Les vrais défis de l’attribution des attaques pour les responsables de la sécurité

L’attribution est une priorité secondaire mais indéniable

Lorsqu’une cyberattaque se produit, la première réponse doit toujours être pratique : arrêter les dégâts, sécuriser les systèmes et éliminer les menaces en cours. L’attribution, c’est-à-dire l’identification des auteurs de la cyberattaque, vient plus tard. C’est important, mais ce n’est pas la première chose sur laquelle vous devez vous concentrer. Un système compromis signifie qu’il y a déjà eu une défaillance quelque part et qu’il faut y remédier en priorité. Une fois les risques immédiats gérés, vous pouvez vous pencher sur la question de l’attribution. Savoir qui a attaqué et pourquoi permet de réduire les risques de récidive et de renforcer les défenses futures.

Pour les entreprises les plus en vue, l’attribution devient souvent un sujet de conversation publique. Si votre plateforme tombe en panne, les gens veulent des réponses. Plus l’impact est important, plus les appels à identifier les responsables se font entendre. Les dirigeants sont mis sous pression non seulement par leurs équipes, mais aussi par les parties prenantes, les utilisateurs et parfois les gouvernements. Les petites entreprises, en revanche, ne subissent généralement pas cette pression extérieure. Elles se concentrent sur la remise en ligne et la prévention d’autres perturbations, ce qui signifie que l’attribution peut attendre.

Les RSSI et les DSI doivent adopter une approche stratégique. L’attribution est précieuse, mais seulement après avoir sécurisé les opérations. Elle peut guider les investissements en matière de sécurité, aider à évaluer les risques futurs et même façonner les décisions politiques. Mais courir après un nom avant de sécuriser votre réseau est une erreur. Donnez la priorité à l’atténuation des dommages, au rétablissement de la stabilité et, ensuite seulement, à l’identification des auteurs.

Randolph Barr, RSSI chez Cequence Security, l’a bien expliqué : « La préoccupation que j’aurais probablement en tant que RSSI est de remédier à la vulnérabilité qui leur a permis d’entrer dans la porte en premier lieu. La leçon à tirer est claire : les responsables de la sécurité doivent d’abord se concentrer sur la résilience, puis sur la responsabilité.

La complexité et l’intensité des ressources de l’attribution

Il n’est pas simple d’attribuer les cyberattaques. Les attaquants utilisent des couches d’obscurcissement, des réseaux de zombies, des infrastructures détournées et des réseaux anonymes pour brouiller les pistes. Lorsqu’une attaque attaque DDoS par exemple, le trafic afflue de milliers d’appareils compromis dans le monde entier. L’origine réelle est masquée derrière des systèmes décentralisés, ce qui rend l’attribution définitive extrêmement difficile. Même lorsque les attaquants revendiquent la responsabilité, cela ne signifie pas qu’ils disent la vérité. Certains groupes s’attribuent le mérite d’attaques qu’ils n’ont pas menées, pour attirer l’attention ou diffuser des informations erronées.

Une attribution précise nécessite des investigations approfondies. Les équipes de sécurité ont besoin d’outils techniques et de sources de renseignements pour analyser les schémas d’attaque, suivre les activités malveillantes et faire correspondre les empreintes numériques à des acteurs connus de la menace. Cela demande du temps et des ressources. Les grandes entreprises peuvent disposer de l’expertise interne nécessaire, mais même dans ce cas, il est souvent nécessaire de faire appel à des sociétés externes de renseignement sur les menaces. Le résultat est généralement un rapport qui attribue l’origine de l’attaque avec un degré de confiance variable, mais il n’est pas toujours possible d’obtenir une réponse totalement définitive.

Les chefs d’entreprise doivent reconnaître que l’attribution n’est pas un processus rapide, et qu’elle n’est pas toujours concluante. Elle nécessite un investissement dans les capacités de cybersécurité, le personnel qualifié et les réseaux d’échange de renseignements.un personnel qualifié et des réseaux d’échange de renseignements. Les organisations qui se concentrent uniquement sur l’arrêt des attaques sans chercher à mieux comprendre qui en est à l’origine risquent de se rendre vulnérables à des incidents répétés.

