De l’importance de la proactivité pour répondre aux cybermenaces

L'année 2017 a été profondément marquée par les ransomwares, et l'on peut s'attendre à ce que les cyberattaquants redoublent d'efforts pour s'infiltrer dans les systèmes informatiques d'entreprise, autant que les systèmes personnels.

Le cybercrime a été érigé autour d’un business model visant à maximiser le ROI: en réutilisant encore et toujours les mêmes techniques, les cyberattaquants automatisent leurs attaques pour faire le plus de victimes possibles. L’attaque WannaCry de 2017 est le parfait exemple de ce type d’actions. Elle a utilisé l’exploitation EternalBlue développée par la NSA, pour affecter des entreprises et des individus à travers le monde. 

Bien que les attaques provoquent de nombreux dommages, elles sont dans la plupart des cas quasiment similaires ce qui présente l’avantage de pouvoir s’y préparer. Selon le rapport “Verizon Data Breach Incident Report”, 85% du trafic d’exploitation pourrait être attribué à une dizaine de vulnérabilités seulement. Les 15% restants exploitant alors 900 CVE (Common Vulnerabilities Exposures). Ainsi, en se concentrant sur le traitement des vulnérabilités les plus connues et les plus répandues, les entreprises pourraient maximiser leur ROI en ciblant leurs investissements sur lesdites vulnérabilités les plus susceptibles d’être visées par une attaque. Aujourd’hui, les paiements de rançon ne font pas partie des budgets alloués à la sécurité. Mais prendre part à une stratégie de défense pour combattre les menaces de façon proactive devrait l’être.

Un système CVSS à bout de souffle

La plupart des programmes de management de la vulnérabilité sont basés sur le Système Commun de Score de Vulnérabilité (Common Vulnerability Scoring System, CVSS). Ce système, développé en 2005, a été pensé pour aider les entreprises à prioriser les correctifs  alors que le paysage des menaces était bien different de celui d’aujourd’hui. Ces scores "temporels" étaient sensés incorporer une veille sur les menaces ainsi que les retours terrains, mais ce système n’a jamais été entièrement implémenté. En conséquence, le CVSS ne peut pas déterminer précisément les scores "environnementaux" qui pourraient refléter les impacts potentiels d’une attaque à l’intérieur de l’organisation. Les scores basés sur le CVSS n’incluent donc que les propriétés intrinsèques des vulnérabilités. Dans ce cas de figure, l’attention est orientée vers des vulnérabilités à faible risque, alors que celles qui sont le plus susceptibles d’être exploitées ne sont pas traitées.

Cela pose un réel problème en termes d’analyse des vulnérabilités et donc de réactivité aux attaques. En effet, le niveau de sévérité des vulnérabilités est amené à changer selon sa résonance dans le paysage des menaces et selon le réseau sur lequel les vulnérabilités en question sont exploitées. Sans contextualisation, les vulnérabilités ne sont pas priorisées correctement.

Contextualiser pour mieux cibler

Il devient incontournable d’engager une stratégie globale, une approche solide qui pourrait considérer les nombreuses complexités des réseaux actuels et l’activité dans le paysage des menaces de façon à établir quelles vulnérabilités ont besoin d’une attention immediate. Les entreprises doivent donc concentrer leurs efforts sur l’automatisation, de façon à ce que la collection des données et leur analyse soient orientées proactivement sur la réponse aux menaces, et aux améliorations stratégiques en termes de sécurité. Transformer les données en une intelligence profitable à l’entreprise, et améliorer ainsi leurs valeurs pour les programmes de sécurité permet incontestablement d’augmenter le ROI.

Le cybercrime ne disparaîtra pas demain, et les prochaines attaques de type WannaCry et NotPetya ne sont pas prêtes de s’arrêter, d’autant que les cyberattaquants souhaitent tester les limites des nouveaux outils de défense des entreprises. Ces dernières doivent donc s’assurer que leur cyberdéfense est opérationnelle, et commencer à adresser les problématiques de sécurité de façon proactive.