rapport déséquilibre des forces : comment le décalage des … · agile qui caractérise le...
TRANSCRIPT
RAPPORT
Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécuritéCenter for Strategic and International Studies
RAPPORT
2 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Sommaire
6
8
La cybersécurité, une priorité absolue
« Une taxe qu'aucun de nous ne veut payer »
9
11
Décalage entre stratégie et implémentation
Mesure de l'efficacité
12
17
Le moteur des améliorations en matière de sécurité
À la recherche de solutions
22 L'écosystème des Black Hats
23
24
Spécialisation sur le marché cybercriminel
Le marché du cybercrime : concurrentiel, décentralisé et novateur
26
27
Une innovation soutenue par des budgets considérables sur le marché gris
Black Hat ou White Hat ?
29
31
La criminalité à temps partiel, un phénomène plus courant dans le monde russophone
Réalignement des incitants pour renforcer la cybersécurité
RAPPORT
3 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Certains pays tolèrent, accueillent, voire encouragent les cybercriminels. Les gouvernements et les entreprises sont conscients d'être en position de faiblesse, mais tentent de rattraper leur retard.
1. SANS Institute, « IT Security Spending Trends » (Tendances des dépenses de sécurité informatique), février 2016
Les cybercriminels étant motivés par l'argent et la notoriété, ils sont plus prompts à s'adapter et à innover que les professionnels de la sécurité.Les cybercriminels ont l'avantage, et ce depuis l'ouverture d'Internet au commerce il y a 20 ans. Les incitants du cybercrime ont en fait une entreprise très lucrative et une place de marché dynamique. Les équipes de sécurité sont bien en peine de suivre.
Cette situation s'explique en grande partie par le décalage des incitants, non seulement au sein des entreprises, mais aussi entre pirates et experts en sécurité dans le cyberespace. En effet, les cybercriminels opèrent dans un marché décentralisé qui leur permet d'innover et de s'adapter plus vite et mieux que les experts en sécurité, dont les incitants sont déterminés par des processus bureaucratiques et une prise de décision descendante.
L'avantage des cybercriminels est dû en partie à la technologie (la sécurité n'a jamais fait partie des objectifs de conception d'Internet), mais aussi aux politiques. Certains pays tolèrent, accueillent, voire encouragent les cybercriminels. Les gouvernements et les entreprises sont conscients d'être en position de faiblesse, mais tentent de rattraper leur retard. Gérer le risque posé par les cybermenaces est devenu une priorité. Cependant, les pirates les plus ingénieux semblent toujours garder une longueur d'avance alors même que les sociétés consacrent davantage de ressources à la cybersécurité¹. Cela ne signifie pas pour autant que la victoire ira toujours aux cybercriminels. Ce qui est certain, c'est que les entreprises et les gouvernements devront repenser les méthodes utilisées pour mesurer l'efficacité de leur stratégie de cybersécurité et les incitants qu'ils proposent pour motiver et récompenser leurs experts en sécurité.
Les marchés envoient des signaux en déterminant des prix et des récompenses, c.-à-d. en créant des incitants. Le marché du cybercrime est efficace car ses incitants sont clairs et attractifs, ce qui n'est pas le cas du secteur de la sécurité. Les criminels prospèrent dans un marché agile et dynamique, tandis que la plupart des experts en sécurité sont étouffés par la bureaucratie. Dans la plupart des entreprises, la cybersécurité est confiée à des groupes et individus qui utilisent des indicateurs différents (et parfois conflictuels) pour mesurer le succès de leur stratégie.
Le décalage des incitants existe non seulement entre pirates et experts en sécurité, mais aussi au sein même des entreprises. Pour l'analyser, nous avons mené une enquête auprès de 800 répondants issus de sociétés comptant entre 500 et 5 000 employés et appartenant à cinq secteurs majeurs, dont les services financiers, les soins de santé et le secteur public. Notre étude ciblait d'une part les cadres responsables de la cybersécurité et, d'autre part, les opérateurs chargés des aspects techniques et de l'implémentation. Les résultats permettent de se faire une idée plus précise des points de vue de chaque groupe quant à la place du cyberrisque dans une stratégie de gestion des risques informatiques d'une entreprise. Un meilleur alignement des incitants identifiés permettrait sans doute de mettre en place une cybersécurité plus cohérente et efficace au sein des entreprises du monde entier.
RAPPORT
4 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Notre étude a identifié trois décalages principaux au niveau de la cybersécurité. Dans les entreprises, il existe un décalage des incitants entre la stratégie et son implémentation, et entre les cadres dirigeants et les opérateurs². Plus important encore, les processus de gouvernance, les stratégies de gestion des risques et les workflows structurés de la cybersécurité sont en contradiction avec les réseaux libres et spécialisés qui favorisent l'innovation dans le camp adverse. Les structures de gouvernance descendante dont dépendent les acteurs de la cybersécurité sont en totale opposition avec la structure dynamique et agile qui caractérise le marché cybercriminel.
L'équipe de direction développe des stratégies visant à réduire le cyberrisque et à limiter ses retombées potentielles sur les activités critiques de l'entreprise. Les opérateurs et responsables informatiques sont ensuite chargés d'identifier une série de pratiques et technologies permettant d'implémenter ces stratégies. Notre étude révèle un décalage des incitants entre dirigeants et opérateurs quant à leur approche de la gestion des cyberrisques.
Pour les pirates du cyberespace, ou Black Hats, les risques et les récompenses sont plus clairs. Black Hat est une expression que l'on doit aux westerns où les méchants portaient un chapeau noir et les bons un chapeau blanc. Aujourd'hui, elle fait référence à un pirate qui accède à des systèmes informatiques sans autorisation — qu'il s'agisse de gouvernements se livrant à des actes d'espionnage, de criminels attirés par l'appât du gain ou de cyberactivistes motivés par l'idéologie. Les Black Hats font partie d'un
écosystème clandestin qui investit outils, savoir-faire et infrastructure dans des opérations criminelles (vol de données, extorsion, fraude) pour générer des milliards de dollars de profits. Cet écosystème comprend des marchés très développés de pirates indépendants aux compétences spécialisées et diverses. Cette infrastructure informelle très souple est caractérisée par un accès simple, la transparence, la compétitivité et une allocation efficace des ressources qui permettent aux cybercriminels de profiter d'un vivier de talents considérable, d'innover et de s'adapter rapidement aux avancées technologiques et aux nouveaux systèmes de défense.
Les cadres dirigeants considèrent le cyberrisque comme un coût de plus à gérer. Les opérateurs définissent le succès à l'aide de critères différents.
2. Les dirigeants interrogés sont des propriétaires d'entreprise, des directeurs, des PDG, des DSI, des RSSI, des directeurs techniques tandis que les opérateurs incluent les responsables de la protection des données ou des systèmes informatiques, les directeurs des services informatiques ou les chefs d'équipe informatique.
Trois grands décalages désavantagent les experts en sécurité.
Décalage entre pirates et experts en sécurité
Les incitants des cybercriminels sont déterminés par un marché fluide et décentralisé qui leur confère agilité et rapidité d'adaptation, alors que les experts en sécurité sont freinés par la bureaucratie et un processus décisionnel descendant.
Décalage entre stratégie et implémentation
Bien que plus de 90 % des entreprises possèdent une stratégie de cybersécurité, moins de la moitié l'ont complètement implémentée.
Décalage entre cadres dirigeants et opérateurs
Les membres de la direction chargés du développement des cyberstratégies mesurent le succès différemment des équipes responsables de leur implémentation, ce qui limite leur efficacité.
RAPPORT
5 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
La structure d'incitants des Black Hats sur le marché du cybercrime favorise la collaboration rapide, l'innovation et la spécialisation, ce qui en fait un marché relativement efficace et flexible. La communauté cybercriminelle a accès à un vivier de talents important et repose sur un modèle freelance pour développer des produits et des exploits très spécialisés répondant à des objectifs d'attaque spécifiques. Ce marché est également plus fluide et efficace, capable de s'adapter plus facilement et rapidement aux motivations d'un attaquant. Cette économie clandestine offre aux pirates des incitants différents et bien plus attractifs qui les encouragent à réussir et à rester à la pointe du marché.
L'écosystème cybercriminel comprend deux marchés. D'une part, un marché haut de gamme de pirates très sophistiqués disposant de moyens importants, qui cherchent à exploiter des cibles spécifiques à l'aide de techniques perfectionnées. D'autre part, un marché bas de gamme composé de criminels et cyberactivistes qui préfèrent lancer des attaques opportunistes sur tous les systèmes vulnérables qu'ils trouvent³. La frontière entre ces marchés est parfois floue et bon nombre des outils utilisés au départ sur le marché haut de gamme finissent par se retrouver sur l'autre marché lorsqu'ils prennent de l'âge et que leur emploi se banalise⁴. 3. Lillian Ablon, Martin Libicki et Andrea
Golay, « Markets for Cybercrime Tools and Stolen Data : Hackers’ Bazaar » (Marchés des outils cybercriminels et données volées : le bazar des cyberpirates), RAND, 2014
4. Jaziar Radianti et Jose J. Gonzalez, « Dynamic Modeling of the Cyber Security Threat Problem: The Black Market for Vulnerabilities » (Modélisation dynamique du problème des cybermenaces : le marché noir des vulnérabilités), Cyber-Security and Global Information Assurance: Threat Analysis And Response Solutions (Cybersécurité et protection des informations : analyse des menaces et solutions), 2009
RAPPORT
6 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
La cybersécurité, une priorité absolueLes internautes ont été lents à prendre conscience de l'avantage dont bénéficiaient les cybercriminels. Il y a six ans, la cybersécurité ne faisait même pas partie des dix principaux risques considérés comme une priorité par les conseils d'administration⁵. Peu comprenaient l'importance de la cybersécurité dans la gestion des risques. De nombreux conseils d'administration n'allouaient pas de ressources à des pratiques désormais jugées essentielles, notamment les évaluations des programmes de sécurité, l'attribution de responsabilités en matière de confidentialité et sécurité des données, ou encore la production de rapports réguliers sur les cyberrisques.
