Secu
Cybersécurité : les logiciels d’éditeurs et le cloud deviennent des cibles privilégiées
Par Patrick Brébion, publié le 07 mars 2022
Le rapport annuel du Cesin, mais aussi les enquêtes des éditeurs spécialisés soulignent la virulence des cyberattaques en 2021. Si l’utilisateur continue à être ciblé par les hackers, la « supply chain logicielle » et le cloud captent désormais leur attention.
Début février, le ministère de la Justice s’est fait dérober des données confidentielles. Les pirates menaçaient de diffuser des informations confidentielles s’ils n’obtenaient pas le versement d’une rançon. Le dernier épisode d’une longue série ! Car l’année dernière, une grande entreprise française sur deux a subi au moins une cyberattaque réussie. C’est l’un des chiffres clés présenté par le Cesin en janvier dernier dans le cadre de son baromètre de l’année 2021, issu d’une enquête menée par OpinionWay.
Dans un registre plus positif, l’enquête souligne une augmentation toujours plus marquée des budgets alloués à la sécurité, 70% des entreprises leur ayant octroyé une augmentation l’année dernière. Autre évolution notable, sept entreprises sur dix ont contracté une cyberassurance.
Cette dernière tendance ne répond pas, malgré tout, à tous les besoins. Les assureurs n’ayant pas de données et d’historique conséquents pour évaluer les dégâts consécutifs aux cyberattaques, ils ont parfois tendance à proposer des prises en charge insuffisantes, voire moins importantes que les rançons demandées par les hackers. En avril dernier, le responsable de l’Anssi, Guillaume Poupard, s’était dit inquiet du « jeu trouble de certains assureurs ». Dix mois après, les choses n’ont apparemment pas beaucoup progressé.
Dans les points remarquables de ce baromètre du Cesin, la sensibilisation des utilisateurs a fait l’objet d’efforts soutenus, en particulier pour contrer le phishing qui, malgré ces actions, est resté le premier vecteur d’attaque dans les entreprises l’année dernière. À noter tout de même que son niveau est en légère baisse par rapport à 2020.
Autre signe a priori positif, l’impunité dont bénéficient les hackers les plus dangereux, à savoir les APT (Advanced persistent threat) localisés dans des pays comme la Russie ou la Corée pourrait ne plus être totale. En janvier dernier, le FSB, le service fédéral de sécurité de la fédération de Russie, a annoncé via un communiqué de presse avoir démantelé le groupe de hackers baptisé REvil, ce, sur demande des États-Unis. Un événement à interpréter avec beaucoup de précautions tant à cause de ses évidentes motivations politiques que de la difficulté à s’assurer de la réalité de ce démantèlement. En outre, la Russie n’est pas le seul pays à abriter des APT.
Enfin côté État français, les pouvoirs publics renforcent les moyens. L’Anssi va créer des antennes en régions (voir encadré). Finalement, ce bilan du Cesin comme la régionalisation de l’Agence dénotent une prise de conscience croissante qui se traduit concrètement sur le terrain.
ÉDITEURS, CLOUD ET OPEN SOURCE : LES MAILLONS FAIBLES
Ces dernières semaines ont également fourni l’occasion aux éditeurs spécialisés de dresser leurs propres panoramas de l’activité des hackers en 2021. Une enquête d’Orange Cyberdéfense chiffre ainsi à 13% l’augmentation entre 2020 et 2021 des cyberattaques contre les entreprises privées et les organisations publiques françaises. De son côté, le rapport de Check Point Software 2022 avance une augmentation de 50 % sur 2020 au niveau mondial.
Mais au-delà de cette croissance, ce dernier rapport met en évidence des points sensibles, en passe de devenir les nouveaux maillons faibles des systèmes d’information. Il s’agit d’abord de la « chaîne d’approvisionnement en logiciels ». Côté éditeurs classiques, après Solarwinds fin 2020, l’éditeur Codecov a reconnu en avril dernier que son outil d’envoi de rapports Bash Uploader pouvait constituer une menace pour ses clients. En juillet dernier, c’était l’éditeur Kaseya qui était dans la tempête. Les hackers ont pu propager leurs malwares en les faisant passer pour des mises à jour provenant de cet éditeur.
Les grands fournisseurs de cloud ne sont pas l’abri non plus. Selon une étude de la société spécialisée Ermetic, 90 % des données stockées dans le cloud d’AWS sont exposées aux ransomwares, un risque lié notamment à des problèmes de configuration. Une faiblesse également soulignée par le rapport de Check Point. Selon celui-ci, « en 2021, le niveau de vulnérabilité des fournisseurs de cloud est devenu beaucoup plus alarmant qu’auparavant ».
Les applications construites avec des briques open source sont également sous les feux de la rampe, comme la vulnérabilité Log4j2 l’a montré il y a quelques semaines. Cette fragilité logicielle ne se limite pas aux fournisseurs de cloud, éditeurs ou aux bibliothèques open source. Selon un rapport de Sysdig sur la sécurité du cloud, les containerisations des applications, en particulier pour le cloud hybride, se développent à grande vitesse. Mais problème : 75 % des containers comportent des vulnérabilités critiques ! (voir Itforbusiness.fr)
L’utilisation de ces failles logicielles en tous genres ne doit rien au hasard. L’éternelle course entre le gendarme et le voleur pousse ce dernier à chercher les points faibles ou les organisations les moins bien armées. En d’autres termes, si les utilisateurs deviennent plus vigilants, la recherche de failles plus techniques s’impose du côté hacker. Reste à savoir si toutes les parties prenantes, éditeurs, fournisseurs de cloud… et, plus globalement, les développeurs arriveront à sécuriser le code. Un challenge loin d’être gagné. Le Cigref demande déjà depuis quelque temps la mise en œuvre de normes pour les éditeurs : « dans le cas du numérique, aucune norme minimale de sécurité n’est imposée. L’utilisateur reste seul responsable. » La demande du Cigref apparaît logique mais devra, pour être efficace, s’accompagner d’une meilleure sécurisation du code développé par les entreprises utilisatrices elles-mêmes et de leur utilisation de briques open source. Or demander aux développeurs cette prise en compte améliorée de la sécurité apparaît quelque peu paradoxal au moment où, transformation digitale « oblige », ils doivent délivrer toujours plus vite des applications toujours plus ouvertes !