Dans le vaste domaine interconnecté du paysage numérique, une tempête insidieuse se prépare. Cette tempête, comme l'a révélé le coordinateur national néerlandais pour la sécurité et la lutte contre le terrorisme (NCTV) dans son évaluation de la cybersécurité Pays-Bas 2022, devient rapidement la nouvelle norme : les cyberattaques et les attaques individu orchestrées par des acteurs étatiques (The National Coordinator for Counterterrorism and Security, 2022). Un exemple bien connu qui illustre l'ampleur des cybermenaces des États-nations est la cyberattaque de SolarWinds. Cet incident a eu des conséquences considérables, créant une vague de perturbations pour de nombreuses organisations.
Alors que ces menaces continuent de s'intensifier, des experts en cybersécurité comme Marcel Van Kaam de KPMG et John Mancini de Vectra AI s'avancent en tant que navigateurs compétents, nous guidant sur le terrain périlleux des cybermenaces des États-nations. Tels étaient les thèmes du webinaire KPMG-Vectra AI sur la cyber-résilience face aux menaces des États-nations , diffusé le14 juin et disponible à la demande ici. Le troisième membre du panel était John O'Callaghan (JC), qui a rejoint Vectra AI après avoir vécu l'attaque de SolarWinds de première main alors qu'il travaillait pour l'entreprise. Dans ce billet, nous mettrons en lumière les sujets abordés et les informations partagées par notre panel de KPMG et Vectra AI.
Dévoiler l'État-nation cybercriminels:
Pour commencer par l'urgence, il est évident que pour naviguer dans des modes de travail de plus en plus internationaux et contrer les cyber-attaques parrainées par des États, les organisations doivent comprendre le paysage des menaces au sens large et élaborer une stratégie de sécurité efficace. Cette stratégie consiste notamment à distinguer les menaces réelles des faux positifs et à reconnaître le rôle central de l'efficacité de la sécurité au niveau des personnes, des processus et de la technologie. Les technologies alimentées par l'IA peuvent jouer un rôle clé à cet égard pour accroître l'efficacité des capacités de détection et de réponse.
Pour renforcer la stratégie de sécurité, il est également essentiel de comprendre les parties adverses avec lesquelles vous traitez. Dans le cas de l'État-nation cybercriminels, il s'agit de groupes ou d'individus qui reçoivent le soutien de gouvernements et travaillent pour le compte d'agences de renseignement afin de mener des cyber-opérations conformes aux objectifs stratégiques de leur nation. Ces adversaires déploient des techniques sophistiquées telles que les menaces persistantes avancées (APT) et tirent parti de ressources considérables, notamment de capacités techniques avancées, d'opérations d'espionnage et de financements abondants. Pour maintenir un déni plausible, les services de renseignement opèrent dans le secret, dans le but de rester anonymes et de nier toute implication. Par conséquent, plus que de se concentrer sur l'attribution, les organisations doivent se doter de défenses solides et de stratégies de réponse efficaces contre un large éventail de menaces, afin de comprendre le paysage des menaces dans son ensemble plutôt que de se focaliser sur des adversaires spécifiques.
Le paysage des menaces s'articule autour des objectifs des attaquants des États-nations. Ceux qui cherchent à accroître leur influence politique ont tendance à cibler les services gouvernementaux, qui restent la principale cible des cyberattaques menées par les États-nations. Pour obtenir des avantages économiques, ils se livrent au vol de propriété intellectuelle, ciblant un large éventail de secteurs tels que les instituts de recherche, les industries de défense, les technologies émergentes et même des objets apparemment quotidiens. Les infrastructures critiques, notamment les réseaux électriques, les systèmes de communication et les chemins de fer, constituent un autre secteur où les acteurs étatiques représentent un danger important. Les cyber-attaques visant à saboter ces systèmes vitaux peuvent provoquer des perturbations sociales généralisées et infliger de graves dommages économiques. M. Marcel a souligné une tendance inquiétante : plusieurs pays sont de plus en plus disposés à prendre des risques plus importants, en combinant des actions de représailles physiques ou militaires à des cyber-attaques.
Pour faire la lumière sur ces récents développements de l'État-nation cybercriminels et leur modus operandi, notre groupe d'experts a discuté des tendances et des idées émergentes. John a souligné l'inefficacité des mesures de prévention traditionnelles contre les menaces avancées telles que phishing, zero-days et autres exploits bien testés. Au lieu de cela, l'importance de se concentrer sur les activités internes au sein des organisations pour détecter et répondre rapidement aux violations inévitables a été discutée. Marcel s'est aligné sur les perspectives de John, en évoquant des cyber-attaques très avancées impliquant des vulnérabilités logicielles inconnues et des attaques de la chaîne d'approvisionnement. Cependant, il a également souligné que de nombreuses organisations ne sont toujours pas suffisamment préparées à la cybersécurité, négligeant souvent des pratiques de base qui deviennent des points d'exploitation privilégiés.
