de provoquer des perturbations de grande ampleur qui leur rapporteront très gros. Pour les cybercriminels habiles et motivés, il sera très lucratif de combiner à la fois des outils tels que les ransomwares et des modèles SaaS franchisés inspirés de l'économie légale. Ils permettront également d'abaisser les barrières à l'entrée pour les criminels soucieux de limiter les coûts initiaux et d'éviter la mise en place d'une infrastructure coûteuse.

La généralisation des équipements IoT offre aux attaquants une kyrielle d'appareils mal protégés ou mal surveillés qu'il est facile d'exploiter à des fins malveillantes. Cette exploitation va de la prise de contrôle des équipements IoT pour le lancement

Globalement, la prolifération des systèmes cyberphysiques et l'essor de l'Internet des objets (IoT) devraient permettre aux attaquants de provoquer des perturbations de grande ampleur qui leur rapporteront très gros.

d'attaques DDoS ou leur exploitation comme nœuds de commande et contrôle, jusqu'au vol d'identifiants réseau ou la distribution de malwares de type RAT (cheval de Troie d'accès à distance).

En termes de pouvoir de nuisance, la compromission des véhicules connectés d'un parc logistique ou de location permettra aux cybercriminels de réclamer des rançons autrement plus élevées qu'en s'attaquant aux véhicules de particuliers. Pour les loueurs ou les transporteurs concernés, la rançon, aussi importante soit-elle, sera sans doute largement inférieure au manque à gagner qu'entraînerait une interruption de l'activité. D'autres systèmes d'entreprise connectés risquent également d'être pris pour cible, là encore dans le but d'augmenter la portée de l'attaque et les gains potentiels.

RAPPORT SPÉCIAL / QUESTIONS ET RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 13

Comme nous le laissions entendre dans notre rapport « Overload: Critical Lessons from 15 Years of ICS Vulnerabilities  », les auteurs d'attaques devraient continuer de se concentrer

sur ces systèmes critiques en 2017. La plupart des pays restent très dépendants des systèmes de contrôle industriel (ICS) pour assurer des services essentiels (services administratifs, énergie et systèmes commerciaux). Pourtant, les résultats de ce rapport et les informations glanées lors de nos missions d'intervention sur incidents et simulations d'attaque montrent clairement que ces systèmes sont souvent insuffisamment protégés et rarement corrigés. Plus inquiétant encore, il n'existait encore aucun correctif de sécurité pour plus de 30 % des vulnérabilités identifiées. Les risques sont d'autant plus élevés dans les pays fortement dépendants de ressources naturelles et de l'industrie dans la mesure où les systèmes ICS jouent un rôle clé dans les usines et les exploitations minières.

La méconnaissance des systèmes de contrôle industriel constatée parmi les personnels de sécurité concernés est inquiétante, de même que la tendance à des cyberattaques toujours plus perturbatrices et audacieuses. La cyberattaque contre le réseau électrique ukrainien fin  2015 n'est qu'un exemple parmi d'autres des risques auxquels les systèmes ICS sont exposés. Ces facteurs, associés à la recherche constante de systèmes ICS vulnérables par les auteurs de menaces, risquent de conduire à des incidents perturbateurs et des tentatives d'extorsion dans de nombreux pays et métiers fortement dépendants de ces systèmes, notamment le secteur des matières premières et l'industrie lourde.

Les groupes APT vont-ils poursuivre leur offensive sur les systèmes de contrôle industriel ?

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 14

Un nouveau Président entrera à la Maison blanche en janvier  2017, offrant par là-même aux gouvernements étrangers une

occasion de tester la détermination de la nouvelle administration face à diverses provocations. Deux incidents impliquant la Chine, à savoir l'interception musclée et la collision ultérieure avec un avion de reconnaissance EP-3 Aries II en 2001 et les manœuvres d'intimidation contre le navire de surveillance américain l'USNS  Impeccable en mars  2009, se sont tous deux produits dans les 100  premiers jours de l'arrivée au pouvoir d'une nouvelle administration.