La leçon fut dure lorsque les entreprises et gouvernements du monde entier ont été confrontés à des cyberattaques dont le coût annuel s'élève à plus de 400 milliards de dollars. Une majorité des répondants classent désormais le risque de cybersécurité parmi les trois principaux risques posés à leur organisation, confirmant ainsi l'importance de la cybersécurité dans les principales préoccupations des entreprises⁶.
Notre étude révèle un revirement complet d'attitude des conseils d'administration vis-à-vis de la cybersécurité puisque la plupart des répondants déclarent que leur CA comprend et classe le cyberrisque parmi leurs priorités. En outre, près de trois quarts d'entre eux (72 %) ont déclaré que leur conseil d'administration est informé des risques de sécurité à pratiquement chaque réunion.
La cybersécurité en tête des risques identifiés par les entreprises
60 %
70 %
80 %
50 %
40 %
30 %
20 %
10 %
0 % Risque réglementaire ou
de responsabilité civile
Risque de cybersécurité
Risque pour la réputation
Risque financier (tauxd'intérêt, taux de change)
Risque politique
Risque technologique
Risque associé à la fabricationou la chaîne logistique
Catastrophes naturelles, chocs économ
iques mondiaux
5. Lloyds, « Lloyd’s Risk Index » (Indices des risques de la Lloyd), 2011
6. Osterman Research, « What’s Driving
Boards of Directors to Make Cyber Security a Top Priority? » (Qu'est-ce qui conduit les conseils d'administration à considérer la cybersécurité comme une priorité majeure), septembre 2016
Une majorité des répondants classent le risque de cybersécurité parmi les trois principaux risques posés à leur entreprise.
RAPPORT
7 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Risques les plus importants associés à de mauvaises pratiques de cybersécurité selon les entreprises
60 %
70 %
80 %
50 %
40 %
30 %
20 %
10 %
0 % Perte de capital intellectuel etd'inform
ations métier confidentielles
Perturbation des opérations
Atteinte à la réputation età la m
arque
Perte de revenus et de bénéfices
Risque réglementaire ou
de responsabilité civile
Risque politiqueLes répondants de tous les secteurs sont conscients de l'impact d'une cybermenace grave sur les aspects critiques de leur entreprise. Ils classent la perte de capital intellectuel et d'informations métier confidentielles, l'interruption des activités et l'atteinte à la réputation de la marque et de l'entreprise comme les principaux risques résultant de mauvaises pratiques de cybersécurité.
Les effets d'un incident de cybersécurité observés par les participants à l'enquête reflètent dans une large part les risques perçus ci-dessus. Plus de quatre répondants sur cinq (83 %) déclarent avoir constaté les effets d'une compromission de cybersécurité : la perturbation des activités, la perte de capital intellectuel et l'atteinte à la réputation de la société et de la marque figurent une fois encore parmi les principaux aspects concernés.
RAPPORT
8 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
7. « Business warned not to be complacent about cyber security » (Les entreprises ne peuvent se permettre d'être négligentes en matière de cybersécurité), Computer Weekly, 20 septembre 2016
8. Bill Murphy, Directeur technique de Blackstone Group LP, « Cybersecurity Spending Reflects Limited Shift in Priority » (Les dépenses en cybersécurité reflètent un changement limité des priorités), Wall Street Journal, 1 juillet 2014
Effets constatés des compromissions sur les entreprises
Plus de la moitié des dirigeants interrogés (54 %) déclarent que leur entreprise est plus préoccupée par sa réputation que par les compromissions.
60 %
50 %
40 %
30 %
20 %
10 %
0 % Perturbation des opérations
Perte de capital intellectuel etd'inform
ations métier confidentielles
Atteinte à la réputation età la m
arque
Perte de revenus et de bénéfices
Risque réglementaire ou
de responsabilité civile
Risque politique
Nous n'avons constaté aucune
atteinte à la cybersécurité
Nous n'avons constaté
aucun effet
« Une taxe qu'aucun de nous ne veut payer »En dépit de l'admission par la vaste majorité des répondants des retombées majeures (citées ci-dessus) d'une compromission de sécurité, moins d'un tiers (32 %) déclarent avoir constaté une perte de revenus ou de bénéfices liée à un incident de cybersécurité. La perception selon laquelle les cyberincidents n'entraînent pas directement une perte de revenus ou de bénéfices peut donner aux sociétés un sentiment trompeur de sécurité.
Il est également intéressant d'examiner les divergences d'opinion entre les cadres dirigeants et les rôles opérationnels ou techniques. Notre étude révèle que les dirigeants considèrent les atteintes à la sécurité comme une charge inhérente à l'exploitation d'une entreprise. Ils sont 63 % à partager ce point de vue, alors que les opérateurs qui travaillent pour eux se fixent pour objectif de réduire le nombre et l'ampleur de ces atteintes. Pour les dirigeants, la cybersécurité entre en concurrence avec d'autres impératifs de l'entreprise, dont certains sont en conflit direct avec les investissements en sécurité. Comme l'ont fait remarquer les dirigeants d'une grande entreprise, la cybersécurité est une « taxe qu'aucun de nous ne veut payer »8.
Les entreprises ne disposent pas toujours des mesures nécessaires pour évaluer les coûts indirects d'une compromission, par exemple pour quantifier les heures perdues à avertir les clients, les dommages causés à la marque et le temps consacré à l'investigation de l'incident. Des données de coût incomplètes peuvent indiquer que les dirigeants ont un seuil de tolérance trop élevé envers les mauvaises pratiques de cybersécurité. Enfin, plus de la moitié des dirigeants interrogés (54 %) déclarent que leur entreprise est davantage préoccupée par sa réputation que la cybersécurité à proprement parler.
« Il est clair que trop d'entreprises ne sont pas conscientes des graves dangers auxquels elles s'exposent en cas d'atteinte à la sécurité⁷. »
— Inga Beale, PDG, Lloyd’s of London
RAPPORT
9 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Décalage entre stratégie et implémentationLes entreprises et les gouvernements, tous secteurs et régions confondus, développent des stratégies de cybersécurité à un rythme élevé. Plus de neuf répondants sur dix (93 %) déclarent que leur entreprise dispose désormais d'une stratégie de cybersécurité conçue pour combattre les menaces émergentes et existantes.
Il se peut que les dirigeants surestiment la capacité de leur entreprise à gérer les nouvelles menaces. Les opérateurs, qui sont les intervenants de première ligne en cyberdéfense, estiment que leur entreprise anticipe peu et se concentre davantage sur les problèmes de sécurité du moment que sur les menaces émergentes.
Conception d'une stratégie de cybersécurité équilibrée
60 %
50 %
40 %
30 %
100 %
90 %
80 %
70 %
20 %
10 %
0 %
Cadres dirigeants Menaces existantes
Opérateurs Nouvelles menaces
60 %
50 %
40 %
30 %
100 %
90 %
80 %
70 %
20 %
10 %
0 % FinanceMenaces
existantesServicesfinanciers
Administrations Enseignementpublic
Secteur dessoins de santé(public et privé)
Informatiqueet télécom-munications
menacesNouvelles
Réponses des dirigeants et opérateurs ainsi que des différents secteurs à la question de savoir si leur stratégie de cybersécurité est conçue pour gérer les menaces
existantes ou émergentes
RAPPORT
10 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Il est par ailleurs intéressant de souligner les différences entre les secteurs. Ainsi, les services financiers et les secteurs informatique et télécommunications ont une approche plus équilibrée de la gestion des menaces actuelles et futures. À l'inverse, les stratégies de cybersécurité du secteur public, y compris les administrations et l'enseignement, anticipent moins les menaces futures et tendent à se concentrer sur la gestion des menaces existantes. Ce constat est assez logique dès lors où la plupart des organismes publics ne sont pas considérés comme de grands experts en cybersécurité⁹.
Bien que les répondants déclarent, dans leur vaste majorité, disposer d'une stratégie de cybersécurité, l'implémentation reste un souci majeur puisque moins de la moitié des répondants (49 %) affirment qu'elle est complètement implémentée. D'après notre étude, les avis des dirigeants et des opérateurs divergent quant au degré d'implémentation de la stratégie de cybersécurité et aux mesures utilisées pour l'évaluer.
Les dirigeants ont tendance à croire que les stratégies de cybersécurité de leur entreprise sont implémentées de façon plus complète que les opérateurs. Ils sont aussi plus enclins à évaluer l'efficacité de ces stratégies dans le cadre plus global des objectifs d'entreprise, notamment le contrôle des coûts et la protection de la réputation, alors que les opérateurs se concentrent davantage sur des mesures de cybersécurité techniques.
Perception concernant l'implémentation d'une stratégie de cybersécurité
« Nous nous sommes basés sur des hypothèses et des évaluations de la nature de la menace qui, rétrospectivement, n'étaient pas suffisantes. »
—Frank Blake, PDG Home Depot¹⁰
9. CSIS, « The Role of Shared Services and the Cloud in Enhancing Cybersecurity » (Rôle des services partagés et du cloud dans l'amélioration de la cybersécurité), documents de réflexion du groupe de travail de la Cyber Policy Task Force, 2016
10. http://fortune.com/2014/10/29/home-depot-cybersecurity-reputation-frank-blake/
60 %
50 %
40 %
30 %
20 %
10 %
0 %Cadres dirigeantsOpérateurs
Oui mais la stratégien'est que partiellementimplémentée dansl'entreprise
Oui et la stratégie est totalement implémentée dans l'entreprise
Les dirigeants sont généralement persuadés que leur stratégie de cybersécurité est complètement
et non partiellement implémentée.
