Partie 2 : Cyber-espionnage, le nouveau maillon de la chaîne
Dans notre précédent article dédié aux Big Game Hunting, nous vous présentions les méthodes, tactiques et objectifs de ces attaques majoritairement soutenues par des États. Ces derniers, de plus en plus actifs dans le cyberespace, tentent également au travers d’attaques massives et insidieuses d’accéder à certaines données stratégiques détenues par les entreprises : le cyber-espionnage est en marche.
L’espionnage : la menace invisible et sous-évaluée
Dans une récente interview, Guillaume Poupard faisait le bilan d’une année 2020 « explosive » et y partageait son inquiétude principale pour les attaques dont « l’objectif n’est pas explicite ». Ayant notamment pour but de préparer de futures attaques, elles passent dans leur grande majorité sous les radars des entreprises ciblées.
Le théâtre de la compétition économique ne se retrouve pas seulement sur les marchés financiers ou dans les cargos de marchandises mais dans l’innovation et la recherche. Le savoir-faire, la propriété intellectuelle et les informations stratégiques sont identifiés par les États et les entreprises comme un levier de croissance à utiliser. Cette pratique n’est pas nouvelle, tout au long de l’histoire économique, de nombreux pays ont opté pour l’espionnage afin de rattraper leur retard technologique ou maintenir leur indépendance stratégique. Au fil du temps, les entreprises elles-mêmes ont fini par mettre en place cette stratégie parfois fortement payante.
L’environnement concurrentiel actuel est tel que les entreprises peuvent être espionnées par des États, par d’autres entreprises ou encore par des États qui souhaitent défendre les intérêts stratégiques de leurs entreprises.
Cependant, tous les acteurs de ce jeu de guerre économique n’obéissent pas aux mêmes règles et les entreprises ont bien du mal à se protéger des attaques étatiques. Il est d’ailleurs rare d’entendre parler d’espionnage et encore plus de la part d’une entreprise ciblée.
Tout comme dans les Big Game Hunting, une évolution a eu lieu : aujourd’hui, on ne cible plus massivement les données pour ce qu’elles peuvent apporter financièrement mais pour ce qu’elles représentent une fois utilisées.
Cyber-espionnage : l’explosion de la menace
Enfin devenu un sujet incontournable, le cyber-espionnage s’est même vu obtenir son premier « Cyber-espionage Report » des mains de Verizon cette année. Ce rapport nous apprend notamment que les méthodes et tactiques des attaquants passent par trois étapes :
- Etape 1 : Le ciblage d’employés au travers de campagnes de phishing couplées à de la manipulation au travers de l’ingénierie sociale
- Etape 2 : L’utilisation de techniques leur permettant de se maintenir dans le système ciblé (utilisation de portes dérobées et des fonctions C2)
- Etape 3 : Le déploiement de malwares pour étendre leurs capacités d’attaques
Ces informations sont d’ailleurs confirmées par l’ENISA dans son « Threat Landscape report – Cyberespionage » qui fait notamment état d’une augmentation de la proportion d’attaques en lien avec des acteurs étatiques de l’ordre de 38% entre 2019 et 2020.
Selon ce rapport, le cyber-espionnage aurait également motivés 20% des brèches de données et 11,2% des incidents de sécurité connus en 2020.
Le cyber-espionnage motive donc une part considérable des attaques aujourd’hui opérées, cependant, les données volées et l’utilisation précise de celles-ci ne sont pas simples à identifier.
Secrets technologiques et propriété intellectuelle : cibles majeures du cyber-espionnage ?
Les départements de Recherche & Développement cœur stratégique des entreprises et des cyber-attaquants
Principale source de dépense dans les grands groupes, les services Recherche et Développement font partie des entités les plus ciblées car les plus stratégiques et lucratives.
L’espionnage peut prendre une multitude de formes et les vecteurs d’attaques utilisés pour identifier et subtiliser les ressources les plus critiques sont plus ingénieuses les unes que les autres. Comme le confirme d’ailleurs les scénarios d’attaques régulièrement relatés dans le « flash ingérence économique » publié par la Direction Générale de la Sécurité Intérieure, une grande part des attaques d’espionnage industriel ne sont pas le fruit d’attaques cyber. Le dernier en date fait état du détournement de connaissances technologiques d’un acteur majeur français au travers d’un partenariat aux clauses intrusives et au débauchage d’employés de la R&D.
