Interview de Yann Le Borgne de ThreatQuotient
/L’interview de Yann Le Borgne, International VP for Threat Intelligence Engineer @ ThreatQuotient a été réalisée lors des Assises de la Cybersécurité qui se sont tenues à Monaco en octobre 2021
SDBR News: Observez-vous une augmentation depuis 2020 de la menace Cyber?
Yann Le Borgne: Si on neutralise l’impact des affaires qui ont fait le buzz, telles que l’attaque contre Microsoft Exchange, je ne trouve pas qu’il y ait eu une augmentation des attaques. Nous constatons toujours autant de cybercrimes, des ransomwares nombreux et partout. Je considère que nous sommes en 2021 dans la continuité de 2020. Depuis quelques années, les criminels se sont structurés pour faire entre autres du « ransomware as a service ». En matière de nouveautés d’attaques, le cas « SolarWinds » a montré une nouvelle façon d’attaquer la « supply chain » et s’il apparaît des petits groupes d’attaquants, ils sont toujours dans les mêmes galaxies : un nouveau groupe iranien est apparu, mais est-il un « spin off » des groupes existants ou autre chose ? Les techniques n’ont guère changé pour attaquer les vulnérabilités. La tactique globale d’attaque n’est pas vraiment nouvelle, mais on note une certaine inventivité sur l’outillage utilisé (les malwares) : nouvelle backdoor, nouvel outil d’administration à distance encore jamais observé sur un groupe d’espionnage, etc.
SDBR News : Y compris concernant les opérations d’espionnage ?
Yann Le Borgne: Concernant l’espionnage, nous avons toujours affaire plus ou moins aux mêmes techniques pour exfiltrer des données, indépendamment de l’outillage utilisé : par exemple, on utilise maintenant Dropbox ou Google Drive pour réussir à passer au milieu des fichiers téléchargés sans être repéré. En termes de Threat Intelligence, l’analyse des attaquants montre à peu près toujours les mêmes TTP (tactics, techniques, and procedures), il y a des variantes en matière d’outillage utilisé et sur l’exfiltration on reste sur les grands classiques : comme je le disais on va utiliser des outils comme Dropbox ou le Drive pour passer au milieu du « shadow IT » de l’organisation attaquée. Pour le cybercrime, comme je le disais aussi, nous constatons de plus en plus d’attaques « as a service », avec des adresses IP déclarées chez un hébergeur pour s’y servir.
SDBR News : Avez-vous constaté plus d’attaques sur la supply chain ?
Yann Le Borgne: Il faut être réaliste. En matière d’espionnage, les attaquants sont furtifs et ils peuvent travailler pendant des mois sans que personne ne s’en rende compte. Lorsqu’une opération apparaît au grand jour, tous les acteurs du marché l’apprennent au même moment… Cette année nous n’avons pas constaté plus d’opérations d’espionnage et d’exfiltration de données que les autres années, mais on ne peut en tirer aucune conclusion sur la supply chain. Concernant le « time to detect », il y a eu beaucoup de progrès dans l’industrie du numérique et dans la maturité des organisations à se protéger du cybercrime : beaucoup de cybercriminels sont maintenant interpellés. En matière de cyber espionnage, personne ne peut affirmer quoique ce soit sur le « time to detect » : est-ce 180 jours, est-ce 300 jours ? Mystère, mais on peut considérer que ce délai diminue et diminuera pour deux raisons :
en interne, l’attaquant agit beaucoup plus vite qu’auparavant parce qu’il dispose de plus d’outillage et, le réseau étant connecté, il n’a pas besoin d’autant de temps dans l’organisation pour faire ce qu’il est venu faire.
Les grandes organisations ont gagné en maturité pour se protéger et s’organiser, en particulier en gérant la « threat intelligence » en interne. Par exemple, l’utilisation du framework « Mitre &ttack » par des organisations, pour faire des simulations d’attaques contre leur SOC et vérifier leur capacité de détection de mouvements latéraux, démontre une évolution dans la maturité de ces organisations.
SDBR News : Finalement, n’est-on pas condamné à attendre que l’attaquant sorte du système pour comprendre qu’il y était déjà ?
Yann Le Borgne: Pas forcément. Il est très difficile de détecter une intrusion car il y a trop de points d’entrée, avec en outre des entrées bloquées et des entrées gérées, auxquels il faut rajouter des vulnérabilités et le fait que l’attaque peut-être très bien dissimulée au milieu du flux entrant. Mais, que ce soit en matière d’espionnage ou de cybercriminalité, il est important d’aller chercher les mouvements latéraux : par exemple, si l’attaquant passe du secteur ressources humaines au secteur recherche & développement. L’attaquant va probablement se déplacer dans l’organisation, car son point d’entrée n’est pas forcément l’endroit où il veut aller. Donc la détection des mouvements latéraux est très importante pour contrer les attaquants.
SDBR News : Que dire de l’actualité de ThreatQuotient en cette fin d’année ?
Yann Le Borgne: 2021 pour ThreatQuotient a été marquée par des capacités nouvelles en termes d’infrastructures : par exemple, des capacités de partage d’informations entre plateformes ThreatQuotient très utiles pour le service managé avec nos partenaires ; autre exemple, des capacités de partage d’informations au sein d’organisations plus grandes qui disposent d’un CERT et de plusieurs SOCs ; ce que nous appelons ThreatQ data exchange. ThreatQuotient | ThreatQ | Threat Intelligence Platform
Sur 2022, nous allons mettre l’accent sur l’orchestration qui revient en fait à plus d’automatisation. Depuis des années, nous avons une capacité à organiser la donnée au sein de la « Threat Library » et nous avons ainsi la possibilité de faire de la sécurité sans entrer dans des process de réponse : au lieu d’orchestrer des réponses orientées process, nous pouvons orchestrer des réponses orientées données. Exemple : face à la problématique de l’Iran pour une organisation concernée par ce pays, mon outil TreatQ va mettre en œuvre une automatisation de protection face à des données venant d’Iran ; le jour où un nouveau groupe iranien est découvert, plutôt qu’avoir à redéfinir tous les process de l’organisation, mon outil ThreatQ va automatiquement redéfinir et orchestrer ma bibliothèque sur l’Iran en fonction de ce nouveau groupe d’attaquant. Mon information va être regroupée par collection : exemple, « espionnage dans l’aéronautique ». En 2022 nous présenterons donc un nouvel outil d’orchestration de la donnée…
crédits photos: ThreatQuotient, BeforeCrypt