Les pirates informatiques et les défenseurs exploitent la conception et le machine learning - Guide 2018 sur la cybersécurité : HP
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide 2018 sur la cybersécurité : Les pirates informatiques et les défenseurs exploitent la conception et le machine learning
Table des matières 03 _Introduction 04 _Section 1 : Le rapport de situation 09 _Section 2 : Penser comme Léonard de Vinci — Il faut plus d’art dans la science de la cybersécurité 16 _Section 3 : De l’autre côté du miroir — Machine learning et intelligence artificielle 21 _Notes de fin © Copyright 2018 HP Development Company, L.P.
HP Inc. — Page d’accueil
Partout dans le monde, les vies et les moyens de subsistance se déplacent de plus en
plus en ligne, les mondes physique et numérique commencent à se chevaucher, et les
monnaies numériques sans équivalent dans le monde réel permettent d’acheter des biens et
services du monde réel. L’intelligence artificielle (IA) pilote des véhicules autonomes, trouve
quotidiennement de nouveaux médicaments potentiels et personnalise les cours pour aider
les étudiants à apprendre1,2,3. En même temps, des médecins pratiquent des chirurgies depuis
l’autre côté du globe par le biais d’Internet et de robots commandés à distance, tandis que les
capteurs en réseau bousculent les industries, de la production d’énergie aux transports en
commun4. La liste des industries révolutionnées par les capteurs, les machines intelligentes et
les microprocesseurs s’allonge d’année en année.
Une chose qui ne change pas : la présence d’acteurs criminels et politiques malintentionnés qui
Rapport 2018 sur la cybersécurité
cherchent à exploiter les vulnérabilités pour en tirer profit dès que l’occasion se présente. Et bon
nombre de ces outils et techniques qui apportent des avantages considérables à la société
facilitent également les actes malveillants et les rendent plus préjudiciables. Les logiciels
Introduction
malveillants, l’hameçonnage et les attaques par déni de service distribué (DDoS) ne sont que
quelques-unes des arnaques qui se sont greffées sur les percées numériques qui font
progresser notre monde.
Pour les professionnels de la sécurité de l’information, se défendre avec succès contre ce flux
continu d’attaques en ligne est à la fois un cauchemar et une raison de se lever le matin.
Qui gagne — les attaquants ou les défenseurs ? Étant donné le rythme quotidien des intrusions
réussies qui paralysent les opérations des entreprises et effacent des millions de dollars en
valeur boursière du jour au lendemain, il est difficile de le dire5.
Pour mettre en lumière le paysage actuel et futur de la cybersécurité, nous nous sommes
entretenus avec des experts dans ce domaine pour créer ce guide actualisé. HP a fait appel
à certains des plus éminents penseurs en matière de sécurité de l’information pour aider les
personnes responsables des initiatives de sécurité de l’information dans les entreprises à
comprendre toutes les solutions disponibles pour la prévention des dommages causés par
la cyberinsécurité.
3HP Inc. — Page d’accueil
Section 1 :
Le rapport
de situation
Section 1 —Le rapport de situation
Rapport 2018 sur la cybersécurité
4HP Inc. — Page d’accueil
Un nouveau Aujourd’hui, 6 à 11 millions de nouvelles infections par des logiciels malveillants seront
spécimen de enregistrées sur des ordinateurs n’utilisant qu’un seul type de logiciel antivirus6. Environ 700
attaques d’hameçonnage seront lancées dans l’espoir d’inciter des personnes peu méfiantes à
logiciel malveillant
cliquer sur un lien frauduleux qui permettra à un escroc de voler leurs données personnelles ou
d’accéder à un réseau d’entreprise7. Un nouveau spécimen de logiciel malveillant apparaîtra sur
Internet toutes les quatre secondes environ8.
apparaîtra sur Un nombre inconnu de pirates informatiques dépenseront environ 150 $ pour louer un
réseau de zombies (ou botnet) pendant une semaine et lancer une attaque de déni de service
Internet toutes distribué (DDoS) visant à faire tomber un service en ligne ou un réseau en l’inondant de trafic9.
Cumulativement dans le monde entier, ces attaques distribuent régulièrement 500 gigabits par
les quatre
seconde de données sur les serveurs des entreprises et des gouvernements pour saturer la
Section 1 —Le rapport de situation
Rapport 2018 sur la cybersécurité
bande passante du réseau et fermer les cibles10,11.
secondes environ.
Pendant ce temps, des millions d’ordinateurs, d’imprimantes, de caméras, de thermostats
sur réseau et autres appareils connectés (IoT) ne sont pas sécurisés. Les derniers correctifs
de sécurité ne sont pas installés et ces appareils attendent simplement qu’une personne
malintentionnée trouve cette porte ouverte sur les données les plus sensibles d’une
organisation12.
Le résultat est un flux constant de reportages sur les intrusions réussies dans des réseaux qui
devraient être sécurisés. Au cours des premiers jours de 2018, un ransomware a provoqué
la fermeture d’un réseau hospitalier régional et exigé un paiement par bitcoin, tandis qu’une
administration locale et tous les systèmes informatiques d’une école d’un comté des États-Unis
ont été touchés13,14,15. Dans le même temps, une faille de sécurité massive a été découverte
dans des processeurs. Par conséquent, tout ordinateur moderne sur lequel aucun correctif n’est
installé présente un danger16.
Il est clair que ces attaques — presque toutes motivées par l’argent — ne ciblent pas
seulement des groupes comme les violations de données subies par les banques indiennes de
2016 ou des organisations majeures comme Sony, Equifax et Yahoo16. Les pirates cherchent
aussi à escroquer des petites et moyennes entreprises, des fournisseurs de soins de santé, des
administrations publiques et d’autres réseaux18. En fait, l’intérêt financier est tel que la menace
se multiplie. Selon une analyse, le coût de la cybercriminalité d’ici 2021 s’élèverait à 6 trillions de
dollars, un montant supérieur aux profits du trafic de drogue à l’échelle internationale19.
5HP Inc. — Page d’accueil
Pour chaque 100 lignes
de code source écrites.....
Ne négligez pas l’évidence on compte
généralement
Ces menaces ne sont que trop familières pour Jason O’Keeffe, expert en sécurité de un défaut...
l’information et conseiller en matière de sécurité des impressions chez HP. Il est bien conscient
que les personnes malintentionnées bénéficient de l’aide involontaire des utilisateurs
d’ordinateurs et de défenses de cybersécurité insuffisamment déployées, et profitent de
l’absence ou du manque de personnel dédié dans de nombreuses organisations20.
Lors de ses évaluations des vulnérabilités des réseaux informatiques d’entreprises, M. O’Keeffe a
observé toutes sortes de problèmes qui facilitent le travail d’un pirate informatique, y compris des
omissions flagrantes de la part des services informatiques qui devraient être mieux informés.
Section 1 —Le rapport de situation
Rapport 2018 sur la cybersécurité
Au cours d’une de ces évaluations, il a été demandé à Jason O’Keeffe d’explorer l’infrastructure
informatique d’un très important constructeur. Parmi les nombreux problèmes découverts,
il a constaté que les mots de passe par défaut définis en usine n’avaient pas été modifiés sur Il suffit
au pirate
90 % des 36 000 imprimantes de l’entreprise réparties sur le réseau, ce qui permettait ainsi à
quiconque possédant le savoir-faire nécessaire de contourner toutes les mesures de sécurité
de ces appareils. En creusant un peu plus, il a constaté que de nombreuses imprimantes étaient
de trouver
mal configurées, ce qui aurait pu permettre à un tiers d’accéder aux imprimantes et de les
reconfigurer pour voler les données sur le réseau — ou les détourner pour servir de réseau de
celui qui lui
zombies. « Le vice-président a violemment tapé sur la table et a dit : Jason, tu te fous de moi ? »
se souvient M. O’Keeffe. « Il était furieux. »
donne accès
Et avec la prolifération rapide des appareils connectés et intelligents de l’IoT et d’autres
machines connectées à la fois à l’Internet externe et au réseau interne de l’entreprise sans
aucune authentification adéquate nécessaire, les malfaiteurs ont à leur disposition un nombre
au système.
croissant de points d’accès. IL est fini le temps où un responsable de la sécurité de l’information
pouvait se satisfaire du travail bien fait une fois que les serveurs critiques essentiels aux
activités de l’entreprise étaient suffisamment protégés. Aujourd’hui, ces mesures de sécurité
doivent s’étendre aux millions d’appareils connectés dans les bureaux distants — et dans les
poches des employés.
« Nous essayons de protéger les ordinateurs, les serveurs et les autres parties centrales des
réseaux, mais ce sont les appareils IoT qui font courir le plus grand risque aux réseaux »,
explique Shivaun Albright, Directeur technique Sécurité de l’impression chez HP21. « Pour chaque
100 lignes de code source écrites, on compte généralement un défaut. Donc, il suffit au pirate
de trouver celui qui lui donne accès au système. Nous voulons nous assurer de réduire ces
points d’exposition autant que possible. »
6HP Inc. — Page d’accueil
Un accès illimité
La résiliation d’un profit massif stimule l’innovation et la créativité des pirates d’aujourd’hui.
Les réseaux de zombies, ces outils automatisés constitués d’appareils connectés piratés —
figurent parmi les plus grandes menaces, selon M. Albright. Pour créer un réseau de zombies,
les escrocs détournent les processeurs des machines non sécurisées, puis utilisent les appareils
compromis pour extraire du bitcoin — ou ils peuvent louer leur réseau de zombies à d’autres
pour lancer des attaques DDoS et exiger une rançon22.
Étant donné le nombre des tentatives d’intrusion qui se produisent constamment et le
nombre croissant de façons dont les pirates informatiques peuvent entrer, M. O’Keeffe et
Section 1 —Le rapport de situation
Rapport 2018 sur la cybersécurité
d’autres experts affirment qu’il serait peut-être préférable que les responsables de la sécurité
considèrent d’ores et déjà que leurs réseaux périphériques sont compromis.
« Les intervenants de la sécurité doivent pleinement accepter que leurs réseaux peuvent déjà
être compromis — ils ne le savent tout simplement pas encore », précise M. O’Keeffe.
Sur la cinquantaine de protocoles de cybersécurité de petites et grandes entreprises qu’il a
analysés, M. O’Keeffe indique que chacun d’entre eux présentait des failles de sécurité qui
permettraient à un pirate d’accéder au réseau par l’intermédiaire de l’une des imprimantes, des
caméras ou de l’un des appareils mobiles ou autres terminaux qui y sont connectés.
Pour assurer la sécurité d’un réseau, il est donc capital de donner aux informaticiens les outils
nécessaires pour détecter les intrusions et protéger les terminaux. Ils représentent en effet des
possibilités d’accès qui sont facilement négligées et qu’un ennemi déterminé exploitera s’ils
ne sont pas correctement défendus. Et en cas d’intrusion, souligne M. O’Keeffe, il est essentiel
d’avoir mis en place une réponse de récupération solide pour contenir les dommages et
remédier rapidement aux dégâts causés.
Daniel Kalai, fondateur de sociétés de services informatiques gérés dont Shieldly, une
entreprise de cybersécurité pour les particuliers et pour petites entreprises, convient avec
Madame Albright et M. O’Keeffe qu’il est capital de concentrer les efforts sur la sécurisation des
entités de périphérie et des terminaux d’un réseau23. Il estime toutefois que l’accent est mis la
récupération au détriment de la prévention. Il réfute l’idée qu’il soit inévitable, dans le paysage
numérique actuel, qu’un réseau soit compromis.
7HP Inc. — Page d’accueil
« La cybersécurité était autrefois une question de prévention », indique M. Kalai. « Mais Les logiciels malveillants deviennent de plus
maintenant, l’essentiel porte sur les correctifs. C’est une bien triste façon de voir les choses qui
vient du fait que les gens perdent confiance dans les outils de prévention. Mais beaucoup de en plus intelligents
choses peuvent être faites pour prévenir une attaque. »
Jonathan Griffin, chercheur principal en sécurité pour HP Labs, affirme qu’il constate de plus en
plus de violations très médiatisées qui produisent un « niveau choquant de dommages et de
Le prix de l'échec destruction », y compris le ransomware NotPetya en 2017, qui a affecté des entreprises aux
États-Unis et en Europe, et dont l’objectif principal semble avoir été purement de détruire27.
Comme pour beaucoup d’autres attaques réussies, la défense contre WannaCry était disponible
Une meilleure utilisation des dispositifs, des normes et des protocoles de sécurité améliorerait
avant le début de l’épidémie. Malheureusement, de nombreuses organisations, grandes et petites,
certainement les résultats pour ceux qui instituent leurs programmes de cyberdéfense avec
n’avaient pas installé les simples correctifs logiciels qui auraient permis d’empêcher l’intrusion.
diligence. Mais les chiffres du monde réel montrent qu’il existe un écart énorme entre la
Section 1 —Le rapport de situation
Rapport 2018 sur la cybersécurité
planification et l’exécution23.Et bien que les mêmes menaces visent toutes les organisations, le Mais les piratages réussis ne témoignent pas seulement d’une sécurité laxiste. Au malware
problème est amplifié pour les petites entreprises parce qu’elles n’ont pas les mêmes moyens lab d'HP, Jonathan Griffin et son équipe ont remarqué que les logiciels malveillants sont
financiers, le même temps et les mêmes ressources éducatives à investir dans la sécurité que devenus plus gros et plus complexes au cours des trois dernières années. Ces programmes ont
les grandes organisations25. maintenant une fonctionnalité considérablement améliorée, comparable à celle d’un logiciel
commercial bien conçu et de haute qualité. Selon M. Griffin, les pirates informatiques criminels
C’est pourquoi chaque personne chargée de la sécurité de l’information d’une entreprise a
et financés par les États sont des techniciens bien organisés et hautement compétents qui
besoin qu’on lui rappelle les enjeux : la possible perte de millions de dollars, de la crédibilité et
améliorent constamment leur métier et incorporent de nouveaux outils, comme le machine
de la confiance aux yeux des clients, les poursuites judiciaires et la perturbation massive
learning, qui permet aux systèmes d’apprendre de l’expérience et de s’améliorer par eux-
des activités.
mêmes sans être explicitement programmés.
Selon un rapport du Ponemon Institute, un groupe de recherche indépendant sur la sécurité de
l’information, l’atteinte à la protection des données a coûté en moyenne 3,62 millions de dollars
en 201726. Les chercheurs ont interrogé des représentants de 419 entreprises dans 13 pays et
ont constaté que chaque dossier perdu ou volé coûtait en moyenne 141 dollars, un montant qui La complexité croissante des attaques combinée à
s’ajoute rapidement à la dissémination croissante de ces incidents. En fait, l’étude a révélé que l’attention insuffisante accordée à la cybersécurité
l’ampleur de l’infraction moyenne a augmenté de 1,8 % d’une année sur l’autre en 2017. amplifie les risques pour les réseaux d’entreprises.
Toutes les entreprises qui ont partagé leurs informations avec Ponemon ont signalé une
violation de la sécurité due à une attaque malveillante ou criminelle, un dysfonctionnement du
système ou une erreur humaine. Le nombre de dossiers compromis dans chaque incident allait La complexité croissante des attaques combinée à l’attention insuffisante accordée à la
de 2 600 à un peu moins de 100 000. Il a fallu aux entreprises qui ont participé à l’étude plus de cybersécurité amplifie les risques pour les réseaux d’entreprises. Heureusement, note M. Griffin,
deux mois, en moyenne, pour identifier et contenir la brèche. de nombreux informaticiens et ingénieurs du monde entier travaillent à améliorer les défenses.
Et les experts indiquent que les organisations réalisent enfin que le déploiement d’un pare-feu
et d’un logiciel antivirus n’est que le début d’un programme efficace, avec des défenses en
couches et une détection des intrusions.
8HP Inc. — Page d’accueil
Section 2 :
Penser comme
Léonard de Vinci —
Section 2 — Penser comme de Vinci
Rapport 2018 sur la cybersécurité
Il faut plus d’art
dans la science de
la cybersécurité.
9HP Inc. — Page d’accueil
Les menaces à La formulation Homme de la Renaissance — pour faire référence à une personne dont les
la cybersécurité talents couvrent des domaines disparates — a été créée en s’inspirant de Léonard de Vinci.
Le peintre de chefs-d’œuvre comme La Cène et la Joconde était autant un ingénieur qu’un
actuelles et
artiste. En tant qu’ingénieur militaire pendant près de deux décennies, de Vinci a fortifié le
système de défense de Milan tout en inventant et en améliorant ses armes. Tout au long de sa
vie, il a également créé et perfectionné des techniques de construction de ponts et amélioré des
nouvelles exigent
composants de machines ,tels que les engrenages à vis sans fin et les volants d’inertie. Il était
expert en hydraulique et a même conçu une automobile à ressorts.
un mélange d’art
Le monde de la cybersécurité pourrait tirer quelques leçons du maître. Les menaces sur la
cybersécurité actuelles et nouvelles exigent un mélange d’art et de science — en particulier en
ce qui concerne la conception.
Section 2 — Penser comme de Vinci
Rapport 2018 sur la cybersécurité
et de science. Les personnes chargées de la sécurité de l’information d’une entreprise doivent examiner tous
les actifs physiques et numériques liés à l’organisation, leur localisation sur le réseau, la façon
dont ils se connectent et leur relation avec d’autres actifs. Plus important encore, l’utilisation
réelle des terminaux tels que les smartphones, les imprimantes et les ordinateurs portables
par les employés dans le cadre de leur travail devrait être au centre de la sécurité et de la
conception de l’architecture.
Après tout, la meilleure défense assure la sécurité du réseau sans même que les utilisateurs
sachent qu’elle est là. Voici une devise utile que les responsables de la sécurité de l’information
doivent garder à l’esprit : Utilisez de la technologie intelligente, soyez invisible et évoluez avec
la menace.
Une surveillance active est essentielle
Allen Kent est consultant en cybersécurité. Il travaille pour NAES Corporation, une entreprise
qui fournit une gamme de services aux industries, de la production d’électricité à la fabrication
de pâtes et papiers28. M. Kent examine les centrales électriques jusqu’à 24 fois par an à la
recherche de lacunes en matière de cybersécurité. Il est appelé à vérifier les producteurs
d’électricité, les propriétaires de systèmes de transmission et les distributeurs afin qu’ils soient
prêts pour les vérifications de leur cyberdéfense mandatées par le gouvernement fédéral.
10HP Inc. — Page d’accueil
par exemple, les ordinateurs de l’usine seraient séparés de ceux qui gèrent les opérations
commerciales) ; et mettre en place des protocoles, des personnes et des logiciels pour
surveiller activement tout cela. Il s’agit d’un modèle standard de cybersécurité appelé défense
périmétrique : Il construit des murs numériques et des systèmes de détection d’intrusion pour
empêcher les intrus d’entrer.
Aujourd’hui, cependant, il existe de nouvelles armes qui donnent aux responsables de la
cybersécurité un rôle encore plus offensif. Il n’y a pas si longtemps, les experts pensaient
qu’aucune stratégie de prévention ne pouvait détecter toutes les nouvelles menaces qui
surgissent sur Internet. Mais les outils de détection automatisés d’aujourd’hui commencent à
Ces vérifications fédérales ont lieu tous les trois à six ans, selon l’incidence probable d’une
surveiller leurs réseaux en action pour apprendre comment les données se déplacent à travers
intrusion dans l’entité sur la stabilité de l’ensemble du réseau électrique. Étonnamment, la
ces réseaux. Ils peuvent ainsi détecter et empêcher les intrusions de dégénérer en incidents
Section 2 — Penser comme de Vinci
Rapport 2018 sur la cybersécurité
plupart des générateurs d’électricité sont généralement considérés comme ayant un faible
préjudiciables. Un événement apparemment insignifiant, tel qu’un ordinateur portable envoyant
impact. Un problème systémique au centre de contrôle de l’autorité d’équilibrage, qui gère les
plusieurs gigaoctets de données à partir d’un réseau qui transmet normalement des centaines
fluctuations de l’offre et de la demande d’électricité entre les régions et le pays, pourrait avoir un
de mégaoctets, peut déclencher une alarme.
impact majeur.
Avant de commencer à travailler avec l’infrastructure critique de la production d’électricité,
M. Kent œuvrait dans la cybersécurité au sein du secteur bancaire. Cela fait par conséquent des
années qu’il trouve des solutions pour contrer les menaces des syndicats du crime organisé et Les quatre piliers de la cybersécurité des réseaux :
des entités de l’État-nation. Il explique qu’en dépit des efforts supplémentaires considérables
nécessaires aux opérateurs électriques pour se conformer aux normes fédérales, contrairement
au secteur financier, le niveau de cybersécurité du secteur de l’électricité est en réalité 01 Installer un pare-feu
acceptable. « Pas génial », dit-il, « mais correct. »
L’un des plus grands défis auxquels M. Kent est confronté, dit-il, est de faire comprendre aux 02 Surveiller et filtrer
responsables qu’il n’existe pas de solution de cybersécurité « toute prête » suffisante pour
être installée et oubliée. « Les défenses doivent être surveillées en permanence », précise-t-il.
tout contenu dangereux
« Mais la plupart des petites entreprises, quel que soit le secteur, ne veulent pas payer pour que ou suspect
quelqu’un le fasse. C’est une dépense permanente sans retour sur investissement — jusqu’à ce
qu’un événement se produise qui minimise l’impact de ce salaire. »
M. Kent explique aux entreprises qu’elles doivent commencer leur programme de cybersécurité
03 Séparer les actifs protégés
par quatre choses : installer un pare-feu et s’assurer qu’il est configuré pour fonctionner
correctement ; mettre en place des systèmes qui surveillent et filtrent le contenu dangereux 04 Établir des protocoles
ou suspect des courriers électroniques et des navigateurs Web ; séparer les actifs protégés
de ceux qui n’ont pas besoin du même niveau de protection (chez un producteur d’électricité,
11HP Inc. — Page d’accueil
Les couches sont indispensables
« Nous devons construire des appareils pour qu’ils aient plusieurs niveaux de défense »,
explique M. Albright de HP. « Nous appelons cela la Défense en profondeur. Sachant que vous
ne pouvez pas vous protéger contre tout, vous devez être capable de rechercher et de détecter
un comportement anormal dans l’appareil qui pourrait indiquer une attaque. »
Pour aller plus loin, Vali Ali, membre du board et directeur technique HP, affirme que les
« Vous devez
capacités de sécurité et de détection doivent être intégrées aux appareils présents sur le
réseau, et non pas intégrées par la suite29. Le renseignement de sécurité — un type de logiciel
Section 2 — Penser comme de Vinci
Rapport 2018 sur la cybersécurité
qui détecte les menaces à mesure qu’elles arrivent, les arrête automatiquement et purge la
donc être machine des logiciels malveillants — a progressé rapidement au cours des dernières années.
