cybersecurite
Opérations de sécurité

10 idées reçues en matière de cybersécurité

L'équipe Sophos Rapid Response a dressé une liste des idées reçues, les plus courantes en matière de cybersécurité, qu'elle a identifiées au cours des 12 derniers mois lors de ses activités de neutralisation et d’investigation de cyberattaques menées au niveau d’un large éventail de grandes entreprises.

Vous trouverez ci-dessous une liste des 10 principales idées reçues en matière de cybersécurité, accompagnées des contre-arguments de Sophos pour dissiper chacune d’entre elles sur la base de l’expérience et des observations des experts en réponse, présents en première ligne lors des cyberattaques.

Idée reçue #1 : Nous ne sommes pas une cible potentielle, nous sommes trop petits et/ou n’avons pas d’actifs de valeur qui pourraient intéresser un adversaire.

Contre-argument de Sophos : De nombreuses victimes de cyberattaques pensent qu’elles sont trop petites, dans un secteur sans intérêt, ou bien qu’elles sont dépourvues d’actifs lucratifs qui pourraient attirer l’attention d’un adversaire. La vérité est en réalité très différente : en effet, si vous disposez d’une puissance de calcul et d’une présence numérique, vous êtes une cible potentielle. Malgré les gros titres dans la presse, la plupart des attaques ne sont pas perpétrées par des attaquants avancés de type État-nation. Ces dernières sont lancées par des opportunistes à la recherche de proies et de gains faciles, tels que des entreprises ayant des failles de sécurité, ayant commis des erreurs ou possédant de mauvaises configurations, faciles à cibler par des cybercriminels.

Si vous pensez que votre entreprise n’est pas une cible potentielle, vous ne rechercherez donc sans doute pas activement une activité suspecte sur votre réseau, comme la présence de Mimikatz (une application open source qui permet aux utilisateurs d’afficher et d’enregistrer les identifiants d’authentification) sur votre contrôleur de domaine, et vous pourriez ainsi passer à côté des premiers signes révélateurs d’une attaque.

Idée reçue #2 : Nous n’avons pas besoin de technologies de sécurité avancées installées à tous les niveaux de l’entreprise.

Contre-argument de Sophos : Certaines équipes IT pensent toujours qu’un logiciel de sécurité endpoint est suffisant pour stopper toutes les menaces et/ou qu’elles n’ont pas besoin de sécuriser leurs serveurs. Cependant, les attaquants tirent pleinement parti de ces fausses idées. Toute erreur de configuration, de correctif ou de protection transforme les serveurs en une cible principale et non secondaire comme cela aurait pu être le cas par le passé.

La liste des techniques d’attaque qui tentent de contourner ou de désactiver les logiciels endpoint en évitant d’être détectées par les équipes de cybersécurité s’allonge de jour en jour. Les exemples incluent les attaques mises en œuvre par des humains qui exploitent l’ingénierie sociale et de multiples points de vulnérabilité pour obtenir un accès ; du code malveillant fortement packagé et obfusqué puis injecté directement au niveau de la mémoire ; des attaques de malware “fileless (sans fichier)” telles que l’utilisation d’une DLL (Dynamic Link Library) réfléchissante ; et pour finir les attaques utilisant des agents d’accès à distance légitimes comme Cobalt Strike ainsi que des outils et techniques d’administration IT utilisés quotidiennement. Les technologies antivirus de base auront du mal à détecter et à bloquer de telles activités.

De même, l’hypothèse selon laquelle des systèmes endpoint protégés peuvent empêcher les intrus de se frayer un chemin vers des serveurs, quant à eux, non protégés est une erreur. En effet, selon les incidents que Sophos Rapid Response a investigué, les serveurs sont désormais la cible privilégiée d’attaques et les attaquants peuvent facilement trouver une manière directe de pénétrer dans les systèmes à l’aide d’identifiants d’accès volés. La plupart des attaquants savent également comment utiliser une machine Linux. En fait, les attaquants piratent et installent souvent des backdoors dans les machines Linux pour les utiliser comme refuges et pour maintenir l’accès au réseau de la cible en question.

Si votre entreprise ne s’appuie que sur une sécurité de base, sans outils plus avancés et intégrés tels que la détection comportementale basée sur l’IA et un SOC (Security Operations Center) mis en œuvre par des humains, 24h/24, 7j/7, alors les intrus finiront probablement par passer à travers vos défenses.

