A l’ère de l’hyperconnexion, comment les entreprises des secteurs bancaires et financiers peuvent-elles s’adapter pour lutter contre les cybermenaces ?
Wannacry, Expetr, NotPetya, BadRabbit… Les malwares et les cyberattaques se sont multipliées ces dernières années, avec des conséquences de plus en plus importantes à travers la planète. Les secteurs bancaires et financiers sont particulièrement ciblés : les cybercriminels s’intéressent de près aux institutions et à leurs clients, qui offrent de multiples sources de gains directs pour les attaquants. Selon Accenture, 1 cyberattaque sur 4 en France aboutit à une violation effective des dispositifs de sécurité dans ce secteur.
L’hyperconnexion prend à revers les schémas de sécurité de type « château fort ». Les nombreux besoins métiers ont fait exploser le volume de flux réseau. La contrepartie est donc de bien comprendre ce qui circule sur les réseaux, surtout à l’heure où des kits d’exploitation performants sont accessibles à tous. La démocratisation des techniques d’intrusions permettra aux attaquants de trouver par eux-mêmes des vulnérabilités jusqu’alors inconnues et de les exploiter facilement.
En 2017, de grands noms se sont fait attaquer et ont joué la transparence. Les pertes financières associées aux cyberattaques sont aussi mieux calculées, et ce dernier point sensibilise de plus en plus le top management et les actionnaires. Le changement est perceptible. Reste à ce que la cybersécurité soit perçue comme un investissement et non comme un coût.
Historiquement, la sécurité informatique se résumait à de la gestion de pare-feu, à autoriser et interdire des connexions réseau. Il n’y avait pas d’équipes dédiées, la sécurité était alors une tâche parmi tant d’autres qui incombait aux équipes d’infrastructure.
La cybersécurité a pris de plus en plus d’importance ces dernières années avec l’évolution des menaces et leur impact croissant. On est alors passé de simples mesures de protection à une réflexion plus exhaustive, en traitant les phases en amont et en aval d’un incident.
Aujourd’hui, les banques et les FinTechs n’ont pas d’autres choix raisonnables que de considérer la cybersécurité comme un enjeu majeur. Le secteur réglementaire s’est également emparé du sujet avec de nouvelles réglementations dédiées à la cybersécurité à l’échelle nationale, européenne et mondiale : Loi de Programmation Militaire, Directive Européenne NIS, RGPD, règlementations bancaires locales… De ce fait, si certains investissent déjà, les autres n’auront bientôt plus le choix. Même si ces réglementations sont souvent complexes à interpréter, elles ont le mérite de générer une prise de conscience généralisée chez les décideurs privés et gouvernementaux.
En pratique, comment agir ?
Chez Gatewatcher, nous développons deux axes de défense. Le premier est d’identifier la part de « connu » dans tout attaque dite « inconnue ». C’est la démarche implémentée dans un de nos moteurs de détection, Codebreaker, qui repère avec succès les codes d’exploitation même si leur playload (charge active de l’attaque) en lui-même est inconnu. Le second axe est le machine learning et l’intelligence artificielle. Notre équipe d’ingénieur-chercheurs dédiée à ce sujet mène d’une part des développements et des expérimentations et d’autre part une veille active sur les modes opératoires des attaquants. Ces activités s’inscrivent dans notre stratégie à long terme d’anticipation des évolutions des techniques de hacking.
Cette veille permanente a été intégrée dans notre R&D dès le début de la conception des méthodes de détection de Gatewatcher. Nous sommes partis de l’arsenal à disposition des attaquants afin de cibler ce qu’il était primordial d’analyser et de détecter dans les flux réseaux. Par exemple nous sommes les seuls à avoir développé des méthodes de détection de Shellcodes Polymorphes.
Un autre aspect de l’hyperconnexion est la quantité de données à analyser, qui augmente sans cesse. Par exemple pour l’analyse de fichiers, notre technologie Malcore analyse 100 fois plus de fichiers que les technologies issues de Sandbox. C’est un point essentiel. Il est trop facile pour un attaquant d’utiliser un format de fichier dont il sait qu’il ne sera pas analysé par une Sandbox classique à cause des filtres en amont de ces technologies. Avec Gatewatcher, nos clients sont capables d’analyser plusieurs millions de fichiers par jour.
En complément de notre plateforme de détection de menaces avancées, nous recommandons de mettre en place différentes mesures essentielles pour garantir la sécurité du système d’information :
- Former, sensibiliser et éduquer au quotidien les utilisateurs sur les dernières techniques d’attaque et les vulnérabilités,
- Conserver un niveau de sécurité optimal en isolant les informations entre elles, en limitant leur accès à des besoins essentiels et en limitant les connexions,
- Surveiller les activités sensibles, apprendre à identifier un comportement légitime d’un comportement anormal et mettre en place un processus de remontée d’alerte,
- Réagir efficacement en apprenant les bons réflexes, en ayant les ressources suffisantes et disponibles à tout moment.
Vous l’aurez compris, la cybersécurité est un élément clé et structurant d’une transformation numérique réussie, dans les secteurs bancaires et financiers, mais pas uniquement. La mise en place d’une véritable culture de la sécurité est primordiale en interne, en complément de l’implémentation de sondes de détection.
Par Jacques de La Rivière (GATEWATCHER) – 18 septembre 2018
