Les cybermenaces continuent de se développer en portée et en envergure. Quelle que soit sa taille ou son secteur d’activité, chaque organisation est confrontée au risque de violation de données ou d’un autre incident de sécurité. Par ailleurs, la numérisation continue des processus opérationnels, l’explosion du big data et la nature interconnectée de l’entreprise elle-même ouvrent davantage de portes aux cybercriminels.
Le panorama des menaces est en constante évolution, mais certaines d’entre elles ne semblent pas s’atténuer. Voici les trois principaux défis en matière de cybersécurité qui affectent toujours l’ensemble des organisations, ainsi que des stratégies permettant d’améliorer votre sécurité et vos capacités de contre-attaque.
Menace de cybersécurité numéro 1 : rançongiciel
Les attaques par rançongiciel sont peut-être les plus puissantes et les plus malveillantes du tiercé des cybermenaces.
Brève histoire des rançongiciels
Le rançongiciel est apparu en 1986 lorsque deux frères, Basit et Amjad Farooq Alvi, ont créé un message de « rançon » spécial lié à un logiciel qui demandait aux utilisateurs de les appeler s’ils voyaient l’avertissement. L’objectif à cette époque était d’empêcher le piratage. Cependant, les hackers ont transformé la stratégie en une forme dévastatrice de logiciel malveillant.
Le premier cas connu de rançongiciel malveillant a été propagé en 1989 via des disquettes libellées « AIDS Information Introductory Diskette ». Le rançongiciel, appelé « PC Cyborg/AIDS », chiffrait le lecteur C après l’insertion de la disquette dans le lecteur. La victime était ensuite invitée à envoyer 189 dollars à un bureau de poste au Panama. Dès réception du paiement, les pirates envoyaient un e-mail expliquant à la victime comment déchiffrer des fichiers.
Le même type de stratagème est utilisé aujourd’hui pour répandre des rançongiciels.
Dans une campagne par rançongiciel récente, par exemple, des employés d’entreprises ciblées recevaient des e-mails d’hameçonnage « confirmant » une retenue sur salaire, avec un lien vers une déclaration. Le lien redirigeait vers un document Google malveillant avec un fichier exécutable. Cela a offert aux pirates un ancrage initial et des capacités de déplacement latéral dans le système, ce qui leur a permis, par la suite, de lancer des attaques par rançongiciel.
D’autres souches de rançongiciel sont intégrées dans des publicités malveillantes, imitent des mises à jour de navigateur ou exploitent des protocoles de bureau à distance vulnérables. Certaines souches utilisent des macros qui automatisent des fonctions spécifiques de logiciels de productivité tels que Microsoft Word ou Excel. Un utilisateur sans méfiance peut télécharger un document apparemment inoffensif, exécuter la macro, puis devenir victime d’une attaque.
Pourquoi le rançongiciel est-il une menace prolifique ?
La manière trompeuse dont les rançongiciels sont diffusés (liens d’incitation au clic et systèmes de téléchargement infectant les machines) est en soi problématique, mais le pire est la rareté des remèdes efficaces une fois l’infection survenue.
Les victimes ont trois options :
- Payer la rançon, généralement en cryptomonnaie.
- Restaurer une sauvegarde, en supposant qu’elles en aient une et qu’elle soit isolée du réseau.
- Perdre les fichiers pour toujours.
Pour de nombreuses personnes, surtout dans un environnement BYOD (bring-your-own-device : prenez vos appareils personnels), certains de ces fichiers peuvent même être des documents personnels ou des albums photo. Cela signifie que les rançongiciels affectent également les employés mentalement et émotionnellement.
Sans parler du fait que les voleurs font rarement preuve d’honneur. Le paiement de la rançon ne va pas nécessairement garantir la sécurité de vos fichiers.
Les toutes dernières variantes de rançongiciel sont conçues pour voler des données en plus d’en bloquer l’accès. Certaines recherches montrent que l’exfiltration des données intervient dans la moitié des attaques par rançongiciel. Cette nouvelle capacité a abouti à une nouvelle stratégie, l’extorsion double, pour forcer les victimes à payer. Ainsi, non seulement les acteurs malveillants verrouillent vos données, mais ils menacent aussi de les publier si la rançon n’est pas payée. Les chercheurs en cybersécurité ont vu un pic en 2020 dans la double extorsion, qui a maintenant été adoptée par plusieurs réseaux cybercriminels.
