Pourquoi les responsables de la cybersécurité devraient partir du principe qu’une intrusion a eu lieu ?

Tout système, compte ou personne peut à tout moment constituer un vecteur d’attaque potentiel. Avec une surface d’attaque aussi vaste, vous devez partir du principe que les hackers vont violer au moins un vecteur, s’ils ne l’ont pas déjà fait.
Yaki Faitelson
4 minute de lecture
Dernière mise à jour 18 juillet 2022

En février, des informations sur le groupe de cybercriminels à l'origine du ransomware Conti, qui a connu un succès majeur, ont fuitées après que ce dernier a annoncé publiquement son soutien total au gouvernement russe. Le gang a ainsi menacé de répondre à toute attaque militaire ou cybernétique contre la Russie avec « toutes les ressources possibles pour frapper les infrastructures critiques des ennemis ».

À situation critique, réaction critique. Pensez aux profondes mutations induites du jour au lendemain par la Covid-19 à l'échelle mondiale.

J'aimerais relever plusieurs éléments à la lecture des échanges entre les membres du groupe Conti.

Que révèlent ces échanges ?

De nos jours, vous aurez bien du mal à trouver un expert en cybersécurité qui n’a pas été confronté à maintes reprises à ce groupe de malfrats au cours des deux dernières années.

Les conversations divulguées mettent au jour une structure organisationnelle et des salaires semblables à ceux des employés d’une réelle entreprise. L’organisation compte en effet entre 65 et 100 hackers et sa masse salariale s’élèverait à 6 millions de dollars par an. Conti a réussi à voler des données et à extorquer beaucoup d’argent. Il aurait en effet extorqué 180 millions de dollars en 2021.

En outre, ces échanges montrent que le groupe a acheté des bases de données pour rechercher ses victimes, fomenter des attaques de phishing convaincantes contre des employés et partenaires commerciaux, et déduire le montant que les victimes seraient prêtes à payer. Il acquiert également des solutions de sécurité afin de tester en interne la capacité de leurs logiciels malveillants à passer inaperçus. Ces conversations montrent également que le gang envisage d’acheter des exploits et des portes dérobées à des tiers, et qu’il surveille attentivement son bilan.

L’organisation du groupe repose sur une approche méthodique. Ses membres sont en effet tenus de respecter un certain nombre de règles de sécurité qui vont de la confidentialité des mots de passe aux bonnes pratiques visant à préserver l’anonymat en ligne et hors ligne. Il met également à disposition de ses membres des ressources et des instructions tels que des tutoriels qui ont pour objectif d’aider les cybercriminels néophytes à s’améliorer. Et comme toute entreprise, ils échangent sur leurs stratégies.
 

Conti n’est qu’un exemple parmi tant d’autres de groupe cybercriminel. Aujourd’hui, suite à l’invasion de l’Ukraine, nous devons examiner dans quelle mesure ce conflit géopolitique affectera Conti et les autres groupes cybercriminels.

La cyberguerre n’est plus très loin, et les gouvernements vont développer des outils et des stratégies de plus en plus élaborés. Leurs techniques s’étendront rapidement à l’espace commercial, comme ce fut déjà le cas auparavant. Les progrès que nous avons observés dans la programmation générale avec les frameworks de développement, l’automatisation et le no-code se reflètent déjà dans le domaine de la cybercriminalité, ce qui facilite l’apprentissage, le développement et la flexibilité.

Maintenant que la Russie a décrété que les droits de propriété intellectuelle ne sont plus protégés pour les nations dites « hostiles », quelles sanctions pourraient dissuader quelqu’un de se lancer dans la cybercriminalité ? Alors que dans ce pays, de nombreux internautes perdent soudainement leur emploi ou se retrouvent sanctionnés, combien de professionnels de la sécurité rejoindront des groupes de cybercriminels ou en formeront de nouveaux ? Les gangs de ransomware pourraient ainsi devenir des entreprises reconnues ou des services de R&D complémentaires. Quoi qu’il en soit, ce qu’ils veulent ce sont vos données.

Pourquoi devriez-vous partir du principe qu’une intrusion a eu lieu au sein de votre entreprise ?

Comme le montrent les conversations de Conti qui ont été divulguées, tout système, compte ou personne peut à tout moment constituer un vecteur d’attaque potentiel. Avec une surface d’attaque aussi vaste, vous devez partir du principe que les hackers parviendront à compromettre au moins un vecteur, si ce n’est déjà fait.

Une fois que vous avez « présumé l’intrusion », réfléchissez à l’endroit où un cybercriminel irait le plus probablement s’il voulait maximiser ses profits. Si votre entreprise ressemble aux autres, il se dirigera tout droit vers vos dépôts de données les plus critiques.

Cette logique se confirme dans nos observations : une fois qu’ils ont pénétré vos systèmes, les pirates prennent le contrôle à distance, exploitent toutes les failles qu’ils trouvent, s’attaquent aux comptes avec un accès renforcé et les utilisent pour voler des données. Malheureusement, une fois qu’ils se sont infiltrés, ils sont rarement confrontés à une grande résistance.

Si vous voulez mieux appréhender les obstacles qu’un hacker devrait franchir pour accéder à vos données critiques, choisissez un employé de niveau intermédiaire et examinez son rayon d’exposition, autrement dit toutes les données qu’un cybercriminel pourrait voler si un collaborateur était piraté. Votre collaborateur ou le pirate peut-il accéder à des données critiques, ou devra-t-il redoubler d’efforts et s’attaquer à d’autres systèmes ?

Il est même probable que les hackers n’aient pas besoin d’aller très loin : il suffit parfois de cibler un seul utilisateur. En effet, dans la plupart des entreprises, les collaborateurs ont accès à des milliers, voire des millions, de fichiers qui leur sont inutiles.

Comment savoir si un cybercriminel ou une personne mal intentionnée au sein de votre entreprise a accédé à un volume anormal de données critiques ? Nous avons en effet constaté que très peu d’entreprises sont capables de repérer les tentatives de fraude suffisamment tôt pour éviter que leurs données ne soient dérobées.

En parlant de menace interne, force est de constater que vos employés constituent votre entreprise. Bien que la plupart d’entre eux soient honnêtes, rappelez-vous qu’il suffit d’une seule personne mal intentionnée pour obtenir un accès étendu et causer des dommages considérables. Autre mauvaise nouvelle : les groupes de cybercriminels cherchent activement à recruter des employés prêts à leur donner un accès interne.

Comment leur rendre la tâche plus difficile ? 

Votre mission consiste à réduire au maximum votre rayon d’exposition (de sorte que les utilisateurs ne puissent accéder qu’aux éléments dont ils ont besoin) et à détecter les accès anormaux susceptibles d’indiquer qu’une attaque est en cours. Chaque étape supplémentaire qui contraint un pirate ou un collaborateur et le ralentit donne aux professionnels de la cybersécurité la possibilité de détecter et de contrer une attaque.

La première étape consiste à faire l’inventaire de vos données les plus critiques, c’est-à-dire celles que les cybercriminels chercheront à atteindre. Où se trouvent votre propriété intellectuelle, votre code source et vos dossiers sur les clients et les collaborateurs ?

L’étape suivante consiste à faire l’inventaire des systèmes de contrôle qui entourent vos données critiques. Sont-elles accessibles aux personnes qui en ont réellement besoin, à l’intérieur comme à l’extérieur de votre entreprise ? Êtes-vous en mesure de repérer une activité anormale sur ces données critiques ? Si une configuration critique venait à être modifiée dans une mauvaise intention, quelles solutions mettriez-vous en place afin de l’identifier et la rétablir ?

Une fois que vous avez fait l’inventaire de vos données critiques et des systèmes de contrôle qui s’en rapprochent le plus, vous pouvez vous concentrer sur des mesures concrètes pour optimiser et maintenir ces derniers. Compte tenu de l’étendue des vecteurs d’attaques envisageables, il semble plus judicieux de penser à la source de l’attaque après avoir sécurisé la cible, à savoir vos données critiques.

N’oubliez pas : après vos employés, vos données constituent votre atout le plus précieux.

Cet article a été publié pour la première fois sur Forbes.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

annonce-de-varonis-edge-–-vers-la-sécurité-périmétrique-et-au-delà
Annonce de Varonis Edge – vers la sécurité périmétrique et au-delà
Pour concevoir Varonis Edge, nous sommes partis d’un constat ; E-mails, Web et attaques par force brute sont les principaux vecteurs d’attaque des programmes malveillants pour percer vos défenses. La...
ne-comptez-pas-sur-des-murs-de-données-plus-élevés-pour-tenir-les-menaces-avancées-persistantes-à-distance
Ne comptez pas sur des murs de données plus élevés pour tenir les menaces avancées persistantes à distance
Les menaces avancées persistantes (advanced persistent threats, APT) ont récemment attiré l’attention, et ce à juste titre. La plupart des piratages se fondent sur de simples vecteurs d’attaque, tels que...
ne-comptez-pas-sur-des-murs-de-données-plus-élevés-pour-tenir-les-menaces-avancées-persistantes-à-distance
Ne comptez pas sur des murs de données plus élevés pour tenir les menaces avancées persistantes à distance
Les menaces avancées persistantes (advanced persistent threats, APT) ont récemment attiré l’attention, et ce à juste titre. La plupart des piratages se fondent sur de simples vecteurs d’attaque, tels que...
utiliser-des-applications-azure-malveillantes-pour-infiltrer-un-tenant-microsoft-365
Utiliser des applications Azure malveillantes pour infiltrer un tenant Microsoft 365
Tandis que les organisations évoluent vers Microsoft 365 à un rythme soutenu, un nouveau vecteur d'attaque fait son apparition : les applications Azure