Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.

Ce que l’industrialisation de l’exploitation signifie pour les défenseurs

Lucas Morel

L’IA permet aux pirates de lancer des attaques massives et automatisées. Les équipes de sécurité doivent cesser de collecter des outils et commencer à penser comme l’ennemi.

Pendant des décennies, la cybersécurité était une bataille de compétences. Attaquants d’élite contre défenseurs d’élite. Les règles d’engagement étaient comprises, même si les règles du jeu n’étaient pas équitables. Si vous avez embauché de meilleurs analystes et acheté de meilleurs outils, j’espère que vous avez suffisamment renforcé vos systèmes et construit des capacités de détection qui ont épuisé la patience de l’adversaire.

Cette époque est révolue et la plupart des programmes de sécurité n’ont pas entièrement traité ce qui l’a remplacée. L’IA contradictoire a industrialisé l’exploitation. Ce qui nécessitait autrefois une équipe coordonnée d’acteurs menaçants techniquement sophistiqués pour gérer la reconnaissance, l’armement, les mouvements latéraux et la persistance peut désormais être exécuté de manière autonome, à la vitesse d’une machine, contre des milliers d’environnements simultanément. Les acteurs menaçants n’ont plus besoin d’une expertise technique approfondie. Ils ont besoin de calcul, de capitaux et d’un accès aux outils d’IA, qui sont tous banalisés.

Pensez à ce sur quoi votre équipe s’appuyait. Les attaquants ont laissé des indices qui trahissaient leur présence – des schémas que vous pouviez apprendre, des signatures que vous pouviez détecter et leurs campagnes se déroulaient suffisamment lentement pour être suivies. C’est parti. Une reconnaissance qui prenait des jours ne prend plus que quelques minutes. Les attaques que vos outils ont été formés pour reconnaître sont réécrites à la volée. Et les équipes humaines coordonnées qui limitaient autrefois le nombre de cibles qu’un adversaire pouvait atteindre à la fois ? Ils peuvent désormais être facilement déjoués par un seul acteur doté des bons outils d’IA. Votre architecture a été conçue pour une menace qui n’existe plus.

Le problème est structurel

Les lacunes qu’exploitent les adversaires dotés de l’IA ne sont pas principalement des échecs opérationnels. Ce sont des éléments architecturaux. À mesure que les environnements d’entreprise se développaient dans le cloud, l’OT, l’infrastructure d’identité et les intégrations tierces, les organisations de sécurité ont réagi en superposant des outils. Chaque nouvelle surface recevait un nouveau contrôle, un nouveau scanner, un nouveau tableau de bord. Cela a créé une architecture de sécurité à la fois complexe et fragmentée, générant d’énormes volumes de signaux tout en produisant une clarté limitée sur l’endroit où réside le risque réel.

Les modes de défaillance spécifiques sont familiers à quiconque a travaillé sur une véritable enquête de violation. Les contrôles qui ne partagent pas de contexte signifient qu’un scanner de vulnérabilités peut signaler une mauvaise configuration, qu’un outil d’identité peut signaler un compte surprivilégié et qu’une plate-forme de point de terminaison peut générer une alerte. Aucun d’entre eux n’est en mesure de répondre à la question à laquelle un attaquant a déjà répondu : ces expositions peuvent-elles être enchaînées dans un chemin viable vers quelque chose de critique ?

La visibilité dans les environnements hybrides et multi-cloud reste, au mieux, fragmentaire ; les attaquants se déplacent librement au-delà des frontières que les défenseurs ne peuvent souvent pas voir. L’exposition de l’identité (comptes de service trop privilégiés, informations d’identification obsolètes, relations de confiance mal configurées) crée des voies de mouvement latérales qui ne sont pas détectées jusqu’à ce que quelqu’un soit déjà profondément ancré dans l’environnement. La surcharge d’alertes oblige les équipes de sécurité à consacrer un temps disproportionné aux découvertes sans aucune possibilité d’exploitation réaliste.

Rien de tout cela ne surprend les professionnels de la sécurité en activité. Ce qui est moins largement reconnu, c’est qu’il ne s’agit pas d’un problème de ressources. Un plus grand nombre d’analystes et davantage d’outils cloisonnés, superposés à une architecture fragmentée, produisent toujours la même chose. Les outils de sécurité sont conçus pour détecter et signaler. Ils n’ont pas été conçus pour vous montrer ce qu’un attaquant voit lorsqu’il examine votre environnement.

Les attaquants ont déjà exploité l’automatisation pour étendre leur portée. L’IA leur permettra d’exploiter les voies d’attaque à une vitesse sans précédent. Ainsi, aussi cliché que cela puisse paraître, les défenseurs doivent se mettre à la place des attaquants et ajuster leur approche à partir de là.

Comment les défenseurs peuvent changer l’équation

Ce changement de mentalité commence par poser différentes questions. La plupart des programmes de sécurité sont construits autour de « quelles vulnérabilités existent ? » La meilleure question est « que peut réellement faire un attaquant avec ce qui se trouve actuellement dans mon environnement ? »

Ce recadrage a de réelles conséquences sur la manière dont les programmes sont exécutés. La vitesse de réponse aux incidents est importante, mais c’est une variable en aval. La question en amont est de savoir comment rendre les incidents causés par des lacunes et des défauts structurels moins probables, ce qui nécessite de comprendre votre environnement comme le ferait un attaquant, comme un réseau de relations pouvant être enchaînées, et non comme un ensemble d’actifs et de contrôles indépendants. La plupart des équipes de sécurité n’ont jamais cartographié leur environnement de ce point de vue. La plupart des attaquants l’ont fait.

