Les menaces persistantes avancées décryptées par les experts Les menaces persitantes avancées décryptées par les experts

Qu'est-ce qui rend les menaces persistantes avancées particulières et comment les RSSI peuvent s'en protéger ? Des experts répondent.

Gérôme Billois (Solucom) : "Le terme APT est entré dans les mœurs" 

Qu'est-ce qu'une menace persistante avancée ?

Le terme "menaces persistantes avancées" ("Advanced Persistent Threat ") est assez récent mais désigne une typologie d'attaques existant depuis de nombreuses années.

Persistantes, car l'attaquant va essayer de manière répétée d'atteindre son objectif.

Avancées, car l'attaquant va utiliser des mécanismes complexes : vulnérabilités non encore connues/corrigées, compromission de plusieurs technologies, ingénierie sociale pointue.

Ce dernier point est cependant discuté, l'analyse d'incident classé "APT" montre que des moyens simples sont souvent utilisés, l'attaquant choisissant l'outil le plus efficace, le plus rapide et le moins cher.

Est-ce vraiment nouveau ?

Ce qui est nouveau, c'est que les attaques ciblées, autrefois connues des seuls spécialistes, sont maintenant révélées dans la presse. Google avait ouvert la marche lors de l'attaque Aurora, mais des cas plus récents, notamment au Ministère des Finances ou encore chez RSA ont mis en lumière cette problématique. Le terme APT est entré dans les mœurs.

Quelle en sont les originalités par rapport aux attaques classiques ?

Ces menaces divergent des attaques classiques (virus, dénis de service, phishing...) par leurs objectifs : attaquer de manière ciblée une organisation pour capturer de l'information définie et le plus discrètement possible. Les virus construits pour valoriser leur auteur ou les dénis de service généralisé sont en perte de vitesse. L'objectif est clairement financier et vise à revendre les données sensibles capturées.