Entretien Bernard Montel : « il faut adopter une véritable hygiène cyber »

Bernard Montel, pouvez-vous vous présenter à nos lecteurs ?

Je travaille depuis 20 ans dans la cyber et je suis depuis un an chez Tenable en tant que directeur technique et strategist pour la zone EMEA.

Tenable publie une rétrospective du paysage des menaces 2021. À qui est-elle destinée ?

Notre équipe de recherche, qui détecte et publie des vulnérabilités, diffuse une synthèse annuelle de ses travaux. Elle dresse un panorama des menaces et des vulnérabilités, destiné à tous ceux qui veulent se défendre. Ils y trouveront la cartographie des menaces, mais aussi les vulnérabilités qui ont marqué 2021 et qui sont souvent encore d’actualité en 2022. Ont-elles été découvertes et patchées pour l’environnement du client en question ?

Couvre-t-elle l’ensemble des menaces cyber ?

Nous balayons l’ensemble des secteurs économiques. Le rapport se base sur le travail de nos équipes de recherche : nous sommes l’une des sociétés qui publie le plus sur les failles zero day. Mais nous travaillons aussi sur les données du secteur privé et public, comme les agences de sécurité américaines ou européennes. C’est vraiment un rapport le plus ouvert et le plus complet possible.

Les failles zero day sont de plus en plus nombreuses. Comment l’expliquer ?

Nous constatons une augmentation des failles zero day à la fois en valeur absolue et en pourcentage. Cela est dû à des cycles de développement de plus en plus courts : certains développeurs doivent sortir des mises à jour toutes les semaines, voire plus, ce qui peut expliquer des erreurs de programmation ou de configuration.

Comment expliquer l’inflation du nombre de vulnérabilités détectées ?

En 2021, la pandémie a imposé le télétravail comme nouvelle norme et a accéléré le déploiement de services de Cloud. Leur adoption se fait souvent off-VPN. Ça change la donne, parce que nous avons bâti depuis 25 ans la sécurité informatique autour du réseau de l’entreprise.

Par ailleurs, beaucoup de métiers sont en phase de transformation numérique. Prenez l’automobile ou l’énergie : leurs business models sont bouleversés, ce qui provoque des transformations informatiques et donc une hausse du risque cyber.

Quelles sont les sources de vulnérabilités les plus fréquentes ?

D’abord, les failles logicielles, qui nécessitent un patch. Certaines sont dites chaînées ou héritées. C’est le cas de SolarWind, une vulnérabilité qui produit un effet domino. Citons aussi Log4J et Log4Shell, des failles majeures dans des bibliothèques de développement très largement utilisées, créant des vulnérabilités héritées.

On rencontre aussi les problèmes de configuration, qui peuvent créer des portes ouvertes dans le système de l’utilisateur.

C’est particulièrement vrai pour les VPN…

En 2021, le télétravail s’est imposé et le VPN a été la première solution d’accès à distance, il a donc été la première cible des cyberattaques. Cela est moins vrai en 2022, où l’on constate plus d’attaques sur les outils utilisés en télétravail : 95 % des applications passent par le navigateur, ce qui en fait une cible privilégiée. De même, la position dominante des produits Microsoft fait qu’ils présentent une surface d’attaque plus large et sont donc mécaniquement plus attaqués.

Le Cloud est également un environnement à risque…

C’est notamment vrai du Cloud privé, ces d’applications natives hébergées sur des plateformes de services, que l’on a longtemps protégées comme des applications classiques, avec des firewalls, des antivirus, etc.

Mais aujourd’hui, elles fonctionnent différemment, il faut donc gérer leurs vulnérabilités dès la phase de développement : faire du DevSecOps permet de détecter les problèmes de configuration directement dans le code de l’application et des infrastructures. De la sorte, on résout les problèmes avant qu’ils ne se posent. C’est le concept de Shift-left, qui a été introduit avec le Cloud et qui consiste à examiner ce qui n’est pas encore en production.

En 2021, les cyberattaques ont eu de plus en plus d’impact sur le monde physique. Est-ce encore le cas en 2022 ?

Clairement, en 2022, la hausse des attaques contre les infrastructures critiques se confirme. Des opérations, comme celle contre la Croix-Rouge fin 2021 puis début 2022 ou contre des hôpitaux, sont en hausse cette année.

En 2021, le monde industriel a vu l’émergence de malwares ciblant directement l’OT et en 2022, on en a déjà identifié deux de plus. Nous constatons aussi la convergence des attaques IT/OT, notamment par l’ouverture de ces systèmes à des capteurs connectés, reliés à des réseaux industriels qui n’ont pas été conçus pour. Cela conduit à ouvrir la surface d’attaque, cette fois avec un impact dans la vie réelle, comme ces assauts en Grande-Bretagne contre des fabricants d’agroalimentaire ou des chaînes de supermarchés. Il y a une tendance à aller vers un impact citoyen, car il se monétise plus facilement.

