Télétravail : les cybercriminels assurent aussi la continuité de leurs activités

Politique de sécuritéSécurité

Les entreprises en France et à travers le monde doivent faire face à des cybercriminels prêts à tout pour tirer parti de la situation actuelle, avec des procédures dématérialisées et du télétravail massif, pas forcément bien préparé en termes d’organisation et de cybersécurité.

Alors que le gouvernement a annoncé le prolongement du confinement jusqu’au 11 mai prochain, les entreprises et les administrations doivent continuer de privilégier le travail à distance pour l’ensemble des employés, lorsque cela est possible, pour maintenir leur activité.

Toutefois, les cybercriminels sont à l’affût de la moindre faille car ils savent pertinemment que toutes les organisations n’ont pas pu se préparer à cette situation inédite et qui s’inscrit désormais dans la durée, ou ne maîtrisent pas bien les mesures de sécurité à mettre en place pour protéger de manière satisfaisante leur système d’information et leurs données.
Pourtant, les cybermenaces sont réelles et les attaquants toujours plus déterminés.

Tentatives d’intrusion par brute force

Les attaques par brute force constituent une tactique qui existe depuis longtemps et ne disparaîtront pas, car elles finissent par atteindre leur but si on leur laisse suffisamment de temps. Depuis que de nombreuses organisations ont encouragé leurs employés à travailler à distance, le nombre total de connexions et d’échecs de connexions a augmenté, permettant aux attaquants de se fondre dans la masse.

Afin de repérer les tentatives d’intrusion par brute force, les organisations doivent être vigilantes lorsque plusieurs comptes tentent de se connecter à partir d’un seul point d’accès, ou lorsqu’un seul compte se connecte à partir de plusieurs points d’accès dans un court laps de temps. Il s’agit dans les deux cas de signes d’attaques automatisées.
En outre, les entreprises ont tout intérêt à intervenir en cas de pics dans les échecs de connexion, car ils peuvent être un autre signe de tentative par brute force.

L’Active Directory, les VPN et les serveurs proxy pris pour cibles

Les individus utilisent davantage les applications cloud et les tunnels VPN pour rester productifs lorsqu’ils travaillent à domicile. Les ADFS (Active Directory Federation Services), les VPN, les serveurs proxy et les autres services critiques constituent désormais une partie essentielle des activités et, ce faisant, ils sont une cible attrayante pour les pirates informatiques qui peuvent exploiter des vulnérabilités connues.

Il est important que les entreprises vérifient que leurs serveurs ne présentent pas de failles de sécurité susceptibles d’être exploitées par des attaquants. Elles devraient ainsi accorder une attention particulière aux anomalies observées par rapport à une configuration de serveur reconnue comme adéquate, telles qu’un antivirus obsolète, une absence de mises à jour du système d’exploitation ou des logiciels nuisibles implantés par un tiers.

Une mesure de sécurité supplémentaire, qui permettra de repousser les attaquants potentiels et d’économiser des heures de travail d’enquête, consiste à mettre en place un enregistrement vidéo des sessions des utilisateurs sur les serveurs critiques. Si les attaquants décident de poursuivre leur méfait malgré le message d’avertissement, les spécialistes IT seront en mesure de déterminer les actions initiées entre le moment où ils se sont connectés et celui où ils se sont déconnectés, comme les sessions qui se sont déroulées en dehors d’une fenêtre programmée ou le lancement de programmes ne figurant pas sur la liste blanche. La capacité à avoir une visibilité sur tout ce qu’il se passe sur le réseau permet de réagir immédiatement en cas de menace.

Élévation des privilèges

En général, les cybercriminels compromettent le compte d’un employé qui ne possède pas suffisamment d’autorisations pour leur permettre d’obtenir ce qu’ils veulent. Ils doivent donc trouver un moyen d’élever les privilèges de leur cible avant de lui porter le coup de grâce. Il s’agit d’une étape fréquemment utilisée dans de nombreux types d’attaques.

Les organisations doivent également être en mesure de réagir rapidement aux incidents lorsque des utilisateurs sont ajoutés à un groupe privilégié particulier et de vérifier sans délai si cette action est autorisée. Il est également primordial qu’elles se méfient des utilisateurs temporaires figurant dans des groupes privilégiés, qui ont été ajoutés puis retirés après une courte période. Il s’agit souvent d’un signe évident que quelqu’un essaie de brouiller les pistes.

Recrudescence des ransomwares

Une augmentation des enregistrements de domaines et des emails de phishing liés au COVID-19 qui dissimulent des logiciels malveillants parmi des éléments de contenu en apparence utiles a été observée. La pandémie qui sévit actuellement a rendu les individus plus crédules face à de telles manœuvres frauduleuses, si bien que les ransomwares font un retour en force sur le devant de la scène.
Aucun moyen ne permet d’empêcher facilement la transmission d’un logiciel de ransomware, car les employés sont toujours responsables de son introduction. Il est donc essentiel de le détecter à temps. Les organisations doivent notamment être vigilantes si un trop grand nombre de fichiers sont lus, modifiés ou supprimés dans un court laps de temps.

Parmi les mesures proactives pour se protéger, outre la formation continue indispensable des utilisateurs, les organisations ont tout intérêt à s’en tenir au principe du moindre privilège et limiter le nombre d’utilisateurs autorisés à accéder aux fichiers exécutables. Ces pratiques simples réduisent considérablement l’impact des attaques par ransomware sur l’environnement IT.

Activité de comptes compromis

La transition du travail de bureau vers l’accès à distance s’est accompagnée de changements dans les habitudes d’accès des utilisateurs, lesquels peuvent permettre aux attaquants de se dissimuler derrière des comptes compromis.
C’est pourquoi il est essentiel de repérer les comportements anormaux, en particulier en ce qui concerne les données sensibles. Les organisations doivent avoir une idée précise de l’endroit où se trouvent les informations sensibles dans l’environnement et de qui en fait quoi.
Ainsi, si un individu manipule des données auxquelles il ne devrait pas avoir accès, un processus de vérification immédiate peut être mis en place.

Les entreprises en France et à travers le monde doivent faire face à des cybercriminels prêts à tout pour tirer parti de la situation actuelle, avec des procédures dématérialisées et du télétravail massif, pas forcément bien préparé en termes d’organisation et de cybersécurité.

Cette période étant amenée à durer encore quelques temps, il n’est cependant pas trop tard pour les entreprises qui peuvent encore prendre les mesures nécessaires pour éviter la mise en danger de leur activité, de leurs ressources et de leurs données.


Auteur
En savoir plus 
Country Manager France
Netwrix
Country Manager France et Directeur South-West Europe chez Netwrix
En savoir plus 

Livres blancs A la Une