RAPPORT
11 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Méthodes de mesure de l'efficacité de la cybersécurité
Mesure de l'efficacitéLe décalage entre la stratégie et l'implémentation est en partie dû au fait que ceux qui définissent la stratégie (les cadres dirigeants) et ceux qui l'implémentent (les opérateurs) n'en mesurent pas l'efficacité et les résultats à l'aide des mêmes indicateurs.
En général, les opérateurs se fondent sur des mesures telles que le nombre de compromissions, les tests d'intrusion, les analyses de vulnérabilités et l'analyse du coût de la restauration pour mesurer l'efficacité de la cybersécurité de leur entreprise. Quant aux dirigeants, ils se basent plus souvent sur des mesures générales de performance et de coûts pour évaluer l'efficacité de la stratégie.
Dirigeants et opérateurs classent le nombre global de compromissions comme la première mesure de l'efficacité de la stratégie de cybersécurité. Par contre, les dirigeants ont tendance à se concentrer davantage sur le coût de la restauration à la suite d'une compromission, la publicité négative ou les effectifs dédiés à la cybersécurité.
60 %
70 %
50 %
40 %
30 %
20 %
10 %
0 % Publicité négative
Analyses des vulnérabilités
Tests d'intrusion
Nom
bre d'atteintesà la sécurité
Effectifs dédiés
à la cybersécurité
Coût de restauration aprèsune atteinte à la sécurité
Mesures propriétaires
pour mesurer le retour sur
investissement des
dépenses en cybersécurité
Nous ne m
esurons pasl'effi
cacité de la cybersécurité
Cadre dirigeantOpérateur
Les dirigeants qui élaborent la stratégie de cybersécurité et les opérateurs qui l'implémentent ne mesurent pas l'efficacité et
les résultats à l'aide des mêmes critères.
RAPPORT
12 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
11. SANS Institute, « IT Security Spending Trends » (Tendances des dépenses de sécurité informatique), février 2016 ; Barkly, « 2016 Cybersecurity Confidence Report » (Rapport sur la confiance dans la cybersécurité), 2016
Mesures utilisées pour déterminer si les stratégies de cybersécurité atteignent leurs objectifs
En outre, les dirigeants qui affirment utiliser des « mesures propriétaires pour mesurer le retour sur investissement des dépenses en cybersécurité » sont nettement plus nombreux que les opérateurs lorsqu'ils évaluent l'efficacité de leur stratégie de cybersécurité. Bien que les mesures jouent un rôle important pour établir des critères qualitatifs d'évaluation de l'efficacité d'une stratégie de gestion des risques, il n'existe encore aucun consensus quant à l'utilisation du « retour sur investissement » comme mesure précise d'une évaluation de la cybersécurité basée sur les risques¹¹. Par rapport aux dirigeants, les opérateurs privilégient davantage les mesures techniques puisqu'ils citent respectivement les analyses des vulnérabilités et les tests d'intrusion comme deuxième et troisième méthodes d'évaluation de la stratégie de cybersécurité. Le moteur des améliorations en matière de sécurité
Les incitants jouent un rôle prépondérant dans le comportement des personnes et des entreprises. Notre étude révèle qu'aucun incitant approprié n'est proposé aux professionnels de la cybersécurité. Pour la plupart des répondants, même s'il existe certains incitants, ils font défaut pour cette catégorie professionnelle. Les dirigeants participant à notre enquête sont plus nombreux que les opérateurs à penser qu'il existe des incitants pour les professionnels de la sécurité et plus enclins à croire que toutes les catégories d'incitants sont accessibles aux professionnels de la sécurité de leur entreprise.
60 %
70 %
50 %
40 %
30 %
20 %
10 %
0 %
OpérateurCadre dirigeant
Aucuneexfiltration,
sinon minime,des ressources
de donnéesprioritaires
Délai moyende résolution
Aucunepubliciténégative
sur lacybersécuritéde l'entreprise
Dans l'incapacitéde déterminersi les objectifssont atteints
Ne saventpas
Risquesmaintenus
à des niveauxacceptables,
suivant lesperformances
organisationnellesgénérales
RAPPORT
13 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Les opérateurs sont cinq fois plus nombreux à déclarer qu'il n'existe aucun incitant pour les experts en cybersécurité de leur entreprise. Pour près de la moitié d'entre eux, leur entreprise ne propose aucun incitant. Il est possible que ces incitants, même s'ils existent, ne soient pas connus des employés, surtout ceux situés plus bas dans la hiérarchie.
Alors que l'enquête montre que de nombreux répondants pensent que les incitants font défaut aux professionnels de la cybersécurité, 65 % d'entre eux déclarent être « personnellement motivés » lorsqu'il s'agit de renforcer la cybersécurité de l'entreprise. Le premier résultat (manque d'incitants) est sans doute plus fiable. Lorsqu'ils sont interrogés sur les motivations qui les animent, les répondants font passer le succès de l'entreprise avant la réussite personnelle : la prévention des compromissions de données, la mise en échec des pirates, la diminution du risque d'atteinte à la réputation de l'entreprise et l'impact financier sont plus importants pour eux que la réputation personnelle ou la sécurité de l'emploi. Ces résultats peuvent dénoter une certaine subjectivité de la part des participants qui déclarent faire passer la réussite de l'entreprise avant leurs propres intérêts.
Incitants existants pour les professionnels de la cybersécurité
Réponses des dirigeants et des opérateurs concernant l'existence d'incitants pour les professionnels de la cybersécurité
60 %
50 %
40 %
30 %
20 %
10 %
0 %
OpérateurCadre dirigeant
Il n'existeaucun
programmed'incitants
Prix oureconnaissance
Rémunérationfinancière
(bonus)
Jours de congérémunérés
Promotion
RAPPORT
14 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Que peut-on en conclure ? Les personnes responsables de la cybersécurité ont une définition différente du succès, et des motivations qui le sont tout autant. Tant les dirigeants que les opérateurs accordent une plus grande valeur à la rémunération financière, à la reconnaissance et aux distinctions qu'aux congés rémunérés et aux promotions. Notre étude révèle toutefois que les opérateurs sont presque autant motivés par la reconnaissance et les distinctions que par la rémunération financière. Une étude précédente sur les stratégies de recrutement des entreprises pour attirer et retenir les professionnels de la sécurité informatique révélait que la prise en charge des formations, des horaires de travail flexibles ainsi que des tâches et responsabilités stimulantes revêtaient plus d'importance que la rémunération pour les professionnels de la sécurité en quête d'un emploi¹². En revanche, les dirigeants accordent beaucoup plus de valeur à la rémunération financière qu'à toute autre forme d'incitant.
Les professionnels de la cybersécurité constatent une absence d'incitants existants
Réponses des experts en cybersécurité concernant l'existence d'incitants au sein de leur entreprise
12. CSIS, « Recruiting and Retaining Cybersecurity Ninjas » (Recrutement et fidélisation d'experts en cybersécurité), octobre 2016
60 %
50 %
40 %
30 %
20 %
10 %
0 %
Rôle décisionnelRôle de direction Contribution aux décisions prises par d'autres
Il n'existeaucun
programmed'incitants
Prix oureconnaissance
Rémunérationfinancière
(bonus)
Jours de congérémunérés
Promotion
RAPPORT
15 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
60 %
70 %
50 %
40 %
30 %
20 %
10 %
0 % Prévention descom
promissions de données
Participation à la formation
d'autres employés
Sécurité de l'emploi
Aucune motivation
Renforcement de
la cybersécurité
Réduction du risque deréussite d'une attaque
Réduction du risque deretom
bées financières
Réduction du risque d'atteinte à la réputation personnelle
Réduction du risque d'atteinteà la réputation de l'entreprise
Motivations personnellesMotivations professionnelles
Réponses des répondants dans leur ensemble quant à leurs motivations concernant la cybersécurité de l'entreprise. Motivations personnelles
des répondants concernant la cybersécurité de l'entreprise.
Le succès de la stratégie de cybersécurité de l'entreprise au cœur des préoccupations
des répondantsValeur accordée aux incitants par les
professionnels de la cybersécurité
60 %
50 %
80 %
70 %
40 %
30 %
20 %
10 %
0 %PromotionRémunération
financière(bonus)
Prix oureconnaissance
Jours de congérémunérés
OpérateurCadre dirigeant
RAPPORT
16
Valeur accordée aux incitants par pays
Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
60 %
50 %
80 %
90 %
70 %
40 %
30 %
20 %
10 %
0 %
Prix ou reconnaissance
Rémunération financière (bonus)
JaponBrésil Mexique États-Unis Allemagne France Royaume-UniPaid timeoff
Promotion Jours de congé rémunérés
Les réponses concernant les incitants varient selon le pays, sans doute en raison de différences culturelles. Le Japon et le Royaume-Uni accordent plus de valeur à la reconnaissance et aux distinctions qu'aux autres incitants, à l'inverse du Mexique et de l'Allemagne pour qui ils ont l'importance la moins grande. Les répondants au Brésil, au Mexique et aux États-Unis sont plus enclins à placer la rémunération financière en première place de leur classement. Le Japon, le Mexique et l'Allemagne accordent, quant à eux, plus d'importance aux jours de congé rémunérés que les autres pays de notre enquête.
