Lorsque nous avons découvert les cyber-criminels et leurs activités dans les années 80 et 90, il s’agissait principalement d’individus isolés qui infiltraient les réseaux ou créaient des virus afin de faire étalage de leurs compétences techniques.

Cette époque est révolue. Les cyber-criminels et les hackers sont aujourd’hui membres de réseaux bien organisés. Ils sont “employés” par des organisations qui, par leur structure et leur stratégie, s’apparentent à des multinationales. Née dans d’obscures chambres mansardées, la cyber-criminalité est aujourd’hui devenu le domaine de professionnels. 

Etant donné que la cyber-criminalité devient de plus en plus lucrative, elle attire de plus en plus de gens. L’intensification de la concurrence force les cyber-criminels à trouver de nouvelles façons de surpasser leurs rivaux et à déjouer la loi. Il n’est donc pas surprenant que les entreprises soient confrontées à des cyber-menaces plus sophistiquées et changeantes que jamais. Comment les cyber-criminels s’y prennent-ils ?

Le monde de l’entreprise en guise d’exemple

Les cyber-criminels s’inspirent aujourd’hui d’acteurs qui savent comment réaliser des bénéfices sur un marché difficile. Ils basent de plus en plus leur approche sur celle d’entreprises légales, en ce compris les stratégies de développement et de rentabilité des multinationales.

Source: LogRhythm.

Tout comme les hommes et les femmes d’affaires, les cyber-criminels savent à quel point il est important de créer un réseau. Mais plutôt que d’organiser des dîners d’affaires ou d’ajouter des gens sur LinkedIn, ils établissent des réseaux par le biais de forums sur la cyber-criminalité, où ils échangent des connaissances et des expériences. 

L’un des premiers forums de ce genre a permis aux fraudeurs à la carte de crédit d’échanger des compétences. Ils ont ainsi pu exposer et allier leurs expertises individuelles pour maîtriser tous les aspects de la chaîne de valeur criminelle. Ce modèle a été utilisé pour créer des gangs de cyber-criminels qui disposent désormais de membres opérationnels dans plusieurs fuseaux horaires et peuvent ainsi offrir un “service 24h/24”.

Vente de produits et services

Les cyber-criminels savent qu’il est possible de gagner de l’argent en imitant les entreprises légales dans d’autres registres. Au lieu de garder leurs connaissances pour leur seul usage, ils vendent par exemple leurs logiciels à d’autres, à un prix fixe ou pour un pourcentage des “recettes”. D’autres criminels préfèrent offrir leurs services sous forme de leasing: le Software-as-a-Service se répand sur le marché noir des logiciels malveillants comme il le fait sur le marché légal. À l’instar des éditeurs de logiciels professionnels, les cyber-criminels proposent également des garanties sur leur code, y compris des contrats de niveau de service et des conditions générales d’utilisation.

Investir dans la vente et la formation

Les hackers ont également étudié les techniques de vente des multinationales renommées, qu’ils essaient de plus en plus d’égaler. Des chercheurs ont découvert que les cyber-criminels créent des publicités astucieuses pour vendre leurs produits. D’autres permettent un “essai gratuit avant achat” pour attirer de nouveaux clients.

La professionnalisation de la cyber-criminalité se retrouve à tous les niveaux du secteur, même parmi ceux qui ne font que débuter leur carrière criminelle. Les hackers ont découvert la manière dont ils peuvent aider leurs jeunes collègues à faire leurs premiers pas dans le monde du cybercrime: en les formant, afin qu’ils développent leurs compétences. Comme d’autres qualifications professionnelles, la formation à la cyber-criminalité n’est pas bon marché, mais elle est utile. Par exemple, une formation de mille euros donne aux futurs voleurs de cartes de crédit une mine d’informations sur l’identification de sources légitimes de données de cartes de crédit volées, sur la manière de se livrer à de l’ingénierie sociale – l’utilisation de la psychologie pour obtenir des informations confidentielles – et sur la façon d’en tirer profit.

Compte tenu de l’essor pris par la cyber-criminalité, un écosystème s’est créé autour d’elle – comme dans les secteurs légaux – qui répond aux besoins des praticiens. Comme beaucoup d’autres qui veulent participer au commerce illégal en-ligne, les hackers et les auteurs de logiciels malveillants utilisent, eux aussi, des places de marché sur le dark web pour découvrir de nouveaux outils pour leurs activités. Ici aussi, les techniques sont empruntées aux secteurs légaux: les acheteurs laissent des commentaires sur les produits et services des uns et des autres. Il existe par ailleurs des moyens de s’assurer que les personnes qui offrent des outils de piratage sont bien celles qu’elles prétendent être, plutôt que des agents infiltrés. Car ce qu’un hacker professionnel ne veut surtout pas, c’est d’être connu publiquement pour son expertise.

Désormais, les cyber-criminels ont atteint un degré de professionnalisme jamais atteint: là où, par le passé, les réseaux étaient infiltrés par des individus isolés, ces derniers font désormais parti de réseaux bien organisés, où circule énormément d’argent. Cette professionnalisation de la cyber-criminalité doit pousser les entreprises à investir, plus que jamais, dans des solutions de protection et sensibiliser leurs collaborateurs aux dangers qui les guettent. Ce n’est qu’ainsi que l’on pourra minimiser les risques…

Les cuber-criminels, aujourd’hui, n’ont plus rien de commun avec ces exaspérants “nerds” qui, à leurs temps perdus, tentaient de pénétrer les systèmes d’entreprises ou d’administrations. Ils disposent désormais d’énormes moyens financiers et des leviers techniques les plus récents. Pour pister les actions de ce type de criminels, des outils technologiques au moins aussi sophistiqués que les leurs sont nécessaires. Il s’agit d’identifier les comportements inhabituels et les séquences des attaques dans une masse énorme d’événements qui, à première vue, ne paraissent pas nécessairement menaçants. Dans ce domaine, il devient essentiel de pouvoir recourir à l’intelligence artificielle (AI), aux techniques d’apprentissage automatique (“machine learning”) et à un mélange d’analyse comportementale visant les utilisateurs finaux, les réseaux et les points d’accès (End User Analytics ou UEBA, Network Analytics-NBA et End-station Behavioral Analytics-ESBA).

Vous devez accepté que votre entreprise soit la cible d’“incursions”. Mais veillez également à aller plus loin que la conception de nécessaires barricades, telles que des pare-feu, des anti-virus ou des systèmes IPS. Il s’agit également de déployer une plate-forme intégrée qui supervise la totalité de votre chaîne IT et vous informe en temps voulu (en mode détective) d’incidents signifiants qui se produiront – en dépit de tout. Cela vous permettra d’éviter les incursions dommageables avant que le mal ne soit fait.

Rob Pronk
directeur régional
Europe du Nord, centrale et orientale
LogRhythm