L’attaque contre SolarWinds est encore dans tous les esprits, car de nombreuses questions restent sans réponse. L’incident constituera sans aucun doute un cas d’école, et donne le ton des priorités des RSSI pour les mois à venir. Les vulnérabilités en cause sont ainsi à comprendre et à annihiler, notamment via le déploiement de stratégies de sécurité éprouvées.
En effet, des entreprises impactées par la campagne contre SolarWinds l’ont été en raison d’une d’infrastructure sensible à même de communiquer avec des sites web inconnus et peu fiables. Or, si le filtrage des connexions sortantes se révèle difficile dans des environnements hautement disponibles et intégrés ; pour un sous-ensemble d’environnements, tous les flux de données doivent être parfaitement maîtrisés et contrôlés. En outre, c’est une alerte soigneusement conçue, et supervisée par un humain, qui a permis de détecter la campagne malveillante complexe. Les équipes IT ont consacré en effet beaucoup de temps à déployer et à exploiter des technologies de sécurité complexes ces dernières années. Cependant, un sous-ensemble d’activités devrait toujours être passé en revue par des humains, dont l’examen manuel d’événements relativement rares mais sensibles.
Aussi, la dernière décennie a vu une automatisation croissante des réseaux et de la cybersécurité, pour faciliter les mises à jour et les déploiements fréquents. Cela a réduit la probabilité d’erreur humaine mais, si l’automatisation n’est pas correctement sécurisée, elle peut fournir aux attaquants un moyen de se dissimuler parmi les développeurs. Enfin, l’utilisation de clés de signature SAML implique probablement que les clés elles-mêmes étaient portables. Voilà un autre exemple où des raccourcis de cybersécurité concernant les infrastructures les plus sensibles auraient pu être évités. Les clés, qui sont essentielles à la chaîne de confiance, doivent être protégées par des solutions matérielles qui empêchent leur exportation ou leur copie hors de l’environnement ; carcela oblige l’attaquant soit à renoncer à utiliser les clés, soit à effectuer les attaques dans l’environnement où des contrôles de détection repéreront le cybercriminel.
En fait, les organisations devraient toujours partir du principe qu’une violation de leur environnement interne finira par se produire. Actuellement, trop d’infrastructures sont encore vulnérables. Face à la multiplication des attaques ces derniers mois, la stratégie du moindre privilège et de l’accès juste-à-temps devraient donc susciter un regain d’intérêt. Il est en effet essentiel pour prévenir les attaques de prendre le temps de vérifier et de valider non seulement chaque utilisateur qui accède à un système, mais aussi chaque système qui accède à un système, et chaque système qui accède à internet. La segmentation avec contrôle bidirectionnel des informations permettra alors de limiter la portée de l’attaque.
Dans l’approche de cybersécurité traditionnelle, l’accès au réseau est contrôlé, puis de nombreux garde-fous sont installés pour vérifier que toutes les informations qui circulent sont bien légitimes. Toutefois, un incident comme celui de SolarWinds rappelle que ce modèle n’est plus adéquat. L’approche zero trust devrait donc être adoptée progressivement, et l’authentification forte sera au cœur des mesures visant à établir la confiance entre les utilisateurs, les systèmes, les réseaux et les applications. Les petites entreprises dépourvues de gros budgets de sécurité se tourneront alors vers l’infogérance, pour trouver des solutions prêtes à l’emploi qui leur permettront de bénéficier du même niveau de protection qu’une entité plus imposante. Certaines entreprises chercheront également à offrir à leurs employés à distance une expérience d’intégration véritablement fluide, mais aussi hautement sécurisée. L’expérience sans friction n’est pas un concept nouveau – c’est l’objectif que visent toujours les services de sécurité – mais elle deviendra une priorité de plus en plus capitale à l’avenir, dans la mesure où le télétravail, au moins partiel, est appelé à continuer.
Du côté des cyberattaques, les innovations se manifestent uniquement lorsque les menaces actuelles ne sont plus efficaces. Les campagnes à venir continueront donc à utiliser toutes les stratégies qui ont fonctionné auparavant, et elles pourraient même en appliquer plusieurs simultanément. Ainsi, les ransomwares continueront à représenter une menace importante, car ils sont à la fois faciles à utiliser et offrent un retour sur investissements très intéressant. Les vols d’identifiants, comme ceux de Twitter l’été dernier, se multiplieront également ; et d’autres attaques visant la chaîne d’approvisionnement, similaires à celle contre SolarWinds, verront aussi le jour.
Dans la mesure où SolarWinds déterminera les priorités à venir en matière de sécurité, nous pouvons nous attendre à ce que l’accent soit mis sur la sécurité des supply chain, l’authentification forte, l’expérience utilisateur sans friction et, surtout, partir du principe que les cyberattaques n’arrivent pas qu’aux autres.
Par Chad Thunberg, RSSI chez Yubico