Inside Out - Blog CyberSécurité Blog   /  

Pourquoi les responsables de la cybersécurité devraient partir du principe qu’une intrusion a eu lieu ?

Pourquoi les responsables de la cybersécurité devraient partir du principe qu’une intrusion a eu lieu ?

En février, des informations sur le groupe de cybercriminels à l'origine du ransomware Conti, qui a connu un succès majeur, ont fuitées après que ce dernier a annoncé publiquement son soutien total au gouvernement russe. Le gang a ainsi menacé de répondre à toute attaque militaire ou cybernétique contre la Russie avec « toutes les ressources possibles pour frapper les infrastructures critiques des ennemis ».

À situation critique, réaction critique. Pensez aux profondes mutations induites du jour au lendemain par la Covid-19 à l'échelle mondiale.

J'aimerais relever plusieurs éléments à la lecture des échanges entre les membres du groupe Conti.

Que révèlent ces échanges ?

De nos jours, vous aurez bien du mal à trouver un expert en cybersécurité qui n’a pas été confronté à maintes reprises à ce groupe de malfrats au cours des deux dernières années.

Les conversations divulguées mettent au jour une structure organisationnelle et des salaires semblables à ceux des employés d’une réelle entreprise. L’organisation compte en effet entre 65 et 100 hackers et sa masse salariale s’élèverait à 6 millions de dollars par an. Conti a réussi à voler des données et à extorquer beaucoup d’argent. Il aurait en effet extorqué 180 millions de dollars en 2021.

En outre, ces échanges montrent que le groupe a acheté des bases de données pour rechercher ses victimes, fomenter des attaques de phishing convaincantes contre des employés et partenaires commerciaux, et déduire le montant que les victimes seraient prêtes à payer. Il acquiert également des solutions de sécurité afin de tester en interne la capacité de leurs logiciels malveillants à passer inaperçus. Ces conversations montrent également que le gang envisage d’acheter des exploits et des portes dérobées à des tiers, et qu’il surveille attentivement son bilan.

L’organisation du groupe repose sur une approche méthodique. Ses membres sont en effet tenus de respecter un certain nombre de règles de sécurité qui vont de la confidentialité des mots de passe aux bonnes pratiques visant à préserver l’anonymat en ligne et hors ligne. Il met également à disposition de ses membres des ressources et des instructions tels que des tutoriels qui ont pour objectif d’aider les cybercriminels néophytes à s’améliorer. Et comme toute entreprise, ils échangent sur leurs stratégies.
 

Conti n’est qu’un exemple parmi tant d’autres de groupe cybercriminel. Aujourd’hui, suite à l’invasion de l’Ukraine, nous devons examiner dans quelle mesure ce conflit géopolitique affectera Conti et les autres groupes cybercriminels.

La cyberguerre n’est plus très loin, et les gouvernements vont développer des outils et des stratégies de plus en plus élaborés. Leurs techniques s’étendront rapidement à l’espace commercial, comme ce fut déjà le cas auparavant. Les progrès que nous avons observés dans la programmation générale avec les frameworks de développement, l’automatisation et le no-code se reflètent déjà dans le domaine de la cybercriminalité, ce qui facilite l’apprentissage, le développement et la flexibilité.

Maintenant que la Russie a décrété que les droits de propriété intellectuelle ne sont plus protégés pour les nations dites « hostiles », quelles sanctions pourraient dissuader quelqu’un de se lancer dans la cybercriminalité ? Alors que dans ce pays, de nombreux internautes perdent soudainement leur emploi ou se retrouvent sanctionnés, combien de professionnels de la sécurité rejoindront des groupes de cybercriminels ou en formeront de nouveaux ? Les gangs de ransomware pourraient ainsi devenir des entreprises reconnues ou des services de R&D complémentaires. Quoi qu’il en soit, ce qu’ils veulent ce sont vos données.

Pourquoi devriez-vous partir du principe qu’une intrusion a eu lieu au sein de votre entreprise ?

Comme le montrent les conversations de Conti qui ont été divulguées, tout système, compte ou personne peut à tout moment constituer un vecteur d’attaque potentiel. Avec une surface d’attaque aussi vaste, vous devez partir du principe que les hackers parviendront à compromettre au moins un vecteur, si ce n’est déjà fait.

