Comment détecter les infiltrations silencieuses des hackers

On entend régulièrement le récit d'une entreprise, d'une organisation ou même d'un ministère qui a fait l'objet d'un espionnage pendant des mois de façon inaperçue. Comment cela est-il possible et par quels moyens s'en prémunir ?

Imaginons le scénario suivant : une entreprise a été infiltrée à son insu par un hacker. Des données sensibles parviennent entre les mains de cybercriminels, qu'il s'agisse de propriété intellectuelle (espionnage industriel) ou de données personnelles. Ces données peuvent alors être utilisées pour des activités criminelles comme la fraude aux cartes de crédit en usurpant l’identité des personnes dont les données ont été volées.

Si l'infiltration est révélée et devient publique, il est déjà trop tard pour l'entreprise concernée. Les coûts de sauvetage des systèmes et de remédiation peuvent être énormes, et l’image de l’entreprise est durablement écornée vis-à-vis de ses clients, fournisseurs et autres partenaires.

Un paysage de menaces sous couverture varié

Les attaques peuvent être multiples. Il peut s’agir par exemple d’un espionnage ciblé en vue d’une attaque ultérieure, de collecte d’informations qui seront revendues ou d’espionnage industriel. Il ne s’agit donc, en général, pas d’un vol de données pour faire chanter la cible rapidement, ni de les crypter ou d’endommager les systèmes informatiques. S’il y a une perte de données, cela n’aura lieu que plus tard.

Or la dégradation ou perte de données a au moins le mérite de faire savoir à l’entreprise qu’elle est attaquée. Sans dommages de ce type, comment savoir qu’un intrus a pénétré dans le système ? Une précision s’impose ici : il y a un consensus autour de l’idée que même un pare-feu, un anti-virus et un contrôle des applications et des interfaces ne permet pas une protection à 100%. En effet, les malwares et méthodes d’attaque évoluent rapidement et sont de plus en plus sophistiqués.

Une attaque basée sur des logiciels déjà présents

En outre, toutes les attaques ne sont pas menées par des logiciels malveillants explicites. Les méthodes dites "Living-off-the-Land" (LotL) font largement appel à ce qui est déjà présent dans l'environnement informatique. Il n'est pas nécessaire de développer des fichiers malveillants à partir de zéro. Les attaques exploitent plutôt les points d'entrée qui existent déjà dans les systèmes informatiques.

Cette tactique est assez efficace. En effet, elle permet de contourner les systèmes de protection traditionnels : les scanners ne déclenchent pas d'alarme lorsque le logiciel semble être sécurisé. De cette manière, ces attaques permettent aux cybercriminels d'infiltrer les systèmes informatiques de manière discrète et donc souvent inaperçue. Même si un cas d'infiltration est détecté, dans ces circonstances, il est beaucoup plus difficile d'identifier l'origine de l'attaque. De nombreuses solutions de cybersécurité traditionnelles ne sont pas en mesure de détecter les comportements dangereux lorsqu'elles sont réalisées avec des outils considérés comme légitimes.

Passer d’une logique logicielle à une logique comportementale

Pour détecter ce type de menaces, il n’est pas possible de se baser sur la simple détection des logiciels en cherchant les malwares, car on ne les trouve généralement pas. En revanche, si ces applications ont un vernis de légitimité, leur comportement réel est trouble.

C’est pourquoi l’analyse du comportement et la recherche d'anomalies est particulièrement pertinente dans ce contexte. Les terminaux (PC, ordinateurs portables, smartphones, tablettes) doivent être surveillés en permanence.

Les événements sur les dispositifs terminaux et dans le système doivent être analysés pour identifier les traces de pirates, déterminer les comportements inadaptés des employés et détecter les failles de sécurité.

À l'aide de règles définissables, les responsables de la sécurité doivent pouvoir définir quels comportements doivent être activés lorsqu’un événement prédéfini est identifié – par exemple, on peut définir que l’application est bloquée lorsqu’un événement Y se produit. Cela allège la charge des services informatiques, qui sont souvent déployés sur de nombreux fronts.

Toutes les attaques ne sont pas spectaculaires : certaines sont cachées, siphonnant des données sensibles ou importantes au fil des mois en toute discrétion. Ces attaques ont tendance à s’appuyer sur des logiciels déjà présents dans l’environnement informatique de l’entreprise et d’exploiter ses vulnérabilités. Cela rend leur détection plus difficile, et c’est pourquoi il est recommandé d’utiliser des moyens de protection complémentaires telles que l’analyse comportementale ou la recherche d’anomalies.