Les fraudes par rançongiciels continuent de faire mouche chaque année. Rien qu’en 2020, elles ont coûté plus de 123 millions de dollars à leurs victimes selon les estimations du IBM Security X-Force Threat Intelligence Index. Selon X-Force, le rançongiciel était le type d’attaque le plus populaire en 2020.
Une agence de voyage a récemment versé 4,5 millions de dollars à ses extorqueurs pour la restauration de ses fichiers et la suppression des fichiers volés. Ce type de versement est peut-être largement supérieur à la moyenne, mais les rançongiciels figurent tout de même parmi les menaces les plus coûteuses aux organisations.
La moyenne mondiale pour le paiement d’un rançongiciel en 2020 était de 761 106 dollars, voire plus (près de 1 million de dollars) pour les entreprises américaines comptant 1 000 employés ou plus. D’autres rapports dressent un portrait encore plus noir. Par exemple, le le rapport annuel 2020 Ponemon/IBM sur le coût des violations de données estime le coût moyen des attaques de ransomware à 4,44 millions de dollars, ce qui dépasse le coût moyen global des violations de données à 3,86 millions de dollars.
Même les organisations capables d’éviter les paiements font l’expérience de perturbations majeures. L’année dernière, les rançongiciels ont paralysé les opérations hospitalières (forçant les employés à revenir au stylo et au papier), interrompu l’enseignement en classe dans les écoles et constitué une menace si considérable à la fois pour le secteur public et le secteur privé que l’Agence de sécurité de la cybersécurité et de l’infrastructure (CISA) a lancé une campagne d’éducation au début de 2021 pour aider les organisations à réduire leurs risques.
Comment se défendre contre les rançongiciels ?
Malgré ses nombreux vecteurs d’attaque, la vitesse à laquelle il peut se déployer et le fait que les employés ne contactent pas assez vite les services IT, le rançongiciel a un talon d’Achilles.
« Si vous savez ce que vous recherchez, un rançongiciel est très facile à détecter quand il entre dans votre organisation », déclare Sam McLane, responsable en chef des services techniques chez Arctic Wolf. « Il téléphonera à la maison et dira : “Hé, j’ai besoin d’un paquet de cryptage” ou, j’ai besoin de mes clés de sécurité pour que nous puissions déverrouiller les données”. Ces appels sont détectables si vous regardez. »
Ainsi, bien que le rançongiciel soit sans aucun doute l’un des principaux défis de cybersécurité auxquels sont confrontées les organisations et qu’il puisse facilement détruire votre entreprise, avec la bonne solution de sécurité pour le détecter au plus tôt et y répondre immédiatement, vous avez des chances de vaincre cette cybermenace.
Comme Sam McLane le souligne, un rançongiciel est facile à détecter si vous savez quoi chercher, mais vous pouvez également prendre des mesures proactives afin de l’empêcher d’entrer dans votre organisation.
Voici différentes bonnes pratiques à suivre :
Menez des analyses de vulnérabilités régulières pour minimiser votre surface d’attaque. C’est très important pour tous vos périphériques et systèmes connectés à Internet.
Faites preuve de diligence pour veiller à ce que les périphériques disposent de configurations correctes, fermer les ports inutiles, désactiver les protocoles faibles et utiliser d’autres fonctionnalités de sécurité qui minimisent le nombre de points d’entrée.
Appliquez régulièrement des correctifs et des mises à jour sur tous les logiciels et périphériques, ce qui empêchera les pirates d’exploiter les défaillances de sécurité.
Pensez à utiliser un système de détection d’intrusion ou d’autres outils de sécurité qui détectent les activités de prise de contrôle.
Formez vos utilisateurs sur l’hameçonnage, l’ingénierie sociale et les autres pratiques de sécurité qui aident à se défendre contre les rançongiciels et autres menaces.
Menace de cybersécurité numéro 2 : hameçonnage
Le logiciel malveillant de chiffrement est l’une des cyberattaques les plus néfastes et les plus efficaces en circulation. Pourtant, l’essor du rançongiciel aurait été pratiquement impossible sans l’aide d’un tout autre type de cybermenace : l’hameçonnage.
Miser sur les événements mondiaux actuels
L’ingénierie sociale désigne toute stratégie qui s’efforce de manipuler des individus afin qu’ils divulguent leurs identifiants d’authentification, des informations sensibles, des ressources et d’autres données de valeur. L’hameçonnage est une forme d’ingénierie sociale qui se produit en ligne, généralement par e-mail, avec l’intention de voler des identifiants de connexion, de faire télécharger un logiciel malveillant ou de pousser un utilisateur à donner des informations sensibles.
