L’année 2021 nous a de nouveau obligé à nous tourner massivement vers le télétravail. L’utilisation des équipements professionnels à des fins personnelles et vice-versa, la multiplication des accès à distance, le recours au cloud et aux applications en mode SaaS et l’essor des visioconférences se sont désormais confortablement installés dans nos usages collectifs. Mais ces nouveaux comportements multiplient les risques de failles (humaines ou technologiques), et rendent les entreprises particulièrement vulnérables. En 2021, l’un des principaux enjeux était de parvenir à sécuriser ce nouveau périmètre de travail élargi. Quels seront les enjeux de 2022 ?
Retour sur les principales menaces de 2021
Les ransomwares n’en sont pas à leur coup d’essai et les entreprises, pour s’en prémunir, se barricadent de solutions pour sécuriser et sauvegarder leurs données.
Les pirates informatiques se sont adaptés aux nouvelles mesures mises en place par les entreprises et les ransomwares étaient la principale menace de cette année 2021. Un nouveau type de ransomware est apparu, appelé la double extorsion. Il ne se contente plus uniquement de chiffrer les données. Il les exfiltre et menace de divulguer les plus sensibles d’entres elles (documents internes, informations clients, code source, dossiers de patients…). Dans son rapport « État de la menace rançongiciel » publié en 2021, l’ANSSI constatait en outre qu’aucun secteur d’activité n’était réellement épargné. Les attaques informatiques seraient toutefois particulièrement en hausse à l’encontre des entreprises de services numériques, des secteurs de la santé et de l’éducation.
Un autre type de ransomware est en hausse : les « ransomwares as a service » (RaaS). Basé sur le principe du SaaS, le RaaS se présente comme un abonnement incluant tout ce dont un pirate informatique a besoin pour lancer une attaque par ransomware. L’abonnement comprend le code d’un ransomware ainsi qu’une clé de déchiffrement pour un tarif de moins de 100$. Les offres les plus sophistiquées comprennent une assistance client et des tableaux de bord pour suivre le statut des infections et des paiements des rançons. Plus besoin d’être un pirate expérimenté pour s’y essayer.
En 2021, de nombreux ransomwares impliquaient l’utilisation de balises Cobalt Strike. Cobalt Strike est un outil de sécurité légitime employé par les experts en tests d’intrusion et les équipes « Red Teams » pour simuler une activité cybercriminelle sur un réseau. L’élément central de Cobalt Strike est sa balise (beacon) de backdoor, qui peut être configurée de plusieurs manières pour exécuter des commandes, télécharger et exécuter des logiciels supplémentaires et envoyer des commandes vers d’autres balises. Les balises peuvent être personnalisées pour simuler une grande variété de menaces. Malheureusement, elles peuvent également être utilisées à des fins malveillantes. Les cybercriminels n’ont à apporter que des modifications mineures au code source pour exploiter la balise comme point d’entrée dans une machine infectée. Cette tendance est devenue une préoccupation majeure de ces dernières années, car des fuites de copies du code source de cette suite, des failles dans sa structure de licence et des versions de Cobalt Strike piratées se sont retrouvées entre les mains de personnes malveillantes.
Nous avons pour habitude de classer les attaques en deux grandes catégories :
- Les attaques qui spamment un grand nombre d’utilisateurs ou qui utilisent des techniques d’optimisation de moteurs de recherche (SEO) pour conduire les utilisateurs vers des pages Web malveillantes.
- Les attaques très ciblées utilisant l’ingénierie sociale dans l’intérêt d’étudier l’entreprise, les personnes qui la composent, les cibles à forte valeur.
2021 a vu apparaître une catégorie hybride : une attaque à grande échelle destinée à attirer beaucoup de monde, mais qui ne se déclenchent que lorsque la cible répond à certains critères.
Nous ne cessons d’entendre parler d’intelligence artificielle (IA) pour déjouer les attaques des pirates informatiques (détection, analyse de surveillance des logiciels suspects, réactivité en cas d’attaque…). Les pirates informatiques ont bien compris le potentiel de l’IA. En 2021, les premières attaques numériques portées par l’IA ont été détectées. La menace est prise très au sérieux par les experts du secteur de la cybersécurité, puisque cette technologie peut permettre aux attaquants d’améliorer considérablement leurs campagnes de phishing, d’automatiser leurs attaques, de détecter puis contourner les logiciels antivirus et les solutions de sécurité mises en œuvre pour contrecarrer leurs actions offensives…
Quelles sont les tendances pour 2022 ?
Face à ces nombreuses attaques, il est devenu indispensable de « durcir » sa surface d’attaque. Cela consiste principalement à réduire à l’indispensable les objets (logiciels, bibliothèques logicielles, outils) installés sur le système, ainsi qu’à éliminer les utilisateurs et les droits non-indispensables, tout en conservant les fonctionnalités requises.
Voici quelques solutions :
L’approche Zero Trust.
Cette approche consiste à ne jamais faire confiance aux appareils et aux personnes qui se connectent sur le réseau tant qu’ils n’ont pas été approuvés, même s’ils se connectent sur le réseau local de l’entreprise ou via un VPN (Virtual Private Network). Ainsi, les utilisateurs se verront attribuer seulement les droits dont ils ont besoin en fonction de ce qu’ils ont à réaliser et au moment où ils doivent le réaliser. Les solutions IAM (Identity & Access Management) sont indispensables dans l’approche Zero Trust mais ne suffisent pas. Il faut ajouter d’autres briques telles que l’authentification multifacteur (MFA), la gestion des accès à privilèges (PAM), l’analyse avancée des comportements (UEBA), l’orchestration des stratégies d’accès aux clouds (CASB), la gestion des appareils mobiles (EMM) et des solutions d’automatisation de réponses aux menaces.
Modèle SASE
Dans l’intérêt de protéger les entreprises des cyberattaques, il est important avant tout de protéger les utilisateurs qui se connectent sur le réseau. Aujourd’hui, la plupart des applications ne se trouvent plus dans le centre de données de l’entreprise, mais dans le cloud. Les utilisateurs et les services sont de plus en plus mobiles et externalisés, la sécurité ne peut donc plus être gérée au niveau du centre de données de l’entreprise, mais doit l’être au niveau du terminal et de l’identité de l’utilisateur.
Formation des collaborateurs
Internet est un formidable outil, mais n’a jamais été pensé pour être sûr. A cela s’ajoute le facteur humain qui est souvent la source de problèmes liés à la sécurité. C’est pourquoi, dans votre stratégie de protection, au-delà de la protection des outils, il faut être attentif à la sensibilisation et formation régulière des collaborateurs.Expert en intégration de solutions de sécurité, SERMA propose une gamme complète de services répondant à toutes les contraintes de sécurité auxquelles sont confrontées les entreprises.
L’objectif de l’offre Infrastructure Protection est de conseiller et protéger nos clients de manière pertinente, adaptée et efficace. Elle permet une visibilité et une compréhension exhaustive des enjeux de sécurité et des réponses adaptées. SERMA travaille avec de nombreux partenaires pour sécuriser les infrastructures et les environnements Cloud.
Nous sommes à votre disposition pour évaluer ensemble votre niveau de sécurité et vous accompagner dans la sécurisation de vos systèmes.