Enfin et surtout, il ne faut jamais oublier que si la prévention est idéale, la détection est indispensable.

Idée reçue #3 : Nous avons mis en place des politiques de sécurité solides

Contre-argument de Sophos : Il est essentiel d’avoir des politiques de sécurité pour les applications et les utilisateurs. Cependant, elles doivent être vérifiées et mises à jour en permanence à mesure que de nouvelles fonctionnalités et options sont ajoutées aux appareils connectés au réseau. Vérifiez et testez les politiques à l’aide de techniques telles que les pentests, les exercices de simulation et les tests de vos plans de reprise après sinistre (disaster recovery).

Idée reçue #4 : Les serveurs RDP (Remote Desktop Protocol) peuvent être protégés contre des attaques en modifiant les ports sur lesquels ils se trouvent et en mettant en place l’authentification multifacteur (MFA).

Contre-argument de Sophos : Le port standard utilisé pour les services RDP est 3389, donc la plupart des attaquants analyseront ce port pour trouver des serveurs d’accès distant ouverts. Cependant, l’analyse identifiera tous les services ouverts, quel que soit le port au niveau duquel ils se trouvent reliés, de sorte que la modification des ports n’offre que peu ou pas de protection.

De plus, bien que la mise en place de l’authentification multifacteur soit importante, elle n’améliorera pas la sécurité à moins que la politique ne soit mise en œuvre au niveau de tous les employés et tous les appareils. Une activité RDP doit avoir lieu dans la limite de protection d’un VPN (Virtual Private Network/Réseau Privé Virtuel), mais même cette précaution ne peut pas protéger complètement une entreprise si les attaquants ont déjà un pied dans un réseau. Idéalement, à moins que son utilisation ne soit essentielle, les mesures prises en matière de cybersécurité devraient limiter ou désactiver l’utilisation du RDP en interne comme en externe.

Idée reçue #5 : Bloquer les adresses IP des régions à haut risque telles que la Russie, la Chine et la Corée du Nord nous protège contre les attaques provenant de ces zones géographiques.

Contre-argument de Sophos : Bloquer les adresses IP de régions spécifiques est peu susceptible de nuire, mais cette stratégie pourrait donner un faux sentiment de sécurité si vous vous appuyez uniquement sur celle-ci pour vous protéger. En effet, les adversaires hébergent leur infrastructure malveillante dans de nombreux pays, avec des points d’accès tels que les États-Unis, les Pays-Bas et le reste de l’Europe.

Idée reçue #6 : Nos sauvegardes agissent comme une sorte d’immunité permettant de minimiser l’impact des ransomwares.

Contre-argument de Sophos : Disposer de sauvegardes de documents à jour est essentiel pour l’entreprise. Cependant, si vos sauvegardes sont connectées au réseau, elles sont alors à la portée des attaquants et vulnérables au chiffrement, à la suppression ou à la désactivation lors d’une attaque de ransomware.

Il convient donc de noter que limiter le nombre de personnes ayant accès à vos sauvegardes peut ne pas améliorer de manière notable la sécurité, car les attaquants auront déjà passé du temps au sein de votre réseau à la recherche de ces personnes et de leurs identifiants d’accès.

De même, le stockage des sauvegardes dans le Cloud doit également être effectué avec soin : au cours d’un incident que Sophos Rapid Response a récemment investigué, les attaquants avaient envoyé un email au fournisseur de services Cloud depuis un compte Admin IT piraté et lui avaient demandé de supprimer toutes les sauvegardes. Le fournisseur s’était plié à cette demande.

La formule standard pour les sauvegardes sécurisées qui peuvent être utilisées pour restaurer les données et les systèmes après une attaque de ransomware est la suivante : 3:2:1. A savoir, trois copies de tout, en utilisant deux systèmes différents, dont l’un est hors ligne.

Une dernière mise en garde : la mise en place de sauvegardes hors ligne ne protégera pas vos données contre les attaques de ransomware basées sur l’extorsion, au cours desquelles les cybercriminels volent et menacent de publier vos données au lieu, ou en plus, de les chiffrer.

Idée reçue #7 : Nos employés ont une bonne compréhension de la sécurité.

Contre-argument de Sophos : Selon le rapport intitulé l’État des Ransomwares 2021, 22 % des entreprises pensent qu’elles seront touchées par des ransomwares au cours des 12 prochains mois, car il est tout simplement difficile d’empêcher les utilisateurs finaux de compromettre la sécurité.