RAPPORT
17 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Réponses des entreprises sur l'utilité des modèles volontaires comme incitants de cybersécurité
À la recherche de solutions
À mesure que les entreprises apprennent à gérer les risques et à s'adapter aux nouvelles cybermenaces, elles semblent désireuses de collaborer avec les instances gouvernementales. Une majorité des répondants de la plupart des secteurs partagent des informations de cyberveille avec leurs partenaires, mais aussi avec le gouvernement et des consultants externes.
Pour une grande partie d'entre eux, les modèles de collaboration volontaire avec le gouvernement sont utiles pour créer des incitants de cybersécurité au sein de l'entreprise. Comme les dirigeants semblent accorder davantage d'importance aux partenariats publics-privés que les opérateurs, on pourrait en déduire que ces modèles devraient être mieux structurés et plus adaptés aux opérateurs informatiques afin de les aider dans leurs activités techniques quotidiennes.
Les entreprises considèrent que la coopération gouvernementale joue un rôle important dans leur stratégie de cybersécurité et représente un moyen de l'améliorer. Cela étant, moins de la moitié des entreprises participant à l'enquête déclarent utiliser les notes d'information publiques des organismes gouvernementaux dans leurs décisions de cybersécurité. Plus de trois quarts des entreprises estiment qu'un accès plus rapide aux habilitations de sécurité constituerait la méthode la plus efficace pour améliorer leur cybersécurité et 66 % souhaitent un meilleur accès aux sources de cyberveille gouvernementales.
Utilité des partenariats publics-privés pour les entreprises
41 %
46 %
9 %4 %
Oui, ils sont relativement utiles
Oui, ils sont très utiles
Non, ils ne sont pas utiles
Ne savent pas
RAPPORT
18 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Dans ce cas précis, il s'agit plutôt de suivre des consignes que de reproduire un comportement. Les entreprises semblent désireuses de collaborer avec le gouvernement dans l'espoir d'accéder à des informations utiles pour améliorer la cybersécurité.
Cela étant, dans de nombreux cas, nous avons constaté que le secteur public est bien à la traîne en termes de compétences en cybersécurité par rapport aux autres secteurs étudiés. Selon notre étude, les organismes publics semblent enfermés dans un modèle de cybersécurité réactif qui cherche plus à gérer les menaces existantes que les nouvelles. Ils sont également moins nombreux à avoir implémenté une stratégie de cybersécurité complète ou à offrir des incitants aux professionnels de la sécurité.
Utilité d'un partenariat public-privé par secteur
60 %
50 %
40 %
30 %
100 %
90 %
80 %
70 %
20 %
10 %
0 %
Non, ils ne sont pas utilesOui, ils sont très utiles
AdministrationsInformatique ettélécommunications
Servicesfinanciers
Secteur des soins de santé (public et privé)
Enseignement public
RAPPORT
19 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Tactiques destinées à améliorer la cybersécurité et informations utilisées pour prendre
des décisions relatives à la cybersécurité
60 %
50 %
40 %
30 %
80 %
70 %
20 %
10 %
0 %Pourcentage de
répondants souhaitant un accès plus rapide
aux habilitations de sécurité
Pourcentage derépondants souhaitant
un accès aux informationssur les cybermenaces
des organismes publics
Pourcentage derépondants utilisant les
notes d'information des organismespublics dans leur
processus décisionnel
Par pays, ce sont les États-Unis, le Brésil et l'Allemagne qui accordent le plus de valeur aux partenariats secteur public-secteur privé. Le Mexique, le Brésil, l'Allemagne et les États-Unis voudraient tous bénéficier d'un accès plus rapide aux habilitations de sécurité
tandis que le Royaume-Uni place l'accès à la cyberveille gouvernementale devant l'accès aux habilitations de sécurité. Tous les pays classent l'utilisation de notes d'information gouvernementales pour la prise de décision en troisième ou quatrième place par ordre d'importance.
Utilité d'un partenariat public-privé par pays
60 %
70 %
50 %
90 %
100 %
80 %
40 %
30 %
20 %
10 %
0 %
Non, ce n'est pas utileOui, c'est utile
Royaume-UniÉtats-Unis Brésil Allemagne Mexique France Japon
RAPPORT
20 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Dans un rapport précédent, intitulé « Pénurie de compétences », neuf répondants sur dix estimaient que les progrès technologiques pouvaient pallier la pénurie de compétences en cybersécurité¹³. Cette conviction n'est apparemment pas partagée par les répondants de cette étude. En effet, à la question de savoir quelles pratiques ils utilisent pour limiter les risques liés aux nouveaux outils de cyberdéfense, les participants classent en quatrième et cinquième places respectivement les services managés tiers et la mise en place de workflows automatisés pour gérer les menaces mineures. Les résultats de ce rapport suggèrent que l'évolution du paysage des menaces risque d'entraîner un changement dans la demande de personnel compétent en cybersécurité, mais aussi des outils et pratiques novateurs.
Dans le domaine de la cybersécurité, l'innovation apporte son lot de difficultés dans la mesure où les nouvelles technologies de cyberdéfense doivent être soumises à une procédure de validation poussée pour vérifier qu'elles ne comportent pas de vulnérabilités exposant leurs utilisateurs à des risques supplémentaires. Des entretiens récents avec des experts en gestion des risques, des technologies et de la cybersécurité du secteur financier ont révélé qu'en raison de leur rythme rapide de développement et de distribution, les RSSI éprouvent souvent des difficultés à évaluer et intégrer de nouveaux outils de sécurité. Cela, alors qu'ils cherchent parallèlement à mieux aligner leurs stratégies de cybersécurité aux impératifs métier, opérationnels et technologiques de leur entreprise¹⁴.
13. McAfee, « Pénurie de compétences : Étude sur la pénurie internationale de compétences en cybersécurité »
14. « Taking cyber risk management to the next level » (Aller plus loin dans la gestion des cyberrisques), Deloitte, 22 juillet 2016
Pratiques utilisées pour limiter le risque lors de l'utilisation de nouveaux outils de cyberdéfense
60 %
70 %
80 %
50 %
40 %
30 %
20 %
10 %
0 %Maintenir une plate-forme
de sécurité qui intègreles technologies existantes
et nouvelles
Tirer parti des workflowsautomatisés pour gérer
les menaces de faible gravité
Investir dans de nouveauxtalents pour gérer les
événements de sécurité
Formationsinternes pour le
personnel existant
Acquérir des technologiesde sécurité redondantes
Collaborer avec unprestataire de services
de sécurité tiers
RAPPORT
21 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Dans une étude de 2015 sur les risques et l'innovation, la vaste majorité des répondants déclaraient que leur entreprise avait investi dans des technologies de sécurité qui avaient, au bout du compte, été abandonnées peu de temps après leur déploiement¹⁵. La pénurie de personnel compétent en cybersécurité et d'experts internes accroît encore la difficulté des entreprises à faire preuve d'innovation en matière de cybersécurité.
Pour éviter de s'exposer à de nouveaux risques, la plupart des entreprises interrogées dans le cadre de cette étude optent pour une plate-forme de sécurité qui intègre les technologies nouvelles et existantes ou achètent des technologies de sécurité redondantes. Plus de la moitié des entreprises considèrent un investissement dans de nouveaux talents comme un moyen sûr d'éviter que les mesures de cyberdéfense n'entraînent de nouveaux risques¹⁶.
« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, c'est que vous ne comprenez ni les problèmes, ni la technologie. »
— Bruce Schneier¹⁷
15. « Risk and Innovation Drive Cyber Technology Investment » (Le risque et l'innovation comme facteurs d'adoption de nouvelles cybertechnologies), Ponemon Institute, 27 avril 2015
16. McAfee, « Pénurie de compétences : Étude sur la pénurie internationale de compétences en cybersécurité »
17. Bruce Schneier. Préface de l'ouvrage « Secrets and Lies: Digital Security in a Networked World » (Secrets et mensonges : La sécurité numérique dans un monde connecté), édition du 15e anniversaire, New York, Wiley, 2015
RAPPORT
22 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
L'écosystème des Black HatsPar opposition, les Black Hats que les entreprises doivent affronter ne manquent ni d'effectifs, ni de technologies innovantes. Les cybercriminels possèdent des incitants clairs, créés par les forces du marché et non par décision d'entreprise. L'économie de marché de l'écosystème cybercriminel facilite l'innovation et l'adaptation rapide, et investit intelligemment ses ressources dans les entreprises criminelles les moins chères et les plus rentables. À la différence du marché de la cybersécurité, dont les structures hiérarchiques rigides ralentissent les processus décisionnels et l'établissement de priorités (même dans les entreprises les plus performantes), celui du cybercrime est concurrentiel, décentralisé et bien développé.
Ce marché ouvert et décentralisé offre des incitants attrayants qui poussent les cybercriminels à se surpasser. Il attire ainsi une très large clientèle et pratique des prix élevés. Compte tenu de la facilité d'accès au marché des nouveaux produits et services, les pirates doivent continuer d'innover et conserver une bonne réputation pour conserver leur position dominante. Bien sûr, il ne nous a pas été possible d'interroger directement les membres de la communauté cybercriminelle et nous avons dû nous en remettre à l'avis d'experts techniques, de la police et de spécialistes en cybersécurité. Leur expérience et leurs observations identifient un écosystème cybercriminel dynamique, rapide et disposant de moyens importants où les incitants sont parfaitement alignés avec les objectifs.
