De nouvelles compétences à développer pour neutraliser la Cyber Kill Chain

Le temps où les titres et descriptions de postes étaient clairement définis est révolu. Les employeurs sont aujourd'hui davantage à la recherche de candidats avec un large panel de compétences. Comme dans de nombreux secteurs d'activité, dans celui de la cybersécurité, plus vous en savez, plus votre profil séduira les recruteurs. En panachant des connaissances en matière de sécurité, de cloud et de réseau, vous devenez un candidat de prédilection et vous êtes idéalement positionné pour combattre

La récente convergence des domaines du réseau et de la sécurité plaide en faveur d’une convergence des compétences. Avant la transformation digitale actuelle, les domaines IT et OT étaient distincts. Les systèmes OT étaient perçus comme étant plutôt protégés contre les menaces externes puisque non connectés à Internet. Mais alors que l’innovation digitale progresse, les réseaux OT convergent vers les réseaux IT dans une optique de maîtrise des coûts, de gains de productivité et de prise de parts de marché. Ce sont désormais tous les réseaux qui sont exposés à de multiples menaces. Et cette diversité des menaces implique une diversité de compétences et de spécialités. Cependant, si les technologies de sécurité progressent, c’est également le cas pour les cybercriminels.

La chaîne de frappe des cybercriminels (cyber kill chain)

Les menaces, nombreuses, proviennent de multiples sources et les combattre exige un savoir-faire spécifique. Si nous considérons les 7 étapes (reconnaissance, armement, livraison, exploitation, installation, commande & contrôle et actions sur la cible) de la cyber kill chain, nous pouvons utiliser ce protocole en tant que roadmap pour définir les compétences à développer, car nécessaires pour neutraliser chaque étape de cette chaîne.

  1. La reconnaissance donne lieu à des tâches comme la récupération d’adresses email ou la compilation d’informations par les cybercriminels. Identifier ces tâches malveillantes exige des connaissances de base, comme reconnaître un email de phishing. Chacun peut les apprendre à tout âge, à tout moment dans sa carrière.
  2. L’armement tire parti de ces informations et consiste à intégrer un malware au sein d’un document ou de l’héberger au sein d’un domaine piraté. C’est à cette étape que l’assaillant définit son attaque, une étape qui peut être contrôlée par certaines fonctions de sécurité et par une meilleure sensibilisation des collaborateurs.
  3. La livraison consiste à déclencher l’attaque via des fichiers joints et des sites web, pour véhiculer le malware vers l’environnement de la victime. Cette étape peut être jugulée à l’aide de technologies et non de personnes. Cependant, une sensibilisation de l’ensemble de l’entreprise, pour aider les collaborateurs à repérer les éléments suspects, leur permet d’acquérir les compétences nécessaires pour neutraliser l’exécution d’une attaque.
  4. L’exploitation cible une vulnérabilité applicative ou du système d’exploitation. C’est lors de cette étape que l’attaque “explose”. Pour contrer cette étape, les équipes IT formées doivent mettre à jour les systèmes et s’assurer que des antivirus sont installés. La sécurité des données sensibles doit également être garantie.
  5. L’installation démarre lorsque l’assaillant installe le malware sur la machine de la victime. Cette étape va au-delà du « pare-feu humain » et nécessite des équipes formées pour sécuriser les systèmes et détecter tout comportement suspect.
  6. Lors de la phase de Command & Control, l’assaillant pilote la machine infectée à distance. Le malware est rarement automatisé, ce qui implique des interventions manuelles. Cette étape suit la compromission ou l’infection du système cible, ce qui incite à une traque des activités sortantes suspectes.
  7. Les actions sur la cible visent une exfiltration de données. Elles portent sur le recueil, la collecte, le chiffrement et l’extraction d’informations à partir de l’environnement de la victime. Une fois l’assaillant immiscé au sein d’une entreprise, il va tenter de tenir ses objectifs.

La connaissance du processus de la cyber kill chain et de ses résultats est la première étape pour lutter contre la cybercriminalité. La cybersécurité consiste à apprendre comment s’adapter et se rendre flexible face à un changement permanent. De leur côté, les formations de sensibilisation peuvent véritablement porter leurs fruits pour rendre l’entreprise plus résiliente.

Favoriser la prise de conscience

Il existe de nombreux programmes de formation à l’intention de ceux qui souhaitent se mettre à la cybersécurité. Il s’agit de se former auprès de plusieurs constructeurs pour connaître les différents produits de cybersécurité également. D’autre part, les formations indépendantes des constructeurs et des tests de pénétration (pen testing ou hack éthique) présentent un intérêt majeur, notamment en matière de sensibilisation. Familiarisez-vous aux techniques d’hacking éthique pour comprendre les tactiques des cybercriminels et formez-vous également sur les thématiques suivantes :

  • Réponse aux incidents et expertise post-incident
  •  Techniques de codage
  • Techniques de mise en log
  •  Ingénierie réseau
  • Veille sur les menaces

Plutôt que de se concentrer sur un seul domaine d’expertise, il s’agit de développer des compétences techniques essentielles en matière de :

  • Traque de menaces
  • Rétro-ingénierie de malware
  • Tests d’intrusion 
  • Développement d’exploit
  • Gestion du big data
  • Virtualisation, containers, technologies autour de LINUX, langages de script, JavaScript et compréhension solide des principes des réseaux

Une carrière en phase avec vos passions

Il y a un vrai besoin pour des talents capables de lutter contre des attaques modernes. Et si certaines carrières dans la cybersécurité exigent un parcours et des formations spécifiques, il est néanmoins possible, au travers de formations et de stages, de s’orienter vers ce domaine de manière autonome.

Toute carrière peut être passionnante si vous aimez ce que vous faites. Il ne s’agit pas d’avoir simplement un job et de pointer tous les jours, cette perspective n’étant ni intéressante, ni durable. Au-delà de présenter des compétences diverses et variées, mettez en avant vos talents, vos capacités à résoudre les problématiques, votre curiosité et votre ténacité. Vous devez également être flexible et prêt à vous adapter à votre environnement. Et bien sûr, faire preuve d’humilité en reconnaissant qu’il y a toujours et encore des choses à apprendre.