C'est une guerre permanente. Dans cette partie sans fin entre un chat et une souris cybernétique, les renseignements précis restent le meilleur atout pour battre les attaquants à leur propre jeu. Six principales menaces ciblent aujourd’hui le réseau. Voici des conseils pour les identifier et les éliminer.
1 - Les ransomwares
Les ransomwares sont sans conteste la plus grande menace pour les réseaux, car ils offrent aux attaquants le meilleur rapport qualité-prix, avec une probabilité relativement faible de se faire prendre. « En termes de compétences, le ticket d’entrée pour démarrer dans ce genre d’activité est également peu élevé », a déclaré Andy Rogers, évaluateur principal chez Schellman, une entreprise spécialisée dans la cybersécurité et la conformité. « Les acteurs du « Ransomware-as-a-Service » (RaaS) capables de fournir tous les outils nécessaires à une campagne de ransomware ne manquent pas », a-t-il ajouté. Ces « fournisseurs de services » courent un risque minimal, puisqu'ils ne lancent eux-mêmes aucune attaque. « C'est un marché plutôt intéressant pour eux », a-t-il encore déclaré. De plus, le paiement se fait sous forme de cryptomonnaie, ce qui les rend difficilement repérable.
Du fait de cet anonymat et des gains potentiellement élevés, les ransomwares sont devenus l'une des activités criminelles les plus rentables au monde. « La majorité des récentes attaques, très médiatisées, ayant ciblé les chaînes d'approvisionnement, comme Colonial Pipeline en 2021, sont des attaques par ransomware, où les pirates ont demandé jusqu'à 4,4 millions de dollars de rançon en cryptomonnaies après avoir chiffré des supports de stockage, disque durs et SDD », a indiqué M. Rogers. La mise en place de politiques et de procédures de sécurité solides, y compris une sensibilisation à la sécurité, est le meilleur moyen d'éviter à une entreprise d’être victime de ransomware. Andy Rogers recommande l'application mensuelle de correctifs aux systèmes et aux applications, ainsi que la séparation des systèmes vulnérables et difficiles à corriger, des autres systèmes et données critiques. « Il est essentiel d’effectuer des sauvegardes régulières de ses données, en faisant en sorte qu'elles ne puissent être cryptées par un ransomware », a-t-il ajouté.
2 - Les botnets zombie
Les botnets zombie sont chargés d’exécuter des actions malveillantes spécifiques, par exemple, des attaques par déni de service distribué (DDoS), l'enregistrement de frappe et le spamming. « Ces menaces sont potentiellement dévastatrices, car une seule attaque peut permettre de voler des identités ou de paralyser un réseau entier », a expliqué Eric McGee, ingénieur réseau senior chez le fournisseur de services de datacenters TRG Datacenters. Chaque machine d'un botnet est qualifiée de zombie, car l'ordinateur - et son propriétaire - n'ont pas conscience que celle-ci exécute consciencieusement et sans réfléchir des actions malveillantes. Les appareils intelligents de l'Internet des objets (IoT) sont des cibles particulièrement tentantes pour les botnets zombies. « On néglige facilement la sécurité des appareils IoT…, or ces derniers offrent souvent aux attaquants un accès très facile au système », a mis en garde M. McGee. Pour se prémunir contre les botnets zombie sur les réseaux IoT, ce dernier suggère de limiter la capacité de chaque appareil à ouvrir des connexions entrantes et d’exiger des mots de passe forts sur tous les comptes connectés.
3 - Les processus et politiques obsolètes
Bien que largement répandus, les processus et politiques obsolètes et cloisonnés, appliqués manuellement, représentent une autre menace sérieuse pour la sécurité des réseaux. « Le nombre de vulnérabilités émergentes et d'exploits potentiels augmente de manière exponentielle », a expliqué pour sa part Robert Smallwood, vice-président chargé de la technologie chez General Dynamics (GDIT). « Les processus et les politiques d'une entreprise doivent apporter de l'agilité et de la rapidité pour que celle-ci soit en mesure de pivoter et de répondre rapidement et automatiquement aux menaces émergentes », a-t-il déclaré. Les entreprises qui ont pris du retard, ou celles qui ont complètement négligé leurs processus de modernisation et d'actualisation, risquent d'être lourdement pénalisées par une dette technique qui peut étendre la surface d'attaque d'un réseau.
« Beaucoup d’entreprises continuent à se débattre avec des politiques rigides et obsolètes en se privant des avantages que peuvent apporter les environnements complexes hybrides automatisés d’un réseau moderne », fait remarquer M. Smallwood. « De plus, beaucoup d’entreprises aménagent des exceptions aux politiques pour les protocoles ou les équipements anciens, sans les compenser par des mesures d'atténuation appropriées des menaces, contournant ainsi des mesures de sécurité comme l'authentification à multiple facteur », a-t-il ajouté. Les processus critiques ont besoin d’être révisés régulièrement dans le cadre de la gestion du changement. « Au fil des changements qui ont un impact sur le réseau, il est indispensable de réévaluer les processus et les politiques connexes », a encore expliqué M. Smallwood. Dans certaines entreprises, cela implique une évaluation de tous les processus liés au réseau. « Dans ce cas, il est préférable de commencer par évaluer les pratiques classiques de gestion des services IT… et de tous les processus qui reposent fortement sur des activités manuelles », a-t-il conseillé.
4 - Les attaques de type « man-in-the-middle »
Dans une attaque de type « man-in-the-middle » (MTM), un tiers intercepte la communication entre deux parties non suspectes afin d'écouter ou de modifier les données échangées. Il y a plusieurs manières d’accomplir cette tâche, par exemple en usurpant des adresses IP, en utilisant un serveur proxy malveillant ou en écoutant le WiFi. Une attaque MTM est potentiellement simple, par exemple, en reniflant des informations d'identification afin de voler des noms d'utilisateur et des mots de passe. À un niveau plus élevé, l’attaque MTM peut servir en support d’une action plus sophistiquée, par exemple, rediriger les victimes vers un site Web factice, mais très réaliste, avec un objectif malveillant spécifique. Quelle que soit sa forme, une attaque MTM peut être dévastatrice, car dès que le pirate réussit à s’introduire à l'intérieur d'un réseau, il peut se déplacer latéralement, en commençant par une partie du réseau, puis en découvrant des vulnérabilités qui lui permettront de migrer vers d'autres zones. « Comme les attaquants se connectent avec des informations d'identification « valides », il est souvent difficile de détecter l'intrusion, ce qui leur laisse le temps de s'infiltrer plus profondément dans le réseau », explique pour sa part Benny Czarny, CEO d'OPSWAT, une société spécialisée dans la protection des réseaux d'infrastructures critiques.
« Les attaques MTM sont souvent négligées et sous-estimées », a déclaré Keatron Evans, chercheur principal en sécurité pour l’entreprise de formation Infosec Institute. « Les gens pensent que la menace peut être résolue par le cryptage des données en transit, mais cela ne résoud qu'une petite partie du problème », a-t-il ajotué. Une autre idée fausse est de croire que les menaces basées sur le réseau disparaissent comme par magie, dès qu'une entreprise migre vers un service cloud. « C'est tout simplement faux », a mis en garde M. Evans. « Il faut rester diligent, même quand on a migré vers un service cloud ». Pour parer aux attaques MTM, Keatron Evans recommande d'ajouter une sécurité basée sur les ports avec snooping DHCP et inspection dynamique du protocole de résolution d'adresse (DARP), et de passer à l’IPv6 dès que possible. Il suggère également de remplacer le protocole ARP, l'un des principaux outils des attaques « man-in-the-middle » basées sur le réseau, par un protocole plus récent appelé Neighbor Discovery Protocol (NDP).
