Du fait de l’importance croissante prise par les outils numériques dans la vie des entreprises, le risque cyber est aujourd’hui considéré comme une des menaces systémiques les plus importantes qui soient. Pourtant, un grand nombre d’entreprises négligent encore ce risque ou peinent à y apporter les réponses appropriées. Pour Franck Chevalier, Directeur Général d’ACDS France, prendre conscience du risque et déterminer les points de vulnérabilité est une première étape incontournable.
En quoi le risque cyber est-il devenu si important aujourd’hui ?
F.C. : « Nous vivons aujourd’hui dans un contexte global marqué par des conflits, déclarés ou latents, ainsi que par une forte instabilité politique, en France comme à l’étranger. Comme chaque contexte incertain, celui que nous connaissons est propice au développement des menaces, dont le risque cyber. Nous avons tous en tête les cyberattaques ayant touché des hôpitaux, des institutions gouvernementales ou des grandes entreprises. Pourtant, les PME et ETI sont aussi dans le viseur ─ et sont même les premières cibles en volume des hackers. Car la cybercriminalité n’est plus uniquement le fait de hackers de haut vol, et la création puis la diffusion de ransomwares ou autres logiciels malveillants est désormais presque à la portée de tous : il suffit d’un peu de temps et de quelques contacts, l’IA (entre autres) permettant aujourd’hui de facilement automatiser des attaques massives, qui toucheront un grand nombre d’entreprises, sans ciblage aucun.
A titre d’illustration, un tiers des organisations dans le monde, entreprises ou autres, ont connu au moins trois fuites de données, détectée ou pas, au cours des 24 derniers mois. Le chiffre est énorme, et la question n’est donc plus de savoir si on sera attaqué, mais quand, et surtout comment, car identifier les failles et vulnérabilités, la surface d’attaque, est un préalable indispensable au déploiement d’une défense ad hoc. »
Qu’est-ce que la surface d’attaque ?
F.C. : « La surface d’attaque représente l’ensemble des points exposés sur internet et par lesquels un hacker pourrait s’introduire dans les systèmes informatiques d’une organisation pour y subtiliser des données ou, au contraire, introduire un malware à partir duquel mener des attaques, par exemple vers des clients ou des fournisseurs. Ces points de vulnérabilité sont multiples : serveurs mails, API, adresses IP, ou encore des objets connectés… Tout ce qui peut, à un moment ou un autre, être en ligne ; et les dommages sur un système ou pour les données peuvent être dramatiques.
Certains pensent qu’utiliser des architectures telles qu’AWS, Google Cloud, ou encore Azure pour le traitement et le stockage des données est suffisant, or à partir du moment où les outils que les clients y installent peuvent être source de vulnérabilité, ça ne l’est pas. Il est relativement simple, à partir d’une adresse IP sur laquelle tourne un service par exemple, de s’introduire dans un système et d’exécuter un malware. J’ajoute que les mobiles sont eux aussi devenus des vecteurs d’attaque : Google estimait ainsi en 2023 que 80% des attaques « zero day » (c’est-à-dire non répertoriées) ont ciblé des téléphones mobiles. Une architecture solide et résiliente est donc indispensable, mais ne suffit pas à se prémunir d’attaques. Les vecteurs externes sont coupables de 83% des attaques : la connaissance des vulnérabilités est clé pour réduire la menace.
La tâche est complexe, et d’après le cabinet Gartner seuls 1% des SI ont aujourd’hui une visibilité globale des surfaces exposées de leurs entreprises. C’est pour répondre à cette problématique que Jonathan Smith et Elliott Wilkes ont fondé ACDS Global en 2021 et que nous avons développé des solutions adaptées, comme Observatory. »
Pourquoi est-il si complexe d’avoir une bonne vision de la surface d’attaque ?
F.C. : « Les vecteurs sont multiples et échappent pour partie au périmètre strict des entreprises. Prenons un exemple concret : un de nos clients s’est aperçu par hasard qu’un sèche-mains connecté, installé dans l’entreprise par un prestataire, envoyait des informations à ce prestataire en vue d’une optimisation de l’utilisation. L’exemple est trivial et, en lui-même, ne porte a priori pas à conséquences à partir du moment où l’on en a connaissance ; mais illustre le caractère protéiforme des vulnérabilités.
J’ajoute que le mobile a multiplié les menaces, via les sms que nous connaissons tous (les fameux colis ne rentrant pas dans les boîtes aux lettres par exemple) et que l’IA générative a aujourd’hui considérablement accru la « qualité » du phishing et du smishing. L’installation, à l’insu de l’utilisateur, d’un spyware sur un smartphone, tel que Pegasus[1], peut aussi faire des ravages et compromettre toute la sécurité de l’entreprise. Le tout est d’en avoir conscience, ce à quoi participent Observatory et notre solution dédiée aux mobiles, Mobile EDR. »
Comment la solution Observatory d’ACDS fonctionne-t-elle ?
F.C. : « Nous avons fait le choix de nous focaliser sur la première brique du workflow cyber, et de le faire bien. Observatory va donc tout simplement scanner en permanence l’ensemble de la surface exposée d’une entreprise sur Internet pour identifier les vulnérabilités, puis établir un rapport, intégrant les CVE (Common Vulnerabilities and Exposures, liste gérée par la CISA[2]) répertoriées. Dans ces rapports, sont détaillées les KEV (Known Exploited Vulnerabilities, vulnérabilités activement attaquées). Les KEV et CVE sont classées selon les CVSS (Common Vulnerability Scoring System, qui classent le degré de criticité de la vulnérabilité) et EPSS (Exploit Prediction Scoring System, qui indiquent d’attaque).
En plus de ces éléments, Observatory met en avant l’hygiène des certificats SSL, les IPs qui apparaissent ou celles qui disparaissent (pour aider à lutter contre le Shadow IT), et autres vulnérabilités que la CISA ne liste pas. L’ensemble permet aux DSI et RSSI d’identifier les failles et d’y remédier. Nous accordons une importance particulière à la simplicité d’utilisation de nos outils. Les utilisateurs doivent voir d’un coup d’œil ce sur quoi ils doivent travailler en priorité. Pour les organisations qui n’ont pas d’équipe cyber sécurité, nous les accompagnons avec des services de gestion externalisée, recommandant des stratégies à mettre en œuvre par exemple. Cette prestation permet aussi le monitoring du darkweb, à la recherche de fuites de données. En outre, afin d’aider nos clients à se conformer à la RGPD, Observatory permet de surveiller sa chaîne d’approvisionnement. »
Ce dernier point n’est-il pas en contradiction avec la législation ?
F.C. : « Non, car notre scan est non-intrusif et entièrement passif : nous ne faisons que relever, de manière rapide et simple, des informations parfaitement accessibles sur le net pour quiconque veut se donner la peine de les lister ─ les hackers notamment. Il faut également savoir que, en cas d’attaque sur un partenaire, il est aussi de la responsabilité de l’entreprise de faire une déclaration à la CNIL si les données de ses clients ont été exposées. Notre solution répond donc à cette obligation. Enfin, et dans une optique de souveraineté, ACDS France utilise des serveurs situés au sein de l’UE pour traiter et héberger ses données. Observatory est donc parfaitement conforme à la législation tout en apportant aux entreprises une parfaite connaissance de leur exposition aux cyberattaques. »
Plus d’infos sur ACDS France :
Site : www.acdsglobal.com
Mail : hello@acdsglobal.com
[1] https://fr.wikipedia.org/wiki/Pegasus_ (logiciel_espion)
[2] https://fr.wikipedia.org/wiki/Certified_Information_Systems_Auditor
