Huit prévisions et recommandations de cybersécurité pour 2017

January 19, 2017
Ryan Kalember

Le Centre opérationnel de sécurité Proofpoint a récemment publié nos prévisions de sécurité pour l'année 2017. Ce rapport décrit ce qui, selon nous, se profile à l'horizon 2017 en matière de menaces informatiques, ainsi que les différences potentielles par rapport aux années précédentes. À travers cette publication, notre objectif est de vous fournir quelques conseils pratiques quant aux mesures à prendre pour vous protéger.

En 2016, la plupart des attaques informatiques notables ont débuté de la même façon. Variables dans leur ampleur, simples ou complexes, liées à la cyber-criminalité ou à l'espionnage d'États, toutes ciblaient les individus. Voici les différentes formes qu'elles pourront prendre selon nous en 2017, ainsi que les mesures à prendre pour s'en protéger.

Retrouvez-nous mardi 24 janvier 2017 à 10 h 00 ! (heure du Pacifique)/13 h 00 (heure de la Côte Est) pour notre Webinaire 2017 Prévisions en matière de cybersécurité.

1. Les menaces avancées vont baisser en volume, mais gagner en complexité.

Les cyber-criminels s'efforcent sans relâche d'exploiter les réseaux de messagerie électronique, car nos activités sont fortement dépendantes de ce vecteur. En 2016, ils ont par exemple inondé les organisations de campagnes d'e-mails associées au ransomware Locky. Ils ont visé des centaines de millions de victimes à travers le monde et engrangé des millions de dollars de rançon.

Pour 2017, toutefois, le nouvel Eldorado sera les campagnes d'ampleur limitée. Pour propager les logiciels malveillants par le biais du courrier électronique, les cyber-criminels vont revenir à des campagnes complexes et davantage ciblées, mais de plus faible envergure. Les campagnes d'e-mails de grande ampleur encore susceptibles de se produire seront essentiellement réservées aux malware moins sophistiqués.

Recommandation : face à ce virage amorcé par les attaquants, faites appel à un fournisseur de sécurité parfaitement informé de leurs agissements. Ce savoir-faire et les précieux renseignements dont il dispose doivent s'étendre aux diverses régions, aux différents secteurs d'activité et aux groupes d'attaquants. Optez pour des solutions de sécurité qui combinent des techniques statiques et dynamiques, capables de détecter toutes les nouveautés : outils, tactiques et cibles. Assurez-vous que cette solution puisse tirer des enseignements de chaque attaque, de sorte que la suivante soit encore plus facile à intercepter. 

2. Fin des macros malveillantes jointes aux e-mails

D'ici au mois d'avril, les macros malveillantes incorporées dans les documents joints vont diminuer en nombre et en efficacité. Pour autant, les cybercriminels ne vont pas rester inactifs. Ils vont améliorer leurs techniques de harponnage (spear-phishing) et se tourner vers l'automatisation pour alimenter des campagnes personnalisées à grande échelle. En conséquence, des détails plus personnels vont renforcer la crédibilité des messages de phishing pour inciter les victimes à cliquer avec plus de persuasion.

Recommandation : pour intercepter les attaques d'e-mails, optez pour une double stratégie. Commencez par investir dans des solutions réduisant réellement le nombre de messages malveillants entrants, qu'ils contiennent des malware, cherchent à voler des identifiants de connexion ou tentent simplement de pousser le destinataire à effectuer une action via l'ingénierie sociale. Une solution réellement efficace doit également signaler à l'organisation chaque message malveillant remis à un utilisateur potentiellement vulnérable. Ensuite, élaborez un plan qui permette aux équipes chargées des opérations de sécurité/réaction aux incidents d'évaluer les actions effectuées par les comptes utilisateur lorsqu'ils ont été compromis par des attaques sans malware, comme le phishing d'identifiants.  

3. Remplacement des kits d'exploit par des « kits humains »

La découverte des vulnérabilités et les exploits qui les visent vont s'estomper, grâce à deux tendances connexes. D'abord, les navigateurs et les systèmes d'exploitation seront mieux protégés. Dans le même temps, les organisations vont prendre davantage conscience des failles de sécurité et y remédier avec plus de rigueur.

Pour l'activité des kits d'exploit, cela implique de grands changements. Ces outils d'attaque prêts à l'emploi ont permis aux cyber-criminels de multiplier leurs gains avec une grande facilité en capitalisant sur les nouvelles vulnérabilités logicielles ou matérielles révélées. Pour demeurer efficaces en 2017, ces kits d'exploit vont devenir bien plus personnels. Plutôt que de s'appuyer exclusivement sur les failles techniques, ils vont largement exploiter l'ingénierie sociale (ou piratage psychologique), et pousser les utilisateurs à contaminer eux-mêmes leurs propres machines.

Recommandation : élaborez des programmes de sensibilisation des employés et déployez une solution avancée pour la protection de la messagerie, car le courrier électronique va probablement demeurer le vecteur favori de ces « kits humains ». Pour limiter les erreurs humaines, optez pour des solutions capables d'identifier et de mettre en quarantaine les e-mails de harponnage avant qu'ils n'atteignent les boîtes de réception de vos employés. Pour étendre votre visibilité aux vecteurs potentiels de l'ingénierie sociale, examinez l'exposition de votre organisation sur les réseaux sociaux et l'usage des applis mobiles par vos employés. Par ailleurs, tenez davantage compte de l'ingénierie sociale dans votre système de modélisation des menaces.

4. Les attaques par piratage de la messagerie en entreprise (BEC, Business Email Compromise) vont poursuivre leur évolution et les pertes massives vont continuer.

Les escroqueries BEC ont déjà provoqué plus de 3 milliards de dollars de perte. Contrairement à la plupart des menaces par e-mail, ces attaques ne s'appuient pas sur des programmes malveillants et leur volume reste très peu élevé. Leur principal objet est de leurrer les utilisateurs afin de les inciter à transférer de l'argent ou des données confidentielles à des criminels qui se font passer pour des dirigeants, des partenaires ou des fournisseurs de l'entreprise.

Le volume d'attaques BEC va augmenter. Pour autant, les importantes pertes en dollars seront plus rares à mesure que les entreprises renforceront leurs diverses procédures de contrôle budgétaire.

Recommandation : investissez dans une solution de sécurité capable de classer dynamiquement les e-mails et qui ne s'appuie pas uniquement sur des règles statiques. Mettez en œuvre des politiques adaptées aux attaques BEC, comme vous le faites déjà pour le courrier indésirable. Veillez à ce que vos employés aient conscience de la valeur des informations qu'ils manipulent et soient sensibilisés aux tactiques d'attaque et aux risques pesant sur la messagerie.

5. Automatisation complète du phishing Angler sur les réseaux sociaux

Nous avons déjà eu l'occasion de décrire le « phishing Angler » : les cyber-criminels créent de faux comptes d'assistance à la clientèle sur les réseaux sociaux afin de piéger les consommateurs qui ont besoin d'aide. Ces comptes les redirigent alors vers une fausse page de service client dans laquelle les escrocs peuvent dérober leurs identifiants de connexion.

En 2017, les attaques de ce type vont se multiplier et gagner en complexité via l'automatisation. Elles emploieront par exemple un certain niveau de traitement du langage naturel afin d'intensifier leurs activités.

Recommandation : examinez avec soin votre exposition sur les réseaux sociaux et ayez conscience des risques pesant sur vos utilisateurs depuis l'extérieur, notamment les comptes frauduleux qui détournent vos marques déposées. À mesure que les fraudeurs automatiseront leurs attaques, vous devrez vous aussi automatiser vos protections. Bien que le phishing Angler se concentre pour l'instant sur Twitter, envisagez une solution qui convienne également pour Facebook, Google+, LinkedIn et d'autres réseaux sociaux. Cette solution doit pouvoir détecter, consigner et signaler tous les comptes associés à votre société, y compris ceux qui utilisent votre nom ou votre marque. Une solide solution de sécurité pour les réseaux sociaux vous permettra de savoir en quelques minutes si quelqu'un, quelque part dans le monde, a créé un compte usurpant votre marque ou nuisant à son image. Pour finir, optez pour une solution capable d'analyser de façon proactive les nouveaux domaines Web créés, afin d'être alerté à l'avance des attaques par hameçonnage, y compris du phishing Angler.

6. Accélération du rythme et de la diversification des attaques sur les réseaux sociaux

Du fait de leur prolifération, les réseaux sociaux offrent aux cybercriminels un retour sur investissement nettement plus élevé.

En 2017 :

  • Les escroqueries et opérations de phishing sur les réseaux sociaux vont doubler par rapport à 2016.
  • Le spam via réseaux sociaux va augmenter de plus de 500 % par rapport à 2016.
  • Le nombre de fraudes et de contrefaçons via de faux comptes de réseaux sociaux va monter en flèche.
  • Les techniques de fraude intégrées, qui combinent comptes de réseaux sociaux, fausses applis mobiles, sites Web frauduleux et e-mails d'imposteurs, vont également grimper en flèche.