5 - La compromission du courrier électronique professionnel
Les entreprises de toutes tailles et de tous secteurs sont confrontées à la compromission du courrier électronique professionnel (BEC). C’est une menace sérieuse pour le réseau. « Alors que les entreprises adoptent de plus en plus des politiques d'accès conditionnel, comme l'authentification unique, la fraude par BEC gagne en portée et en impact financier », a expliqué Jonathan Hencinski, directeur de la détection et de la réponse aux menaces chez Expel, une entreprise de cybersécurité spécialisée dans la détection et la réponse managées. Les attaques BEC mènent directement à la compromission des identifiants. Le type d'attaque le plus difficile à détecter est celui où l'attaquant entre par la grande porte avec des informations d'identification valides. Les attaquants BEC utilisent les VPN et les fournisseurs d'hébergement pour contourner les politiques d'accès conditionnel. « Ces types d'attaques utilisent souvent des protocoles anciens pour contourner l'authentification multifactorielle (MFA) dans Office 365 », a encore expliqué M. Hencinski. « Une fois qu'un attaquant a compromis les informations d'identification et qu'il est dans le réseau, il peut accéder aux contrôles critiques et aux informations sensibles dans toute l’entreprise », a-t-il ajouté.
Les attaques BEC peuvent frapper n'importe quel réseau à tout moment. « Depuis 2019, le recours à des services VPN et à des fournisseurs d'hébergement pour accéder à des comptes compromis a augmenté de 50 % », a encore déclaré Jonathan Hencinski. « L’usage de ces services permet aux attaquants de contourner les politiques d'accès conditionnel qui refusent les connexions à partir de certains pays par des enregistrements géo-IP », a-t-il ajouté. Trois étapes simples permettent de détecter les tentatives de compromission de courrier électronique professionnel. « La première consiste à inspecter les courriels pour prévenir et détecter les courriels de phishing qui tentent de voler les identifiants des employés et repérer si un acteur de la menace utilise le compte d'un employé pour envoyer des courriels de phishing », a encore expliqué M. Hencinski. La seconde consiste à surveiller l'authentification pour détecter l’usage frauduleux d’identifiants d'identification volées. « Enfin, la troisième consiste à surveiller les comptes afin de détecter des signes caractéristiques de prise de contrôle d'un compte BEC », fait-il encore remarquer.
6 - La prolifération des outils
Les responsables IT et les responsables de réseaux s’appuient sur de multiples outils pour gérer des dizaines de technologies différentes de protection des réseaux. Or, cette multiplication peut compliquer le travail de protection de l’entreprise. « La complexité engendrée par la prolifération des outils et la difficulté à gérer simplement la cybersécurité peuvent exposer les équipes IT et de sécurité à des cyberattaques dévastatrices », a mis en garde Amit Bareket, CEO et cofondateur du fournisseur de services de sécurité réseau Perimeter81. Selon une étude réalisée récemment par son entreprise, 71 % des DSI et des cadres concernés ont estimé que le nombre élevé de cyber-outils compliquait la détection des attaques actives ou la défense contre les violations de données.
Keith Mularski, directeur général de la cybersécurité chez EY Consulting, a affirmé que le respect des pratiques de sécurité de base restait le meilleur moyen de se protéger contre tous les types de menaces réseau. « Il faut isoler les systèmes et les réseaux critiques de l'Internet et contrôler étroitement qui ou quoi y a accès », a-t-il conseillé. « La confiance zéro et la segmentation de tous les systèmes opérationnels s’imposent », a encore recommandé M. Mularski. « Il faut éviter la « confiance implicite » : toute personne accédant au réseau doit être authentifiée, où qu'elle se trouve, quand elle y accède et qui elle est ». Pour améliorer la préparation, M. Mularski suggère également d'effectuer des simulations programmées. « Comme un athlète, il faut entraîner son équipe à exécuter les procédures de réponse afin de réagir plus rapidement et plus intuitivement en cas de violation ou d'incident ».