Le télétravail, massivement mis en place afin de répondre au contexte sanitaire, a mis en évidence l’importance de la cybersécurité pour les entreprises. Ces dernières ont dû trouver des solutions intuitives et efficaces pour se prémunir contre les menaces, et ainsi maintenir leur activité et leur performance dans un environnement inédit. Mais la tâche n’est pas si simple…
Avec la pandémie, les équipes sécurité ont connu une année difficile. Leur mission a d’abord consisté à faciliter l’implémentation accélérée des environnements de télétravail. Ils ont ensuite été constamment sollicités pour faire face aux cybercriminels profitant de la situation sanitaire. Si l’on se projette un peu, il y a toutefois une bonne nouvelle : l’intelligence artificielle (IA) offre aux entreprises une excellente opportunité d’optimiser leurs efforts en matière de cybersécurité. Gardons cependant à l’esprit que les attaquants chercheront eux aussi à utiliser ces mêmes technologies à des fins malveillantes.
2020 : une année riche
À bien des égards, le paysage des menaces a, l’an passé, illustré de nombreuses tendances que les experts en cybersécurité surveillent depuis plusieurs années. Le phishing, l’exploitation de logiciels vulnérables, mais également la découverte, le vol ou le piratage de mots de passe ont été recensés tout au long de l’année. Bien que le contexte dans lequel ces techniques ont été utilisées soit varié, l’actualité s’est notamment fait écho de comptes détournés pour déployer des ransomwares, de vols de données sensibles, de fraudes et de minage de crypto-monnaie.
Les cybercriminels ont ainsi utilisé le COVID-19 comme un leurre de phishing très efficace, en incitant les utilisateurs à cliquer sur des liens malveillants ou à ouvrir des pièces jointes contenant un malware. Cela a notamment été le cas de faux installeurs Zoom[1]. Rien qu’au premier semestre 2020, près de neuf millions d’e-mails, d’URL et de fichiers malveillants faisant référence au coronavirus ont ainsi été détectés[2].
Les attaquants ont ciblé les télétravailleurs dès le début de la pandémie : ils ont réalisé très tôt qu’ils étaient susceptibles de travailler sur des terminaux (ordinateur, téléphone, tablette) non sécurisés et qu’ils pouvaient être plus distraits chez eux, donc plus enclins à cliquer sur des liens de phishing. En effet à distance, les collaborateurs prennent potentiellement plus de risques qu’ils ne le feraient au bureau, comme télécharger des données vers des applications non professionnelles[3].
Notons cependant que l’ensemble des attaques ayant réussi contre les entreprises ne sont pas toutes liées à une erreur humaine. Certaines menaces sophistiquées ont ciblé des VPN, qui auraient dû être mis à jour par les équipes en charge de la sécurité, ou des serveurs de contrôle à distance protégés uniquement par de simples mots de passe.
Faire face à la pénurie de compétences
Aujourd’hui, ces menaces représentent toujours un danger réel et constant pour les organisations. Cependant ces dernières ont eu le temps de s’organiser et de renforcer leur stratégie de défense pour atténuer les risques. Les défis auxquels elles seront confrontées à plus long terme tournent autour de la pénurie constante de compétences et du volume croissant de menaces sophistiquées. Bien que l’écart entre l’offre et la forte demande ait légèrement diminué l’année dernière[4], il manque encore plus de 3,1 millions d’experts en cybersécurité encore à l’échelle mondiale.
Or, que ce soit via le Cloud, les applications mobiles, les appareils connectés ou d’autres types de technologies, la transition numérique permet aux entreprises d’accélérer leur développement plus rapidement qu’elles ne peuvent recruter de spécialistes pour protéger leurs infrastructures. Et le paradoxe est tel que la technologie fait parfois partie du problème.
Aujourd’hui, nombreuses sont les entreprises à avoir investi dans trop d’outils informatiques et de solutions de sécurité. Il est donc complexe pour les équipes sécurité de définir des priorités parmi les alertes et données télémétriques sous lesquelles elles se retrouvent submergées : une situation propice pour que les attaques passent à travers les mailles du filet.
C’est là que l’intelligence artificielle (IA) intervient ! En partant des critères propres à un comportement « normal », l’IA peut distinguer un comportement suspect propre à une attaque et alerter en conséquence. Les équipes peuvent alors se pencher sur cette activité suspecte, faire le tri et lancer une investigation approfondie si nécessaire. L’automatisation est ici un élément clé du puzzle : en mettant en place des systèmes automatisés capables d’effectuer l’identification, la mise en quarantaine et le blocage des violations de sécurité, les machines s’acquittent de la plupart des tâches chronophages à faible valeur ajoutée. Les opérateurs, déjà très sollicités, peuvent ainsi se concentrer sur des tâches prioritaires et stratégiques.
Le côté obscur de l’IA
Cependant, la cybersécurité est une course à l’armement. L’ennemi a l’avantage de la surprise et, évolue dans une économie cybercriminelle évaluée à des milliers de milliards d’euros. Il dispose donc de toutes les ressources nécessaires pour faire en sorte que ses crimes soient lucratifs. Nous cherchons à utiliser l’IA pour lutter contre les menaces, mais nous devons donc également nous préparer à ce qu’elle soit également utilisée contre nous. Aujourd’hui, l’intelligence artificielle permet d’analyser le style de rédaction des mails afin de détecter de potentiels messages malveillants, mais les attaquants utilisent des outils similaires pour rendre leurs mails frauduleux plus convaincants et difficiles à détecter par l’IA.
Un récent rapport réalisé par Europol et les Nations Unies met en garde sur la manière dont l’IA pourrait être détournée pour rendre les attaques plus ciblées et plus efficaces[5], notamment en accélérant la découverte de données sensibles, en évitant les contrôles d’authentification et même en recourant à des deep fakes pour l’extorsion et la fraude.
Ainsi, si elles souhaitent pouvoir garder une longueur d’avance sur les attaquants dans cet écosystème mouvant, les organisations doivent donc continuer à rechercher, à promouvoir l’IA dans des cas d’utilisation positifs et à définir les bases de leur sécurité.
[1] Backdoor, Devil Shadow Botnet Hidden in Fake Zoom Installers (trendmicro.com)
[2] Securing the Pandemic-Disrupted Workplace: Trend Micro 2020 Midyear Cybersecurity Report
[3] Employee Security Training is Vital to Remote Success (trendmicro.com)
[4] (ISC)² 2020 Cybersecurity Workforce Study
[5] New report finds that criminals leverage AI for malicious use – and it’s not just deep fakes | Europol (europa.eu)