En cas de cyberattaque, le temps est compté pour protéger son entreprise

MalwaresPolitique de sécuritéRansomwareSécurité

Au cours de l’année écoulée, différents modes opératoires ont été observés : certaines attaques ont été lancées à partir de failles dans des dispositifs VPN, de serveurs d’accès à distance ou encore de serveurs de transfert de fichiers.

Le 6 mai 1954, le Britannique Roger Bannister surprenait le monde en devenant le premier athlète à courir un mile en moins de 4 minutes. Cet exploit ouvrait la voie et allait être suivi par de nombreux nouveaux records que le monde du sport pensait impossible à battre.

À l’instar de Roger Bannister dans le domaine sportif, en informatique, les cyberattaques évoluent au rythme des innovations et viennent bousculer notre définition du « possible ».

En décembre dernier, 18 000 organisations, y compris des agences gouvernementales fédérales américaines, ont été exposées à des cyberattaques résultant d’une compromission des systèmes de la société SolarWinds dont elles utilisent les produits.
Encore aujourd’hui, il est difficile d’estimer qui a réellement été compromis par le malware Orion, potentiellement inséré par les attaquants, lors de mises à jour des produits SolarWinds…

Quelques semaines plus tard, une nouvelle faille majeure touchait les serveurs Microsoft Exchange, exposant cette fois plus de 30 000 entreprises à travers le monde. Dans les deux cas cités, des attaquants qualifiés, agissant vraisemblablement sur ordre d’un État, sont parvenus à prendre le contrôle de serveurs à l’intérieur même de réseaux d’entreprises et gouvernementaux, sans être détectés par les équipes de sécurité informatique.

Les deux attaques survenues coup sur coup, étaient en réalité liées, puisque les pirates à l’origine de l’attaque contre la chaîne d’approvisionnement de la société SolarWinds se seraient servis de leur accès pour consulter le code source d’Exchange chez Microsoft, et ainsi rechercher des vulnérabilités, avec le résultat que l’on connaît désormais (les 4 failles zero-day “Proxylon”). 

Notre sécurité collective repose sur une série d’interdépendances

Les chaînes d’attaque, qui n’étaient autrefois que de la théorie, sont devenues une réalité.

SolarWinds était en quelque sorte le « Roger Bannister des cyberattaques » : une fois le premier record battu, nul doute que d’autres suivront.

De plus, avec l’arrivée des cryptomonnaies, les attaquants sont aujourd’hui en mesure de monétiser facilement les données. Ils recherchent et exploitent sans relâche les failles pour s’implanter sur les systèmes et réseaux, puis accèdent aux données des entreprises et les monétisent en recourant au chiffrement et à l’extorsion. Et désormais, il n’est pas rare que les attaquants se vantent de leur succès et des sommes ainsi gagnées.

Leur stratégie consiste à tenter de forcer les serrures de la moindre porte ou fenêtre (à de multiples reprises) jusqu’à ce qu’ils trouvent un moyen d’entrer. Il n’est donc pas exagéré de partir du principe que tout système vulnérable connecté à Internet a déjà été compromis. Le moindre système Internet fonctionnant avec une connexion, vulnérable ou non, fait probablement l’objet d’une attaque dite « de force brute » en ce moment même (Les attaquants tentent d’innombrables combinaisons de noms d’utilisateur et de mots de passe jusqu’à en trouver une qui fonctionne).

Au cours de l’année écoulée, différents modes opératoires ont été observés : certaines attaques ont été lancées à partir de failles dans des dispositifs VPN, de serveurs d’accès à distance ou encore de serveurs de transfert de fichiers.

Les employés ouvrent la porte de leur réseau aux cybercriminels en cliquant sur des liens qui les incitent à divulguer des informations d’identification ou à télécharger un code malveillant. Si un attaquant ne souhaite pas s’introduire lui-même dans un système, il peut aussi acheter son entrée sur le Dark Web. Les données sont ensuite utilisées comme une arme contre l‘entreprise et la laissent face à une décision : faut-il payer la rançon ?

Une fois que les attaquants ont pris le contrôle d’un serveur ou d’un terminal, ils suivent généralement le même mode d’emploi :

  • Tout d’abord la mise en place un système de contrôle (Command and control) pour utiliser le premier serveur comme point de départ,
  • puis une reconnaissance de base du réseau avec des techniques furtives bien connues,
  • pour ensuite compromettre des comptes disposant de privilèges plus important, en exploitant des faiblesses internes, des failles ou en recourant à des attaques par force brute,
  • Ces comptes sont ensuite utilisés pour voler des données et installer des portes dérobées,
  • Et enfin le chiffrement des données, et l’envoi d’une demande de rançon, à payer en cryptomonnaies, en échange d’une clé de déchiffrement… et d’une garantie douteuse que les données volées ne seront pas divulguées.

La plupart des entreprises sont totalement prises au dépourvu lorsqu’elles reçoivent une demande de rançon.

Une faille dans Active Directory, baptisée « Zerologon », a ainsi permis le détournement d’un contrôleur de domaine entier : deux heures ayant suffit alors aux attaquants pour passer de l’email de phishing initial à la prise de contrôle totale.

Aux yeux des attaquants, l’entreprise est une véritable banque d’informations

 Les entreprises génèrent et stockent de plus en plus de données, les transformant de fait en véritable banque d’informations pour les cyberattaquants. Et puisque l’entreprise tient aujourd’hui plus que tout à ses données, elle les échangera facilement contre de l’argent… Le cheminement est certes plus long mais la cible – la donnée – bien plus facile à capturer.

Comment mieux sécuriser cette “banque” ?

 • Commencer par la fin : le coffre-fort. 
Les attaquants ciblent les données, car c’est ce qu’ils peuvent monétiser le plus facilement. Où se trouvent les coffres-forts de données les plus stratégiques et les plus à risque ? Il faut veiller à ce que les données sensibles se trouvent dans le coffre-fort, et surtout que seules les personnes autorisées puissent y accéder et que l’on puisse repérer un utilisateur effectuant un retrait inhabituel.

• Déterminer son « rayon d’impact ». 
Si une faille touche l’un des systèmes ou des utilisateurs, à quelle vitesse sera déterminé le « rayon de l’impact » ? Quelles sont les données vulnérables, et quelles sont celles qui ont déjà été récupérées par les hackers ?

Le fait de réduire le rayon d’impact en amont d’une attaque complique la tâche des cybercriminels. En optant pour un modèle de sécurité que l’on appelle « Zero Trust » les utilisateurs ou comptes ont accès uniquement aux systèmes et applications dont ils ont besoin et, bien sûr, cela s’applique également aux données, en particulier aux données sensibles. Si les utilisateurs n’ont pas besoin d’accéder au coffre-fort, ils n’en ont donc ni les clés ni la combinaison.

Plus le rayon d’impact est petit et le comportement quotidien des utilisateurs contrôlé, plus les contrôles de détection seront efficaces. Si les utilisateurs humains ne sont pas censés utiliser de comptes d’application, le fait qu’un ordinateur portable se connecte à un autre système avec un compte va immédiatement alerter.

De même, si les administrateurs n’effectuent des modifications que pendant les heures de travail classiques et à partir de certains systèmes, l’accès en dehors de ces systèmes et plages horaires attirera tout de suite l’attention.

• S’entraîner à répondre. 
Si des malfaiteurs se sont introduits dans la banque et que l’un des postes de travail, serveurs ou passerelles est compromis, il faut essayer de détecter la phase suivante de l’attaque. Voit-on la reconnaissance ? Repère-t-on une activité inhabituelle dans l’annuaire Active Directory ? Un accès inhabituel aux données ou aux systèmes ? Cela nécessite l’établissement d’une base de référence du comportement « normal » des utilisateurs. Les exercices de type attaque/défense (Red team/Blue Team) peuvent aider à appréhender le risque encouru.

• Démultiplier la force utilisée pour parer les attaques. 
En matière de sécurité informatique, l’approximation n’est plus de mise. La moindre faille connue fera l’objet d’une tentative d’attaque. Trop de services informatiques ne sont pas en mesure de suivre l’application des correctifs. Si un site exige uniquement la saisie d’un nom d’utilisateur et d’un mot de passe, il sera ciblé par des hackers tentant de deviner la combinaison requise. De plus, un trop grand nombre d’entreprises autorise l’authentification à facteur unique sur des services en ligne.

En suivant ces conseils, les chances que l’entreprise s’en sorte face à des attaquants compétents et fortement motivés sont multipliées. Il n’est tout simplement pas réaliste de se contenter de vouloir les tenir à distance. De toute façon, avec la présence des ressources sur le Cloud et l’essor du télétravail, « l’extérieur » n’est plus qu’une donnée théorique.

Mettre ses données importantes à l’abri dans le coffre-fort. Le verrouiller. Le surveiller. C’est à ces conditions qu’il faudra plus de quelques minutes à des pirates informatiques pour s’emparer des données sensibles, et les empêcher d’établir de nouveaux records…

Auteur
En savoir plus 
PDG
Varonis
Yaki Faitelson est PDG et co-fondateur de Varonis
En savoir plus 

Livres blancs A la Une