Menaces informatiques : mieux vaut savoir à qui on a affaire pour mieux se défendre. Denis Gadonnet, directeur Europe du Sud chez Hexis Cyber Solutions, dresse le portrait de 3 différents types de hackers. répertorie les 3 différents groupes qui menacent les systèmes informatiques au quotidien
Les entreprises dépensent de plus en plus pour la protection de leurs systèmes informatiques. Anti-virus, pare-feu, « bac à sables » etc., sont des jeux d’enfants à contourner par les hackers qui s’infiltrent sans problème dans les systèmes qui utilisent ce type de solutions. Ces logiciels, dont les comportements de défense et de ripostes sont connus à la perfection par les hackers, ne sont plus d’aucune utilité pour les systèmes informatiques qui en sont munis. Il devient dès lors impératif pour toute entreprise de repenser la façon dont elle se protège. Pour ce faire, proposer en amont un audit clair des besoins de chaque structure en matière de défense informatique est nécessaire. Tirer un portrait clair du hacker selon ses besoins et ses objectifs permettra aux entreprises de mieux s’armer pour éviter une cyberattaque destructrice qui peut être évitée si la protection utilisée est en adéquation avec les menaces actuelles.
Les hackers agissent différemment selon les cibles à atteindre
Par le passé, un hacker était considéré comme une personne recluse agissant seule avec pour but principal d’endommager les systèmes informatiques, voire dérober des informations personnelles d’utilisateurs dans un but purement personnel. Si les hackers agissent désormais comme des entreprises, il est utile de répertorier les 3 différents types de profils qui menacent les systèmes informatiques au quotidien :
1 / Le hacker « moderne »
Ce type de profil agit davantage comme une entreprise structurée et qui a gardé les réflexes des premiers hackers. Pour rester lucratif, il doit sans cesse se réinventer et investir à la fois du temps et de l’argent pour que ses actions remportent du succès. Afin d’être rentable, ce hacker va la plupart du temps s’orienter vers des victoires faciles. Il utilisera des attaques envoyées par mail dans le but de corrompre des systèmes informatiques par un lien cliquable. Cela lui donnera ainsi accès à des informations clés d’une entreprise. Il pourra dès lors procéder à une phase de chantage en envoyant des demandes de rançons pour les utilisateurs qui désireront récupérer l’accès à leurs machines, communément appelé le spear phishing.
2/ Le hacker « professionnel »
Sa façon d’agir exige de la dextérité. Son but n’est pas de récupérer des sommes dérisoires en faisant du chantage à grande échelle. Il préfère s’infiltrer au sein de systèmes informatiques dont les protections se concentrent sur des malwares déjà connus et des attaques qui se sont déjà produites. Il va donc s’orienter vers de nouveaux moyens de s’introduire et de passer inaperçu pour recueillir les informations dont il a besoin en naviguant au sein d’un réseau sans subir d’inquisition. Qu’il soit à l’affut de petits ou de gros profits, le hacker agissant dans la rentabilité immédiate ou à long terme va souvent orienter ses attaques sur les postes les moins à risque stratégiquement (accueil, secrétariat etc…). Avec ce type de stratégie, les hackers pénètrent les postes tout en ayant une connaissance accrue des allées et venues, des informations sur les postes à responsabilités ou des données plus délicates notamment financières.
L’infiltration d’un système informatique « par le bas » permet d’avoir plus de chances d’atteindre les postes à responsabilités sans se faire détecter, et frapper fort en ayant pu collecter un maximum d’informations glanées au fil du temps.
3/ Le hacker « politique ou activiste »
Cette catégorie de hackers souhaite avoir accès à des données confidentielles et rarement financières. Ils ne sont d’ailleurs pas obligatoirement intéressés par toutes les sociétés qu’ils attaquent mais fonctionnent plus comme un cheval de Troie : en s’infiltrant un peu partout même vers des sources pouvant paraître secondaires voire sans lien, pour atteindre petit à petit leur cible en plein cœur.
L’aspect financier n’est que peu présent pour cette catégorie de hackers. Qu’il s’agisse de hackers de la bienséance dans le cas du site Ashley Madison ou de terroristes pour TV5 Monde, les conséquences restent les mêmes : les systèmes informatiques sont violés, les données divulguées, détruites et rien n’avait été vu avant que le hacker lui-même ne décide de revendiquer son geste, voire qu’il passe à l’acte. Ces hackers activistes ne revendiquent que rarement une rançon mais agissent dans le but de nuire à des entreprises, à leur image ou d’autres personnes impliquées et liées à ces entreprises.
Quelle protection pour se protéger de ces différents groupes de hackers ?
En moyenne, les entreprises mettent entre 3 à 6 mois avant d’identifier une intrusion dans leur système informatique[1]. Pendant cette période, les hackers ont eu accès à un nombre incalculable d’informations qu’ils peuvent utiliser pour faire chanter leurs victimes ou leur nuire considérablement. Si les systèmes d’anti-virus et de pare-feu classiques n’ont pas réussi à détecter ces intrusions, il est inutile d’investir plus dans des solutions dépassées qui fonctionnent de la même façon, à savoir la détection qui intervient après l’intrusion.
Afin de contrer les intrusions les plus discrètes, les entreprises doivent se doter d’un système de défense informatique automatisé. Ce type de solutions permet d’anticiper au mieux les stratégies d’intrusion cachées des hackers. Au vu de leurs agissements distincts, il est recommandé grâce à un système d’automatisation de surveiller les intrusions et de comprendre leur agissement. Cela peut durer plusieurs semaines pour mieux les connaître afin d’isoler les données sensibles qui les intéressent. S’ensuivra alors la sécurisation vers un autre système de ces données.
Sur le long terme et à l’aide d’une solution performante de défense automatisée, les intrusions deviendront beaucoup trop complexes pour les hackers. En observant un comportement et en le comprenant, il sera beaucoup plus facile de prévenir pour éviter ainsi de futures attaques.
[1] Etude de l’Institut Ponemon sur la détection des menaces avancées au sein des entreprises dans plus de 14 pays au premier semestre 2015.