Les tactiques d’ingénierie sociale comme les emails de phishing sont de plus en plus difficiles à repérer. Les messages sont souvent élaborés manuellement, rédigés avec beaucoup de soins, persuasifs et précisément ciblés. Vos employés doivent savoir comment repérer les messages suspects et quoi faire lorsqu’ils en reçoivent un. Qui peuvent-ils avertir pour que les autres salariés soient à leur tour alertés ?

Idée reçue #8 : Les équipes de réponse aux incidents peuvent récupérer mes données après une attaque de ransomware.

Contre-argument de Sophos : C’est très improbable. Aujourd’hui, les attaquants commettent beaucoup moins d’erreurs et le processus de chiffrement s’est considérablement amélioré. Il est donc extrêmement rare de pouvoir compter sur les experts en réponse pour trouver une faille qui permettrait de réparer les dégâts causés. Les sauvegardes automatiques telles que les clichés instantanés de volume (Volume Shadow Copies) Windows sont également supprimées par la plupart des ransomwares modernes et écrasent les données d’origine stockées sur le disque, rendant ainsi la récupération impossible sans le paiement de la rançon demandée.

Idée reçue #9 : Payer la rançon permettra de récupérer nos données après une attaque de ransomware.

Contre-argument de Sophos : Selon l’enquête intitulée l’État des Ransomwares 2021, une entreprise qui paie la rançon récupère en moyenne environ les deux tiers (65 %) de ses données. À peine 8% ont récupéré toutes leurs données et 29% ont récupéré moins de la moitié. Payer la rançon, même lorsque cette option semble être la plus simple et/ou celle inclue dans votre police de cyber-assurance, n’est donc pas une solution simple et directe pour se remettre d’une cyberattaque subie.

De plus, la restauration des données n’est qu’une partie du processus de récupération. En effet, dans la plupart des cas, le ransomware désactive complètement les ordinateurs. Ainsi, le logiciel et les systèmes doivent être entièrement reconstruits avant que les données ne puissent être restaurées à proprement parler. L’enquête menée en 2021 a révélé que les coûts de récupération sont, en moyenne, dix fois supérieurs au montant de la rançon demandée.

Idée reçue #10 : L’utilisation d’un ransomware constitue l’attaque à part entière, si nous lui survivons, tout ira bien.

Contre-argument de Sophos : Malheureusement, c’est rarement le cas. L’utilisation d’un ransomware correspond juste au moment à partir duquel les attaquants veulent que vous réalisiez qu’ils sont bien là et que vous preniez conscience de ce qu’ils ont fait.

Les adversaires sont susceptibles d’avoir été présents au sein de votre réseau pendant des jours, voire des semaines avant de libérer le ransomware, d’explorer, de désactiver ou de supprimer des sauvegardes, de trouver les machines contenant des informations ou des applications de grande valeur à cibler pour un chiffrement ultérieur, de supprimer des informations et d’installer des charges virales supplémentaires telles que des backdoors. Le maintien d’une présence dans les réseaux de la victime permet aux attaquants de lancer une deuxième attaque s’ils le souhaitent.

Ressources supplémentaires :

  • Comprendre les comportements de l’adversaire et les TTP utilisées sur le terrain dans la nouvelle étude de Sophos intitulée Active Adversary Playbook 2021.
  • En savoir plus sur le service Sophos Rapid Response qui contient, neutralise et investigue les attaques 24h/24 et 7j/7.
  • Découvrez le Guide de Réponse aux Incidents et les quatre conseils clés pour répondre à un incident de sécurité, proposés par les équipes Sophos Rapid Response et Managed Threat Response.
  • Des informations techniques sur les différents types de ransomware, notamment les indicateurs de compromission (IoC) et les Tactiques, Techniques et Procédures (TTP), sont disponibles sur SophosLab Uncut, le site de Sophos présentant l’actualité récente en matière de threat-intelligence.
  • Des informations sur les comportements des attaquants, des rapports d’incident et des conseils pour les professionnels des opérations de sécurité sont disponibles sur notre blog Sophos News.
  • En savoir plus sur la prévalence mondiale et l’impact des ransomwares dans notre rapport intitulé : l’État des ransomwares 2021.

Billet inspiré de Top 10 security misperceptions, sur le Blog Sophos.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *