Collaborer pour lutter contre la cybercriminalité et le cyber-espionnage

Face à des cybercriminels redoublant d'ingéniosité, les acteurs de la cyber doivent collaborer étroitement et adopter une approche de défense proactive s'inspirant notamment des stratégies militaires.

La traque de cybercriminels est une activité qui requiert tout autant d’ingéniosité que celle déployée pour piéger les victimes. Et dans le domaine, il semble bien qu’un nouvel acte soit en train de se jouer, avec l’émergence de nouveaux réseaux de leurres dynamiques qui améliorent la connaissance cyber pour mieux déjouer les attaques à l’échelle du web. Mais une meilleure collaboration entre acteurs de la cybersécurité reste nécessaire pour en maximiser l’impact.  

De nouveaux « pots de miel » nomades

Un pot de miel (honeypot) est un faux appareil ou une fausse application qui permet d’attirer les cybercriminels et de collecter des informations sur leurs activités. Grâce à ces leurres, les organisations peuvent détecter des opérations cybercriminelles avant qu’elles ne se propagent au sein de leur infrastructure.

Si ces pots de miel existent depuis de nombreuses années et sont régulièrement utilisés par les acteurs de la cybersécurité ou les hackers éthiques pour traquer les activités frauduleuses sur le web, leur format jusqu’à présent statique leur faisait perdre de la valeur sur la durée. Un groupe cybercriminel qui aura interagi avec un honeypot statique va rester de moins en moins longtemps au cours de ses incursions, voire va s’en détourner, car il en aura compris le fonctionnement et il perdra de son intérêt.

Pour contrer ce phénomène, les honeypots deviennent désormais nomades. Après avoir recueilli des informations, la cible est supprimée, reprogrammée à un autre endroit du réseau, jusqu’à plusieurs fois par semaine voire plusieurs fois par jour, brouillant les pistes pour les cybercriminels.

En maximisant la durée de vie et donc la valeur du dispositif de surveillance, cette nouvelle génération de leurres permet ainsi de capturer davantage d’informations sur l’évolution des activités criminelles et de détecter plus rapidement des campagnes de cyberattaques pour pouvoir les neutraliser à temps.

Une stratégie militaire appliquée à la cybersécurité

En réalité, le honeypot nomade est l’un des premiers cas d’application du concept émergent d’Automated Moving Target Defense (AMTD), issu de la stratégie militaire Moving Target Defense, stipulant qu’une cible mouvante est plus difficile à atteindre qu’un objectif statique.

La technologie AMTD marque donc clairement une transition d’une approche de défense passive à une approche proactive, par le déploiement de nouveaux mécanismes de leurres dynamiques et de capacités d’automatisation pour agir plus rapidement au niveau de la surface d’attaque.

Selon Gartner, il s’agit même d’une technologie qui va profondément améliorer les techniques de cyberdéfense. D’ici 2025, 25 % des applications cloud dans le monde devraient exploiter des fonctionnalités AMTD. Et d’ici 2030, le concept devrait aussi avoir émergé pour le hardware et le software.

Le pouvoir de la collaboration : tirer parti de la connaissance collective

Avec le déploiement de ces réseaux de honeypots nomades, les organisations vont être en mesure de collecter une intelligence cyber sans précédent, en temps réel, sur l’évolution du paysage mondial de la cybermenace. Mais bénéficier d’une cartographie de la menace la plus précise possible n’est envisageable qu’au prix d’une réelle collaboration entre tous les acteurs de la cybersécurité.

Face à des cybercriminels plus organisés et motivés que jamais, l’ensemble de l’écosystème doit en effet adopter une approche collaborative qui va au-delà de leurs mesures de sécurité individuelles. Car un cycle d'intelligence puissant s'accompagne de grandes responsabilités. Et cela commence avec le partage de ses analyses avec des institutions référentes en matière de cyber, telles que l’ANSSI et la Cyber Threat Alliance.

L'échange de renseignements sur les menaces doit s’imposer comme une stratégie évidente pour renforcer les défenses de cybersécurité, en tirant parti du savoir collectif et des connaissances de la communauté de la cybersécurité. En échangeant des informations sur les menaces émergentes, les techniques d'attaque et les indicateurs de compromission, les organisations peuvent obtenir une perspective plus large et garder une longueur d'avance sur l'évolution des cybermenaces. C’est à ce prix que les organisations peuvent réellement renforcer leur posture en matière de cybersécurité et créer un front uni contre les cybermenaces.