Jusqu'à présent, les principales attaques ont épargné Snapchat, appli très populaire pour les discussions instantanées et le partage de photos. En 2017, cela va changer. De même, comme de plus en plus d'entités adoptent des modes de paiement sur les réseaux sociaux, elles s'exposent également de plus en plus à ce type d'attaques.

Recommandation : envisagez une solution non seulement capable d'analyser les réseaux Facebook, Twitter, Google+ et LinkedIn, mais aussi les applis de chat plus récentes telles que Snapchat, WeChat, Signal, BBM, etc. Vous obtiendrez ainsi de précieux renseignements sur ce qu'il se dit sur votre marque et sur la façon dont elle est utilisée sur les nouveaux réseaux, et serez aussitôt prévenu de tout usage néfaste.

7. Menaces visant les mobiles : le génie est sorti de la lampe !

Pour les menaces ciblant les mobiles, 2016 a été une année décisive. Trois facteurs essentiels sont à l'origine de cette multiplication des risques :

  • Les clones malveillants d'applis populaires (applis piratées contenant du code malveillant)
  • L'utilisation accrue du « sideloading », à savoir le téléchargement d'applis à partir de sources non officielles plutôt que par le biais de l'AppStore d'Apple ou du Play Store de Google
  • La création d'outils d'attaque ciblée spécialement pour les appareils mobiles

En 2017, les menaces inédites (dites Zero-Day), comme le kit d'attaque des appareils mobiles « Pegasus », ne seront plus réservées aux pirates commandités par certains États pour viser des dissidents. Elles proviendront également de divers cybercriminels ciblant les entreprises et les particuliers.

Ces attaques passeront par les SMS et les systèmes de chat pour propager des URL malveillantes, voire des exploits Zero-Day. Elles prendront toutes les formes possibles : des vastes campagnes destinées à voler les identifiants bancaires, aux attaques ciblées et personnalisées visant les cadres et les employés de certaines entreprises.

Vous connaissez peut-être déjà les applis malveillantes « à risque » : elles ne sont pas ouvertement malveillantes, mais peuvent quand même provoquer des fuites de données. En 2017, d'autres applis frauduleuses vont faire leur apparition, véhiculant du code malveillant et du spam en usurpant des marques légitimes.

Recommandation : investissez dans des outils orientés données capables de collaborer avec votre propre système de gestion des appareils mobiles (MDM, Mobile Device Management) pour analyser le comportement des applis au sein de votre environnement. Ces outils doivent pouvoir vous signaler avec précision quels types d'applis accèdent à des données et en envoient, et où. Ils doivent pouvoir évaluer le comportement des applis et les risques pesant sur les données personnelles et professionnelles. D'autre part, si vous communiquez avec vos clients par le biais d'applis mobiles, pensez à déployer une solution capable d'analyser les AppStore publics pour y déceler les applis mobiles frauduleuses ciblant vos clients.

8. Les attaques commanditées par des États voyous vont gagner en nombre et dépasser le cadre du piratage et des violations de données !

Des groupes de cybercriminels organisés et commandités par des États exploitent la nature humaine dans tous ses travers. 2017 verra selon nous la résurgence des attaques informatiques commanditées par des États. Des intrusions complexes et furtives, menées par des pays très variés, vont cibler tous les organes du gouvernement américain. D'autres attaques de même type tenteront de voler des informations et d'influencer les réseaux sociaux et les médias pour semer la discorde.

Recommandation : investissez en priorité dans des protections capables de lutter contre ces menaces modernes. Adaptez également vos contrôles de sécurité aux méthodes de travail modernes. Les technologies de sécurité les plus efficaces combinent trois éléments :

  • Renseignements exploitables sur les menaces (connaissance approfondie des techniques et procédés des cybercriminels)
  • Exploitation de ces renseignements pour actualiser aussitôt les systèmes de protection dès que les attaquants changent de tactique
  • Sécurité complète sur tous les canaux de communication (messagerie, mobiles et réseaux sociaux)

Êtes-vous prêt pour 2017 ?

Opter pour une approche avancée de la sécurité, axée sur les utilisateurs et les données, est la meilleure façon de procéder. C'est peut-être aussi la seule.

Face aux enjeux de 2017, il vous faut couvrir entièrement tous les canaux de communication exploités pour cibler vos employés. Dans le contexte actuel de risques informatiques, ces canaux doivent être protégés en tout lieu, sur tous les réseaux et tous les appareils.

Retrouvez-nous mardi 24 janvier 2017 à 10 h 00 ! (heure du Pacifique)/13 h 00 (heure de la Côte Est) pour notre Webinaire 2017 Prévisions de cybersécurité. Vous y découvrirez les meilleures pratiques à adopter pour bien commencer l'année : https://www.proofpoint.com/us/webinars