Déchiffrer le jargon de la cybersécurité : un enjeu stratégique dans la gestion des risques cyber en entreprise

Le langage utilisé pour désigner les multiples attaques auxquelles peuvent être confrontées les entreprises ne devrait jamais constituer une entrave à leurs efforts de cyber protection.

Depuis plusieurs années maintenant, la cybersécurité s’est imposée dans les entreprises comme un axe stratégique, critique, et est discuté lors des comités de direction. Il faut dire que de nombreuses cyberattaques particulièrement dévastatrices, souvent sophistiquées et très médiatisées (je pense à Sunburst, Esxi, Log4J, Wannacry, NotPetya…) ont contribué à éveiller les consciences des entreprises quant à leur propre exposition aux menaces. La question ne doit plus être « vais-je être attaqué ? » mais plutôt « quand » et « quel est mon degré de résilience cyber ? »

Les dernières cyberattaques ciblant des institutions d’intérêt public, des administrations, des hôpitaux ont même donné une toute nouvelle ampleur à un système qu’on pensait uniquement tourné vers l’appât du gain facile et abject. Mais alors quels sont les intérêts des groupes criminels ? Qui sont les attaquants ? Quelle différence entre des groupes comme Lockbit, Lazarus ou encore  Babuk ? Le contexte géopolitique international influence-t-il les mouvements dans le cyberespace ? Comment véritablement se protéger face aux cyberattaques ? Afin de comprendre au mieux ces écosystèmes, leurs acteurs, et tenter de s’en protéger, d’anticiper les risques, le renseignement sur la menace s’impose progressivement et devrait continuer à être plébiscité par les entreprises et les organisations à l’avenir. Une démarche qu’on ne peut que saluer, tant nous sommes convaincus, chez Kaspersky qu’anticiper la menace c’est prendre une longueur d’avance sur le risque mais encore faut-il en détenir les clés. 
 

Nous avons constaté que la multiplication des sources publiques d’informations était à la fois une bonne chose et une mauvaise chose. Une bonne chose car elles contribuent à la sensibilisation et à la montée en compétence de nombreuses entreprises. Une mauvaise chose parce que beaucoup s’en contentent, et passent alors à côté d’un certain nombre d’informations cruciales, mais surtout d’analyse, de décryptage et d’accompagnement dans la prise d’action en réponse à ces informations. On ne le répétera jamais assez mais une bonne stratégie de cybersécurité est un processus. Elle nécessite des outils, mais aussi des experts capables de faire parler ces outils. 

Quels investissements, quelles menaces, quels types de solutions choisir pour répondre à quel besoin ? Autant de décisions à prendre de manière éclairée et pour laquelle une stratégie de renseignement sur les menaces s’impose. Oui mais. Une des dernières recherches que nos équipes ont mené à travers l’Europe indique que la complexité du langage de la cybersécurité ne facilitait pas les échanges. Pire, on constate que beaucoup de décisionnaires ne comprennent pas toujours le langage de la cybersécurité. Cette incompréhension provoque plusieurs problèmes : la prise de mauvaises décisions, ou encore la perte de confiance entre les équipes informatiques et les équipes de direction. 

Il apparait que des termes tels que IoCs, Zero-Day, Ransomware, Yara Rules s’apparentent à du charabia et que cela provoque une mauvaise compréhension des risques également, selon près de la moitié des spécialistes de la sécurité des entreprises interrogées à travers l’Europe.  

Afin d’aider à mieux comprendre le langage de la cybersécurité, voici quelques définitions de termes largement employés dans le secteur et qui manquent de limpidité : 
 

1. MALWARE : terme générique désignant les programmes informatiques conçus pour être installés sur l'ordinateur d'une personne et lui infliger des dommages de diverses manières, issu de la contraction de “malicious software” (logiciel malveillant, “maliciel” dans sa version francisée). Les malwares courants incluent les virus, les vers, les chevaux de Troie, les logiciels espions, les logiciels publicitaires et les rançongiciels.

2. PHISHING : Le phishing est une méthode d'ingénierie sociale employée à la fois dans les activités cybercriminelles et les attaques APT, dans laquelle les cibles sont contactées par courrier électronique, téléphone ou SMS par une personne se faisant passer pour une institution légitime afin de compromettre un appareil et d'accéder à des données sensibles. Ces données peuvent également être utilisées à des fins d’usurpation d'identité, ou encore de fraude financière
 

3. Attaque Ransomware : logiciel malveillant qui chiffre les données ou en bloque l’accès, exigeant de l’utilisateur qu’il paie pour pouvoir accéder de nouveau à ses données. De nouvelles pratiques de ransomware exfiltrent les données en plus de les chiffrer et exigent également le paiement d’une rançon sans laquelle ils rendraient les données potentiellement confidentielles et sensibles, publiques. 
 

4. APT : Advanced Persistent Threat. Souvent perpétrés par des acteurs hautement sophistiqués, voire sponsorisés par des Etats, ces menaces ciblent avant tout des infrastructures critiques et poursuivent des objectifs de déstabilisation, d’affaiblissement d’une puissance économique, politique, militaire d’un pays. Une attaque APT peut avoir des fins d’espionnage, de destruction, d’intimidation etc. 

