Cybersécurité : Analyse et recommandations pour affronter 2024
2023 a été une nouvelle année à haut risque pour la sécurité de l'information, avec des entreprises qui ont dû redoubler d'efforts pour garder une longueur d'avance sur les cybercriminels.
Le volume et la complexité des attaques par phishing ont connu une nette augmentation, largement alimentée par un autre phénomène majeur de l’année : l’arrivée d’une IA facilement exploitable à des fins malveillantes. Ceci ne fera malheureusement qu’aggraver le problème posé par le phishing, qui reste la méthode d’attaque la plus fréquente en raison de ses taux de réussite élevés pour de faibles coûts.
Dans un contexte de cyberattaques croissantes et de plus en plus dangereuses, les gouvernements aux États-Unis, en Europe et dans le monde entier ont investi des moyens importants pour renforcer la sécurité des entreprises, des citoyens et des entités gouvernementales. La disponibilité et l’adoption des identifiants basés sur l’authentification FIDO, telle que la technologie passkeys, ont par ailleurs gagné beaucoup de terrain à l’échelle mondiale.
Ces mêmes tendances se poursuivront en 2024, avec d’inévitables innovations, suivant les besoins et exigences des services informatiques au sein des entreprises, comme du grand public. Voici nos principales recommandations en matière de cybersécurité à l’attention des entreprises et des responsables de la sécurité en ce début d’année.
1. Miser sur des stratégies Zero Trust et prioriser l’authentification multifactorielle
Les professionnels informatiques ont bien compris que, malgré tout le temps et l’énergie consacrés à déjouer les attaques, certaines d’entre elles parviendront toujours à percer leurs défenses. Lorsque cela se produit, la priorité doit être de minimiser les dégâts. L’architecture Zero Trust, lorsqu’elle est mise en œuvre de manière globale, crée des barrières supplémentaires qui limitent la capacité de l’attaquant à se déplacer latéralement. De plus, des durées de session relativement courtes réduisent la fenêtre d’opportunité de celui-ci et l’empêchent de profiter d’une emprise durable de façon passive.
Aucune entreprise ne devrait plus se contenter des mots de passe et d’anciens systèmes MFA comme les codes de passe à usage unique par SMS (OTP) et les applications basées sur des notifications push. Les gouvernements du monde entier reconnaissent que toutes les authentifications multifactorielles ne se valent pas, et que l’adoption d’une MFA moderne résistante au phishing constitue un pilier de toute stratégie Zero Trust ayant des chances de renforcer de manière significative l’état de sécurité des entreprises.
2. Anticiper les attaques exploitant l’intelligence artificielle
L’IA générative est source de prouesses, mais les cybercriminels aussi peuvent exploiter son potentiel en lui confiant, par exemple, la rédaction d’emails de phishing personnalisés à grande échelle. Ils peuvent même l’utiliser pour lancer des appels téléphoniques frauduleux à des milliers de personnes. En automatisant les aspects les plus chronophages, les plus complexes et les plus fastidieux des campagnes de phishing, l’IA générative permet d’augmenter considérablement le nombre d’attaques, tout en simplifiant la tâche pour les cybercriminels moins compétents.
Mais le risque ne s’arrête pas là. L’IA générative peut rendre chaque tentative d’ingénierie sociale plus efficace avec davantage de chances de réussir, car elle peut exploiter d’énormes quantités de données pour générer des prises de contact réalistes basées sur le texte et la voix, ou pour créer un dossier sur des cibles spécifiques en préparation d’une campagne plus complexe. Par exemple, l’IA peut imiter le style écrit d’une personne ou faire référence à des informations précises, obtenues lors de failles antérieures, mais également créer des Deep Fakes pour cloner la voix et la façon de parler d’une personne. De telles attaques demandent généralement à la victime d’effectuer une action précise, mais il est possible de les déjouer en obtenant une validation de cette demande à l’aide d’un autre moyen de communication dont la fiabilité ne fait, idéalement, aucun doute.
3. Se méfier de la désinformation et vérifier ses sources
L’IA et les deep fakes auront un impact majeur dans le monde entier cette année, en particulier en ce qui concerne la désinformation visant à influencer les événements et les élections au niveau mondial. La difficulté consistera à trouver le moyen de contrer ces procédés pour en limiter l’impact. Des élections majeures se tiendront cette année aux États-Unis, avec une inévitable multiplication des attaques visant à éroder la confiance dans ses systèmes électoraux et à ternir la démocratie.