Vishal Grover, directeur de l’information chez apexanalytix, explique : « Un réseau de zombies est généralement un réseau d’ordinateurs compromis… vous ne pouvez pas vraiment déterminer avec précision qu’il provient de tel ou tel endroit ». Cela met en évidence le défi principal : l’attribution des attaques n’est pas une simple opération de traçage. Elle nécessite une vision stratégique à long terme, et pas seulement une réponse réactive.

Rôle de l’attribution dans l’amélioration de la préparation à la sécurité et de la collaboration avec l’industrie

L’identification des auteurs d’une attaque et de leur mode de fonctionnement permet aux organisations d’adapter leurs défenses et de prendre des décisions éclairées en matière de risques. Mais la valeur de l’attribution ne se limite pas à une seule entreprise. Lorsque les organisations partagent leurs informations, c’est l’ensemble de l’écosystème de la sécurité qui en bénéficie. Les équipes chargées du renseignement sur les menaces peuvent suivre les nouveaux schémas d’attaque, partager les tactiques utilisées par les adversaires et avertir les cibles potentielles avant que les incidents ne dégénèrent.

Ce type de collaboration a lieu dans les forums sur la sécurité, les conférences et les relations directes avec l’industrie. Les dirigeants qui prennent la cybersécurité au sérieux doivent s’assurer que leurs équipes participent activement à ces espaces. Le partage d’informations permet aux équipes de sécurité de comparer leurs notes sur les méthodes d’attaque, d’échanger des alertes en temps réel et de renforcer la résilience collective. Mais une telle collaboration n’est pas toujours facile. Les entreprises hésitent à divulguer les failles de sécurité en raison de préoccupations liées à la responsabilité, à l’atteinte à la réputation et à l’impact financier de l’aveu d’une compromission. Certaines gardent le silence de peur que l’exposition des vulnérabilités n’incite à d’autres attaques.

Le défi consiste à trouver un équilibre entre la transparence et la gestion des risques. Les dirigeants avant-gardistes reconnaissent que la cybersécurité est une responsabilité partagée. Plus les entreprises sont disposées à participer à des réseaux de partage de renseignements fiables, plus leurs défenses se renforcent. Les équipes de sécurité qui travaillent de manière isolée disposent souvent d’informations incomplètes, ce qui les désavantage.

Vishal Grover, directeur de l’information chez apexanalytix, insiste sur la nécessité de discussions ouvertes : « C’est l’une des principales raisons pour lesquelles vous assistez à une conférence sur la sécurité […]. Vous voulez absolument partager vos expériences, apprendre des expériences des autres et comprendre le point de vue de chacun ». Randolph Barr, CISO chez Cequence Security, renforce ce point de vue : « Nous construisons ces relations afin de savoir que nous pouvons nous faire confiance les uns les autres et dire : ‘Hé, si notre nom est cité, faites-le nous savoir' ». Une collaboration efficace repose sur le développement de ces relations, afin que les organisations puissent compter les unes sur les autres en cas d’apparition de menaces.

Principaux enseignements pour les dirigeants

• L’attribution est utile mais ne doit pas être la première priorité : Les responsables de la sécurité doivent se concentrer sur l’élimination des vulnérabilités et des menaces avant d’enquêter sur l’attribution. Les grandes organisations subissent une pression plus forte pour déterminer les responsabilités, mais toutes les entreprises devraient d’abord donner la priorité à la résilience.
• Le repérage des attaquants est complexe et exige beaucoup de ressources : Les cybercriminels utilisent des réseaux de zombies et des couches d’obscurcissement, ce qui rend l’attribution définitive difficile. Les décideurs doivent investir dans le renseignement sur les menaces et l’analyse d’experts, tout en étant réalistes sur le fait que l’attribution peut ne pas être concluante.
• La collaboration renforce les défenses mais nécessite la confiance : Le partage d’informations entre les organisations renforce la sécurité collective, mais les préoccupations liées à la responsabilité et à la réputation limitent souvent la transparence. Les dirigeants doivent favoriser l’émergence de réseaux de sécurité de confiance pour garder une longueur d’avance sur les menaces tout en équilibrant les risques liés à la divulgation.