Prévisions de cybersécurité 2020 : Deepfake-as-a-Service et analyse du comportement

0

En 2020, les dépenses liées à la cybersécurité seront encore amenées à augmenter. Si cette croissance est constante depuis plusieurs années, la nature des dépenses, elle, évolue. Et pour cause, le paysage de la cybersécurité évolue continuellement voire se trouve bouleversé. Les nouvelles techniques d’attaques, la place de la sécurité au sein de l’entreprise, la modernisation des infrastructures et les nouvelles législations sont autant de facteurs déterminants dans l’élaboration des stratégies de cybersécurité et de gestion des risques des entreprises. Dans cet article, nous avons choisi de nous focaliser sur deux tendances significatives en envisageant les implications pour les entreprises, ainsi que les technologies susceptibles d’atténuer les nouvelles menaces.

Le « deepfake-as-a-service » va accroître l’efficacité du ransomware et sera utilisé pour comme un mécanisme d’influence, par exemple sur les élections 

Ces deux dernières années, les applications de filtres photo ont connu un succès phénoménal. Une d’entre elles permet (entre autres) de tirer une image vieillie d’un sujet à partir d’un portrait en lui appliquant des algorithmes d’apprentissage automatisé. Des chercheurs de chez Samsung sont même allés plus loin en produisant une vidéo relativement réaliste au moyen d’une seule image statique d’un sujet. Ces applications ont démontré la puissance des techniques de synthèse d’images et de voix humaines et la fascination qu’elles suscitent actuellement. 

Le terme deepfake a été inventé en 2017 pour désigner des vidéos truquées à l’aide de techniques de « Deep Learning ». Il faudra s’attendre à ce que les deepfakes aient un impact notable sur divers aspects de notre vie en 2020 à mesure que leur réalisme, leur potentiel et leur utilisation vont croître.

Notre prévision s’articule autour de quatre points :

  1. Les auteurs de ransomware enverront des deepfakes personnalisés à leurs cibles. Les destinataires recevront ainsi des vidéos réalistes les montrant dans des situations compromettantes et seront plus enclins à fournir certains documents de l’entreprise ou payer une forme de rançon sous la menace que ces images soient publiées.
  2. Les e-mails provenant d’escrocs qui se font passer pour des dirigeants d’entreprises coûtent plusieurs millions à celles-ci lorsque leurs collaborateurs se font duper et transfèrent des fonds sur des comptes appartenant à des cybercriminels. En 2020, les deepfakes serviront à augmenter encore le réalisme de ces demandes frauduleuses de transfert de fonds.
  3. Nous avons déjà observé des deepfakes sur la scène politique en 2019. Alors que les prochaines élections présidentielles aux Etats-Unis se dérouleront en novembre 2020, les deepfakes seront probablement exploités comme outil pour discréditer des candidats et diffuser des messages politiques fallacieux aux électeurs à travers les réseaux sociaux. Un scénario similaire est tout à fait envisageable vis-à-vis d’une marque, d’un dirigeant ou d’une entreprise. Le but étant de discréditer.
  4. Nous prévoyons également l’apparition d’offres de type Deepfake-As-A-Service à mesure que ces techniques se répandront à des fins de divertissement mais aussi d’activités malveillantes.

Les escrocs vont continuer d’adapter leurs techniques d’ingénierie sociale pour parvenir à leurs fins. Il ne faut pas s’attendre à ce que chaque collaborateur de l’entreprise ou particulier reconnaisse un deepfake, d’autant que le réalisme des trucages s’accentue à fur et à mesure des progrès technologiques. Aujourd’hui le rendu n’est pas temps réel, mais ce n’est qu’une question de temps pour que ces deepfakes deviennent interactifs.

Les deepfakes ne doivent plus être pris à la légère. Il faudra sensibiliser les collaborateurs à ce nouveau type de risque pour les aider à ne pas se faire berner par des escrocs. Des contrôles supplémentaires au niveau des processus (pour les transferts de fonds, par exemple) peuvent aider à repérer les fraudes au dirigeant d’entreprise. De plus, des solutions de sécurité web et de sécurité e-mail pourront notamment aider à stopper la menace en amont en prévenant tout contact avec les emails d’appâts. Celles-ci pourront être complétées par des solutions de type analyse comportementale pour détecter des actions proscrites ou identifiées comme étant à risque.

