En matière de sécurité, l’humain est souvent considéré comme le maillon le plus faible de la chaîne. Or, avec un plan de formation adéquat, les collaborateurs peuvent au contraire constituer la meilleure ligne de défense. Associés aux outils, techniques et processus de sécurité appropriés, cela pourrait même être suffisant pour dissuader les assaillants, sauf les plus déterminés.
Tout commence par un email
L’email est très souvent la première porte d’entrée des attaquants. C’est en tout cas ce qui ressort de la majorité des études et chiffres livrés par les grands éditeurs de solutions de sécurité, lesquels positionnent la messagerie électronique comme l’un des principaux vecteurs d’attaques utilisés par les cybercriminels. Si le phishing constitue l’une des techniques les plus utilisées par les attaquants, c’est précisément parce qu’il exploite cette faiblesse majeure de l’organisation : la crédulité de ses employés.
Les attaquants sont passés maîtres dans l’art d’inciter les victimes à cliquer sur des liens malveillants ou à ouvrir des pièces jointes contenant des logiciels infectieux. C’est d’ailleurs l’une des techniques privilégiées d’atteinte à la vie privée. Mais pas seulement : un courrier de phishing peut aussi être le début d’une attaque par ransomware ou crypto-jacking*.
De même, les courriers frauduleux prétendant provenir d’un membre de la direction ou encore de la DAF peuvent inciter des employés à effectuer des transferts importants involontairement au compte bancaire de l’attaquant. Les pertes mondiales dues à ces attaques dites BEC (Business Email Compromise) continuent de battre des records : la dernière estimation est de 12,5 milliards de dollars.
Mais si le phishing est souvent la première étape d’une attaque, c’est loin d’être la seule méthode utilisée par les hackers aujourd’hui. Lesquels s’appuient également sur des moyens plus sophistiqués pour contourner les filtres de sécurité traditionnels. Les attaques par malwares sans fichier consistent par exemple à s’ancrer dans des outils légitimes des ordinateurs pour gagner en résistance. Dans ce cas en effet, sans signature spécifique, ils peuvent facilement passer sous les radars de nombreuses solutions de sécurité. C’est d’ailleurs de cette façon que les ransomwares NotPetya et WannaCry ont réussi leur propagation.
Quel plan d’action adopter ?
Dès lors que l’organisation a pris conscience qu’elle est une cible quelle que soit sa taille, elle doit s’attaquer au vecteur d’attaques le plus important : le courrier électronique. Ce qui commence nécessairement par la formation. Et notamment quant à la capacité des utilisateurs à repérer les tentatives de phishing, ce qui permet déjà d’enrayer un certain nombre de menaces. Des simulateurs de phishing sont d’ailleurs disponibles gratuitement pour renforcer l’impact de ces formations, en utilisant des scénarios réalistes, avec une analyse comportementale de chaque utilisateur. En réalisant régulièrement de genre de formations en mini-sessions, l’organisation peut très rapidement gagner en sécurité.
Toutefois, les attaques par phishing se sophistiquent tellement que le meilleur moyen de s’en protéger est encore d’éviter qu’elles atteignent l’utilisateur. En particulier grâce à des outils avancés, qui utilisent le principe du bac à sable, capables d’analyser les liens URL et les fichiers joints. De la même façon, les systèmes de machine learning les plus récents peuvent neutraliser les BEC avant qu’ils n’impactent les utilisateurs. Pour y parvenir, ces systèmes ont la capacité d’apprendre le style d’écriture des cadres clés de l’organisation, de sorte que si les hackers tentent d’usurper leur identité, un signal d’alerte se déclenchera.
Bien voir est essentiel Une bonne visibilité est essentielle
Associer aux contrôles du courrier électronique une visibilité globale du trafic réseau permet également de renforcer ses lignes de défense. Pour cela, il est primordial de procéder à la surveillance de points clés du réseau, au même titre que des caméras de vidéosurveillance sont déployées dans des lieux stratégiques d’un immeuble. Une nouvelle fois, c’est par l’apprentissage des activités dites normales que les meilleures solutions sauront décrypter les indicateurs d’activités suspectes.
En extension de Windows Management Instrumentation (WMI) – souvent exploité dans les attaques utilisant des logiciels de vol de mots de passe tels que Mimikatz – dans le cadre d’une attaque sans fichier, cette solution permet de repérer les premiers signes d’alerte et ainsi de faire échouer une attaque. À l’inverse, ce monitoring doit permettre à l’organisation de s’assurer que toutes les données sortantes respectent le RGPD.
Ce qu’il est important de retenir, c’est que la question n’est pas de savoir « si » une attaque arrivera, mais « quand » elle arrivera. Il est donc essentiel d’agir en amont pour identifier les problèmes et les corriger. C’est ainsi qu’en cas d’attaque, en particulier par des malwares se propageant sur le réseau, une bonne visibilité permet d’identifier les hôtes infectés et les typologies d’infections, afin de garantir un nettoyage et une éradication efficace et rapide.
S’il est impossible d’empêcher les attaques sur le réseau, cette surveillance de précision offre une capacité de réaction immédiate, afin d’en limiter les dégâts.
Pour en savoir plus sur les solutions et les technologies permettant de lutter contre ces risques spécifiques cliquez ici
*Ransomware : c’est un logiciel informatique malveillant, prenant en otage les données. Le ransomware chiffre et bloque les fichiers contenus sur votre ordinateur et demande une rançon en échange d’une clé permettant de les déchiffrer.
Cryptojacking : Le cryptojacking consiste à insérer un code malveillant chez un utilisateur pour utiliser les capacités de son ordinateur pour miner de la crypto monnaie.