Les cybercapacités de puissances comme la Chine  — et d'autres pays  — leur donneront la

possibilité d'utiliser la portée et le relatif anonymat du cyberespace pour tester les réactions de la nouvelle administration américaine face à des provocations. Ces mesures peuvent aller de la propagande exploitant les dissensions au sein de la population américaine à la suite d'élections fort disputées, à des opérations plus agressives contre des alliés des États-Unis pour jauger la force des partenariats militaires en place.

D'autres pays autrefois plus en retrait dans ce domaine pourraient profiter de l'arrivée d'une nouvelle administration relativement inexpérimentée pour tester leurs capacités naissantes en matière de cyberopérations, contre les États-Unis ou un concurrent régional.

Avec l'entrée en fonction du nouveau Président des États-Unis, que peut-on attendre de la nouvelle administration américaine ?

RAPPORT SPÉCIAL / QUESTIONS ET RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 15

Les attaques par ransomware continuent de progresser, sans doute en raison du peu d'efforts qu'elles demandent et d'un retour

sur investissement élevé. La couverture médiatique d'attaques contre des hôpitaux et d'autres organismes en  2016 atteste de leur efficacité. Toutefois, si ces types d'attaques devraient se poursuivent en  2017, la puissance publique a porté un coup à certains groupes en démantelant plusieurs infrastructures de ransomwares et en traduisant leurs responsables en justice. Ces brigades spéciales poursuivront leurs missions l'année prochaine et aussi longtemps que le problème subsistera. À mesure que les entreprises prennent conscience de la menace, elles réagissent en sauvegardant leurs données et en testant ces sauvegardes. Elles testent également le bon fonctionnement de leurs outils et contrôles de sécurité pour améliorer la prévention et la détection des ransomwares. En 2016, le paiement d'une rançon de 17  000  dollars en bitcoins par un important centre hospitalier a fait les gros titres. Mais les médias sont restés silencieux sur le grand nombre d'entreprises qui, plus tard dans l'année, sont parvenues à se rétablir d'une infection par Locky et d'autres ransomwares grâce à leurs sauvegardes.

Les malwares basés sur des scripts  — JavaScript, VBScript, macros et PowerShell   — ont été très répandus en  2016. Selon nos prévisions, en 2017, les cybercriminels privilégierons de plus en de plus les malwares basés sur des scripts, ce en raison des progrès réalisés par les solutions d'apprentissage machine (machine learning) pour identifier les fichiers exécutables courants  de type EXE et DLL. Les malwares basés sur des scripts sont généralement plus difficiles à détecter par les solutions de sécurité. Par conséquent, ils sont de plus en plus souvent utilisés dans les campagnes par e-mail et les déplacements latéraux.

Quels malwares seront utilisés en 2017, et comment les entreprises pourront-elles les contrer ?

En particulier, les «  macro malwares  » adopteront encore des formats inattendus pour contourner les solutions de sécurité. Fin 2016, nous avons observé la propagation de macros malveillantes via des documents Microsoft Publisher (PUB), une extension inhabituelle que de nombreux filtres antispam n'ont pas su bloquer. Un autre cas similaire concernait des modèles Microsoft Word  2007 (DOTM). Au vu de cette tendance, on peut s'attendre à l'exploitation d'autres formats jusqu'ici peu exploités, notamment les fichiers PPTM créés dans Microsoft PowerPoint.

Les attaquants vont concevoir des malwares encore plus furtifs et efficaces  — une nécessité au vu du succès des technologies et contrôles de sécurité proposés par les éditeurs. Par exemple, les auteurs de menaces dissimulent du code malveillant dans des secteurs inutilisés et cherchent à modifier des tables de fichiers maîtres (MFT) et des secteurs de démarrage de volume (VBR) pour charger les malwares avant les logiciels de sécurité.

La protection de la couche  8 du modèle OSI (Open Systems Interconnection)  —  soit le niveau utilisateur — est essentielle pour éviter les infections par malwares. Les entreprises doivent mettre en place des programmes de sensibilisation à la sécurité pour limiter le vecteur d'attaque que constitue l'ingénierie sociale. Elles doivent également s'efforcer de surveiller les activités des comptes utilisateur pour détecter les comportements anormaux. Enfin, elles doivent protéger les utilisateurs d'eux-mêmes en s'assurant que les macros sont désactivées par défaut et en donnant pour instruction de ne les activer qu'en cas de nécessité absolue sur un document dont l'intégrité a été vérifiée.