Les campagnes d’hameçonnage tirent souvent parti des événements actuels pour tromper les victimes potentielles. L’année dernière, la pandémie de COVID-19 a offert de nombreuses opportunités aux cybercriminels. Dans une campagne, par exemple, des acteurs malveillants ont envoyé des e-mails d’hameçonnage avec de fausses offres de masques et d’autres équipements de protection individuelle. Ils ont utilisé le logiciel malveillant AgentTesla, un cheval de Troie qui vole des données. Ils ciblaient également les cadres des entreprises du Fortune 500, entre autres victimes.
Un aspect notable de cette campagne est que les cybercriminels ont changé leurs tactiques, techniques et procédures tous les 10 jours pour éviter d’être détectés.
Très souvent, l’hameçonnage n’est que la première étape d’une attaque. Dans un incident récent, un e-mail d’hameçonnage a été envoyé à un employé d’un comté de Caroline du Nord : il contenait une pièce jointe malveillante ouvrant la voie pour une attaque par rançongiciel. Bien que le comté ait refusé de payer les 2,4 millions de dollars de rançon, un seul clic d’hameçonnage a entraîné des perturbations majeures des opérations, y compris l’accès à la messagerie, au téléphone, à Internet et à d’autres systèmes.
Les victimes d’hameçonnage paient cher
L’hameçonnage est le type d’attaque ciblée le plus prolifique. Pour les victimes, les coûts sont élevés. L’une des variantes de l’hameçonnage est la compromission des e-mails professionnels (BEC), une fraude coûteuse qui continue de tourmenter les entreprises de toutes tailles. Bien que les fraudes BEC aient été utilisées pour voler des données sensibles telles que les dossiers des employés, les arnaqueurs ciblent généralement des cadres supérieurs pour leur faire approuver de fausses demandes de virement bancaire.
En 2020, le montant moyen d’un virement bancaire pendant le quatrième trimestre était de 75 000 dollars (48 000 dollars au troisième trimestre), selon les données de l’Anti-Phishing Working Group (APWG). Le rapport a également révélé que, globalement, les activités d’hameçonnage avaient augmenté tout au long de l’année.
Les dernières données disponibles du FBI montrent que l’agence a reçu des plaintes sur des pertes totalisant 1,7 milliard de dollars rien qu’en 2019. Ce n’est pas tout : incroyablement, ces pertes n’expliquaient que la moitié des 3,5 milliards de dollars totaux que des victimes ont perdu cette année en raison de cybercrimes.
Les cybercriminels ne cessent d’innover. Les dernières arnaques BEC tirent parti des réponses automatiques « Absent(e) du bureau » de Microsoft Outlook ou des accusés de lecture pour contourner les outils de filtrage des e-mails.
Les fraudes par hameçonnage ont évolué pour atteindre un niveau extraordinaire de sophistication qui leurre même les individus férus de technologie les plus vigilants. Et les entreprises victimes de ces fraudes ne sont pas dirigées par des technophobes dépassés. Les victimes sont des employés intelligents, souvent des cadres supérieurs, qui essayent simplement de faire leur travail.
Voyons comment fonctionnent les arnaques suivantes :
Rançongiciel
Dans les campagnes récentes, des liens vers différentes variantes de logiciels malveillants ont été envoyés via des e-mails imitant une communication d’entreprise classique : des contrats et des licenciements RH aux réclamations. De nombreux e-mails étaient très personnalisés : ils comprenaient le nom de la victime et d’autres détails sur elle. Après la compromission d’une machine, une autre charge utile (payload) envoyait le rançongiciel.
Applications de messagerie
Les applications de messagerie sont également une des cibles préférées des cybercriminels. Dans une attaque récente qui avait pour objectif de voler des identifiants de connexion, au moins 50 000 employés ont reçu une notification par e-mail déclarant qu’ils avaient manqué une discussion dans Microsoft Teams. Les pirates ont manifestement profité des nombreuses personnes qui ont dû travailler à distance en raison de la pandémie.
Logiciel malveillant sous forme de macro
Ce type de logiciel malveillant se cache dans des macros à l’intérieur de documents Word ou de feuilles de calcul Excel envoyés par e-mail. Une fois la macro exécutée, l’utilisateur est infecté par diverses souches de logiciels malveillants. Cette arnaque est surtout problématique pour les institutions financières.