5. Attaques de la chaîne d’approvisionnement : ce que l’on appelle la chaîne d’approvisionnement en cybersécurité, c’est tout l’écosystème logiciels et logistique qui entoure le système d’information d’une entreprise. Une attaque de la chaîne d'approvisionnement cible les éléments logiciels avant leur vente, ou distribution à l'utilisateur final. Une attaque de la chaine d’approvisionnement typiquement, va cibler un logiciel métier, lui-même installé au sein de multiples entreprises clientes. Ainsi, la compromission intervient avant-même - et sans avoir besoin – d’avoir accès au système d’information final.  Un exemple de ce type d'attaque consiste à modifier la mise à jour d'un produit de manière à ce qu'un logiciel malveillant soit envoyé à tous les clients de ce produit

6. Exploit Zero-Day : ce terme est utilisé pour décrire le code d'exploitation qui a été écrit pour tirer parti d'une vulnérabilité encore inconnue, et donc avant que le fournisseur du logiciel n'ait eu l'occasion de publier un correctif pour cette dernière. Le résultat est que les attaquants potentiels sont libres d'exploiter la vulnérabilité, à moins que des technologies proactives de prévention des exploits aient été mises en œuvre pour défendre l'ordinateur ciblé par l'attaquant.
 

7. Indicateur de Compromission (IoC) : Il s'agit d'un élément ou d'une activité qui, s’il est observé sur un réseau ou sur un appareil, indique une forte probabilité d'accès non autorisé au système. En d’autres termes, la présence d’un IoC indique que le système est compromis. De tels indicateurs sont utilisés pour détecter les activités malveillantes à leurs débuts ainsi que pour prévenir les menaces connues.

8. TTP’s : TTP signifie "tactiques, techniques et procédures". Il s'agit du terme utilisé par les professionnels de la cybersécurité pour décrire les comportements, les processus, les actions et les stratégies utilisés par un acteur menaçant pour élaborer des menaces et mener des cyberattaques

9. Règles Mitre ATT&CK : Adversarial Tactics, Techniques & Common Knowledge (Tactiques, techniques et connaissances communes de l'adversaire) est une base de connaissances décrivant les tactiques et techniques cybercriminelles sur la base d’observations du monde réel. La MITRE Corporation a créé cette base de connaissances en 2013 et l'objectif du projet est de développer une matrice structurée des techniques cybercriminelles pour faciliter la réponse aux cyber incidents

10. Règles Suricata : les règles Suricata sont la méthode généralement utilisée pour partager et faire correspondre les renseignements sur les menaces avec le trafic réseau
 

11. MD5 : une fonction de hachage qui convertit un ensemble de données de taille aléatoire en un hachage, une séquence pseudo-aléatoire de caractères d’une longueur prédéfinie. Le résultat est une sorte d'identifiant pour le tableau de données cryptées. MD5 est utilisé pour vérifier l'authenticité, l'intégrité et l'immuabilité de tout ensemble de caractères (par exemple, un code informatique). Si les sommes de contrôle correspondent, cela signifie que le fichier n'a pas été modifié. Certains systèmes d'exploitation utilisent MD5 pour stocker les mots de passe.

12. YARA : outil principalement utilisé dans la recherche et la détection des logiciels malveillants qui fournit une approche basée sur des règles pour créer des descriptions de familles de logiciels malveillants sur la base de modèles textuels ou binaires.

Dans un contexte de bouleversements géopolitiques, environnementaux et économiques, il n’a jamais été aussi crucial pour les équipes dirigeantes de comprendre la multitude de menaces qui peuvent compromettre leur entreprise.  C’est pourquoi, le langage utilisé pour désigner les attaques ne devrait jamais constituer d’entrave aux efforts de cyber protection d’une organisation. 

Si les professionnels de la cybersécurité améliorent continuellement leurs compétences pour mieux protéger contre les tentatives de ces acteurs malveillants, il est important que les administrations, organisations et leurs dirigeants continuent d’adopter les meilleures pratiques. 

De la même manière que la cybersécurité requiert des compétences techniques et des outils, une bonne stratégie demande aussi des « softs skills », dont la communication fait partie. L'importance de la transmission, dans un langage limpide, des incidents pertinents à différents étages de l’entreprise peut être cruciale quand il s’agit de prendre les bonnes décisions, surtout en situation de crise. Face aux diverses menaces existantes, le renseignement sur la menace, sa compréhension et sa transmission est indispensable à la sécurité et la protection à long terme d’une entreprise. C’est d’ailleurs pourquoi de plus en plus d’acteurs experts en cybersécurité proposent des services de renseignement sur la menace, assortis d’une analyse de la part d’experts dont l’explication et la transmission des points les plus critiques, est le métier. Pour se comprendre, rien ne vaut d'échanger avec une personne qui parle le même langage que vous, et qui comprend lui-même celui des criminels.