WEBINAIRE ENREGISTRÉ:
JO de Paris 2024 : quelles sont les cybermenaces impactant les évènements sportifs majeurs ?
Les JO approchent à grands pas et avec eux de nombreux risques cyber pour les entreprises, partenaires ou non. Inscrivez-vous à notre prochain webinaire CSC « JO de Paris 2024 : quelles sont les cybermenaces impactant les évènements sportifs majeurs ? » pour en savoir plus.
Durée de vie plus courte, réduisez les risques et automatisez la gestion de vos certificats numériques
Que souhaitez-vous savoir!
Durant ce webinaire de 30 minutes, Arnaud Astier Directeur Régional et Yan Desombres, Consultant en Marque Digitale aborderont les sujets suivants :
Les types de cybermenaces à anticiper
Focus sur les tendances liées au DDoS
Plan de Continuité des Activités et de Reprise après Sinistre
Mesures proactives et défensives pour atténuer les attaques
TRANSCRIPTION DU WEBINAIRE
Arnaud: Bonjour à toutes et à tous. Bienvenue et merci pour votre intérêt pour notre webinaire. Alors, pour ceux qui l'auraient oublié, cet été se dérouleront les JO de Paris 2024. On profite donc de cette année olympique pour faire un point sur les menaces cyber et en particulier celles visant les événements sportifs majeurs. Certains d'entre vous nous ont déjà d'ailleurs contactés pour se préparer. Nous allons donc parler de ces questions-là tout de suite. Aujourd'hui, notre présentateur sera Yan Desombres, Digital Brand Consultant chez CSC, que beaucoup d'entre vous connaissent déjà. Pour ma part, je suis Arnaud Astier, Directeur Régional, et je serai là en tant que modérateur. Donc n'hésitez pas à poser vos questions, j'y répondrai dans la mesure du possible. Et si nous n'avons pas pu vous répondre pendant la présentation, nous vous recontacterons très rapidement par email dans les heures ou les jours qui suivent.
En ce qui concerne l'agenda du jour, dans un premier temps Yan fera un état des lieux de ces cyber menaces, leurs types, les motivations. Il nous parlera de quelques exemples précédents. Ils se concentrera ensuite sur les tendances en matière d'attaques DDoS, ce que nous avons observé en 2023 et ce qu'il faudra surveiller tout particulièrement en 2024. Puis, nous referons un point sur l'importance des plans de continuité d'activité et de reprise après sinistre, avant de vous rappeler quelques mécanismes de mesures existantes pour atténuer les attaques.
Il ne me reste plus qu'à vous souhaiter un bon webinaire. Yan, je t'en prie, à toi.
Yan: Merci Arnaud. Je crois qu'on a un petit décalage mais voilà. Bonjour à tous. Pour commencer, on va parler de chiffres autour des cyber menaces, voir en quoi un évènement sportif doit amener les entreprises à porter plus d'attention sur ces événements surtout si elles sont partenaires de ceux-ci. Ce que l'on peut voir déjà, c'est que selon une étude d'une National Cyber Security Center, donc l'équivalent de l'ANSSI aux USA, environ 70 % des organisations sportives ont déclaré avoir subi au moins une cyberattaque par an ces dernières années, ce qui est nettement plus important que les entreprises en général - pour lesquelles on est aux alentours de 32 % - qui ont déclaré en avoir subi.
Comment peut-on expliquer ça ? Il y a plusieurs débuts d'explication. Les grands événements sportifs de ce genre vont générer beaucoup de visibilité donc c'est très intéressant pour les cybercriminels qui vont chercher à notamment démontrer leur capacité d'attaque, à démontrer la vulnérabilité supposée des cibles. Il y a un petit peu un côté marketing dans tout ça. Également, ces entreprises gagnent plus d'argent lors de ces événements. Ça veut dire qu'une attaque réussie, ça va être plus des revenus perdus pour les entreprises donc plus d'impact également. Un événement sportif, ça va être aussi plus de données qui vont circuler donc plus de données potentiellement volées.
Enfin, un autre chiffre qui peut être intéressant, ça va être le fait que le marché mondial du sport va attendre les 623 milliards de dollars en 2027. Pour résumer, il y a de nombreuses raisons pour les cybercriminels d'être d'autant plus actifs durant ce type d'événements, donc il faut que les entreprises se protègent par rapport à ça.