Ce ne sont là que quelques-unes des fraudes astucieuses que les hackers utilisent pour semer le chaos dans les entreprises et chez les particuliers. Se retrouver piégé par l’un d’entre eux n’est pas nécessairement le résultat d’une négligence ou d’un comportement non recommandé sur Internet. C’est pourquoi les organisations doivent prendre des mesures proactives pour combattre ces menaces.
Se défendre contre le hameçonnage
Pour contrecarrer les tentatives d’hameçonnage, les organisations doivent disposer d’une méthodologie leur permettent de détecter au plus tôt les arnaques par hameçonnage. Par exemple, un programme inhabituel essaie-t-il de s’exécuter sur un ordinateur du réseau ? Un courrier électronique semblant venir d’un supérieur peut-il provenir d’une adresse IP suspecte ou d’une adresse IP dans un pays étranger ? L’un de vos utilisateurs s’est-il connecté dans des lieux étranges ou sur plusieurs machines à la fois récemment ?
Pour détecter ces éléments et d’autres signes d’hameçonnage, une entreprise a besoin de puissantes capacités de détection des menaces dans son réseau. Ça ne suffira peut-être pas pour vous prémunir parfaitement contre les arnaques par hameçonnage, mais le potentiel de perte s’en trouvera considérablement réduit. Selon Sam McLane, il est judicieux de commencer par former les utilisateurs à détecter les menaces potentielles. Cette formation peut ne pas suffire à contrer les attaques par hameçonnage complexes, mais elle permettra d’en bloquer un nombre considérable. Un programme continu doit non seulement former les employés à l’identification et à la prévention de l’hameçonnage, mais également encourager d’autres comportements sécurisés.
D’autres stratégies sont envisageables :
Ajoutez de fausses campagnes d’hameçonnage à votre programme de formation. En plus d’accroître la sensibilisation, la tenue d’un exercice régulier de simulation réelle vous permet de mesurer l’efficacité de votre programme.
Adoptez l’authentification multifacteur et d’autres outils de gestion des identités et des accès. Cela limitera l’accès des pirates en cas de compromission d’identifiants.
Utilisez des technologies qui filtrent les e-mails, bloquent l’accès aux sites malveillants connus, détectent les virus et les logiciels malveillants, et usent d’autres stratagèmes pour contrecarrer les attaques.
Menace de cybersécurité numéro 3 : violations de données
Les violations de données présentent une caractéristique assez unique : par rapport aux autres menaces, les dommages qu’elles provoquent à une organisation ne sont pas aussi immédiats. Elles font effet de manière plus sournoise et ne présentent pas toujours un début, un milieu ou une fin concrets.
Les données compromises, de quelque manière que ce soit, peuvent revenir vous hanter
Une violation de données peut rester indétectable pendant des semaines, des mois et dans certains cas des années. Au moment où les entreprises les découvrent, il est trop tard : les données sont probablement déjà sur l’internet clandestin. De plus, les violations de données d’une entreprise peuvent affecter de nombreuses organisations sans rapport direct pour les années à venir.
Prenons l’exemple du printemps dernier : un projet massif de fraude au chômage mis en place par un réseau criminel nigérian. Les fraudeurs ont utilisé des identités volées, probablement trouvées sur l’internet clandestin et provenant de violations de données antérieures. Ils ont fait des demandes d’allocations chômage estimées à 36 milliards de dollars au total aux États-Unis.
L’une des victimes précédente, l’État de Washington, a payé 600 millions de dollars pour 122 000 demandes frauduleuses connues (récupérant finalement 351 millions de dollars). Plus tard, l’État lui-même a été la victime d’une violation de données bien après que le bureau des auditeurs de l’État a enquêté sur le projet de fraude au chômage. Lors de cette enquête, la violation de sécurité d’un fournisseur auquel l’État de Washington faisait appel pour transférer des fichiers a exposé les données à caractère personnel d’ environ 1,6 millions de résidents de l’État ayant déposé des demandes d’allocations chômage l’année précédente. Maintenant, l’État va également payer pour la surveillance du crédit de ces résidents, sans parler des autres coûts engendrés.
