Dans l’ère post Covid-19, l’environnement de travail traditionnel laisse place à la « Digital Workplace » ou environnement de travail numérique. Selon l’étude OpinionWay sur le travail hybride en France en 2023(1), 74% des cadres déclarent avoir pratiqué le télétravail en moyenne 2 jours par semaine en 2022. Un choix qui n’est pas surprenant et qui coïncide avec la forte adoption des solutions CRM, messageries instantanées et autres plateformes collaboratives.
Sous le prisme de la cybersécurité, cette adoption interroge. Comment les entreprises peuvent-elles sécuriser efficacement ces environnements de partages de données ? Comment s’assurer que l’un des fichiers déposés ne contient pas un malware ? À l’heure de l’utilisation de l’intelligence artificielle générative, est-ce que les technologies de détection traditionnelles comme les antivirus, sont encore en capacité de protéger efficacement les utilisateurs ? Éléments de réponse et analyse par l’un de nos experts.
Une adoption à marche forcée
Les chiffres de l’adoption des applications collaboratives donnent le tournis. Selon le site d’analyse statistique Statista, la firme de Mountain View avec sa suite collaborative Google Workspace aurait conquis en 2023 pas moins de 50% du marché global(2) des applications collaboratives dans le cloud talonné par Microsoft avec sa suite Microsoft 365 à 48%. Ce n’est pas moins de 6 millions d’entreprises qui utiliseraient(3) quotidiennement les environnements de travail numérique de la firme pour pas moins de 2 milliards d’utilisateurs actifs et 1,4 milliard d’utilisateurs pour Microsoft. Google Drive héberge 2,5 trillions de fichiers en 2023 et 70% des utilisateurs y accèdent depuis un mobile. Une utilisation massive qui alerte les experts en cybersécurité.
Pour Bruno Leclerc, Directeur commercial chez GLIMPS « Les cyberattaques ciblant les environnements de travail collaboratifs et métiers dans le cloud posent un vrai problème pour les entreprises. Habitués à aborder la cybersécurité par le prisme de la sécurité périmètrique, ces derniers n’ont pas d’outils de cybersécurité autre que l’antivirus traditionnel pour détecter le dépôt d’un malware sur l’espace de stockage (Google Drive, DropBox, OneDrive …). De ce fait, c’est l’utilisateur lui-même qui fait détonner la charge malveillante à l’ouverture du fichier sur son poste de travail. C’est un vrai enjeu pour les entreprises de traiter cet angle mort. ».
Si sur le papier, le dépôt d’un fichier malveillant sur un espace de stockage n’apporte pas de risque en soi, son partage et son exécution sur le système d’information par un salarié de l’entreprise est une réelle préoccupation. Ces environnements cloud sont aujourd’hui synchronisés sur les postes de travail et pourraient permettre aux cybercriminels de propager facilement un ransomware en s’appuyant sur le fonctionnement natif de ces plateformes.
Pour Bruno Leclerc, « ce mode opératoire s’apprête parfaitement à une attaque de whaling, ou ce sont les cadres supérieurs d’une entreprise qui sont visés prioritairement. Adeptes des tableurs Excel, cette attaque pourrait au mieux paralyser l’entreprise et au pire être le parfait moyen d’une tentative d’espionnage à des fins d’intelligence économique. »
Pour le cabinet Gartner, les risk managers et RSSI doivent prioriser la sécurisation des applications web. Au-delà d’une restriction sur le type de fichier pouvant être uploadé, les entreprises doivent mettre en place des mécanismes de détection comme l’analyse statique à l’aide du Deep Learning, l’utilisation du sandboxing ou l’utilisation d’une solution de Content disarm and reconstruction (CDR), outil permettant la suppression de la capacité offensive dans le fichier incriminé.
L’inévitable remplacement des antivirus
Anciennement basée sur une méthode de détection par empreinte, puis devenu plus tard “Nouvelle Génération AV” (NGAV) par l’intégration de l’analyse heuristique, les antivirus continuent de peiner dans l’apport de réelles capacités de détection face à l’émergence des malwares polymorphes produits à l’aide de l’intelligence artificielle générative.
Pour Bruno Leclerc, « les plateformes collaboratives et métiers utilisent habituellement des antivirus pour scanner et détecter un fichier modifié ou nouvellement créé. ». Si cette méthode permet de détecter les cas les plus simples, les résultats s’effondrent face aux cas les plus complexes. « Les malwares sont construits de façon à être indétectables aux yeux des antivirus traditionnels. Ils ont également aujourd’hui la capacité de détecter s’ils sont installés dans un environnement de sandbox. Le temps de traitement de ce mode d’analyse est aujourd’hui trop long pour une utilisation collaborative, ce qui pose problème en conditions opérationnelles ».
Quant à l’incapacité des antivirus à détecter un malware développé à l’aide de ChatGPT, la preuve de concept a été faite. C’est en avril 2023 que l’expert en cybersécurité Aaron Mulgrew a réussi à faire développer à l’IA un fichier malveillant diffusé par Google Drive dont 90% des éditeurs d’antivirus de la plateforme VirusTotal n’ont pas été en capacité de détecter(4). Au-delà de la prouesse technique, cette preuve de concept démontre la capacité offensive que l’intelligence artificielle générative apporte aux cybercriminels. Une capacité de générer des codes malveillants qui devrait s’industrialiser si ce n’est pas déjà le cas.
Utiliser l’analyse par concept-code pour pallier la faiblesse des antivirus traditionnels
Pour pallier la faiblesse des antivirus, l’analyse par conceptualisation du code ou concept-code de la solution GLIMPS Malware permet de définir un score au travers d’une analyse statique. C’est par la comparaison du code que les algorithmes de Deep Learning peuvent fournir une réponse en moins de 5 secondes. Pour ce faire, l’algorithme analyse le fichier avec une vision “macro” sans avoir à l’exécuter ou à le décompiler. Ainsi l’analyse se fait d’une manière quasi instantanée et la plateforme collaborative de l’entreprise victime n’a plus qu’à effectuer l’action de remédiation et de notification auprès de l’administrateur.
Selon Bruno Leclerc, cette menace s’applique également aux outils métiers des grandes entreprises comme les assurances ou les banques où les clients déposent des documents : « Un cas d’usage répandu est celui des assurances où le client qui a eu un dégât des eaux doit déposer un fichier PDF pour déclarer son sinistre. De ce fait, la société d’assurance se doit d’analyser et de détecter toute menace avant que son opérateur n’ouvre le document pour traiter la demande. L’intégration dans ce cas est facilitée par l’intermédiaire d’un end-point API. GLIMPS Malware accède aux fichiers déposés, analyse et fournit un score de dangerosité avant même que le fichier soit traité par un salarié de l’entreprise. »
La plateforme GLIMPS Malware est aujourd’hui éprouvée sur ce cas d’usage avec pas moins de 1 million de fichiers traités pour les ministères de l’État Français chaque mois.
Conclusion
Pour éviter que les applications collaboratives et métiers ne deviennent des environnements de rebond pour les cybercriminels, les entreprises se doivent de protéger ces environnements au même titre que les flux réseaux ou la restriction des droits utilisateurs. La solution GLIMPS Malware s’interconnecte de la même façon qu’un antivirus. Pour le découvrir et en savoir plus n’hésitez pas à nous contacter.
Références :
(1) https://www.itforbusiness.fr/le-teletravail-s-impose-chez-les-cadres-57543
(2) https://www.statista.com/statistics/983299/worldwide-market-share-of-office-productivity-software/
(3) https://marketsplash.com/google-workspace-statistics/
(4) https://www.forcepoint.com/blog/x-labs/zero-day-exfiltration-using-chatgpt-prompts