On va identifier deux types d'attaque. On va avoir les attaques vers les cibles en ligne ou les infrastructures, donc tout ce qui va être sites Internet, DNS, réseaux. Donc les buts recherchés ici, ça va être plutôt d'avoir premièrement un impact sur les disponibilités des sites qui souvent sont spécialement construits pour l'événement, où parfois il n'y a pas trop de programmes de protection qui ont été pensés autour de ces nouveaux sites. Ça va être également de réduire la capacité des sites, justement, à résoudre en adresse IP, ce qui a quasiment le même impact qu'une attaque DDoS. Ça peut aussi être de viser le fournisseur DNS qui, lui, est séparé de l'aspect un petit peu site Internet, qui n'est peut-être pas forcément aussi bien préparé pour cet événement que l'hébergeur Web. Et on va avoir un deuxième type d'attaque, ça va être celui sur les cibles finales, donc plutôt public, participants, clients, par exemple des attaques de phishing. Notamment avec maintenant l'utilisation de l'intelligence artificielle, on peut créer des attaques de phishing qui sont vraiment convaincantes, automatisées, de plus en plus efficaces. Les attaques de phishing permettent de tirer parti de domaines similaires, noms de domaine qui vont être apparemment associés à l'événement ou à l'entreprise.
Ça peut aussi être sur les cibles finales, des campagnes de spam qui vont mentionner un lien supposé avec l'événement ou avec l'entreprise, encore une fois. Ou alors, pareil, la distribution de malwares ou de sites Internet via des emails ou alors via des faux sites Internet qui seraient soi-disant associés à ces événements et qui vont permettre la distribution de ces malwares.
Je prends un petit peu de temps parce que voilà, au niveau des cibles en ligne, ces grands événements offrent souvent une large surface d'attaques de sites, de services, d'applications. Du coup, vu que ces événements sont temporaires, il y a souvent une protection qui n'a pas forcément été mise en place comme ça pourrait être le cas sur le site Internet principal d'une entreprise, par exemple. Donc elle n'est pas toujours cohérente ou alors complète sur les différents canaux. Aussi, la problématique qu'il va y avoir, c'est que lors de ces événements, on va avoir de nombreux tiers qui sont engagés. Pour les entreprises, il y a aussi peu de visibilité sur la posture de sécurité de tous les partenaires et des infrastructures sous-jacentes.
Concernant les cibles finales, plutôt clients etc., ce qu'on peut dire aussi ici, c'est que la surface d'attaque présente un défi de préparation pour les entreprises pour couvrir les différents sujets. Il y a plusieurs questions qu'on peut se poser. Est-ce que votre entreprise bénéficie d'une surveillance de protection de marques qui va détecter les atteintes en ligne, donc les faux sites ? Est-ce que vous avez des outils qui vous permettent de détecter les attaques de phishing ? Est-ce que vous utilisez toutes les fonctionnalités sécurité DNS qui sont disponibles sur votre offre DNS ? On y reviendra un petit peu après mais il y a pas mal de choses qui sont disponibles. Il y a de nombreux outils et de fonctionnalités qui vont permettre d'atténuer justement les tentatives de phishing ou de bloquer les téléchargements de logiciels malveillants et puis essayer d'empêcher ces éléments-là de circuler.
Également, un commentaire qu'on peut faire, parce que là je vois les parties Wi-Fi, c'est que lors de ces événements, il y a certains actifs digitaux qui ne sont pas forcément d'ordinaire de la responsabilité d'un organisme de sécurité mais qui doivent être surveillés et protégés. Donc, un exemple d'action possible lors de ces événements, ça va être de fournir des connexions Wi-Fi séparées pour les fournisseurs, pour les participants etc., donc différents accès et comme ça si un des accès tombe en panne, tous les acteurs ne sont pas impactés.
Au niveau des motivations des cybercriminels, on peut en lister déjà quelques-unes : les enjeux politiques ; on peut aussi avoir, comme dans le sport, des tentatives d'attaques qui vont simplement être motivées par une sorte de chauvinisme un peu extrême de la part de fans ; on peut avoir les activistes qui vont utiliser les cyberattaques soit pour défendre leurs causes, soit pour lutter contre celles contre lesquelles ils ne sont pas d'accord, on va voir des exemples après ; il y a aussi tout ce qui va être script kiddies, ce sont des gens qui le font tout simplement pour se divertir ou alors parce qu'ils peuvent et du coup ils veulent prouver qu'ils peuvent le faire à leur public ; et puis également, il y a toujours la partie motivations financières que l'on retrouve souvent dans les campagnes de phishing, vol de données personnelles et ensuite essayer d'en gagner un bénéfice.
On va prendre quelques exemples justement d'événements sportifs qui ont été le déclencheur d'attaques. Le premier exemple qu'on peut noter, ça va être la Coupe du monde de foot en 2014 au Brésil durant laquelle il y avait eu des interruptions de service téléphonique, des obstructions d'infrastructures Internet. Les enjeux qu'il y avait derrière étaient plutôt d'ordre politique, c'était par rapport à la construction des stades qui entraînait justement la destruction d'habitations et les activistes qui attaquaient l'événement pensaient que l'argent pourrait plutôt être utilisé pour construire des habitations. Un autre exemple qu'on peut mentionner, c'est Manchester United en 2020 qui avait été victime d'un ransomware. Un troisième exemple, ça va être les JO de Pyeongchang en 2018 avec des attaques probablement russes, enfin en tout cas qui avaient été attribuées à la Russie, qui visaient à perturber l'événement, du coup à discréditer l'événement et puis indirectement le pays organisateur. Un dernier exemple, ça va être les JO de Tokyo qui avaient été déjà décalés de 2020 à 2021 pour cause de Covid et qui avaient été la cible justement de cyberattaques de la part d'activistes mais cette fois-ci par rapport à la question du commerce de la viande, des ailerons de dauphins et des baleines. Dans ce cas-ci, ce qu'on peut noter, c'est que toutes ces attaques avaient commencé depuis 2015, donc bien en avance. Encore ici, ce qu'on peut voir, c'est que chaque événement va avoir des attaques qui peuvent avoir différents impacts et dont les causes, les raisons, peuvent varier.
Si on se penche un petit peu plus sur, par exemple, la Coupe du monde au Brésil en 2014 et les JO de Tokyo en 2021, ce qu'on peut voir, c'est que les attaques ont en fait touché les unes après les autres différentes entités, qui sont liées à ces événements, d'abord des attaques sur les sites des États et des gouvernements puis sur les sites des événements. Après, on va s'attaquer aux sites des sponsors, et ensuite des attaques un peu plus générales, des cyberattaques, même pendant les matchs, même en fonction de qui va se qualifier, des équipes qui sont qualifiées, puis on voit des attaques beaucoup plus ciblées de pays à pays. Encore une fois, différents acteurs, différentes attaques et puis différentes cibles à travers le temps.
Maintenant, je voudrais faire un petit focus sur un type d'attaque en particulier, le DDoS. Vous en avez déjà certainement entendu parler, c'est l'attaque par déni de service : des gros paquets d'informations, de data qui arrivent sur les serveurs Web ou DNS d'ailleurs qui ne vont plus arriver à répondre. Déjà, on va commencer par parler de tendances liées à ces DNS, des tendances à surveiller en 2024. Il faudra surveiller une augmentation des attaques DDoS qui sont liées aux deux grands conflits actuellement en cours, en Ukraine et à Gaza, et à tous les partis engagés qui continuent de financer des campagnes, ce qui a un fort impact sur les Cloud providers, les fournisseurs Internet et les sites gouvernementaux. La plupart de ces attaques sont aussi assistées par l'IA, ce qui va permettre de les automatiser et de les transformer rapidement et ça les rend plus flexibles et plus efficaces.
Ce qu'on voit aussi, ça va être des combinaisons entre les attaques DDoS et les ransomwares. C'est très efficace et c'est exploité de plus en plus par les cybercriminels et notamment les activistes. Un petit point aussi sur 2023, donc sur l'année précédente. Ce qu'on a pu constater, c'est que les plus grandes infrastructures Cloud, les principaux instituts financiers américains et européens et les sites gouvernementaux des différents pays ont été visés. La taille des attaques n'a cessé d'augmenter en volume, certaines atteignaient plus de 100 Gbps, ce qui est vraiment massif. Aussi, les attaques DDOS de type carpet bomb, c'est-à-dire des attaques qui visent un nombre important d'IP, ont représenté plus de 50 % de ces attaques. Donc on voit des attaques massives qui vont toucher plusieurs IP. Il faut s'assurer que les partenaires avec lesquels vous travaillez ont les moyens d'être résilients face à ce type d'attaques.
