Si vous travaillez dans le domaine de la cybersécurité, vous avez probablement déjà entendu ce vieil adage sur les cyberattaques : “La question n’est pas de savoir ‘si’ vous serez attaqué un jour, mais plutôt ‘quand’”. Une meilleure manière d’envisager une telle situation est peut-être la suivante : même si la formation, l’expérience et une bonne connaissance des techniques d’ingénierie sociale sont utiles, n’importe qui peut tomber dans le piège d’une ruse bien construite. N’importe qui, notamment les experts en sécurité, présente une faille qui pourrait le rendre vulnérable, compte tenu de la situation, du moment et des circonstances.
Les entreprises de cybersécurité ne sont en aucun cas à l’abri. En mars 2025, un employé senior de Sophos a été victime d’un email de phishing et a saisi ses identifiants sur une fausse page de connexion, ayant ainsi généré un contournement de l’authentification multifacteur (MFA) permettant à un acteur malveillant d’essayer, mais sans succès, de s’infiltrer dans notre réseau.
Nous avons publié une analyse des causes premières (RCA : Root Cause Analysis) externe concernant cet incident sur notre Trust Center, qui approfondit en entrant un peu plus dans les détails. Cependant, l’incident a soulevé des sujets plus larges et intéressants sur lesquels nous souhaitions partager quelques réflexions.
Tout d’abord, il est important de noter que les contournements MFA sont de plus en plus courants. À mesure que l’authentification multifacteur (MFA) s’est généralisée, les acteurs malveillants se sont adaptés et plusieurs frameworks et services de phishing intègrent désormais des capacités de contournement de l’authentification multifacteur (un autre argument en faveur d’une adoption plus large des clés d’accès).
Ensuite, nous allons partager les détails de cet incident non pas pour souligner que nous avons réussi à contrer cette attaque, car en fait c’est notre travail quotidien, mais parce qu’elle constitue une bonne illustration d’un processus de défense de bout en bout et qu’elle comporte des enseignements intéressants.
Et enfin, trois éléments ont été essentiels à notre réponse : les contrôles, la coopération et la culture.
Contrôles
Nos contrôles de sécurité sont multicouches, avec l’objectif d’être résilients vis à vis des défaillances humaines et des contournements des couches de défense précédentes. Le principe directeur d’une politique de sécurité de type “défense en profondeur” est que lorsqu’un contrôle est contourné ou échoue, d’autres doivent intervenir, assurant ainsi une protection, autant que faire se peut, au niveau de toute la Cyber Kill Chain.
Comme nous l’avons évoqué dans l’analyse RCA correspondante, cet incident impliquait plusieurs niveaux différents : la sécurité des emails, le MFA, la politique d’accès conditionnel (CAP : Conditional Access Policy), la gestion des appareils et les restrictions de compte. Bien que l’acteur malveillant ait contourné certaines de ces couches, des contrôles ultérieurs ont ensuite été déclenchés.
Mais surtout, nous ne nous sommes pas reposés sur nos lauriers après cet incident. L’acteur malveillant n’a pas réussi, certes, mais nous ne nous sommes pas arrêtés pour autant et nous avons continué d’agir. Nous avons investigué chaque aspect de cette attaque, effectué une analyse interne des causes premières (RCA : Root Cause Analysis) et évalué les performances de chaque contrôle impliqué. Lorsqu’un contrôle a été contourné, nous avons examiné pourquoi il l’avait été et ce que nous pouvions faire pour l’améliorer. Lorsqu’un contrôle fonctionnait efficacement, nous nous sommes demandé ce que les acteurs malveillants pourraient faire à l’avenir pour le contourner, puis nous avons investigué comment mitiger ce risque.
Coopération
Nos équipes internes travaillent en étroite collaboration en permanence, et l’un des principaux résultats de cette collaboration est une culture en matière de coopération, et en particulier lorsqu’une menace urgente et active survient, qu’elle soit interne ou qu’elle affecte nos clients.
Sophos Labs, l’équipe MDR (Managed Detection and Response), l’équipe IDR (Internal Detection and Response) et notre équipe IT interne ont travaillé dans leurs différentes spécialités et domaines d’expertise pour éliminer la menace, en partageant des informations et des renseignements. À l’avenir, nous chercherons des moyens d’améliorer nos capacités en matière de collecte de renseignements, tout en renforçant les boucles de rétroaction, non seulement en interne, mais également au sein de la communauté de la sécurité au sens large. L’ingestion et l’opérationnalisation des renseignements, leur exploitation et leur utilisation proactive pour défendre notre domaine constituent une priorité essentielle. Même si nous avons réagi efficacement à cet incident, nous pouvons toujours faire mieux.
Culture
Nous essayons de favoriser une culture dans laquelle l’objectif principal est de résoudre le problème et de sécuriser les divers éléments impliqués, plutôt que de chercher les coupables ou de critiquer les collègues pour leurs erreurs. Nous ne réprimandons pas et ne sanctionnons pas les utilisateurs qui cliquent sur des liens de phishing.
L’employé impliqué dans cet incident était en mesure d’informer directement ses collègues qu’il était tombé dans le piège du phishing. Dans certaines organisations, les utilisateurs peuvent ne pas se sentir à l’aise avec le fait d’admettre une erreur, que ce soit par peur de représailles ou par gêne d’un point de vue personnel. D’autres espèrent peut-être qu’en ignorant un incident suspect, le problème disparaîtra comme par magie. Chez Sophos, tous les utilisateurs, quel que soit leur rôle et leur niveau d’ancienneté, sont encouragés à signaler tout évènement suspect. Comme nous l’avons souligné au début de cet article, nous savons que n’importe qui peut tomber dans le piège d’une ingénierie sociale quand les circonstances s’y prêtent.
On dit souvent, pas forcément à bon escient d’ailleurs, que les opérateurs humains sont le maillon le plus faible de la sécurité. Mais ils constituent aussi souvent la première ligne de défense et peuvent jouer un rôle essentiel en informant les équipes de sécurité, en validant les alertes automatisées (ou même en alertant la sécurité elle-même en cas d’échec des contrôles techniques) et enfin en fournissant un contexte et des renseignements supplémentaires.
Conclusion
Un attaquant a pénétré dans notre périmètre, mais une combinaison de contrôles, de coopération et de culture a fait qu’il a été sévèrement limité dans ce qu’il pouvait faire, avant que nous l’éjections hors de nos systèmes. Notre analyse post-incident et les leçons que nous en avons tirées signifient que notre posture de sécurité est plus forte, prête à faire face à la potentielle prochaine tentative d’attaque. En partageant publiquement et de manière transparente, ici et au niveau du RCA, les leçons apprises lors de cet incident, nous espérons que vous pourrez, vous aussi, en tirer le meilleur parti en matière de sécurité.
Billet inspiré de What happens when a cybersecurity company gets phished?, sur le Blog Sophos.