Mais pour fonctionner de manière optimale, il doit être intégré de manière transparente pour
capable de
l’utilisateur tout en étant suffisamment flexible pour contrer une série d’attaques.
De plus, les achats informatiques ne doivent être effectués qu’après mûre réflexion afin de
détecter
trouver l’équipement qui permettra à la fois de faire le travail, et de protéger les utilisateurs et
les données. « Chaque achat d’appareil est une décision de sécurité », indique M. Ali, ajoutant
que la sécurité est une combinaison de technologie, de sensibilisation, de processus et de
l’attaque, gouvernance.
En plus d’avoir des capacités intelligentes de détection, de réponse et d’apprentissage,
de réagir et les réseaux et les appareils doivent être résilients — pour pouvoir récupérer rapidement après
une intrusion. « Vous allez être attaqué », dit M. Ali. « Vous devez donc être capable de détecter
de récupérer
l’attaque, de réagir et de récupérer rapidement et à l’identique. »
rapidement et
à l’identique. »
VALI ALI
Membre du collège HP et directeur technique
12HP Inc. — Page d’accueil
Les services informatiques doivent
s’assurer qu’ils s’occupent de l’essentiel :
Danger à la périphérie du réseau
Élaborer des
Certaines grandes organisations disposent des ressources nécessaires pour étendre la protocoles de
sécurité stricts et
protection à la périphérie de leurs réseaux. Mais beaucoup d’entreprises de taille moyenne n’ont
pas verrouillé tous leurs smartphones, scanners, imprimantes et appareils IoT30. Mme Albright
s’y conformer
1
de HP explique que ses entretiens avec les clients révèlent souvent un manque inattendu
d’intérêt pour la sécurisation des terminaux de réseaux complexes.
« Ce qui me surprend, c’est que beaucoup de clients savent très bien que leurs ordinateurs, ... y compris exiger que les mots
serveurs et périphériques réseau, tels que les commutateurs et les routeurs, présentent un de passe et les codes d’accès
de maintenance définis en usine
Section 2 — Penser comme de Vinci
risque, mais ils ne s’inquiètent généralement pas des imprimantes ou autres appareils IoT »,
Rapport 2018 sur la cybersécurité
soient changés immédiatement sur
dit-elle. « C’est là que nous essayons de sensibiliser et d’éduquer — en expliquant que tous les appareils.
tout terminal du réseau exposé ou non sécurisé peut mettre en danger l’ensemble de
votre infrastructure. » Maintenir à jour les
Mais d’abord, les services informatiques doivent s’assurer qu’ils s’occupent de l’essentiel :
1) élaborer et respecter des protocoles de sécurité stricts, y compris exiger que les mots de
passe et les codes d’accès de maintenance définis en usine soient changés immédiatement
correctifs de sécurité
et les calendriers
2
sur tous les appareils ; 2) maintenir à jour les correctifs de sécurité et les calendriers de mise à
jour pour tous les appareils en réseau ; et 3) définir la mise à jour automatique ou urgente des
de mise à jour pour
systèmes d’exploitation et des applications, des pare-feu et des définitions antivirus. tous les appareils
en réseau
Les entreprises doivent également faire preuve de diligence pour tenir leurs listes d’employés à
jour et supprimer rapidement l’accès des personnes qui n’y travaillent plus.
M. Ali précise qu’il est également essentiel de s’assurer que chacun comprend l’évolution des
environnements de travail modernes. Les employés s’attendent de plus en plus à pouvoir
travailler n’importe où et n’importe quand. Souvent, les vies professionnelle et personnelle se
Définir une mise à
confondent ou changent de lieu — on peut travailler à la plage et se détendre au travail.
« Les bureaux de l’avenir n’ont pas frontières », explique M. Ali. « Ils sont ouverts 24h/24,
7j/7, 365 jours par an, et votre vie personnelle et votre vie professionnelle s’y mêlent. »
3 jour automatique
ou urgente
L’infrastructure réseau, les équipements et les technologies doivent suivre le rythme ... des systèmes
de ce changement. d’exploitation et
applications,
pare-feu et des
définitions antivirus.
13HP Inc. — Page d’accueil
M. Griffin, chercheur en sécurité, note que les professionnels de la cybersécurité sont engagés L’importance de l’éducation des employés
dans une guerre inégale qu’ils doivent gagner jour après jour, mais l’ennemi lui n’a besoin que
d’une seule victoire pour réussir. Il propose de mettre en place sept pratiques exemplaires qui
La disparition moderne des bureaux physiques exacerbe un problème qui a toujours été au
renforceront la cybersécurité à long terme :
cœur des failles de sécurité : le comportement humain. Les employés ne tiennent pas compte
des protocoles de sécurité encombrants dans l’intérêt de la productivité et oublient souvent que
leur comportement en ligne peut s’avérer dangereux. C’est pourquoi ce sont souvent de petits
01 Mettre en place des processus faciles à utiliser qui ne actes fâcheux involontaires en ligne qui entraînent le « plantage » de réseaux, le vol de propriété
sont pas trop complexes ni ne semblent magiques. intellectuelle ou de données sensibles sur les clients et l’intrusion de réseaux de zombies sur les
02 Fournir des conseils simples et cohérents aux terminaux. « Il y a toujours quelqu’un qui clique sur un lien malveillant dans un e-mail », prévient
utilisateurs. Mme Albright.