Face à la croissance exponentielle des objets connectés en milieu professionnel, vous plaidez pour « une approche holistique de la sécurité ». Pouvez-vous nous en dire plus ?

Cela consiste à avoir sous un seul radar l’ensemble de la surface d’attaque de l’entreprise, que ce soient des systèmes OT, de l’identité, de l’IT ou des applications dans le Cloud. Tous ces domaines sont liés, un attaquant qui cherche un chemin de pénétration ne fait pas de différence entre eux. Côté défense et prévention, il faut avoir la même approche, qu’ils soient gérés avec les mêmes personnes, les mêmes process et outils, dans une démarche centralisée, holistique et convergente.

Le ransomware a explosé en 2021. Cette tendance se poursuit-elle en 2022 ?

Oui, le ransomware, c’est un peu le phishing d’il y a dix ans, tout le monde en parle. Notons que la plaque géographique EMEA est la plus importante en termes de ransomware. Pourtant, quelle que soit la motivation de ces actions et le contexte géopolitique, les approches sont les mêmes en termes de protection : l’adversaire utilisera toujours les mêmes failles pour pénétrer votre système.

Par ailleurs, depuis deux mois, je suis frappé par l’émergence des Botnets, qui peuvent être utilisés pour du ransomware, mais aussi pour du déni de service ou des violations de données à des fins criminelles ou de renseignement.

Les violations de données figurent en effet en bonne place dans le panorama 2021…

Tenable a recensé 40 milliards d’enregistrements exposés sur 1 825 avis de violation. Un chiffre sous-évalué. Chaque mois, les limites en termes de violations de données sont repoussées. Pas plus tard que cette semaine, [du 18 au 22 juillet, ndlr], des hackers ont dérobé 65 millions d’enregistrements à un seul service de jeux vidéo. L’attaque contre la Croix-Rouge, c’est 500 000 enregistrements exposés. Ce n’est rien par rapport à 65 millions, mais c’est quand même la Croix-Rouge ! Les records sont battus pratiquement tous les jours.

Face à cette inflation des risques, quelles sont les pratiques à changer d’urgence ?

Pour la plupart des opérateurs, le besoin principal de la sécurité, c’est de détecter les risques. Or, on doit détecter des risques sur une surface d’attaque de plus en plus complexe, d’où le recours massif à l’IA, par exemple. À l’instar de la prévention en médecine qui permet d’éviter les maladies, Tenable prône de faire plus de prévention pour réduire la surface d’attaque : plus de prévention permet d’avoir à réaliser moins de détection.

Il faut adopter une véritable hygiène cyber : il ne s’agit pas forcément de patcher 100 % des vulnérabilités, mais de bien identifier le risque, de réduire la surface d’attaque et de corriger en priorité les vulnérabilités qui sont sur les chemins d’attaque. Il faut revenir sur le tout-détection. Avec 80 % de prévention pour 20 % de détection, on aura moins de complexité à gérer.

Pouvez-vous nous donner quelques points de vigilance particuliers ?

Tout d’abord, pratiquement toutes les attaques passent par l’active directory. Il faut être très attentif à cet élément interne qui se trouve presque toujours sur le chemin des attaques.

Le deuxième point est que la majorité des attaques exploitent des vulnérabilités qui existent depuis longtemps, comme ProxyShell, ProxyLogon, Log4Shell. Malgré un battage médiatique important autour de Log4Shell, on a encore en 2022 des attaques qui l’exploitent.

Le troisième point de vigilance est que l’exploitation des vulnérabilités après leur découverte est de plus en plus rapide. Ainsi, Log4J a été exploité environ 10 jours après la publication de cette vulnérabilité, contre des semaines ou des mois auparavant. Il faut donc avoir une approche continue de la sécurité.

Pouvez-vous préciser ce dernier point ?

Nous préconisons une hygiène cyber permanente. Auparavant, on effectuait un scan de cybersécurité à chaque nouvelle mise en production de ses solutions. Maintenant, il faut surveiller en continu son système d’information, qui est en évolution constante. On peut ainsi identifier une vulnérabilité sur d’anciennes versions d’un système, qui paraissaient saines à l’époque de leur mise en production.

Cette approche d’hygiène cyber permet de fermer des portes qui sont aujourd’hui entrouvertes, voire totalement ouvertes. Si vous avez des portes ouvertes, vous aurez beau avoir le meilleur système d’alarme, il sera inutile.