Penser comme un hacker, protéger comme un CIO

Les meilleures technologies fonctionnement tellement bien que c’est à peine si vous vous en rendez compte. En revanche, les cybercriminels, eux, n’en perdent absolument pas une miette.

Share this article:

Lorsque j’étudiais en génie électrique, j’enviais certains de mes camarades – ceux qui étaient en génie mécanique, en génie civil ou en génie géologique. Ils pouvaient voir ce qu’ils faisaient; ils étaient capables de toucher et de sentir leurs problèmes. C’était des problèmes physiques. Les miens étaient abstraits – impossible de les toucher ou de les sentir; mais ils n’en étaient pas moins réels pour autant.

C’est à cela que me fait penser la cybersécurité. Il est beaucoup plus difficile de percevoir les mesures mises en place ou que nous devrions mettre en place pour protéger une grande partie des données sur lesquelles nous comptons aujourd’hui. En revanche, tout le monde comprend très bien la notion de sécurité physique; les coffres-forts, les serrures, les caméras et les laissez-passer. Mais transposez cette notion de sécurité dans le domaine de la cybernétique et il devient beaucoup plus difficile pour tout le monde d’être sur la même longueur d’onde.

 

Comme je l’ai expliqué récemment lors d’un discours (dont il est fait mention dans notre blogue expertIP) à la Chambre de commerce de Toronto, nous pouvons observer que plusieurs entreprises se retrouvent à mener un dur combat pour atténuer les risques potentiels liés à la cybersécurité, tout en essayant de gagner et de conserver la confiance de leurs clients. Pour ce faire, il ne suffit pas d’investir dans la technologie, mais d’exercer un leadership éclairé. Même Symantec, l’une des entreprises de logiciels de sécurité les plus réputées à l’échelle internationale, a déclaré la fin des produits antivirus traditionnels, qui ne peuvent déceler que de 40 à 50 pour cent des menaces éventuelles.

Par ailleurs, les pirates s’apparentent de plus en plus à des sociétés, avec des services clandestins qui offrent des attaques par saturation (DDoS) et d’autres menaces à la demande. Dans cette optique, il est peut-être temps que davantage d’entreprises se mettent dans la peau des cybercriminels pour comprendre leur mode de pensée et être plus à même d’examiner l’ampleur du danger que ces menaces représentent pour elles.

Le modèle de cyberattaque « Cyber Kill Chain » de Lockheed Martin est considéré comme la stratégie utilisée par les cybercriminels et représente par conséquent la meilleure méthode pour déterminer comment votre position en matière de sécurité technique se traduit dans un contexte de risque d’entreprise. Passons en revue les étapes de ce modèle.

  • Reconnaissance : Recherche et analyse des informations relatives à l’environnement de la cible.
  • Armement : La charge de virus malveillante est prête à être utilisée contre la cible.
  • Livraison : Transmission du virus.
  • Exploitation : Le pirate profite des failles (techniques, systémiques / organisationnelles, humaines) du réseau.
  • Installation : Après exploitation de la faille, un logiciel malveillant est installé dans le réseau de la cible.
  • Commande et contrôle : Une connexion sortante est établie avec l’ennemi qui a lancé l’attaque.
  • Actions prévues : Le pirate informatique peut alors prendre le contrôle des informations ciblées par la menace (ex. : récupération ou manipulation des données, utilisation abusive des applications, etc.).

Si vous tentiez d’infiltrer le réseau de sécurité de votre propre entreprise, quelles failles – technologiques ou autres – pourraient vous permettre de franchir ces étapes plus facilement? À quel niveau pourriez-vous utiliser des techniques de piratage psychologique pour piéger votre équipe? Jusqu’à quelle étape du modèle de cyberattaque « Cyber Kill Chain » pourriez-vous vous rendre avant qu’une menace ou une tentative d’attaque ne soit découverte?

Le fait d’adopter ce mode de pensée vous permettrait de réorienter vos dépenses vers des secteurs où vos contrôles de sécurité sont inefficaces ou font défaut. Cela pourrait aussi être l’occasion de lancer une discussion interne capitale sur l’importance des ressources informationnelles et la protection des données.

Même si ces données ne représentent à première vue que des fichiers électroniques qui sont acheminés de façon invisible sur Internet, il faut que les chefs d’entreprise sensibilisent les personnes avec lesquelles ils travaillent au fait que ces informations ont une valeur réelle. C’est d’ailleurs sans doute ainsi que les groupes de pirates informatiques les voient.

Share this article:
Comments are closed.