Pour lutter contre ce phénomène, l’application de certains principes de l’approche Zero Trust aux pratiques quotidiennes de consommation d’informations et de communication fait partie des moyens efficaces à considérer. Par exemple, les sites de contenus vidéo pourraient se doter d’une méthode permettant aux utilisateurs, ou aux entreprises agissant en leur nom, de confirmer l’identité des personnes apparaissant dans les vidéos, afin de lutter contre les problèmes liés aux deep fakes. Il en va de même pour le contenu des emails. De manière générale, il est nécessaire de toujours vérifier ses sources et de faire preuve d’un sain scepticisme face aux contenus suspects ou trop beaux pour être vrais. Cela peut se faire en vérifiant qu’il s’agit bien du compte officiel qui publie la vidéo (que ce soit celui d’un individu, d’une entreprise ou d’une organisation).
S’ils veulent lutter efficacement contre la désinformation, les gouvernements du monde entier doivent continuer à donner la priorité à la cybersécurité et à établir des partenariats pour harmoniser les approches dans le domaine de la protection des réseaux.
4. Se préparer à une multiplication des attaques post-authentification
Au cours des dernières années, nous avons assisté à une adoption accrue des authentifications multifactorielles, ce qui a conduit les cybercriminels à modifier, ou du moins à varier, leurs tactiques. Nous avons aussi constaté un regain des attaques d’ingénierie sociale qui incitent les victimes à télécharger et à installer des logiciels, ainsi que le retour des fausses fenêtres pop-up conçues pour convaincre les victimes que leur appareil est infecté afin de les escroquer via un faux centre d’assistance client.
Il y a par ailleurs une augmentation du vol de jetons qui permettent à un cybercriminel d’usurper l’identité de la victime. Ces jetons sont créés après une authentification réussie, puis utilisés pour identifier de manière unique l’utilisateur jusqu’à la fin de sa session Web. Dans certains cas, ces jetons sont échangés puis vendus, et peuvent être exploités au service de campagnes de ransomware ou d’extorsion plus importantes. Face à cette recrudescence du vol de jetons, les chercheurs s’intéressent de près aux liaisons des jetons, une solution technique visant à lier chaque jeton à un appareil spécifique, ce qui permet d’en détecter plus facilement le vol et l’utilisation sur un autre appareil ou dans un autre lieu géographique.
5. Imposer l’utilisation d’un gestionnaire de secrets pour le compte des appareils et de services
En 2023, dans de nombreux cas d’attaques, les cybercriminels sont parvenus à obtenir des informations confidentielles ayant trait à l’accès aux équipements et au chiffrement qui leur ont permis de prolonger leur présence mais également de se déplacer latéralement dans l’environnement ciblé. Dans les plateformes cloud, cela signifie souvent être en mesure d’attaquer les utilisateurs payants ou les clients. Dans certaines situations, les informations de chiffrement ont permis aux cybercriminels d’établir une relation de confiance entre un appareil sous son contrôle et l’environnement de l’entreprise victime.
Dans de nombreux cas, ces informations d’identification n’étaient pas correctement protégées contre le vol, ce qui a permis à l’attaquant de les sortir de l’environnement ciblé pour les utiliser à ses propres fins. Un gestionnaire de secrets, idéalement associé à un module de sécurité physique, réduit les risques liés au vol, mais pas ceux liés aux utilisations abusives. Il obligera toutefois les cybercriminels à mener leurs attaques depuis l’intérieur de l’environnement, ce qui en facilitera la détection et la neutralisation.
L’année 2023 a été marquée par un tourbillon de défis, aussi bien connus que nouveaux. Les cybercriminels ne manqueront pas d’évoluer et de s’adapter aux nouvelles approches de cybersécurité des entreprises et des consommateurs du monde entier, et il faut en faire de même. La lutte contre le phishing a été renforcée, ce qui a poussé les hackers à modifier leurs stratégies. Il y a d’excellentes raisons d’être optimiste au vu des moyens existants et à disposition, à condition de ne jamais se reposer sur ses lauriers, de continuer à appliquer des pratiques sûres avec discipline et de choisir des outils à l’efficacité reconnue pour stopper les attaques.