Le double coup dur de l’État de Washington est peut-être un peu inhabituel. Cependant, il montre que bien que si les arnaques par rançongiciel et hameçonnage sont les plus prolifiques et coûteuses, les violations de données sont les plus discrètes et imprévisibles. Comme l’a prouvé l’arnaque nigériane sur le chômage, les dommages à long terme d’une violation de données vont bien au-delà de la perte immédiate de données et ne se limitent même pas à l’organisation qui a été victime de la violation.
La principale raison pour laquelle les violations de données peuvent provoquer des dommages à long terme est qu’une fois que l’identité d’une personne est compromise, la protéger de la fraude devient très difficile. Par exemple, si une organisation connaît une violation de son service des ressources humaines, ayant pour conséquence la compromission de milliers de numéros de sécurité sociale, ces individus peuvent également risquer de voir leurs données à caractère personnel naviguer sur l’internet clandestin pendant de nombreuses années à venir.
Quant à l’organisation victime de la violation, elle peut être tenue pour responsable de la protection des identités, ce qui est coûteux, et devoir atténuer tous les effets immédiats associés à l’incident.
La difficulté de détecter les violations
De nombreuses violations constatées ces dernières décennies ne se sont pas faites du premier coup. Ce n’est pas aussi simple que ce que le laissent penser les films dans lesquels les hackers saisissent quelques lignes de code, disent qu’ils ont réussi à s’infiltrer, tapent encore du code, puis accèdent à tout ce dont ils ont besoin en quelques minutes.
Souvent, les cybercriminels vivent un certain temps dans le réseau qu’ils compromettent, siphonnant des informations lorsqu’ils pensent que personne ne le voit, ou menant d’autres activités pour obtenir un accès plus précis.
L’ attaque sans précédent de la chaîne d’approvisionnement SolarWinds, qui a affecté de nombreuses entreprises, y compris des agences américaines du secteur public et de grands fournisseurs de sécurité, est un bon exemple. Bien qu’aucune donnée n’ait techniquement fuité, cette violation a eu des implications à grande échelle.
Les hackers ont rôdé dans le système de messagerie Microsoft Outlook de SolarWind pendant au moins neuf mois, compromettant au moins un compte en décembre 2019. Mais les préparatifs ont commencé bien plus tôt : l’enregistrement d’un domaine associé à l’attaque remonte à août 2019.
Même dans les cas de vol de données manifeste où les informations sont volées au fil du temps, une organisation détectera rarement l’événement au moment de son apparition. En fait, il faut 200 jours ou plus pour détecter la violation de données moyenne, déclare Sam McLane. Parfois, l’organisation victime de la violation ne détectera pas l’incident, mais en sera alertée par le FBI ou un autre service de police. Dans d’autres cas, les banques avertiront une entreprise qu’un nombre inhabituellement élevé de victimes de fraude à la carte de crédit semble provenir de l’entreprise.
La raison pour laquelle les violations de données sont si difficiles à détecter est très simple. Au contraire d’un rançongiciel, l’objectif d’une violation de données consiste à entrer et sortir sans être vu, et à ne laisser aucune trace pouvant mener aux auteurs. Les méthodes pour atteindre cet objectif varient grandement, et peuvent comprendre l’utilisation d’arnaques par hameçonnage, de logiciels malveillants et d’autres tactiques malveillantes.
S’il y a un côté positif, c’est que rien de ce qui se passe sur un réseau n’est invisible. Toutes les activités sont traçables, et tout est consigné. En fin de journée, tout ce dont vous avez besoin pour combattre une violation de données se trouve sous votre nez. Il s’agit seulement de savoir comment l’interpréter et d’être capable de filtrer les informations importantes afin de pouvoir détecter les signes d’activité réseau malveillante avant qu’elle ne nuise à votre entreprise.
Prendre de l’avance sur les principales cybermenaces
La défense contre les rançongiciels, le phishing et les violations de données consiste à mettre en place les personnes, les processus et les outils appropriés. Toutefois, bon nombre d’organisations ont des difficultés avec au moins un de ces composants, si ce n’est l’ensemble d’entre eux.
Arctic Wolf peut vous préserver des cybermenaces en proposant une couverture de sécurité 24 h/24 7 j/7 via notre Concierge Security® Team. Exploitant l’Arctic Wolf® Platform, qui traite plus de 65 milliards d’événements quotidiens, la Concierge Security Team travaille régulièrement avec vous pour rendre vos opérations de sécurité plus efficaces et améliorer votre posture de sécurité.
En savoir plus sur arcticwolf.com.