Une fois que vous avez « présumé l’intrusion », réfléchissez à l’endroit où un cybercriminel irait le plus probablement s’il voulait maximiser ses profits. Si votre entreprise ressemble aux autres, il se dirigera tout droit vers vos dépôts de données les plus critiques.

Cette logique se confirme dans nos observations : une fois qu’ils ont pénétré vos systèmes, les pirates prennent le contrôle à distance, exploitent toutes les failles qu’ils trouvent, s’attaquent aux comptes avec un accès renforcé et les utilisent pour voler des données. Malheureusement, une fois qu’ils se sont infiltrés, ils sont rarement confrontés à une grande résistance.

Si vous voulez mieux appréhender les obstacles qu’un hacker devrait franchir pour accéder à vos données critiques, choisissez un employé de niveau intermédiaire et examinez son rayon d’exposition, autrement dit toutes les données qu’un cybercriminel pourrait voler si un collaborateur était piraté. Votre collaborateur ou le pirate peut-il accéder à des données critiques, ou devra-t-il redoubler d’efforts et s’attaquer à d’autres systèmes ?

Il est même probable que les hackers n’aient pas besoin d’aller très loin : il suffit parfois de cibler un seul utilisateur. En effet, dans la plupart des entreprises, les collaborateurs ont accès à des milliers, voire des millions, de fichiers qui leur sont inutiles.

Comment savoir si un cybercriminel ou une personne mal intentionnée au sein de votre entreprise a accédé à un volume anormal de données critiques ? Nous avons en effet constaté que très peu d’entreprises sont capables de repérer les tentatives de fraude suffisamment tôt pour éviter que leurs données ne soient dérobées.

En parlant de menace interne, force est de constater que vos employés constituent votre entreprise. Bien que la plupart d’entre eux soient honnêtes, rappelez-vous qu’il suffit d’une seule personne mal intentionnée pour obtenir un accès étendu et causer des dommages considérables. Autre mauvaise nouvelle : les groupes de cybercriminels cherchent activement à recruter des employés prêts à leur donner un accès interne.

Comment leur rendre la tâche plus difficile ? 

Votre mission consiste à réduire au maximum votre rayon d’exposition (de sorte que les utilisateurs ne puissent accéder qu’aux éléments dont ils ont besoin) et à détecter les accès anormaux susceptibles d’indiquer qu’une attaque est en cours. Chaque étape supplémentaire qui contraint un pirate ou un collaborateur et le ralentit donne aux professionnels de la cybersécurité la possibilité de détecter et de contrer une attaque.

La première étape consiste à faire l’inventaire de vos données les plus critiques, c’est-à-dire celles que les cybercriminels chercheront à atteindre. Où se trouvent votre propriété intellectuelle, votre code source et vos dossiers sur les clients et les collaborateurs ?

L’étape suivante consiste à faire l’inventaire des systèmes de contrôle qui entourent vos données critiques. Sont-elles accessibles aux personnes qui en ont réellement besoin, à l’intérieur comme à l’extérieur de votre entreprise ? Êtes-vous en mesure de repérer une activité anormale sur ces données critiques ? Si une configuration critique venait à être modifiée dans une mauvaise intention, quelles solutions mettriez-vous en place afin de l’identifier et la rétablir ?

Une fois que vous avez fait l’inventaire de vos données critiques et des systèmes de contrôle qui s’en rapprochent le plus, vous pouvez vous concentrer sur des mesures concrètes pour optimiser et maintenir ces derniers. Compte tenu de l’étendue des vecteurs d’attaques envisageables, il semble plus judicieux de penser à la source de l’attaque après avoir sécurisé la cible, à savoir vos données critiques.

N’oubliez pas : après vos employés, vos données constituent votre atout le plus précieux.

Cet article a été publié pour la première fois sur Forbes.

Nous sommes Varonis.

Depuis 2005, nous protégeons les données les plus précieuses du monde des mains de vos ennemis grâce à notre plateforme de sécurité des données, leader sur le marché.

Comment fonctionne Varonis ?