RAPPORT SPÉCIAL / QUESTIONS – RÉPONSES : LE PAYSAGE DES MENACES EN 2017 — EMEA 16

Les consommateurs doivent rester vigilants. Point positif  : grâce au renforcement de la protection des systèmes d'exploitation et des applications,

il suffit aux consommateurs de respecter quelques règles de sécurité essentielles pour être relativement bien protégés. D'autres mesures préventives sont également possibles, par exemple l'authentification à deux facteurs sur tous leurs systèmes et comptes, l'utilisation de gestionnaires de mots de passe et la sauvegarde automatique des données dans l'éventualité d'une attaque par ransomware ou d'une violation de sécurité.

Les entreprises, en revanche, continueront d'être prises pour cible et engagées dans un combat qui semble bien inégal. Mandiant conseille depuis longtemps à ses clients de se préparer aux attaques car celles-ci sont inéluctables. Les entreprises doivent être prêtes à intervenir pour neutraliser les incidents. Pour cela, l'une des solutions consiste à organiser des exercices de simulation d'intervention sur des scénarios d'intrusion courants. Cette méthode permet de familiariser les participants  — notamment les cadres, les juristes et d'autres collaborateurs — aux processus et principes de l'intervention sur incidents.

Le plus inquiétant reste que les menaces qui feront parler d'elles en 2017 sont sans doute déjà à l'œuvre, dissimulées dans les systèmes et réseaux et prêtes à frapper lorsque les cyberpirates le jugeront opportun. Nous savons que la plupart des auteurs d'attaques

sont présents dans l'environnement qu'ils ciblent bien longtemps avant d'être découverts, parfois depuis plus d'un an. Au moment où vous lisez ces lignes, ces attaquants, dont la plupart sont surveillés par FireEye, sont probablement en train de se déplacer au sein des réseaux d'administrations ou d'entreprises pour en exfiltrer des données. Bon nombre des violations de sécurité qui feront la une de l'actualité en 2017, sans compter tous celles dont vous n'entendrez jamais parler, sont déjà à pied d'œuvre.

Enfin, il est important de rappeler que de nombreuses entreprises sont toujours aux prises avec des cyberattaques lancées en  2016. L'année 2017 nous livrera son lot de données actuarielles sur le coût des violations de sécurité et sur les produits et technologies de sécurité en mesure de les contrer. La publication des chiffres de 2016 devrait être utile pour toute la communauté de la sécurité. Fortes de ces informations, les entreprises seront en mesure de prendre des décisions mieux informées sur les ressources à protéger et les dispositifs à déployer pour y arriver.

LE COMBAT À VENIR

Mandiant conseille depuis longtemps à ses clients de se préparer aux attaques car celles-ci sont inéluctables. Les entreprises doivent être prêtes à intervenir pour neutraliser les incidents.

FireEye, France | 4, place de la Défense, Paris La Défense Cedex 92974 | +33 1 58 58 01 76 | france@FireEye.com FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408 321 6300 | info@FireEye.com | www.FireEye.com

www.FireEye.fr

© 2017 FireEye, Inc. Tous droits réservés. FireEye est une marque déposée de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. SP.Q&A.FR-FR.112016

Pour savoir comment FireEye peut aider votre entreprise à rester protégée en 2017, visitez notre site Web à l'adresse : https://www.fireeye.fr/company/why-fireeye.html

À propos de FireEye, Inc.FireEye® est le leader de la sécurité sous forme de service (SECaaS) pilotée par la cyberveille. Prolongement naturel et évolutif des opérations de sécurité des clients, la plate-forme unique de FireEye combine des technologies de sécurité innovantes, des services de cyberveille d'envergure internationale et les services réputés de Mandiant® Consulting. FireEye simplifie ainsi la cybersécurité et son administration, devenant un allié précieux des entreprises confrontées au casse-tête que représentent la préparation, la prévention et la neutralisation des cyberattaques. FireEye compte plus de 5 000 clients dans 67 pays, dont plus de 940 figurent au classement Forbes Global 2000.