La professionnalisation des groupes criminels et la démocratisation du rôle des états dans ce processus font aujourd’hui du terrain cyber une brique majeure dans la mise en place d’attaques d’espionnage de plus grande ampleur. Bien qu’elles ne soient pas la seule et unique porte amenant à l’espionnage économique, la brique cyber en est aujourd’hui l’un des principaux vecteurs.
Les spécialistes en cybersécurité ciblés
Une autre tendance émerge et fait énormément parler ces derniers mois : les attaques ciblant le monde de la cybersécurité. Dernièrement, la société française Stormshield avouait avoir subi une attaque ayant eu pour conséquences un accès non autorisé à un portail de ticketing utilisé par ses clients et une fuite d’une partie du code source des solutions « Stormshield Network Security ». Parmi les informations auxquelles les attaquants ont pu avoir accès, de nombreuses données de comptes clients, des informations personnelles et techniques liées aux outils utilisés par leurs services informatiques. La fuite d’une partie du code source des logiciels de pare-feu destinés à la sécurité des systèmes d’information industriels de ses clients laisse quant à elle toute place à une suspicion d’utilisation ultérieure de ce code.
En attaquant ces entreprises, le but peut donc être d’accéder à des informations critiques sur les systèmes de sécurité des clients, afin de les utiliser directement ou pour préparer de futures attaques.
Du fait de leur spécialisation, les attaques visant ces entreprises se doivent d’être assez sophistiquées et complexes et nécessitent donc un niveau de technicité extrêmement élevé, fréquemment prêté à des groupes liés à des états.
Une prise de conscience des états sur les enjeux de cyber-espionnage
La montée de cette menace s’accompagne notamment d’une prise de conscience globale de nombreux gouvernements et d’une adaptation de leur stratégie diplomatique. Joe Biden confirmait récemment le maintien de Huawei, dans la liste des entreprises figurant dans le décret initié par son prédécesseur, en tant qu’entité contrôlée par un « adversaire étranger » avec un « risque de sabotage indu » des systèmes de communications du pays.
Beaucoup d’acteurs institutionnels semblent donc prendre la mesure de cette menace, il n’en est malheureusement pas encore de même pour les entreprises qui, dans leur grande majorité, se retrouvent désarmées face à des techniques subversives et des moyens bien supérieurs à ceux dont elles disposent.
Les entreprises doivent donc aujourd’hui faire face à de multiples menaces. D’une part, celles les visant tout particulièrement, pour des raisons financières, de déstabilisation ou encore d’espionnage économique. D’autre part, celles les visant par ricochet dans le cadre d’attaques d’espionnage à des fins politiques ayant pour but d’atteindre les états auxquelles elles sont liées ou à des fins économiques, visant des entreprises partenaires.
Les états, notamment au travers d’agences spécialisées comme l’ANSSI, accompagnent et mettent à leur disposition, des outils d’investigations a posteriori. Cependant, les règles du jeu ne sont pas les mêmes pour tous et les entreprises ne disposent quant à elles, que « d’un droit de lecture » lorsque leurs adversaires disposent très souvent « d’un droit d’écriture ».
Pour mieux se protéger, une prise de conscience est indispensable. Nombreux sont les exemples qui prouvent chaque jour davantage que les états sont devenus un maillon primordial de la chaîne de menaces ciblant les entreprises. La cyberguerre a bel et bien commencé et les entreprises à forte valeur ajoutée en sont l’une des cibles principales.
En ayant conscience de ces risques, sans les minimiser, ni les amplifier, les entreprises peuvent anticiper et préparer les prochaines attaques car comme le suggère l’un des maîtres de la guerre chinois : « triomphe celui qui est le mieux informé ».[1]
Et l’anticipation peut prendre de nombreuses formes, il s’agit de prendre conscience que les données des entreprises sont exposées, au travers d’outils tels que Serenety ou encore de veiller à ce que tous les environnements des entreprises soient à jour en maintenant une veille efficace. C’est ce que nous proposons à travers de Yuno, une offre personnalisée de veille. Enfin parce que les humains sont un des vecteurs des attaques, la sensibilisation des collaborateurs est primordiale (formations et campagnes de phishing sont un très bon début).
[1] Extrait de « L’art de la guerre » Sun Tzu
Découvrir d'autres articles
-
Cyber Threat IntelligenceTakedown : Un moyen essentiel pour lutter contre la cybercriminalité
Lire l'article -
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Cyber Threat IntelligenceTactiques et techniques d’évasion des APT associées à la Chine
Lire l'article