Cinq leçons à tirer des pratiques malveillantes en ligne

A travers leurs attaques ou grâce à des rémunérations d'Etats, qui facilitent ou commanditent directement leurs activités, les groupes de cybercriminels accumulent d'importantes ressources financières

D’après Cybersecurity Ventures, les dommages causés dans le monde par la cybercriminalité atteindront 10,5 milliards de dollars par an d’ici à 2025, ce qui dépasse les bénéfices issus du trafic mondial de toutes les principales drogues illégales réunies. A travers leurs attaques ou grâce à des rémunérations d’Etats, qui facilitent ou commanditent directement leurs activités, les groupes de cybercriminels accumulent d’importantes ressources financières. Ils peuvent ainsi mieux préparer leurs campagnes, en développant leur infrastructure ou en soudoyant les employés des entreprises ciblées pour obtenir des identifiants. Connaître le mode de fonctionnement de ces groupes est une source de renseignements inestimable pour renforcer le dispositif de sécurité des organisations, adapter leur stratégie et gérer les incidents en conséquence.

Les criminels collaborent, et nous devons faire de même

Sur le dark web, des hackers vendent, individuellement ou par équipe, certaines de leurs compétences en fonction des différentes étapes des stratégies de cyberattaques. Certains mettent ainsi en avant leur spécialisation dans les méthodes de pulvérisation de mots de passe, d’autres dans l’accès aux systèmes, d’autres encore proposent de conduire des attaques par ransomware pour le compte de tiers contre rémunération. Ils s’associent donc continuellement pour former des groupes qui ne cessent d’évoluer et adaptent leurs codes éthiques et leurs approches au gré de leurs débats et rapports de forces internes.

Outre l’importance de maintenir une veille active afin d’étudier les dernières pratiques et menaces, les organisations seront plus solides dans un schéma d’étroite collaboration. En effet, lorsque les équipes en charge de la cybersécurité travaillent en réseau et partagent les informations dont elles disposent, elles progressent en agilité, ainsi qu’en connaissances. Trop souvent, les outils de détection sont déconnectés les uns des autres et ne parviennent alors pas à fournir aux équipes concernées la vision globale nécessaire, à même d’identifier les attaques multivecteurs. Si elles veulent se donner les moyens d’enrayer des campagnes sophistiquées, ces équipes doivent s’assurer que leurs outils sont étroitement intégrés et peuvent communiquer tous les renseignements utiles en temps réel, notamment s’il s’agit d’indicateurs de compromission.

L’usage malveillant de l’infrastructure cloud

L’infrastructure cloud est agile par définition : elle permet aux cybercriminels, qui la mettent en place rapidement et à moindre coût, de la démanteler et de repartir de zéro si leur opération échoue. Par ailleurs, c’est en utilisant les mêmes services cloud que les organisations qu’ils visent, que les hackers peuvent échapper aux barrières de sécurité des technologies vieillissantes. Ainsi, les organisations qui adoptent une protection de sécurité dans le cloud, tels que le modèle zero trust, seront davantage protégées sur le long terme. Les équipes de cybersécurité pourront en effet mieux détecter les attaques, protéger de manière efficace leurs données et soulager les entreprises de coûts supplémentaires.

L’innovation pour de nouvelles méthodes efficaces

De nombreuses organisations considèrent que tout changement et intégration d’une innovation est risqué. Essayer une nouvelle approche de cybersécurité peut, en effet, générer de nouveaux risques d’attaque. Cependant, si les outils et pratiques de cybersécurité sont obsolètes, les acteurs malveillants, modifiant constamment leurs approches et méthodes, auront plus de facilité à s’infiltrer dans les systèmes. Par exemple, les pirates à l’origine des ransomwares, bien qu’ils s’agisse d’une menace récente, s’éloignent déjà de leur but d’origine consistant à demander une somme d’argent afin de récupérer des données, pour se tourner vers de nouvelles formes de nuisance telles que les menaces de divulgation publique. Dans un futur proche, il se peut que les ransomwares fassent place aux attaques visant à perturber le fonctionnement des entreprises, à l’image de nouvelles motivations dictées par les tensions géopolitiques.

Les organisations au fait du paysage des cybermenaces, anticipant et identifiant leurs vulnérabilités, seront plus en mesure de répondre face aux cyberpirates. Ainsi, en adoptant des pratiques plus sûres en matière d’application des correctifs, en développant une meilleure visibilité de façon proactive sur les zones d’ombre de leur parc informatique et en remplaçant leurs appareils de cybersécurité vieillissants sur site par des services de sécurité cloud modernes, elles pourront être à jour sur les techniques de détection et de neutralisation des attaques, telles que l’intelligence artificielle basée sur le machine learning (IA/ML).

Le levier lucratif

Les cybercriminels parviennent à trouver des sources de revenus et financer leurs actions par le biais de ransomwares ou de boutiques sur le dark web qui vendent leur butin de données dérobées, ou proposent des services d’attaque spécialisés. Certains sont même parfois employés par des divers États. En outre, comprendre le financement des cybercriminels et mesurer le coût de la négligence en matière de cybersécurité est essentiel pour les dirigeants. Cela leur permettra de faire des choix éclairés quant aux outils qu’ils choisiront, notamment lorsque les dépenses en cybersécurité peuvent générer in fine des réductions de coûts dans d’autres domaines.

La recherche d’opportunités

Les cybercriminels choisissent leurs victimes en cherchant des vulnérabilités patentes, ils sont donc plus opportunistes que calculateurs. Les entreprises doivent par conséquent se munir d’outils de sécurité qui leur permettent de contrecarrer les stratégies malveillantes qui les prennent pour cibles. Dans la plupart des cas, les hackers ne cherchent pas à nuire à leur victime sur le long terme, mais à lui soudoyer de l’argent. Afin d’éviter toute tentative d’intrusion, les organisations doivent également former leurs utilisateurs. En effet, investir dans un pare-feu et VPN coûteux est peu utile si les employés laissent des Google docs et des buckets AWS ouverts dans le cloud.

La vision classique d’un hacker solitaire est dépassée. La réalité est désormais toute autre : il s’agit de groupes malveillants sophistiqués et remarquablement organisés, qui collaborent eux-mêmes avec d’autres communautés au sein d’un large écosystème de spécialistes. Les dirigeants et les équipes de sécurité, en collaborant, pourront eux-aussi travailler de concert, pour investir et mettre en place des outils de protection solides, tels que l’approche zero trust, afin de préparer leur organisation à tout risque.