Un petit souci, hop. Voilà. Alors, pour continuer un petit peu sur les tendances DDoS et les liens entre les attaques sur les entreprises et les événements sportifs, du coup quelques exemples par secteur, alors des exemples dans le temps. Les attaques qui ont visé le secteur du e-commerce ont augmenté pour atteindre 11 % de l'ensemble des attaques - soit 300 % au-dessus de la normale - le 8 janvier pour coïncider avec des matchs de football américain de fin de saison. On a aussi des attaques sur les fournisseurs logiciels ou de services Web qui ont représenté plus de 6 % de toutes les attaques lors de l'Open d'Australie le 19 janvier. C'était le triple de ce qui est normal pour ce type de secteur. On va avoir aussi les attaques contre les sociétés d'argent et de hasard en ligne qui ont atteint environ 10 % de toutes les attaques au cours du dernier Super Bowl. Ça, c'était le triple des pics normaux. Et puis un petit dernier pour la route, c'était pendant le NBA All-Star Weekend de 2023, les attaques sur les sociétés de tourisme ont représenté 11 % de toutes les attaques. On voit vraiment que ça touche différents secteurs.
D'ailleurs, c'est intéressant de voir un petit peu quels sont les secteurs d'activité les plus visés par ces types d'attaque DDoS. En premier, on va avoir les fournisseurs de services de communication, ensuite ceux de service financiers, et enfin ceux de service de software ou web. Pourquoi les fournisseurs de communication ? Parce que dedans, on a les revendeurs et les fournisseurs SaaS et ces fournisseurs SaaS vont fournir des services notamment d'hébergement et autres aux entreprises et donc, ils sont d'autant plus attaqués. D'où l'importance encore une fois du choix du partenaire. Il faut s'assurer que ces partenaires-là soient résilients.
Aussi, comme on a pu le voir, les attaques DDoS sont de plus en plus fréquentes et fortes. La question, c'est : est-ce que votre infrastructure d'hébergement DNS va disposer d'un système de protection contre le DDoS ? Si oui, est-ce que c'est une protection qui est assez importante pour protéger cette infrastructure DNS contre cette augmentation d'attaques, des volumes d'attaques. Ensuite, il y a une autre question qui peut en découler et qui est intéressante aussi, toujours liée au DDoS : si l'infrastructure DNS tient, est-ce que derrière, l'infrastructure Web va également tenir ? Est-ce que vous avez un outil entre le DNS et l'hébergement web qui va justement nettoyer le trafic pour que le volume qui arrive sur l'hébergement web soit acceptable. Donc il y a des solutions comme ça qui existent pour à la fois protéger l'hébergement DNS et à la fois nettoyer le trafic avant qu'il n'arrive sur les hébergeurs Web.
On va parler maintenant du plan de continuité des activités et du plan de reprise après sinistre pendant les JO. On va le voir, il y a d'autres éléments qui peuvent faire partie du pack et qui sont liés à CSC. Comme vous le savez, CSC, c'est entre autres un registraire de noms de domaine, un hébergeur DNS et un fournisseur de certificat SSL. Et si on regarde d'un peu plus près, en fait, ces éléments permettent de faire fonctionner plusieurs choses et notamment l'infrastructure DNS qui est un petit peu centrale. Ça va permettre de faire fonctionner vos emails, ça va permettre de faire fonctionner vos sites internet, la validation des utilisateurs sur Office 365, la validation des politiques d'e-mails, SPF, DKIM, DMARC pour tout ce qui va être sécurité autour des emails. Tout ça, ce sont des entrées que vous allez avoir dans votre DNS, donc avoir un DNS solide, redondant et sécurisé, c'est essentiel pour le bon fonctionnement de votre activité et notamment lors de ces événements sportifs où tout est, encore une fois, d'autant plus sollicité.