Il existe au sein du marché clandestin une certaine forme de hiérarchie. En haut de la pyramide, on retrouve les pirates informatiques de haut vol qui vendent des vulnérabilités « jour zéro » très convoitées, les intermédiaires spécialisés dans des exploits qui se négocient à prix d'or et des gouvernements qui achètent des outils sur le marché gris ou blanc pour un large éventail d'activités allant de la surveillance nationale au cyberespionnage¹⁸. Le marché gris comprend de nombreux Black Hats mais peu de criminels. Bien que cherchant à s'infiltrer clandestinement dans les systèmes, ces pirates prétendent travailler exclusivement pour le compte de gouvernements qui les rémunèrent grassement pour leurs services. En outre, ils évitent ainsi les arrestations et ne sont pas obligés de traiter avec les criminels et autres escrocs à la petite semaine que l'on retrouve dans le bas du panier¹⁹. Les exploits « jour zéro » et les outils très sophistiqués sont presque exclusivement vendus sur ce marché pour les mêmes raisons.
Le bas de cette pyramide, largement dominé par les criminels et les réseaux qui les soutiennent, offre essentiellement des informations financières et des produits contrefaits ainsi que des services de distribution de spam et d'exploits simples. (Les kits d'exploits et les outils sophistiqués étant le plus souvent réservés aux niveaux supérieurs²⁰.) Les kits d'exploits et logiciels criminels vendus sous la forme de services sur le marché « bas de gamme » tirent souvent parti de vulnérabilités ou systèmes plus anciens, non corrigés par les fournisseurs, à la différence des vulnérabilités « jour zéro » vendues beaucoup plus cher²¹. Alors que les pirates de haut vol se livrent à de l'espionnage, s'emparent du capital intellectuel des entreprises et lancent des attaques destructrices, les criminels du niveau inférieur sont motivés essentiellement par l'appât du gain²².
18. Lillian Ablon, Martin Libicki et Andrea Golay, ibid.
19. Andy Greenberg, « Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees) » (Ces pirates qui vendent à prix d'or les outils pour infiltrer votre PC), Forbes, 21 mars 2012
20. Lillian Ablon, Martin Libicki et Andrea Golay, « Markets for Cybercrime Tools and Stolen Data : Hackers’ Bazaar » (Marchés des outils cybercriminels et données volées : le bazar des cyberpirates), RAND, 2014
21. Jennifer L. Bayuk et col., « BITS Malware Risks and Mitigation Report » (Rapport sur les risques et la prévention des logiciels malveillants), BITS, division de Financial Services Roundtable, juin 2011
22. Kurt Thomas et col., « Framing Dependencies Introduced by Underground Commoditization » (Classification des dépendances introduites par le développement du marché clandestin), compte-rendu du Workshop on the Economics of Information Security (Atelier sur l'économie de la sécurité des informations), 2015
RAPPORT
23 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Spécialisation sur le marché cybercriminel
Toute personne maîtrisant un tant soit peu l'outil informatique peut se faire une place sur le marché criminel²³. Ce dernier est composé d'un réseau de spécialistes aux fonctions multiples — qu'il s'agisse de fournir des hôtes compromis, des ressources humaines, des kits d'exploits ou des identifiants volés. Ces spécialistes offrent leur support à un large éventail d'entreprises criminelles et monétisent ces outils et services dans le cadre de campagnes de spam, de fraudes, de vols de données et d'extorsions²⁴.
Chacun d'eux est spécialisé dans son domaine et peut soit offrir les outils nécessaires aux criminels en aval de la chaîne pour mener à bien leurs opérations, soit proposer des incitants aux pirates informatiques en amont afin qu'ils développent de nouveaux outils et services. Les professions/spécialisations les plus courantes dans ces chaînes sont les suivantes²⁵ :
■ Programmeurs qui développent des logiciels malveillants ■ Concepteurs web qui créent des sites malveillants ■ Experts techniques qui assurent la maintenance de
l'infrastructure criminelle (serveurs, bases de données) ■ Pirates informatiques qui exploitent les
vulnérabilités des systèmes et s'introduisent dans les réseaux informatiques
■ Escrocs qui mettent au point des techniques d'ingénierie sociale (phishing, spam)
■ Intermédiaires, en général des « receleurs », qui se chargent de rassembler les données volées à des utilisateurs, les proposent à d'autres cybercriminels, les vendent ou les échangent contre de l'argent ou à d'autres fins illégales.
Carte des marchés clandestin, gris et blanc
23. Lillian Ablon, Martin Libicki et Andrea Golay, ibid.
24. Kurt Thomas et col., « Framing Dependencies Introduced by Underground Commoditization » (Classification des dépendances introduites par le développement du marché clandestin), compte-rendu du Workshop on the Economics of Information Security (Atelier sur l'économie de la sécurité des informations), 2015
25. Bull Guard, « The Online Black Market—
How it Works (Part I) » (Le marché clandestin en ligne — Principes de fonctionnement 1re partie), site accédé le 26 août 2016
Intermédiairesspécialisésen sécurité
(Hacker One)
Intermédiairesdes marchés gris
(Zerodium,Endgame)
Fournisseurs(Google, Apple) États
Chercheursen vulnérabilités
Développeursde malwares
Gestionnairesde passeurs
Fournisseursd'infrastructure
(pages web/hôtes malveillants)
Utilisateurs/Grand public(divulgation publique)
Cybercriminels (ransomwares, vols de données de cartes de paiement,
fraudes, extorsions par DDoS)
Spécialistes del'ingénierie sociale
RAPPORT
24 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Les bénéfices des entreprises criminelles sont ensuite répartis entre ces spécialistes. Selon un expert des forces de l'ordre, 80 à 90 % des recettes vont généralement aux spécialistes techniques en charge du support et aux « passeurs » (internautes responsables du transfert des fonds) et non aux criminels qui conçoivent ces opérations.
Le marché du cybercrime : compétitif, décentralisé et novateurDynamique, le marché cybercriminel réagit aux « signaux de prix » par l'innovation et de nouvelles offres quotidiennes de produits et services. Lorsque les anciens outils sont dépassés ou exposés, d'autres sont rapidement mis en ligne pour les remplacer. Par exemple, un expert interrogé dans le cadre de l'étude nous a déclaré qu'après la neutralisation de la version 3.0 de la famille de malwares CryptoWall, ses développeurs ont pu distribuer la version 4.0 en quelques jours. De la même façon, lors de l'arrestation²⁶ des développeurs du kit d'exploits Angler qui a dominé pendant longtemps le marché (82 % des activités d'exploit selon une estimation), il n'a fallu que quelques semaines aux pirates qui utilisaient Angler pour le remplacer par le kit d'exploit Neutrino et ainsi continuer à distribuer leur charge active²⁷.
Le rythme soutenu de l'innovation sur le marché criminel s'explique par plusieurs facteurs. Avant tout, les criminels sont opportunistes et la facilité d'accès à des services de support sur le marché clandestin leur confère une agilité accrue et une grande réactivité, ce qui désavantage les experts en sécurité.
Par exemple, lorsque de nouveaux exploits et vulnérabilités sont découverts, les criminels trouvent facilement le moyen de les exploiter à des fins lucratives. D'après une étude, 42 % des vulnérabilités identifiées sont exploitées par les criminels dans le mois qui suit leur divulgation²⁸. En d'autres termes, dès que ces vulnérabilités sont connues du public, le marché clandestin les intègre rapidement à de nouvelles attaques. De plus, les criminels sont opportunistes et préfèrent se concentrer sur des cibles faciles. Au lieu d'investir dans des recherches sur les vulnérabilités et le développement d'exploits, toutes deux des activités coûteuses, ils tirent parti des vulnérabilités rendues publiques afin d'exploiter les systèmes dépourvus de patchs.
L'utilisation de vulnérabilités et d'exploits connus dans leurs attaques leur permet d'éviter la partie la plus longue et coûteuse du cycle de développement : la recherche de vulnérabilités et le développement d'exploits. La plupart des kits d'exploits proposés sur le marché criminel utilisent des vulnérabilités connues. Certains de nos experts ont même remarqué que les pirates commençaient à indiquer les numéros CVE des vulnérabilités exploitées par leurs produits. Alors qu'en haut de la pyramide, le développement d'outils coûteux se négocie à prix d'or, parfois à coups de millions de dollars, l'échelon inférieur reste néanmoins florissant en dépit des prix plus bas pratiqués, grâce à la disponibilité des vulnérabilités connues et à la masse de systèmes dépourvus de patchs qu'il est possible d'exploiter à la suite d'une divulgation.
26. Ruslan Stoyanov, « The Hunt for Lurk » (La traque de Lurk), Secure List, 30 août 2016
27. Kevin Townsend, « Did Angler Exploit Kit Die with Russian Lurk Arrests? » (Le kit d'exploits Angler a-il disparu avec l'arrestation du groupe Lurk ?), Security Week, 13 juin 2016
28. Leyla Bilge et Tudor Dumitras, « Before We Knew It: An Empirical Study of Zero-Day Attacks in the Real World » (À l'insu de tous : Étude empirique des attaques « jour zéro » dans le monde réel), compte-rendu de la conférence 2012 d'ACM sur la sécurité informatique et des communications (ACM CCS), octobre 2012
« Pour les cybercriminels, les vulnérabilités non corrigées dans certains logiciels très répandus, comme Microsoft Office ou Adobe Flash, représentent une véritable aubaine facile à exploiter. »
RAPPORT
25 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Dans un marché ouvert et très concurrentiel, il faut être le meilleur pour réussirComme le cybercrime est un marché concurrentiel fondé sur la réputation et une validation stricte des produits, le développement de nouvelles fonctionnalités ou l'offre de services de qualité sont essentiels si les cybercriminels veulent évincer leurs concurrents. La nature ouverte et compétitive du marché motive ses acteurs à se surpasser. Comme l'a observé un expert, « les pirates informatiques n'innovent pas pour le simple plaisir d'innover », ils le font pour conserver un avantage concurrentiel ou exploiter des opportunités émergentes et plus lucratives.
