D’une étude effectuée par Carbon Black, un créateur de services de sécurité spécialisé dans les attaques sophistiquées, il ressort que les équipes de sécurité voient un risque croissant dans les attaques qualifiées de ‘non-malware’. Il s’agit là d’attaques qui n’utilisent pas les fichiers typiquement associés au malware en vue de pénétrer dans les systèmes.
Dans le cadre de cette étude, quasiment deux tiers des experts en cyber-sécurité interrogés (64%) indiquent qu’ils enregistrent une hausse des attaques ‘non-malware’ depuis le début de 2016. Ces attaques ‘sans fichier’ recherchent des solutions alternatives pour pénétrer dans un système, comme en se dissimulant dans d’importants processus tels PowerShell ou en ciblant la mémoire de travail. Ce faisant, elles ne sont généralement pas interceptées par les logiciels de sécurité plus traditionnels.
C’est aussi l’une des raisons pour lesquelles 93 pour cent des experts en sécurité interrogés estiment que les attaques ‘non-malware’ représentent un risque plus élevé que les maliciels. “Le malware est certes très embarrassant pour les entreprises, mais cela ne va souvent pas plus loin”, explique Rick McElroy, security strategist chez Carbon Black, à Data News. “Si un utilisateur est infecté par un maliciel, il en coûte peut-être une cinquantaine d’euros à son entreprise. Cela n’a pas un grand impact. Ce qu’on constate avec les attaques plus sophistiquées, c’est qu’elles causent plus de dommages. Elles sont plus ciblées et tentent de pénétrer dans de volumineux systèmes.”
Bye, bye les ‘princes nigérians’!
Le fait que les pirates se servent de nouvelles méthodes, c’est aussi parce que la sécurité s’améliore dans de nombreux cas. “Les attaques deviennent plus sophistiquées car les cybercriminels savent également que nous devenons plus intelligents”, ajoute McElroy. “On verra par exemple de moins en moins de mails en mauvais anglais émanant soi-disant de ‘princes nigérians’, parce qu’ils ne sont plus à la hauteur.”
Il convient d’y ajouter que le cyber-crime est occupé à progresser. Il s’agit là d’une manière (relativement) sûre de commettre des délits car c’est moins risqué qu’une attaque de banque par exemple. Mais cela a aussi des conséquences sur les équipes de sécurité et sur les logiciels utilisés. “Les attaques croissent plus rapidement que le recrutement de spécialistes capables de les contrer”, poursuit McElroy. “Et puis, il y a aussi l’intelligence artificielle et l’apprentissage machine, qui permettent à de plus petites équipes d’évoluer et de surveiller plus efficacement. Mais je n’y baserais pas toutes mes décisions. Nous en sommes en effet encore à un stade précoce de ces techniques. Elles en sont encore à leurs balbutiements. On peut encore en attendre pas mal de ‘false positives’, ce qui n’est pas apprécié par les équipes de sécurité. On ne peut se permettre de bloquer les activités.”
Il n’est pas le seul à avoir cet avis. Dans l’étude, 87 pour cent des experts pensent qu’il faudra attendre encore trois années au moins, avant de pouvoir faire confiance à l’AI pour prendre des décisions sur la plan de la cyber-sécurité. Pour l’apprentissage machine, les chiffres sont également éloquents: 70 pour cent déclarent en effet que les solutions de cyber-sécurité de type Machine Learning peuvent être contournées par les agresseurs, et 30 pour cent estiment que c’est même relativement simple. La cyber-sécurité reste provisoirement encore une lutte entre personnes, et la recherche de talent et de moyens en cyber-sécurité demeure le principal défi à relever.
Pour son étude, Carbon Black a interviewé 410 experts en cyber-sécurité en décembre 2016 et janvier 2017. Les participants devaient opérer en tant que chercheurs dans l’IT, l’ingénierie ou la sécurité. Les collaborateurs des vendeurs de produits de sécurité étaient exclus de participation.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici