Protéger ses infrastructures critiques contre les cyberattaques

L'identification et la résolution systémiques des vulnérabilités d'Active Directory est une étape très importante dans la lutte contre les cyberattaques.

Quel que soit le secteur impacté, une cyberattaque peut être la cause de multiples problèmes. Mais les attaques qui visent les infrastructures publiques (réseau de transport, service public, etc.) peuvent donner lieu à un bouleversement de notre vie quotidienne ou même une atteinte à la sécurité publique.

Plusieurs attaques d’envergure – telle que l’attaque par ransomware qui a visé Colonial Pipeline en mai 2021 – ont ramené ce risque au centre des préoccupations des habitants de la côte est des États-Unis qui ont subi des coupures de gaz et des hausses de prix. En réponse à cette attaque, Colonial Pipeline a dû désactiver certains systèmes – ce qui a notamment interrompu le réseau de gazoducs sur 8 850 kilomètres.

La multiplication des attaques visant les infrastructures publiques montre bien que certains cybercriminels sont prêts à dépasser toutes les limites. L’objectif n’est plus de gagner de l’argent, mais simplement de semer le chaos, causer des interruptions de service, et provoquer la panique. Tout sens moral dont semblaient être dotés les hackers par le passé a disparu depuis quelques années.

Un autre événement illustre ce point : l’attaque d’une installation de traitement des eaux survenue en avril 2021 dans la petite ville d’Oldsmar (Floride, États-Unis). Le temps que l’infiltration soit identifiée, les individus avaient pu modifier le système pour augmenter le taux d’hydroxyde de sodium versé dans l’eau. Certes, l’attaque a pu être contournée avant que le produit chimique n’atteigne un niveau dangereux pour la santé, mais cet événement prouve bien que les cybercriminels sont capables de mettre des vies en danger.

Les organisations qui composent l’infrastructure publique peuvent renforcer leurs défenses contre les cyberattaques. Il suffit pour cela d’identifier les points d’accès visés par les attaques, de surmonter les défis inhérents au secteur, et de mettre en œuvre de nouvelles mesures de protection à la hauteur des menaces actuelles.

Surmonter les défis liés aux systèmes d’identité inhérents aux entreprises qui composent l’infrastructure publique

Les entreprises de l’infrastructure publique font face à des défis uniques en matière de sécurité des systèmes d'identité. En effet, selon une enquête menée par Siemens et le Ponemon Institute auprès d’entreprises de service public du monde entier, nations ennemies et individus malveillants développent des logiciels spécifiques à ces cibles. L’enquête a identifié différents facteurs auxquels se heurtent les opérateurs dans leurs efforts pour améliorer leur posture de sécurité :

  • Manque de compétences techniques nécessaires à l’identification des menaces ;
  • Mauvaise coopération entre les équipes informatique et de sécurité, empêchant l’identification des menaces présentes dans le système d’identité ou d’autres systèmes informatiques ;
  • Mesures de sécurité dépassées, notamment une mauvaise connaissance des menaces actuelles et des bonnes pratiques en réponse aux risques ;
  • Manque d’investissement en matière de formation et de qualification ;
  • Plan d’action suite à une cyberattaque inadapté et réaction lente aux incidents ;
  • Déploiement d’équipements numériques et en réseau, qui deviennent des cibles de choix pour les cybercriminels et dont la compromission peut avoir de lourdes conséquences.

Les obstacles sont évidents mais, grâce à la mise en œuvre d’une approche systémique pour combler les failles de sécurité du système d’identité, les entreprises de service public peuvent améliorer significativement leur posture de sécurité – un objectif louable étant donné que ces systèmes deviennent une des cibles préférées des cybercriminels.

Combler les points d’accès au système d’identité

L’identification des points d’accès est la première étape d’une défense efficace. Caractéristique commune à Colonial Pipeline et Oldsmar, les hackers se sont attaqués à Active Directory, le service d’authentification de base utilisé par 90% des entreprises du monde entier. AD est un point d’accès courant pour les cybercriminels dû à son envergure, sa complexité et les dérives de configuration (notamment dans les grandes entreprises qui disposent d’AD depuis des dizaines d’années).

L’attaque sur Colonial Pipeline a été menée par le groupe DarkSide, une entreprise de ransomware-as-a-service (Raas) qui, comme tant d’autres, a composé un pool de compétences en cybercriminalité pour lancer des attaques pour le compte de tiers. Ces groupes suivent une approche systémique pour exploiter les faiblesses d’AD et ainsi s’introduire dans l’infrastructure d’une entreprise :

  • Des outils de pénétration leur permettent d’accéder au système, alors ils sont à même de commencer la reconnaissance ;
  • Les hackers dédient plusieurs jours ou semaines – ou même plusieurs mois dans le cas de l’attaque SolarWinds – à l’identification des vulnérabilités et à l’usurpation des comptes utilisateurs détenant des privilèges ;
  • Une fois qu’ils contrôlent les actifs nécessaires, ils mènent à bout leur mission : contamination du réseau d’eau, cryptage des données avec demande de rançon, ou tout autre acte malveillant !

DarkSide affirme avoir des principes (ses membres refusent notamment d’attaquer des hôpitaux ou écoles), pourtant le groupe ne vise que des cibles lucratives et fait montre d’une formidable patience, parfois longue de plusieurs mois, pour identifier les actifs à plus haute valeur.

L’identification et la résolution systémiques des vulnérabilités d’Active Directory est une étape très importante dans la lutte contre les cyberattaques. En effet, même les groupes de RaaS préfèrent emprunter la voie de la facilité – lorsque cela est possible – plutôt que de développer de nouvelles tactiques. Les efforts à fournir peuvent paraître fastidieux, mais il est tout à fait possible d’assurer la sécurité d’AD en y consacrant les ressources et le temps nécessaires.

Protéger l’entreprise, avant, pendant, et après une attaque

La première étape d’une bonne défense contre les attaques du système d’identité est l’identification et la résolution des vulnérabilités visées par les hackers. Pour les grandes entreprises historiques notamment qui exploitent d’anciens systèmes Active Directory, les configurations à risque peuvent s'accumuler avec le temps, donnant lieu à des brèches de sécurité.

Par exemple, les erreurs de configuration d’AD les plus courantes – et les plus dangereuses – ont trait au processus d’identification. Imaginons qu’une entreprise utilise une application qui n’est pas directement intégrée à AD mais qui interroge le système pour identifier les utilisateurs actifs. Le moyen le plus simple de lisser ce processus est d’autoriser l’accès anonyme à Active Directory. Mais si cette action ne s’accompagne pas de vérifications, le profil de risque de l’entreprise augmentera considérablement. Il ne s’agit là que d’un exemple de situation qui pourrait laisser le champ libre à une cyberattaque.

Nous pourrions également parler d’une autre pratique problématique : accorder des droits excessifs. Il est vrai qu’une telle action permet de gagner du temps, ou de répondre à une demande d’accès urgente pour des applications ou services essentiels à l’entreprise, mais il s’agit également d’une faille de sécurité. Dans de nombreux cas, une fois l’accès avec privilèges accordé, le ticket de support est clôturé et l’accès est maintenu. Puis le nombre de comptes avec des droits excessifs ne fait qu’augmenter avec le temps. Les environnements AD ont bien souvent un nombre d’administrateurs de domaine indûment élevé. Les comptes de service détenant des droits excessifs sont également un risque car leurs mots de passe sont généralement paramétrés de sorte à ne pas expirer, et la plupart sont peu sécurisés.

Pour identifier et résoudre ces risques liés à la sécurité, les entreprises doivent investir du temps et des ressources dans l’évaluation des configurations d’AD. L’analyse fréquente d’AD permet d’en évaluer la posture de sécurité et de réduire le risque de subir des modifications malveillantes ou de conserver des mauvaises configurations. C’est la fonctionnalité principale de Purple Knight, l’outil gratuit d’évaluation de sécurité d’AD de Semperis qui analyse l’environnement AD et décèle tout signe de compromission ou d’exposition.

Outre combler les failles de sécurité qui existent au niveau d’AD, les entreprises de service public peuvent employer des solutions de surveillance qui sonnent l’alerte dès qu’une modification malveillante est détectée. L’identification des mouvements latéraux des hackers peut limiter les dommages pour votre réseau. Le chemin d’accès peut être rompu avant qu'un malware se répande, par exemple. Par ailleurs, une récupération automatique peut être un réel gain de temps dans la remédiation à une attaque. Les cyberattaques peuvent infecter des systèmes connectés en quelques minutes, la capacité à corriger les modifications malveillantes vous permet donc de limiter les dégâts.

Lorsqu’une cyberattaque se produit, un des facteurs clé de la reprise des services est la capacité à restaurer Active Directory vers un état de sécurité connu. Tout responsable informatique pourra en attester, la reconstruction d’une forêt AD est un processus laborieux, chronophage et source d’erreur. Ajoutez à cela la pression encourue lorsque votre entreprise est la cible d’une cyberattaque... un réel cauchemar ! Chaque entreprise doit se doter d’un plan de récupération d’AD suite à une cyberattaque qui est éprouvé et exhaustif pour assurer la pérennisation du système qui assure l’authentification et l’accès pour tous les autres systèmes.

S’assurer que les services publics sont à l’abri des cyberattaques

C’est un fait, les entreprises de service public sont dans la ligne de mire des cyberattaques. Elles peuvent toutefois renforcer leurs défenses pour surmonter même les attaques les plus sophistiquées et maintenir leur activité et ce grâce à ces quelques mesures : évaluation de la posture de sécurité de leur environnement Active Directory, surveillance et détection des modifications malveillantes, mise en œuvre d’un plan de récupération d’AD éprouvé.