L’équipe de veille sécurité Cisco vient de publier le « 2009 Midyear Security Report » . Bien qu’il ne s’agisse que d’un rapport tendance intermédiaire sur les menaces 2009, à mi-année, il met en exergue quelques tendances marquantes que vous trouverez résumées ci-après :
– Le secteur de l’économie souterraine liée au malware continue de se professionnaliser, en développant de nouveaux modèles économiques qui ont fait leur preuve dans le monde réel. On note ainsi l’apparition de « botnets-as-a-service » reproduisant le modèle en vogue du XaaS, une spécialisation toujours plus accrue des bad guys, et une collaboration entre eux via des « joint venture » appelées à se multiplier (avec une collaboration entre les propriétaires des botnet Wadelac et Conficker, par exemple).
– L’innovation technologique est également au rendez-vous, avec une extrême réactivité (par exemple, il aura fallu attendre moins de 24h après la mort de mickael jackson, pour voir apparaitre des menaces spam liées à son décès). Mais attention, car les vieilles méthodes que l’on pensait parfois enterrées, comme l’exploitation de vulnérabilité dans les OS, fonctionnent toujours, comme en témoigne l’impact massif de Conficker. Enfin, les menaces pesant sur les équipements nomades (smartphones) continuent à augmenter.
– Dans un contexte économique difficile, dans lequel des emplois (et notamment des emplois d’informaticiens) sont détruits, les menaces internes (employés licenciés ou mécontents) devraient fortement croitre dans les mois qui viennent.
Malgré cette vision relativement assez pessimiste quant à l’évolution des attaques et leur succès, il est intéressant de noter deux tendances majeures qui démontrent un progrès dans la façon dont on traite désormais les grandes menaces.
– Des progrès importants ont été effectués dans la manière d’adresser les menaces : Un excellent exemple est l’établissement du conficker working group (www.confickerworkinggroup.org), qui a démontré que lorsque tous les acteurs de la sécurité collaborent, cela a un effet positif (la collaboration entre les acteurs sécurité a permis d’identifier les noms de domaines impliqués dans l’attaque conficker, ceux-ci étant ensuite transmis aux ISP). La fermeture de McColo, célèbre hébergeur de Botnets, démontre également que l’acharnement paie (même si, depuis la chute de McColo, les botnets qui y étaient hébergés ont déménagé vers l’Estonie).
– De plus en plus de pays se renforcent dans leur lutte contre la cybercriminalité : Etats-Unis, Finlande, mais également France, avec la création de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, qui remplace le DCSSI). Le Livre blanc sur la défense et la sécurité nationale de 2008 a mis en exergue l’importance de la cyber-menace. Il a retenu le risque d’une attaque informatique contre les infrastructures nationales comme l’une des menaces majeures des quinze prochaines années, et explique l’élargissement des compétences de la DCSSI et son changement de nom.
L’intégralité du rapport peut être consultée ici : http://cisco.com/web/about/security/intelligence/midyear_security_review09.pdf.
Bien évidemment, adresser ces menaces se fait avec une approche de gestion du risque et la définition d’architectures de sécurité, mais nous y reviendrons, en particulier autour du datacenter et du XaaS….