Section 2 — Penser comme de Vinci
Rapport 2018 sur la cybersécurité
Utiliser l’authentification à 2 facteurs chaque fois que Une société réputée de lutte contre les logiciels malveillants signale que seulement 3 % des
03
c’est possible, en raison des nombreux problèmes avec logiciels malveillants qu’elle décèle visent des défauts techniques31. Cela signifie que 97 pour
les mots de passe et les politiques de mots de passe cent de ces pirates s’appuient sur l’ingénierie sociale pour amener les victimes peu méfiantes à
d’entreprise. cliquer sur un lien dans un e-mail d’hameçonnage ou à révéler des données sensibles comme
les mots de passe et les numéros de compte bancaire.
04 Ne pas acheter en regardant uniquement le prix.
C’est pourquoi les initiatives pour éduquer les utilisateurs sont cruciales : aussi bien le personnel
Transformer de bonnes politiques de sécurité en bons
informatique pour l’élaboration et le maintien de protocoles et de procédures de sécurité de
produits de sécurité, en bonnes décisions en matière de
l’information solides, que les employés hors informatique, afin de limiter la négligence des
sécurité et d’approvisionnement.
utilisateurs finaux qui créent des vulnérabilités massives en matière de sécurité.
05 Ne pas se contenter d’une « mise en scène sécuritaire »
Les points clés pour la formation des employés qui n’appartiennent pas à l’informatique sont
qui consiste à cocher des cases lors de l’établissement
les suivants :
des politiques de sécurité de votre entreprise. S’assurer
que les fonctions de sécurité pour lesquelles vous payez • N’utilisez pas le même mot de passe sur différents
garantissent réellement la sécurité de votre entreprise. sites personnels et professionnels.
06 Produire des rapports plus significatifs en obtenant des • Ne laissez pas de documents sensibles sur les imprimantes.
outils d’analyse qui précisent non seulement combien • Verrouillez votre ordinateur et vos appareils lorsque vous
d’attaques et de virus votre système de sécurité a vous en éloignez.
arrêtés en un mois, mais aussi combien d’entre elles • Utilisez des écrans qui empêchent les autres de voir les
étaient nouvelles et inédites. informations sur votre ordinateur.
07 Les fabricants d’objets connectés devraient intégrer la • Ne cliquez surtout pas sur des liens sans réfléchir.
sécurité dans leurs produits dès le départ et s’assurer Comment les concepteurs, architectes et ingénieurs des meilleurs systèmes
qu’ils sont « sécurisés par défaut ». s’inspirent-ils dans le comportement humain pour améliorer la façon dont les
organisations sécurisent leurs réseaux et leurs actifs ?
14HP Inc. — Page d’accueil
Les armes du futur dès aujourd’hui HP Sure Start repense la défense contre les logiciels malveillants en analysant le micrologiciel
du BIOS, la partie la plus basique du système d’exploitation d’un ordinateur — une zone qui est
de plus en plus sujette aux attaques, car il est très difficile d’y détecter les intrusions. Sans une
M. Ali et M. Griffin, chercheur en sécurité, soulignent un certain nombre d’innovations créées par
défense adéquate, les logiciels malveillants installés dans le BIOS sont invisibles, ce qui permet
HP et désormais accessibles au public qui ne nuisent pas à la productivité des utilisateurs, de
à un pirate d’avoir une présence permanente sur le réseau. Une étude sur les violations des
sorte que ces derniers sont moins susceptibles de les ignorer ou de les désactiver.
données réalisée par Verizon en 2016, « Data Breach Investigations Report », a révélé que cette
L’une de ces avancées est HP Secure, une suite d’outils de protection des ordinateurs qui inclut approche est de plus en plus adoptée par les pirates : les analystes ont constaté un bond de
Sure View, Sure Click et Sure Start. 132 % des incidents ciblant les ordinateurs portables et les ordinateurs de bureau par rapport à
l’année précédente32.
HP Sure View, un écran de confidentialité intégré pour ordinateurs, empêche les personnes
autres que l’utilisateur de lire les données sur l’écran. « C’est un excellent dispositif de sécurité », HP Sure Start empêche les escrocs de s’implanter dans le BIOS d’un réseau.
explique M. Griffin. « Il est facile à utiliser. Les utilisateurs savent qu’il est là et ce qu’il fait. » Lorsqu’un ordinateur démarre, la fonction intégrée vérifie que le BIOS est propre.
Section 2 — Penser comme de Vinci
Rapport 2018 sur la cybersécurité
Si ce n’est pas le cas, HP Sure Start restaure automatiquement le code à une version
HP Sure Click est une mesure de sécurité renforcée intégrée au matériel pour les navigateurs
propre, sans que l’utilisateur ou le service informatique ait besoin d’intervenir. « C’est
Web qui isole les logiciels malveillants sur une machine virtuelle afin de les empêcher d’infecter
le système. « Combien de fois avez-vous cliqué sur un lien et immédiatement dit : “Oh, zut, sécurisé par défaut », explique M. Ali.
je n’aurais pas dû cliquer ?” » demande M. Ali. « Avec Sure Click, les logiciels malveillants ne
sont pas visibles sur votre machine. Si un logiciel malveillant est accidentellement téléchargé,
l’utilisateur n’a qu’à fermer l’onglet et il disparaîtra. C’est génial parce que nous ne demandons
pas aux utilisateurs de modifier leur comportement pour rendre leur navigation plus sûre. »
Ce type de conception de la cybersécurité qui n’implique pas l’utilisateur contribuera
grandement à réduire l’important facteur humain qui impacte les intrusions dans les réseaux.
HP Sure View est une fonctionnalité disponible en option, qui doit être configurée à l’achat.
Disponible sur certains ordinateurs portables HP uniquement.
HP Sure Click est disponible sur certaines plates-formes HP et prend en charge Microsoft® Internet Explorer et Chromium™.
Pour connaître toutes les plateformes compatibles au fur et à mesure de leur disponibilité, cliquez ici.
HP Sure Start de 4e génération est disponible sur les produits HP Elite et HP Pro 600 équipés de processeurs Intel® de 8e
génération ou de processeurs AMD.
15HP Inc. — Page d’accueil
Section 3 :
De l’autre côté
du miroir —
Section 3 —De l’autre côté du miroir
Rapport 2018 sur la cybersécurité
Machine learning
et intelligence artificielle
16HP Inc. — Page d’accueil
La sécurité de nos Bien que les meilleures pratiques actuelles en matière de cyberdéfense comprennent la
environnements technologie en couches, les ouvertures de session biométriques et la surveillance du réseau,
combinées à une bonne formation sur le comportement approprié en ligne pour les employés,
numériques
la sécurité de nos environnements numériques commence à recevoir le soutien de l’intelligence
artificielle par le biais de le machine learning.
commence
Une autre avancée HP peut protéger les terminaux vulnérables que sont les imprimantes
connectées au réseau. Développé par HP Labs et disponible dès maintenant, HP Connection
Inspector est une fonction de sécurité intelligente et intégrée qui apprend à quoi ressemble le
à recevoir comportement normal du réseau d’une imprimante et surveille les changements suspects.
Lorsque cet outil détecte des données sortantes inhabituelles, il avertit les administrateurs,
le soutien de l’IA
interrompt les communications suspectes et force un redémarrage automatique pour
Section 3 —De l’autre côté du miroir
Rapport 2018 sur la cybersécurité
supprimer le logiciel malveillant et ainsi arrêter l’attaque.
par le biais de le
Ces développements permettent à Allen Kent de la NAES de faire preuve d’un optimisme
prudent. Il attend le jour où les techniciens pourront brancher sur le réseau un appareil qui
surveille les menaces enfouies dans les flux de données, arrête immédiatement l’échange de
machine learning. données si une intrusion est détectée et étudie ensuite les détails de l’attaque pour en déduire
à quoi ressemblerait une attaque similaire lorsqu’elle commence. « Une boîte d’intelligence
artificielle qui surveille tout et arrête automatiquement une menace quand elle se manifeste —
ce serait formidable », dit-il.
Placer les appareils connectés de l’IoT
sous protection rapprochée
L’intégration de processeurs et de l’accès Internet aux thermostats, détecteurs de mouvement,
éclairages et autres systèmes permet à un immeuble de bureaux de réaliser d’importantes
économies d’énergie en fonction de l’occupation, de l’heure de la journée et même de la
météo33. Une éolienne signale aux responsables que les engrenages à l’intérieur de sa nacelle
vibrent trop et doivent être vérifiés34. Le réacteur d’un avion commercial et l’ordinateur de bord
travaillent ensemble pour apporter des changements infimes qui réduisent la consommation de
carburant et le temps de trajet35.
Ces appareils intelligents entrent également dans nos foyers : thermostats intelligents,
réfrigérateurs intelligents, ampoules intelligentes et autres assistants numériques alimentés
par l’intelligence artificielle. À l’avenir, nous aurons aussi des prothèses et des implants rétiniens
17HP Inc. — Page d’accueil
intelligents qui seront dotés de minuscules processeurs et d’une connectivité Web. Mais que se
passe-t-il si des pirates les ciblent ?
Les fabricants
« Pensez à un implant rétinien ou à une personne amputée qui a une jambe imprimée en
3D, et imaginez si cette prothèse subit l’attaque d’un micrologiciel ou est infectée par un
d’objets connectés
ransomware », prévient M. Ali de HP. « Que se passerait-il alors ? Que feraient les gens
s’ils perdaient soudainement la vue et recevaient un message disant : « Payez ou vous ne devront apprendre
ce que le reste
recouvrerez pas la vue » ?
C’est là qu’intervient la résilience, qui permet à une machine infectée de supprimer rapidement
de l’industrie
les logiciels malveillants et revenir en ligne à l’état propre. « Dès qu’un implant rétinien est
infecté par un logiciel malveillant ou un ransomware, vous n’auriez qu’à cligner des yeux pour
Section 3 —De l’autre côté du miroir
Rapport 2018 sur la cybersécurité
que le logiciel malveillant disparaisse et que vous recouvriez la vue », explique M. Ali.
Pour ce faire, dit M. Griffin, les fabricants d’objets connectés devront apprendre ce que le reste
de l’industrie technologique a appris au cours de décennies de laxisme sécuritaire : la sécurité
technologique a
des objets connectés doit faire partie intégrante de leur conception. Ainsi, si une ampoule
intelligente est infectée par un logiciel malveillant, elle devrait être capable de clignoter, de appris au cours
de décennies de
redémarrer, de supprimer urger le code étranger et d’éclairer à nouveau.
La facilité d’utilisation protège contre
les comportements dangereux
laxisme sécuritaire :
« Si je devais mettre une clé dans ma porte et attendre un SMS pour vérifier que le système
la sécurité des objets
connectés doit faire
vérifie que c’est bien moi qui essaye d’entrer dans ma maison, je n’accepterais pas ça », explique
M. Griffin. « Rien ne doit pas se mettre en travers de mon chemin pour que je puisse mener une
partie intégrante de
vie normale. »
Pour résoudre ce problème de longue date, les ingénieurs travaillent depuis des années à
leur conception.
l’amélioration de la connexion, avec la reconnaissance faciale basée sur la vision par ordinateur
et les défis biométriques des empreintes digitales ou rétiniennes pour enfin commencer tout
doucement à remplacer les anciens mots de passe alphanumériques36.
18HP Inc. — Page d’accueil
« C’est une
course aux Autre solution, la technologie WorkWise de HP, une application gratuite disponible sur Google
armements, Play qui crée un lien cryptographique sécurisé entre le smartphone d’un employé et son
ordinateur. Grâce à ce lien, l’ordinateur peut savoir quand l’utilisateur s’en est éloigné, ce qui
et il est toujours fait que l’ordinateur se verrouille automatiquement pour que d’autres personnes ne puissent
pas y avoir accès. Lorsque l’utilisateur revient, l’ordinateur le reconnaît et le reconnecte sans
difficile de
avoir besoin d’un mot de passe. Cette technologie est par définition un moyen simple d’aider
les utilisateurs à maintenir la sécurité sans leur demander de faire quoi que ce soit de plus.
savoir où « Il y a deux types de technologie », explique M. Ali. « Les technologies que les gens veulent
utiliser, et les technologies encombrantes qu’ils sont obligés d’utiliser. Lorsque les utilisateurs
les pirates
doivent employer une technologie de sécurité encombrante, ils trouveront un moyen de la
contourner. »
Section 3 —De l’autre côté du miroir
Rapport 2018 sur la cybersécurité
iront ensuite ». L’apprentissage machine est une arme
à double tranchant
Les jours de la recherche des logiciels malveillants comme principal outil de lutte contre les
JONATHAN GRIFFIN, pirates sont comptés37. Les logiciels anti-malware doivent être mis à jour avec des codes
malveillants connus pour qu’ils sachent ce qu’ils recherchent. Cela n’est d’aucune aide lorsque
Chercheur principal en sécurité pour HP Labs
de nouveaux codes malveillants sont diffusés sur le Web, un phénomène qui se produit à une
vitesse qui surprend les chercheurs.
Du côté des défenseurs, les données et le machine learning commencent à être exploités pour
l’analyse automatisée du réseau, ce qui permet d’extraire les données du flux constant entrant,
sortant et traversant le réseau de l’entreprise, à la recherche d’anomalies. De telles capacités
de calcul surveilleront un jour les pics d’activité des processeurs, par exemple, qui pourraient
signaler le début d’un problème. Du côté des pirates, bien sûr, le machine learning peut être
utilisé pour automatiser le sondage, l’analyse et le nettoyage du réseau.
M. Griffin de HP affirme que le machine learning et d’autres formes d’IA donnent déjà un
avantage aux défenseurs. Mais il prévient que des outils comme le machine learning ne sont
pas une panacée. En effet, le machine learning fournira probablement de nouvelles possibilités
d’attaque aux pirates, qui recherchent les faiblesses des protections basées sur le machine
learning, et utilisent eux-mêmes le machine learning et l’IA pour concevoir des attaques moins
coûteuses et plus efficaces. « C’est une course aux armements, et il est toujours difficile de
savoir où les pirates iront ensuite », dit-il.
19HP Inc. — Page d’accueil
L’IA va-t-elle résoudre le problème de Gagner la bataille sans fin contre le mal
la cybersécurité ou l’aggraver ?
La cyberguerre entre les bons et les méchants fait rage, avec des résultats inégaux dans les
différents secteurs. Avec des éléments criminels et politiques qui font de leur mieux pour
Bientôt, les algorithmes avancés qui sont au cœur de la résolution de problèmes via le
infiltrer et perturber les réseaux, les enjeux sont énormes et les menaces ne peuvent
machine learning évolueront vers des systèmes d’IA plus robustes. Les pirates disposant de
être écartées.
ressources utiliseront l’IA pour sonder et attaquer les réseaux. La technologie puissante leur
permettra d’améliorer les méthodes d’ingénierie comportementale pour rendre les attaques
d’hameçonnage et de logiciels malveillants indiscernables des courriers électroniques et sites
Web légitimes. Les pirates et les défenseurs déploieront l’IA pour réacheminer intelligemment
les flux de données du réseau pendant les attaques DDoS afin d’amplifier ou d’atténuer les
Le combat entre les bons et les méchants est
permanent. C’est un combat que nous, les
Section 3 —De l’autre côté du miroir
Rapport 2018 sur la cybersécurité
dommages.
bons, ne pouvons pas perdre. C’est un combat
« Nous allons vivre dans un monde d’attaques intelligentes basées sur l’intelligence que nous ne devons pas perdre. Chez HP,
artificielle », indique M. Ali. « C’est peut-être déjà arrivé, mais le système est assez intelligent
nous sommes engagés : C’est un combat que
pour que personne ne l’apprenne. »
nous ne perdrons pas.
À l’avenir, les ingénieurs devraient faire progresser suffisamment les capacités
d’apprentissage dynamique de l’IA pour que les systèmes des défenseurs puissent utiliser les
données historiques et les tendances actuelles pour prévoir les attaques, les contrecarrer ou La fiabilité protégée des systèmes numériques qui alimentent les infrastructures et
les contenir et peut-être même traquer les endroits d’où sévissent les pirates. administrations essentielles, ainsi que les petites et grandes entreprises, est vitale pour la
vie moderne, les moyens de subsistance et la société. « Nous pensons que c’est un monde
Pour l’instant, les fabricants tournés vers l’avenir commencent tout juste à s’orienter vers la
effrayant, mais il y a aussi de bonnes choses », dit M. Ali de HP. « Le combat entre les bons et les
production d’appareils comme celui dont rêve Allen Kent de la NAES : l’IA prête à l’emploi.
méchants est permanent. C’est un combat que nous, les bons, ne pouvons pas perdre. C’est un
La première étape consiste à intégrer la sécurité au cœur même des produits dès le début du
combat que nous ne devons pas perdre. Chez HP, nous sommes engagés : c’est un combat que
processus de conception.
nous ne perdrons pas. »
20Vous pouvez aussi lire