Sur le marché clandestin, « les bons produits évincent les mauvais et les marques reconnues pour leur qualité peuvent obtenir des prix très élevés (…) les nouveaux produits prospèrent ou disparaissent rapidement, selon le jugement du marché²⁹ ». À mesure que les criminels mettent au point de nouveaux stratagèmes, ils sont mis à l'épreuve du marché. En cas de succès, les criminels peuvent rapidement augmenter leurs ressources et
l'infrastructure de support en achetant des services sur le marché ouvert, les autres disparaissent rapidement et leurs développeurs se tournent vers de nouveaux projets.
Pour réussir dans ce marché très concurrentiel et dynamique, les criminels doivent constamment chercher à dépasser leurs concurrents. Cette course au sommet voit émerger les opérateurs les plus efficaces et novateurs.
L'innovation ne se limite pas à la conception de nouveaux logiciels malveillants. Parfois, les criminels peuvent tirer profit de nouveaux modèles marketing ou de produits « reconditionnés ». La société de cyberveille SecureWorks a constaté que des pirates informatiques russes offraient des tests gratuits de cinq à dix minutes de leur service DDoS avant de finaliser le contrat de location³⁰. Les pirates informatiques chevronnés tirent également des revenus de cybercriminels moins compétents en leur offrant du malware-as-a-service, des tutoriels sur l'ingénierie sociale et des « bibles » sur le vol d'informations de cartes de paiement, ou encore des guides pour les criminels amateurs.
Cycle de vie d'une vulnérabilité sur les marchés clandestin, gris et blanc
29. Lilian Ablon, Martin C. Libicki, Andrea A. Golay, « Markets for Cybercrime Tools and Stolen Data » (Marchés des outils cybercriminels et données volées), RAND Corporation, 24 mars 2014
30. « Underground Hacker Markets Annual Report » (Rapport annuel sur les marchés cybercriminels clandestins), SecureWorks, avril 2016
Identification dela vulnérabilité
Développementd'un exploit
Attaques de type« jour zéro »
Identification de la vulnérabilité
« jour zéro »
Outil adaptépour servir auxtests d'intrusion
Communicationau public
Développementd'un patch
Implémentationd'un patch
Attaquescriminelles
Communicationà l'éditeur
RAPPORT
26 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
La relative transparence du marché clandestin où de nombreux pirates informatiques participent à des forums partagés et vantent leurs exploits, contribue à la multiplication et au développement rapide de ces innovations. Lorsque l'un de ces pirates constate que les clients sont attirés par un nouveau service offert par un concurrent (support client 24h/24, tests ou démonstrations du produit avant achat, recours à des garants pour éviter toute tentative d'escroquerie des deux parties), il adopte rapidement les mêmes pratiques pour rester concurrentiel.
De la même façon, les cybercriminels se concentrent sur les cibles et utilisent des méthodes d'attaque qui se sont avérées lucratives pour leurs concurrents. Par exemple, après les profits engrangés par certains pirates entreprenants suite aux attaques par ransomware lancées contre les hôpitaux en 2015 — qui ne pouvaient se permettre de mettre en péril la vie de leurs patients —, d'autres opérateurs ont rapidement suivi. La communauté des ransomwares s'est tellement concentrée sur ces cibles faciles qu'à la mi-2016, un rapport révélait que 88 % des attaques par ransomware détectées concernaient des établissements de soins de santé³¹.
Une innovation soutenue par des budgets considérables sur le marché gris
Les entreprises opérant dans les marchés gris, plus exclusifs, remplacent et adaptent très rapidement les outils qu'ils proposent pour répondre aux exigences de leurs clients. Comme leur clientèle compte essentiellement des gouvernements et des grandes entreprises dont le premier objectif est la surveillance et la collecte de renseignements, elles disposent souvent d'un catalogue de vulnérabilités et exploits utilisés afin de remplacer ceux qui sont dépassés ou ont été exposés. Dans certains cas, les clients veulent disposer de plusieurs exploits pour les mêmes systèmes afin de varier leur méthodologie d'attaque, ce qui réduit la probabilité de détection et d'identification. D'autres souhaitent garantir un flux de renseignements continu et veulent avoir accès à de nouveaux outils dès que les anciens sont « grillés ».
Ces clients possèdent des budgets colossaux et sont disposés à payer le prix fort pour ces outils (parfois plusieurs centaines de milliers de dollars et plus³²), ce qui permet aux entreprises d'investir le temps et l'argent nécessaires au développement et à la gestion d'un catalogue d'outils de pointe. Ils peuvent aussi se permettre de s'approprier toutes les vulnérabilités « jour zéro » découvertes par d'autres hackers, qu'il s'agisse d'amateurs, de criminels ou de White Hats. Même s'il est très difficile de connaître les prix pratiqués pour des malwares et exploits « jour zéro », des intermédiaires tels que Zerodium sont disposés à payer très cher pour bénéficier d'un accès exclusif à ces outils.
31. Max Green, « Hospitals are hit with 88% of ransomware attacks » (Les hôpitaux, cibles de 88 % des attaques de ransomware), Becker Health IT & CIO Review, 27 juillet 2016 ; Security Research Engineering Team, « Q3 2016 Threat Intelligence Report » (Rapport sur la cyberveille du 3e trimestre 2016), NTT Security
32. Zerodium, « Our Exploit Acquisition Program » (Notre programme d'acquisition d'exploits), site accédé le 20 janvier 2017
RAPPORT
27 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Les entreprises du marché gris peuvent également adapter les outils. Bien que bon nombre d'entre elles cherchent à fournir des fonctions offensives de surveillance et de collecte de renseignements, elles offrent aussi des services de fuzzing, des tests d'intrusion et des services destinés au secteur de la cybersécurité. Lorsqu'un exploit « jour zéro » utilisé lors d'une opération offensive est mis au jour, il peut être intégré à un outil de test d'intrusion ou servir au développement d'indicateurs de compromission qui peuvent être vendus aux sociétés spécialisées en cyberdéfense.
Black Hat ou White Hat ?Les pirates informatiques et les experts en cybersécurité partagent souvent un parcours et des compétences similaires. Hautement qualifiés, ils ont le choix entre un emploi légitime dans les TIC ou la cybersécurité, ou une carrière criminelle. Alors que les premiers Black Hats étaient des étudiants et des « script kiddies », l'économie clandestine actuelle est dominée par des criminels professionnels. Certains sont autodidactes, d'autres sont des professionnels de l'informatique ou des chercheurs en sécurité qui travaillent au noir pour arrondir leurs fins de mois, des anciens pirates employés par les gouvernements ou des informaticiens au chômage.
Prix offerts pour des outils « jour zéro » par des intermédiaires du marché gris
Jusqu'à1 500 000 $
1 001
RJB
Apple iOS
Jusqu'à200 000 $
1 002
RJB
Android
Jusqu'à100 000 $
2 001
RCE + SBX
Flash Playeravec SBX
1 003
RJB
WindowsPhone
Jusqu'à80 000 $
3 001
RCE + SBX
Adobe PDFReader
2 002
RCE + SBX
Chromeavec SBX
2 003
RCE + SBX
IE + Edgeavec SBX
2 004
RCE + SBX
Safariavec SBX
Jusqu'à50 000 $
4 001
VME
Contournementde machines
virtuelles
3 003
RCE
WindowsReader App
2 005
RCE
Flash Playersans SBX
6 001
RCE
OpenSSL
6 002
RCE
PHP
Jusqu'à40 000 $
5 001
MTB
Contournementde l'ASLR
5 002
RCE + LPE
Antivirus
3 002
RCE
OfficeWord/Excel
7 001
RCE
Sendmail
7 002
RCE
Postfix
7 003
RCE
ExchangeServer
7 004
RCE
Dovecot
Jusqu'à30 000 $
4 002
LPE + SBX
Windows
4,003
LPE + SBX
Mac OS X
4 004
LPE
Linux
2 006
RCE
Chromesans SBX
2 007
RCE
IE + Edgesans SBX
2 008
RCE
TorBrowser
2 009
RCE
Firefox
2 010
RCE
Safarisans SBX
Jusqu'à10 000 $
8 001
RCE
IP.Suite
8 002
RCE
IP.Board
8 003
RCE
phpBB
8 004
RCE
vBulletin
8 005
RCE
MyBB
8 006
RCE
WordPress
8 007
RCE
Joomla
8 008
RCE
Drupal
8 009
RCE
Roundcube
8 010
RCE
Horde
LPE : Local Privilege Escalation(élévation des privilèges locaux)
MTB : Mitigation Bypass(contournement des mesuresde prévention)
RCE : Remote Code Execution(exécution de code à distance)
RJB : Remote Jailbreak(débridage à distance) SBX : Sandbox Escape
(contournement de sandbox)
VME : Virtual Machine Escape(contournement desmachines virtuelles)
Source : Zerodium, « Our Exploit Acquisition Program » (Notre programme d'acquisition d'exploits), site accédé le 20 janvier 2017, https://www.zerodium.com/program.html.
RAPPORT
28 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
De nombreux Black Hats de l'ancienne génération sont revenus dans la légalité en raison de la multiplication des opportunités dans le secteur de la cybersécurité et de la répression plus sévère des cyberdélits. Ces hackers de la première heure, dont beaucoup ont commis des actes de Black Hats pour en savoir plus sur les exploits et se faire un nom, ont finalement été séduits par les opportunités plus intéressantes et lucratives offertes par le secteur de la sécurité. Comme l'un d'entre eux nous l'a déclaré, « je suis repassé du bon côté de la loi pour avoir accès à des technologies de pointe, plus récentes, à des environnements de plus grande envergure (...) j'ai aujourd'hui la possibilité de pirater des systèmes haut de gamme en toute légalité ! ».
Les chercheurs en vulnérabilités et programmeurs hautement qualifiés évoluent principalement dans les marchés blanc et gris de niveau supérieur. Avec un salaire à six chiffres au sein de sociétés légitimes, l'opportunité de se consacrer au piratage des systèmes les plus complexes sans crainte de poursuites, ils ont peu de raisons de participer à des activités criminelles. C'est tout particulièrement vrai pour les meilleurs d'entre eux qui détectent et exploitent les vulnérabilités « jour zéro ». Dans un commentaire publié sur un forum de hackers, un utilisateur a parfaitement résumé le choix qui se pose à ceux qui identifient les vulnérabilités « jour zéro » :
« Il n'y a pratiquement aucun intérêt à vendre des exploits jour zéro sur le marché clandestin dès lors que vous pouvez les vendre aux sociétés spécialisées dans la sécurité. Le risque est élevé et la probabilité de se faire arnaquer est très élevée lorsque vous vendez sur le marché noir. Un autre point positif est que la vente d'une vulnérabilité jour zéro à une société spécialisée en sécurité peut vous aider à décrocher un emploi extrêmement bien rémunéré³³. »
Un passé criminel peut également compliquer l'accès aux marchés gris et blanc. Les sociétés de ces marchés comptent sur leur réputation et leur réseau de contacts pour signer des contrats lucratifs avec des gouvernements et des grandes entreprises. Ces contrats impliquent souvent d'accéder en tant qu'administrateur à des informations et à des systèmes sensibles ou confidentiels et la plupart des clients sont réticents à l'idée d'octroyer à des criminels, même réformés, un niveau d'accès élevé à leurs systèmes.
Il existe toutefois quelques exceptions. Ainsi, un étudiant de la Carnegie Mellon University a été arrêté en 2015 pour avoir créé et distribué la famille de malwares Dendroid, qui compromettait les applications Android et offrait aux pirates un contrôle total sur les équipements Android³⁴. Il a vendu le malware sur Dark0de³⁵, le plus grand forum cybercriminel en langue anglaise, à tout client intéressé pour la modique somme de 300 dollars et offrait même un support client 24h/24 et 7j/7³⁶.
33. bitcointalk, « Where Can I Sell a 0 Day? » (Où vendre un exploit « jour zéro »), bitcointalk.org, 16 septembre 2013 (en date du 4 février 2014)
34. Jose Pagliery, « Cybersecurity intern accused in huge hacking bust » (Stagiaire en cybersécurité mis en accusation dans une grosse affaire de piratage), CNN Tech, 15 juillet 2015
35. Europol, « Cybercriminal Darkode Forum Taken Down Through Global Action » (Démantèlement du forum criminel Dark0de par une opération internationale des forces de l'ordre), 15 juillet 2015
36. Jose Pagliery, « Cybersecurity intern accused in huge hacking bust » (Stagiaire en cybersécurité mis en accusation dans une grosse affaire de piratage), CNN Tech, 15 juillet 2015
RAPPORT
29 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
La criminalité à temps partiel, un phénomène plus courant dans le monde russophone
Alors que les pirates chevronnés participent rarement à des activités criminelles dans les pays occidentaux, dans certaines régions, les frontières entre les marchés blanc et gris et le marché criminel sont plus floues. En particulier, la communauté des hackers russophones est particulièrement mouvante. Elle accueille bon nombre des cybercriminels les plus sophistiqués au monde et l'on y retrouve à la fois des informaticiens de l'écosystème criminel et des secteurs légitimes de la cybersécurité et des TIC.
Un des experts interrogés dans le cadre de ce rapport a fait remarquer qu'un grand nombre des principaux pirates russophones qu'il a identifiés sont employés par des sociétés légitimes du secteur des TIC et se livrent en parallèle à des activités criminelles. La majorité d'entre elles sont des sociétés informatiques ou de télécommunications russes ou d'Europe de l'Est, mais certains pirates travaillent pour des entreprises spécialisées en cybersécurité tout à fait légitimes. Certains criminels n'hésitent pas à publier sur leur page Facebook publique, juste à côté de leur emploi légitime, leurs identités criminelles et leurs identifiants sur le Web clandestin (Dark Web).
Les plus sophistiqués d'entre eux sont parfois d'anciens universitaires avec un brillant parcours en mathématiques et en informatique et formés par les services du renseignement. Un des experts interrogés a comparé l'approche de la Russie en matière de piratage à celle adoptée avec leurs athlètes olympiques. Le gouvernement investit des sommes considérables pour entraîner des athlètes d'élite qui défendent les couleurs de leur pays, puis ces derniers quittent leur fédération pour voler de leurs propres ailes et gagner des millions.
De l'avis de plusieurs experts, cette frontière floue avec le secteur des TIC légitime est le résultat d'une attitude permissive envers la cybercriminalité transnationale. Le marché clandestin russe ne connaît qu'une seule règle inviolable : ne jamais pirater des Russes ou des russophones. D'après des sources policières, les autorités russes et d'Europe de l'Est tolèrent le cybercrime tant que ses cibles sont établies en Europe occidentale, aux États-Unis ou en Asie, mais elles n'hésitent pas à poursuivre les criminels ciblant des ordinateurs relevant de leur juridiction.
Comme un membre des forces de l'ordre nous l'a avoué, plusieurs des poursuites intentées par la Justice américaine contre des cybercriminels russes et d'Europe de l'Est ont commencé par un appel du FSB³⁷ : « Nous avons identifié un cybercriminel responsable de délits graves dans votre pays et nous souhaitons coopérer avec vous pour le traduire en justice ». Bien entendu, dans de nombreux cas, ces criminels opéraient impunément depuis des années dans leur pays, au vu et au su de tous, et le FSB ne les a « identifiés » qu'à partir du moment où ils ont commis l'erreur d'utiliser leurs compétences contre des cibles russes.
Les criminels en sont parfaitement conscients et ont recours à une série de techniques pour limiter leurs attaques aux cibles étrangères. Par exemple, le botnet Citadel présentait une singularité surprenante en cela qu'il n'infectait que les ordinateurs utilisant l'alphabet romain, mais jamais les systèmes d'exploitation en cyrillique, ce qui leur garantissait l'indifférence des autorités russes et ukrainiennes³⁸. Comme le montre la carte thermique ci-dessous, le réseau était très actif en Europe occidentale et aux États-Unis, mais n'a infecté que très peu d'ordinateurs dans l'espace russophone. Les infections identifiées à Moscou reflètent la communauté d'étrangers vivant dans la capitale russe.
37. Le FSB (Federal’naya Sluzhba Bezopasnosti) est le Service fédéral de sécurité de la Fédération de Russie.
38. Enigma Software, « Citadel Trojan » (Le cheval de Troie Citadel)
RAPPORT
30 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
La pénurie d'emplois légitimes dans le secteur des TIC en Russie et en Europe de l'Est poussent également de nombreux experts dans le domaine à participer à des activités criminelles. Bon nombre de pirates du marché clandestin russe sont des universitaires et des experts en informatique sans emploi qui n'arrivent pas à trouver un emploi légitime. Selon une étude réalisée en 2013 par le site web de recrutement HeadHunter, seuls 51 % des experts en informatique interrogés en Russie avaient trouvé un emploi dans le secteur informatique légitime. Compte tenu de leurs compétences, acquises dans des universités techniques de haut vol, d'une répression faible et d'une rémunération médiocre même pour ceux qui décrochent un emploi, « les gens se demandent pourquoi ils ne gagneraient pas un peu d'argent au noir⁴⁰. »
La levée des obstacles géographiques et institutionnels avec la cybercommunauté russophone pourrait permettre d'attirer davantage de talents et de ressources vers le secteur de la cybersécurité légitime. Les universités russes forment des programmeurs et des mathématiciens de talent, mais le manque de cybersécurité et la pénurie d'emplois TIC dans le monde russophone ainsi qu'une répression quasi inexistante des activités criminelles conduisent de nombreux professionnels à passer de l'autre côté de la barrière.
À l'inverse, les États-Unis et l'Europe sont confrontés à une pénurie de talents dans les secteurs de la cybersécurité et des TIC, et les compétences informatiques sont très recherchées⁴¹. Les salaires généreux octroyés aux professionnels de la sécurité par des sociétés légitimes incitent peu les programmeurs chevronnés à se livrer à des activités criminelles. Puiser dans le vivier de talents sous-payés de la Russie et de l'Europe de l'Est permettrait non seulement de remédier à la pénurie de talents, mais limiterait aussi les ressources dont dispose le marché cybercriminel pour mener certaines de ses opérations les plus sophistiquées.
« Les gens se disent : Je n'ai pas d'argent, j'ai une excellente formation et la police ne bronche pas. Pourquoi ne pas gagner un peu d'argent au noir ? »
— Alexei Borodin, 21 ans, pirate informatique³⁹
39. Alissa de Carbonnel, « Hackers for Hire: Ex-Soviet Tech Geeks Play Outsized Role in Global Cyber Crime » (Pirates sous contrat : le rôle majeur des technophiles des anciens pays du bloc soviétique dans le cybercrime mondial), NBCNews.com/ Technology, 22 août 2013
40. Ibid.
41. CSIS et McAfee, « Pénurie de compétences : quelles solutions ? », 27 juillet 2016
Carte thermique du botnet Citadel par la DCU (Digital Crimes Unit)
de Microsoft
Source : Jennifer Warnick, « Digital Detectives: Inside Microsoft’s New Headquarters for the Fight Against Cybercrime » (Détectives numériques : le nouveau siège de Microsoft pour la lutte contre le cybercrime), Microsoft News Center, 2015 http://news.microsoft.com/stories/cybercrime/
RAPPORT
31 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Pour des informaticiens qualifiés, des emplois grassement rémunérés, un risque faible d'arrestation et la possibilité de travailler avec des professionnels de haut niveau et des technologies de pointe constituent autant d'incitants à se tenir à l'écart de toute activité criminelle. Toutefois, la distribution mondiale de ces incitants est inégale à travers le monde. En l'absence d'opportunités légitimes et de mesures de répression claires pour les comportements criminels, comme c'est le cas en Russie et en Europe de l'Est, l'attrait de l'argent et l'occasion de se distinguer peuvent entraîner des informaticiens de talent dans la cybercriminalité. Réalignement des incitants pour renforcer la cybersécurité
L'ampleur et la nature des enjeux de la cybersécurité sont telles qu'il est nécessaire de prendre plusieurs mesures au niveau international, national et de l'entreprise pour relever le défi. Ce rapport s'intéresse à un aspect particulier : les problèmes de gouvernance qui désavantagent les entreprises légitimes par rapport aux cybercriminels.