Justement, quelques recommandations de CSC à ce niveau. La première chose - vous avez déjà dû nous l'entendre dire plein de fois - mais la première chose, ça va être de choisir un partenaire corporate pour la gestion de vos noms de domaine, pour les DNS et pour les SSL. Un partenaire corporate aura fait les investissements nécessaires pour protéger ses infrastructures contre les attaques, il va sensibiliser les équipes aux risques de phishing, de social engineering et indirectement, ça protège vos actifs digitaux contre ces risques-là également.
Autre recommandation, si vous avez des actifs digitaux un petit peu partout, on recommande de les consolider chez ce registrar corporate, chez CSC, pour avoir plus de visibilité et une meilleure gouvernance sur ces actifs digitaux. D'ailleurs, un petit aparté - et Arnaud le mentionnait un petit peu plus tôt - on a pas mal de clients qui nous ont demandé ce qu'on avait mis en place chez CSC pour ce type d'événements. En fait, chez CSC, on dispose d'un SOC global 24/7. Et dans le cadre des opérations quotidiennes, CSC va intégrer des flux de renseignements sur les différentes menaces, il y a une automatisation et une surveillance pour garantir vraiment la résilience de nos infrastructures et de nos systèmes. En plus, CSC dispose d'un programme de gestion des vulnérabilités avec une surveillance et un classement des menaces. Donc voilà, s'il y a une menace cyber ou physique qui est liée aux JO qui est détectée pendant l'événement, notre équipe globale de gestion des crises appliquera le plan de réponse aux incidents et de continuité des activités pour assurer la résilience et la reprise si besoin.
Pour reprendre sur les recommandations - pareil, vous avez dû nous entendre le répéter - pensez à activer le verrou de niveau registre sur vos noms de domaine critiques. Ça, c'est la première recommandation de l'ANSSI dans son rapport pour la bonne gestion et l'acquisition des noms de domaine. Vous pouvez d'ailleurs télécharger ce rapport, je crois que c'est un lien que vous pouvez télécharger dans ce webinaire, ça fait partie des éléments. Et en fait, ça vous permet de protéger vos noms de domaine les plus critiques contre les risques de détournement de noms de domaine et de DNS.
Également, vous pouvez implémenter les enregistrements CAA. Ça va vous permettre en fait de valider uniquement une autorité de certification pour l'émission des certificats pour un certificat SSL donné. En plus, c'est gratuit à mettre en place, donc vraiment, on vous recommande de le mettre en place. Vous pouvez également implémenter le DNSSEC. Ça va permettre de valider l'authenticité d'une réponse DNS et ça permet d'éviter deux problématiques, deux risques cyber : le man in the middle ou une réponse insérée entre, enfin voilà, dans la réponse générale et les empoisonnements de cache.
Enfin, vous pouvez implémenter les politiques SPF, DKIM et DMARC pour sécuriser les échanges liés à l'email, au mailing et du coup protéger vos collaborateurs. D'ailleurs, petit aparté, assez récemment c'est devenu quasiment indispensable d'avoir le DMARC si vous avez plus de 5 000 emails par jour. Ça, c'est dû à une nouvelle politique de la part de Gmail et Google.
Alors, on a parlé de la protection des actifs digitaux et un peu plus tôt je vous parlais de la deuxième cible qui sont les cibles finales donc clients, partenaires etc. Donc là, il y a également des outils de surveillance que vous pouvez mettre en place pour protéger ces éléments-là. Le premier que je voulais mentionner, c'est la surveillance de sous-domaines donc de vos zones files, pour maintenir en fait une hygiène de zone au quotidien. C'est vraiment un sujet qui monte en ce moment, le sujet du dangling DNS, c'est-à-dire des entrées dans vos zones files qui pointent encore vers des IP ou vers des hostname alors que derrière, le service a été décommissionné. Du coup, les cybercriminels, en faisant du data mining, peuvent détecter ces entrées et si c'est un fournisseur Cloud, ils peuvent très bien s'adresser au fournisseur Cloud, demander l'accès à cette IP ou à ce hostname et remettre du contenu sur un nom de domaine qui vous appartient. Là, pour les partenaires etc., pour identifier que c'est du faux, ça devient beaucoup plus compliqué. Donc voilà, détecter le dangling, c'est vraiment quand ça pointe vers une entrée, vers une IP ou un hostname où il n'y a plus de service, détecter le dangling avant qu'il ne soit utilisé par les cybercriminels, ça c'est essentiel. En plus, ce qui est intéressant, c'est que la surveillance de sous-zones, ça va aussi vous permettre d'améliorer la communication entre vos équipes DNS et les équipes métiers. Parce que ce sont souvent les équipes métiers qui vont demander aux équipes DNS de créer une entrée dans le zone file, parce que derrière, eux vont activer, enfin l'équipe métier va demander l'activation de l'hébergement web. Par contre, quand ils décommissionnent le service, souvent ils ne pensent pas à demander à l'équipe DNS de faire la suppression. Donc, ça permet à l'équipe DNS de faire un suivi, justement, régulier, et de maintenir une hygiène des zones sans avoir à chercher trop loin, ou plutôt à passer trop de temps à chercher ce dangling, on va plutôt dire ça comme ça.
Également, on vous recommande de surveiller l'enregistrement de noms de domaine qui sont liés à votre marque, soit similaires soit approchants. Et il y a plein d'autres variantes d'ailleurs. Tous les noms de domaine ne sont pas utilisés immédiatement donc on vous recommande de mettre en place une solution où si un nom de domaine est enregistré mais qu'il n'est pas utilisé à l'heure actuelle, vous pouvez le mettre sur une liste d'attente et dès qu'il y a un changement, vous recevez une alerte pour savoir ce qui se passe et pouvoir agir, par exemple via takedown. Et troisième point également, on vous recommande de surveiller le contenu Internet, d'avoir une surveillance de contenu Internet plutôt, parce que les sites Internet qui sont problématiques ne contiennent pas toujours, enfin plutôt le nom de domaine ne contient pas toujours le nom de la marque ou la marque elle-même, ça peut être simplement dans le contenu Internet. Donc voilà, on vous recommande de mettre en place ce type de surveillance.
On a vu pas mal de points aujourd'hui. Tout ça, ça va nous amener à la question : quel est votre plan B en cas d'attaque ? La plupart des sujets qu'on a abordés, c'est vraiment un challenge pour le pack donc plan de continuité d'activité, également celui de reprise après sinistre. Si on prend un exemple, le DNS, dans la plupart des organisations c'est ce qu'on va appeler un single point failure. C'est-à-dire que s'il tombe, il n'y a plus rien qui fonctionne. C'est ce qu'on voyait un petit peu plus tôt, plus de site internet, plus d'emails, plus d'applications, plus rien. Donc s'il tombe, en fait il n'y a pas vraiment de plan B. On peut se dire qu'on va redéléguer rapidement le nom de domaine à une autre infrastructure mais il faut encore trouver le prestataire en vitesse, il faut signer le contrat. Ensuite, ça prend 24 à 48 heures pour que le changement soit propagé et les impacts, pendant ce temps, sont énormes.
D'ailleurs, petit commentaire, la directive NIS2 recommande de mettre en place du DNS redondant, donc soit via une sous-délégation, via deux prestataires différents, soit une double infrastructure DNS séparée mais chez le même prestataire, ce qui est encore mieux parce que du coup les deux infrastructures sont compatibles et vous allez avoir accès à toutes les fonctionnalités sécurité type géolocalisation, IP failover, répartition de charge pondérée etc. Le plan B en fait est inclus dans le plan A si vous avez cette double infrastructure.
Aussi, si votre infrastructure a subi une attaque DDoS, est-ce que vous avez un service prêt pour mitiger cette attaque ? Si vos clients vous remontent des faux sites, est-ce que vous avez déjà un partenaire qui pourra travailler avec vous immédiatement sur un takedown sur ce site-là ?
Le message qu'on essaye vraiment de passer et de faire passer, c'est qu'il faut au maximum prévoir les problèmes éventuels qui vont se présenter, notamment durant ce type d'événement, qu'il faut trouver et mettre en place des solutions qui vont réduire ou supprimer les risques quand c'est possible ou bien qui vont permettre de réagir rapidement en cas d'attaque. Voilà, je conclus ma partie là-dessus. Bien entendu, nous, on est disponibles chez CSC pour discuter de tous ces sujets et je laisse la parole à Arnaud.
Arnaud: Merci Yan. Désolé, j'ai démuté un peu trop tôt. Merci beaucoup pour cette présentation, Yan.