Cela signifie également donner la priorité à la remédiation par une réelle exploitabilité plutôt que par le score CVSS ou la criticité des actifs de manière isolée. Il s’agit du cours Exposure Management 101, le « EM » du cadre de gestion continue de l’exposition aux menaces de Gartner, qui fournit une structure pour remplacer les processus de gestion des vulnérabilités défaillants. Exposure Management opérationnalise la philosophie « penser comme un attaquant » à grande échelle.

Les programmes de sécurité qui donnent la priorité à une réelle exploitabilité travaillent sur le bon problème. Le DBIR Verizon 2025 a révélé que le délai médian pour que les vulnérabilités des appareils de périphérie soient exploitées en masse était de zéro jour, tandis que les organisations prenaient un délai médian de 32 jours pour y remédier complètement. Et séparément, le temps moyen de mise à jour sur 17 CVE d’appareils Edge de haut niveau était de 209 jours. Vous ne pouvez pas combler cet écart en triant tout de manière égale.

Le véritable avantage du défenseur : Connaître son environnement

Il existe une version du paysage actuel des menaces qui mène au fatalisme. Pourquoi investir dans un combat que vous êtes structurellement en train de perdre ? C’est facile d’y aller, mais c’est une mauvaise lecture. À terme, je crois que la défense deviendra également automatisée – une véritable bataille de machines.

Mais avant même d’en arriver là, les défenseurs disposent d’un avantage structurel qu’aucune IA adverse n’élimine : ils opèrent à l’intérieur de l’environnement qu’ils protègent. Ils peuvent voir la topologie complète, les relations d’identité, les contrôles compensatoires, les actifs critiques. Un attaquant, aussi sophistiqué soit-il, doit découvrir tout cela de l’extérieur. Les défenseurs le savent déjà. Au moins, ils devraient le faire.

La plupart des organisations disposent des données sous-jacentes nécessaires pour comprendre leurs propres expositions. Le défi consiste à le synthétiser en quelque chose d’actionnable : voir en permanence ce qu’un attaquant verrait et quels chemins mènent réellement à un endroit dangereux.

Commencez par une visibilité qui dépasse réellement les limites que votre pile d’outils s’est taillée au fil des années d’achats réactifs. Prenez au sérieux la priorisation en fonction de ce qui est véritablement exploitable dans votre environnement, et non de ce qui obtient le score le plus élevé sur une feuille de calcul. Et arrêtez de confondre les tests axés sur la conformité avec votre position actuelle en matière de risque : ils vous disent à quoi ressemblaient les choses au dernier trimestre, pas aujourd’hui.

Les conversations que les RSSI devraient avoir au niveau du conseil d’administration devraient se concentrer sur la question de savoir si le programme en cours d’exécution peut signaler lorsqu’un attaquant doté de l’IA a un chemin clair vers les joyaux de la couronne de l’entreprise.

L’industrialisation de l’exploitation constitue un véritable changement dans l’économie et la logistique de l’adversaire. Mais la structure du problème n’a pas changé. Les défenseurs qui comprennent mieux leur propre environnement que les attaquants – et qui construisent leurs programmes autour de cet avantage – sont dans une position plus forte que ne le suggèrent les gros titres des menaces.

Tirez-vous parti de l’avantage du défenseur ?

Le moyen rapide de le savoir est de demander à votre équipe de répondre aux questions suivantes :

  • Combien d’actifs critiques de l’entreprise disposent d’un chemin d’attaque validé à partir d’un point d’entrée accessible sur Internet ?
  • Comment ce chiffre a-t-il changé d’un trimestre à l’autre ?
  • Quel pourcentage de nos efforts de remédiation a permis de fermer une voie réelle par rapport à une découverte théorique ?
  • Savons-nous de quelle manière un attaquant pourrait créer une voie d’attaque vers nos actifs critiques ?
  • Est-ce que nous évaluons continuellement toutes les voies d’attaque possibles contre nos actifs critiques ? »

Ensuite, si les réponses ne vous conviennent pas, il est temps de revoir votre architecture de contrôle. La meilleure façon d’éviter les cyber-perturbations causées par l’IA adverse est de résoudre les problèmes structurels afin que ces chemins d’attaque ne soient pas exploités en premier lieu.

Carpe Diem !

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

VulnérabilitésSécuritéCyberattaquesCybercriminalitéIntelligence artificielle

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Ce que l’industrialisation de l’exploitation signifie pour les défenseurs
Le manque de réponse à une vulnérabilité critique dans Gogs rappelle les limites des projets open source
Le manque de réponse à une vulnérabilité critique dans Gogs rappelle les limites des projets open source
Washington, DC, USA - June 25, 2022: The logo of the U.S. Securities and Exchange Commission (SEC) is seen at its headquarters in Washington, DC.
Tendances en matière de cybersécurité dans les dossiers déposés auprès de la SEC