Les stratégies de cybersécurité évoluent en intégrant les indicateurs de comportement en plus des indicateurs de compromission

Les indicateurs de compromission (Indicator of Compromise ou IoC en anglais) forment un ensemble de signes révélateurs d’une activité potentiellement malveillante : il peut s’agir d’URL de sites web de phishing et de sujets ou d’adresses IP d’e-mails utilisés dans des campagnes de spear-phishing. Les IoC peuvent également inclure du trafic réseau empruntant des ports non standard, des modifications suspectes dans la base de registre et des signatures de fichiers de ransomware ou d’APT. Les IoC sont, par nature, focalisés sur des menaces spécifiques et unitaires, et constituent la base de la cybersécurité depuis plusieurs décennies. Pour beaucoup d’entreprises ils font ainsi partie du niveau élémentaire d’hygiène informatique.

Les indicateurs de comportement (Indicator of Behaviour ou IoB en anglais), quant à eux, s’articulent autour du comportement des utilisateurs, en particulier de leurs interactions avec les données de l’entreprise. Les IoBs mettent plus particulièrement l’accent sur les scénarios de comportements malveillants, qu’ils soient explicites ou masqués (à l’insu de l’utilisateur), comme le vol d’informations critiques.

En déterminant comment un utilisateur, un collaborateur externe, mais également un sous-traitant ou autre se comporte au niveau individuel (par exemple : son application tente-t-elle d’utiliser des fonctionnalités peu communes pour essayer d’accéder à des données critiques), dans le cadre de sa fonction (pourquoi un commercial en agence tierce tente-t-il d’accéder à certaines données financières stratégiques de l’entreprise mère) ou au sein d’un groupe de collègues (utilise-t-il d’autres applications ou d’autres données que ses pairs), il est possible de repérer les signes avant-coureurs d’un comportement potentiellement risqué pour l’entreprise.

Par exemple, grâce aux IOBs on peut, pour chaque étape d’un scénario comme celui d’un vol de données, identifier des signaux qui permettent de dériver un « score » de risque par utilisateur, et en fonction de la politique de sécurité et de gestion des risques, d’automatiser les actions à entreprendre.

L’année 2020 devrait marquer le début de la prise de conscience des entreprises quant à la nécessité de renforcer leur veille de menace en s’appuyant également sur l’analyse contextuelle d’indicateurs comportementaux. L’évolution vers les indicateurs de comportement se traduira par une meilleure protection des données dans les environnements modernes où les données sont distribuées et l’outil informatique permet le travail en tout lieu.

En conséquence, la stratégie de cybersécurité des entreprises réévaluera l’approche historique consistant à chercher uniquement comment des assaillants externes peuvent tenter de pénétrer dans un périmètre (qui est en train de s’effacer) – au profit de l’approche inverse, visant à cerner les risques venant de l’intérieur, que ce soit l’employé malveillant ou celui que l’attaquant externe exploitera comme un relais, et à prévenir le vol de données quel que soit l’utilisateur, l’équipement, le canal d’exfiltration ou l’application cloud/SaaS impliquée.

About Author

Nicolas Fischbach

En tant que Global CTO, Nicolas Fischbach pilote la vision de l'entreprise. Il définit le programme de recherche, les feuilles de route de la technologie et de l'architecture. Il a notamment développé le système Human Point de Forcepoint. Il est responsable des laboratoires d'innovation Forcepoint et joue un rôle essentiel dans le développement du leadership de la marque. Nicolas Fischbach dirige une équipe d'architectes de solutions de Human point et de RSSI présents sur le terrain. Il parraine également des partenariats universitaires de R&D et des transferts de technologie Raytheon. Précédemment, Nicolas Fischbach a dirigé la première transformation cloud de Forcepoint en tant que directeur technique pour les activités de sécurité cloud de l'entreprise. Au cours de cette mission Nicolas a supervisé la direction technique et l'innovation. Avant de rejoindre Forcepoint, Nicolas a passé 17 ans chez Colt, fournisseur mondial de services B2B, en tant qu'ingénieur réseau senior et responsable de la stratégie, de l'architecture et de l'innovation à l'échelle de l'entreprise. Sous sa direction, Colt a reçu de nombreuses distinctions en tant que pionnier de la transformation du SDN, du NFV et des télécommunications. Nicolas Fischbach est une figure reconnue en matière de sécurité des fournisseurs de services, d’architectures de réseaux et de cloud computing de nouvelle génération. Il est titulaire d'une maîtrise en réseautique et informatique distribuée de l'Université Pierre et Marie Curie, d'une maîtrise en informatique de l'Institut des technologies de l'information et d'un bachelor en informatique de l'Institut de technologie de l'Université Robert Schuman. Nicolas est également un ancien membre du conseil consultatif d'un certain nombre d'entreprises et consacre du temps à la communauté en tant que membre du Honeynet Project, un organisme de recherche dédié à la sécurité sur Internet.

Leave A Reply