Au-delà du domaine numérique, Marcel s'est appuyé sur son expérience d'officier de renseignement, soulignant l'importance de reconnaître les tactiques non numériques employées par les acteurs étatiques. Ces tactiques englobent un large éventail de stratégies, notamment le recrutement d'espions, l'exploitation de collaborations universitaires internationales, la diffusion de fausses informations, l'organisation de campagnes d'influence politique et même la prise de contrôle d'entreprises pour accéder à des sources d'information. Se défendre contre des attaques aussi multiformes s'avère être une tâche incroyablement difficile pour les organisations.
Naviguer dans la tempête : Mesures de protection pour les organisations :
Pour relever ce défi, les organisations qui cherchent à se défendre contre les menaces des États-nations doivent prendre des mesures stratégiques et proactives. Il est essentiel d'entamer des conversations au niveau du conseil d'administration pour sensibiliser et souligner l'importance de préserver l'avantage concurrentiel de l'organisation. En reconnaissant les risques tangibles posés par les menaces des États-nations, les entreprises peuvent instiller un sentiment d'urgence et d'engagement à relever ces défis de manière efficace. Pour le dernier thème du webinaire, notre panel nous a donc éclairés sur la manière dont les organisations peuvent commencer à faire face aux menaces des États-nations et à s'en protéger.
Pour intégrer cette menace dans leur stratégie de cybersécurité, les organisations doivent commencer par comprendre comment le paysage des menaces s'applique spécifiquement à leur activité principale, a expliqué M. Marcel. Il s'agit d'identifier les scénarios de menace pertinents dans le spectre des opérations de renseignement. L'évaluation des cyberattaques potentielles, la prise en compte du facteur humain dans les composantes essentielles, la compréhension des implications de la propriété d'entités tierces et des lois sur le renseignement étranger, ainsi que l'évaluation des risques associés aux collaborations universitaires internationales sont des aspects essentiels de ce processus.
La quantification de l'écart entre les menaces identifiées et les capacités de sécurité existantes est une autre étape critique. L'évaluation des capacités techniques, des capacités de gouvernance et des capacités externes aide les organisations à évaluer la maturité, la couverture et l'efficacité technique de leurs mesures de sécurité. Il est essentiel de prendre en compte l'impact monétaire des violations potentielles et de le comparer à la valeur de la propriété intellectuelle. Cette analyse facilite les discussions avec le directeur financier et permet de hiérarchiser les initiatives de sécurité en fonction des coûts et des avantages.
En outre, Marcel a insisté sur le fait que les organisations doivent reconnaître que les menaces des États-nations ne se limitent pas aux cyber-attaques. L'espionnage, le recrutement sur individu , la diffusion de fausses informations et les campagnes d'influence politique sont autant de tactiques employées par ces acteurs. Il est essentiel d'évaluer les vulnérabilités dans ces domaines et de mettre en œuvre des mesures d'atténuation appropriées pour renforcer les défenses. Marcel et son équipe chez KPMG aident les clients à identifier les menaces, à quantifier les besoins et à faciliter la discussion au niveau du conseil d'administration, tant pour la cybersécurité que pour la sécurité physique, par exemple grâce au cours sur la sécurité des voyages destiné aux employés qui se déplacent pour des raisons professionnelles.
La réalisation d'évaluations complètes des risques, avec l'aide d'experts tiers, est essentielle pour identifier les vulnérabilités tout au long de la chaîne d'approvisionnement de l'organisation, a confirmé JC. Les professionnels externes fournissent une évaluation objective et offrent de nouvelles perspectives que le personnel interne peut négliger en raison de préjugés ou de distractions. C'est ce qu'il a pu constater de visu chez SolarWinds.
D'un point de vue hautement technique, John a parlé de son expertise pour conseiller aux organisations de commencer par découvrir si elles ont déjà été victimes d'une intrusion. L'identification des lacunes en matière de prévention et de visibilité permet de cibler les efforts sur l'amélioration de la couverture, de l'efficacité et du retour sur investissement des investissements en matière de sécurité.
Conclusion : apprendre à naviguer dans la tempête
Face à la tempête croissante des cybermenaces des États-nations, les organisations doivent accepter que les États-nations cybercriminels existent et sont motivés pour les cibler - soit directement, soit par le biais d'une attaque de la chaîne d'approvisionnement. Il est donc crucial de se préparer de manière proactive et de renforcer leurs défenses, mais surtout de se concentrer sur la détection après l'accès initial, car une prévention à 100 % est tout simplement impossible. Il s'agit d'apprendre à naviguer dans une tempête qui se présentera inévitablement sur votre chemin.
En engageant des discussions au niveau du conseil d'administration, en comprenant les menaces spécifiques applicables à leurs activités principales, en quantifiant les lacunes dans les capacités de sécurité et en procédant à des évaluations complètes des risques, les organisations peuvent élaborer une stratégie de sécurité holistique et équilibrée dans laquelle la technologie, les processus et - ce qui est incroyablement important - les personnes sont effectivement connectées. Grâce à ces mesures stratégiques, les organisations peuvent atténuer efficacement les risques posés par les acteurs étatiques, protéger leur avantage concurrentiel et sortir de la tempête plus fortes qu'avant.
KPMG et Vectra AI peuvent vous aider, car ces sujets, questions et adversaires dépendent fortement de l'organisation concernée. Contactez l'une des personnes ci-dessous pour discuter de vos questions ou prendre rendez-vous.