Il identifie plusieurs domaines critiques côté défense où l'on voit apparaître, entre fonctions techniques et non techniques, des approches incompatibles en matière de cybersécurité. Ces attitudes, notamment l'approche de conception de la stratégie de cybersécurité, le degré d'implémentation et son efficacité globale, jouent un rôle majeur sur la perception qu'ont les employés de la cybersécurité globale de l'entreprise. Ces différences de perception renvoient une image confuse et incohérente de la position d'un défenseur au risque de compromettre son objectif, à savoir la mise en place d'une stratégie de sécurité efficace. De même, elles peuvent aggraver la position de faiblesse dans laquelle il se trouve par rapport aux attaquants.
Heureusement, la plupart des entreprises sont conscientes de la gravité du problème de cybersécurité et bien déterminées à le résoudre. Ce rapport se concentre sur la gouvernance, les processus, les règles et la structure utilisés par les entreprises pour gérer les ressources et technologies, prendre des décisions les concernant tout en restant concurrentielles. De fait, ces processus sont généralement plus lents et moins agiles que les forces du marché qui motivent les cyberpirates à évoluer. D'une certaine façon, ce déséquilibre des forces est inévitable, mais il peut être limité par l'innovation organisationnelle. Chaque entreprise doit identifier l'innovation la mieux adaptée à son modèle et à sa structure.
Il n'est guère surprenant que les dirigeants aient tendance à envisager la cybersécurité en termes de coûts, un facteur auquel ils sont évidemment plus sensibles. Toutefois, les différentes mesures utilisées par les dirigeants et les opérateurs pour mesurer le risque et le décalage des incitants conduisent à une sécurité inadaptée. L'établissement d'une série de mesures communes utilisées par les uns et les autres et prenant en compte le coût et l'efficacité permettrait aux entreprises d'adopter une approche de cybersécurité plus cohérente afin de limiter les risques.
Les enseignements à tirer de la cybercriminalitéLe secteur de la sécurité a beaucoup à apprendre de la communauté des Black Hats. La sécurité sous forme de service (SaaS, Security-as-a-Service) peut offrir une flexibilité accrue pour contrer le modèle de la cybercriminalité en tant que service (crime-as-a-service), en tirant parti des forces du marché pour stimuler la concurrence et améliorer les incitants proposés aux professionnels de la sécurité. La défense la plus efficace (au sein des entreprises qui en ont les moyens) consiste à combiner des ressources internes et des services et technologies externes.
RAPPORT
32 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Enseignements à tirer du marché cybercriminel
Marché cybercriminel Équivalent pour le marché de la cybersécurité
Exploitation des forces du marché
Cybercriminalité en tant que serviceOuvert et décentralisé, le marché cybercriminel exploite la concurrence et la fixation des prix par le marché pour réduire les barrières à l'entrée, favoriser l'innovation et aider les entreprises fructueuses à se développer rapidement.
Sécurité en tant que serviceLe recours accru à l'externalisation et à la sous-traitance ouverte peut contribuer à réduire les coûts, à accroître la concurrence et à favoriser la généralisation de technologies et pratiques de sécurité efficaces.
Utilisation des divulgations publiques
Ciblage des vulnérabilités divulguées publiquementL'exploitation de vulnérabilités mises au jour permet d'éviter les coûts liés à leur recherche et au développement d'exploits, et d'intégrer rapidement les nouvelles divulgations dans les attaques afin d'en profiter au maximum avant l'application de patchs.
Amélioration des pratiques d'application de patchsUne réaction accélérée aux divulgations publiques de vulnérabilités par la mise en œuvre de pratiques de correction plus efficaces et le remplacement plus rapide des anciens systèmes peut renforcer la sécurité et augmenter le coût des attaques pour les cybercriminels.
Amélioration de la transparence
Forums ouverts et publicité en ligneLes forums ouverts et la publicité en ligne favorisent la prolifération et le succès des nouvelles attaques et des nouveaux modèles économiques adoptés par les cybercriminels, ainsi que la généralisation des meilleures pratiques.
Partage d'informations et collaborationLa généralisation du partage d'informations peut contribuer à diminuer les coûts encourus par les équipes de sécurité en réduisant la duplication, et à faire connaître les technologies et pratiques offrant des améliorations significatives de la sécurité.
Simplification de l'accès
« Toute personne maîtrisant l'outil informatique »Ignorant les qualifications officielles et les contraintes géographiques, l'écosystème cybercriminel peut dévoyer les talents sous-évalués de l'économie légitime et maximiser leur valeur.
Exploitation des talents du monde entierLe recours à un vivier de talents plus large, dont des jeunes et des experts en TIC étrangers souvent attirés dans les entreprises cybercriminelles, peut permettre aux entreprises de pallier la pénurie de compétences en cybersécurité et de détourner ces talents du marché cybercriminel.
Alignement des incitants
Récompense des performances par les marchés indépendantsLe marché cybercriminel indépendant récompense l'excellence à tous les niveaux et dans tous les domaines fonctionnels de la chaîne d'attaque, et pénalise les performances insuffisantes.
Incitation à la performancePour renforcer la motivation à tous les échelons, des dirigeants aux opérateurs, des incitants tels que des primes et des distinctions doivent être proposés aux employés et aux responsables qui assurent une sécurité efficace.
RAPPORT
33 Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité
Les pirates informatiques réagissent rapidement à l'annonce de nouvelles vulnérabilités et tirent parti de la transparence des forums en ligne pour diffuser les meilleures pratiques et de nouvelles attaques. Les professionnels de la sécurité doivent réduire les délais nécessaires pour corriger les vulnérabilités et remplacer les anciens systèmes afin d'évoluer au même rythme que la communauté cybercriminelle. Un cycle de correction et d'actualisation plus rapide contribuerait à augmenter les coûts des attaquants et les contraindrait à investir dans la recherche de vulnérabilités et le développement d'exploits ou à se tourner vers d'autres cibles, plus lentes à renforcer leurs défenses.
Notre étude a montré que les Black Hats profitent d'une plus grande réactivité et cohérence. Ils sont motivés par les avantages directs dont ils peuvent bénéficier en faisant preuve de rapidité, d'innovation et d'agilité dans leurs attaques. Les incitants des professionnels de la sécurité ne sont généralement pas axés sur la réactivité ou la cohérence. Ces incitants peuvent toutefois être modifiés. Certaines entreprises ont transformé leur modèle et structure économiques pour devenir plus dynamiques et innovantes, et rester ainsi concurrentielles.
Une transformation similaire de la cybersécurité s'impose si elles veulent éviter de se laisser distancer par les pirates informatiques. Il leur faudra identifier les indicateurs appropriés pour mesurer le succès de leur stratégie et réorganiser leur structure d'entreprise pour mettre en place des mécanismes de défense plus agiles et rapides. Pour y parvenir, pourquoi ne pas tirer des enseignements de l'approche adoptée par les cybercriminels pour créer des incitants adaptés et efficaces ?
34
11-13 Cours Valmy - La Défense 792800 PuteauxFrancewww.mcafee.com/fr
McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2017 McAfee, LLC. 2443_0217FÉVRIER 2017
À propos de McAfeeMcAfee est l'une des plus grandes entreprises de cybersécurité indépendantes au monde. Convaincue de l'efficacité de la collaboration, McAfee met au point des solutions pour entreprises et particuliers qui contribuent à un monde plus sûr. En concevant des solutions compatibles avec les produits d'autres sociétés, McAfee aide les entreprises à orchestrer des environnements informatiques véritablement intégrés, où la protection, la détection et la neutralisation des menaces sont assurées de façon simultanée et en étroite collaboration. En protégeant l'ensemble des appareils des particuliers, McAfee sécurise leur vie numérique à la maison et lors de leurs déplacements. Grâce à sa collaboration avec d'autres acteurs de la sécurité, McAfee s'est imposé comme le chef de file de la lutte commune engagée contre les cybercriminels pour le bénéfice de tous.
www.mcafee.com/fr
À propos du CSISDepuis 50 ans, le CSIS (Center for Strategic and International Studies) développe des solutions pratiques pour répondre aux grands défis du monde moderne. Alors que nous célébrons l'anniversaire de ce centre, ses chercheurs continuent de fournir des analyses et solutions bipartites stratégiques permettant aux décideurs d'agir en faveur d'un monde meilleur.
Le CSIS est une organisation bipartite à but non lucratif basée à Washington, DC. Ses 220 collaborateurs à temps plein et son vaste réseau d'universitaires associés mènent des recherches et des analyses et élaborent des stratégies axées sur l'avenir et l'anticipation des changements.
www.csis.org
Déséquilibre des forces : comment le décalage des incitants nuit à la cybersécurité