Les entreprises sont-elles leur propre ennemi pour la sécurité de leurs infrastructures IT ? Prêtes à s’investir mais avec des difficultés de mise en œuvre, elles sont pourtant confrontées quotidiennement à de nouvelles cybermenaces. Les dernières en date, et les plus médiatisées, pour les SI et les objets connectés s’appellent Locky, Cerber, Hajime ou BrickerBot.
Les entreprises manquent-elles d’organisation face à la cybercriminalité ? Les conclusions d’une étude internationale commanditées par Intel Security/CSIS vont dans ce sens. En s’appuyant sur les constats des répondants, elle démontre le décalage entre les stratégies lancées par les dirigeants et les applications opérationnelles pour contrer les menaces.
90% des organisations avec une stratégie de cybersécurité avouent leurs difficultés de mise en œuvre et « le chevauchement de technologies ». Et 83% considèrent que cela peut engendrer des possibilités de faille. La complexité de mise en œuvre, le manque d’encouragement perçu par les équipes en charge de la cybersécurité créent des «dissonances» entre les équipes dirigeantes et opérationnelles, des incohérences au niveau des outils déployés. Elles remettent en cause l’efficacité des politiques de lutte contre les cybermenaces selon le CSIS (Center for Strategic and International Studies) et permettent aux cyber-attaquants de conserver l’avantage.
Face aux bonnes intentions des entreprises, « la question n’est plus de savoir ce qui devrait être fait, mais plutôt pourquoi tout n’est pas fait et surtout comment mieux le faire » avertit cet institut d’études sur les affaires internationales et la sécurité. Son rapport pointe aussi du doigt comme obstacles le manque de financement, la pénurie de compétences : des difficultés plus marquées dans le secteur public que privé.
Les ransomwares et la sécurité IoT encore à l’ordre du jour
Locky, Cerber dans la catégorie des ransomwares requièrent toute la vigilance des utilisateurs finaux. Quant à Hajime ou Brickerbot, ils visent plus directement les vulnérabilités de l’Internet des Objet. Dans les deux cas, ransomware ou botnet IoT, ils représentent de nouveaux challenges pour les experts en sécurité.
Locky et Cerber sont des malwares, sous forme rançongiciel apparus en 2016. Locky se propage principalement par email via une pièce jointe en format word (.docx) ou compressé (.zip), souvent déguisée avec un libellé de facture. En fin d’année dernière, la vague Locky semblait avoir perdu en intensité au profit de son ‘’concurrent’’ Cerber. Mais Locky serait de retour selon les alertes de Cisco, et il ciblerait majoritairement les entreprises.
Hajime est un virus qui s’attaque quant à lui d’abord aux objets et périphériques connectés qu’il rend inopérants avant d’avoir le potentiel de créer de fortes perturbations sur l’infrastructure Internet, comme le trop fameux Mirai. Les objectifs de Hajime restent flous selon les experts en cybersécurité. Il est soupçonné de vouloir limiter les conséquences de son prédécesseur Mirai, dans l’optique d’une stratégie de « bataille de terrain » selon une expert en sécurité et/ou de vouloir pointer la trop grande vulnérabilité des objects connectés. Hajime est actuellement particulièrement actif en Asie selon les observations de Kapersky mais il reste pour toutes les régions du globe une sérieuse menace à surveiller.
L’auteur, identifié du malware BrickerBot, détecté ce printemps affiche des visées d’avertissement radical et à grande échelle pour les fabricants d’objets connectés qu’il exhorte ‘’à revoir leur copie » en matière de sécurisation. BrickerBot efface en effet la mémoire de stockage des dits objets vulnérables et les rend inutilisables. Reste aux fabricants et exploitants à prendre la menace au pied de la lettre et à améliorer les configurations d’origine.