Cybermenaces : pour les cybercriminels d'aujourd'hui, seul un accès pour se connecter suffit
La fin de l'année 2021 se profile, pourtant les conséquences de 2020 résonnent dans l'univers de la cybersécurité et ce pour un certain temps encore. Les cybercriminels, galvanisés par les perturbations mondiales généralisées par la pandémie et le télétravail, ont redoublé d'efforts, frappant les organisations avec un arsenal de menaces aussi bien connues qu'innovantes.
Les attaques par ransomware ont augmenté de manière significative l'année dernière, l’email étant désormais largement utilisé comme point d'entrée. En effet, via le phishing, centré sur l’erreur humaine, il est devenu le vecteur initial le plus courant, dans trois quarts des attaques. En outre, des campagnes de plus en plus élaborées de Business Email Compromise (BEC) ont également fait leur apparition dans le paysage des menaces visant directement cette fois les processus métiers de l’organisation. Par ailleurs, de nouvelles menaces ont émergé comme la stéganographie, technique consistant à dissimuler des charges utiles malveillantes dans des images, des fichiers audio ou ISO, connaissant un succès retentissant cette année.
Quelle que soit la tactique employée, la plupart des attaques ont un point commun : elles visent désormais directement en premier lieu les personnes plutôt que les infrastructures. En utilisant l’interaction humaine, les cybercriminels n’ont alors plus besoin de pirater l’organisation. Une fois l'accès obtenu, il leur suffit de se connecter et de poursuivre leur intrusion. Alors quel est le détail de ces attaques basées sur les personnes les plus répandues actuellement et comment faire pour s’en prémunir ?
Les menaces par ransomware en hausse
Les attaques par ransomware ont augmenté de 300 % l'année dernière. En 2021, elles ont atteint plusieurs cibles importantes qui ont fait les gros titres de l'actualité mondiale pendant plusieurs semaines.
Ce type de menace a évolué, alors que les charges utiles malveillantes se déclenchaient autrefois directement à l’ouverture dans la boîte réception, elles se présentent désormais souvent sous la forme d'attaques en plusieurs étapes. L’email reste toutefois le principal point d'entrée, privilégiant des attaques nécessitant une interaction humaine. Aujourd'hui, en guise de première étape, l'email délivre un premier logiciel malveillant simple qui sert de porte d’entrée pour d’autres charges utiles.
Le phishing est la principale porte d'entrée pour la distribution de rançongiciels, il est aussi utilisé pour la pêche directe aux identifiants de connexion, notamment en utilisant désormais des liens légitimes de partage de fichiers ou de reconnexion aux environnements Microsoft O365 ou Google Cloud…
Il est impératif que toutes les organisations accordent une priorité maximale à la sécurisation des boîtes de réception au moyen d'un filtrage et d'une détection des menaces avancés du meilleur niveau. La solution doit détecter et protéger l’utilisateur des pièces jointes, documents et URL malveillants avant qu'ils n'atteignent l'utilisateur. Si jamais une URL devenait malveillante après distribution, alors la solution doit savoir gérer les messages distribués, forwardés, et éventuellement ouverts pour y remédier après la distribution du mail...
La prolifération des attaques BEC
Le piratage de la messagerie en entreprise (BEC) et la compromission de comptes de messagerie (EAC) représentent les menaces les plus coûteuses parmi toutes les activités cybercriminelles. Elles ont coûté aux entreprises victimes plus de 1,8 milliard de dollars, soit 44 % des pertes déclarées par les entreprises et les particuliers l'année dernière.
Cette augmentation et ses pertes estimées sont révélatrices d'une tendance plus large. Les attaques n'augmentent pas nécessairement en volume, mais elles sont de plus en plus ciblées et visent des résultats financiers plus élevés.
Dans le cadre d'attaques plus élaborées, les acteurs de la menace usurpent des noms de domaine des cadres dirigeants pour demander aux victimes de transférer d'importantes sommes d'argent. Il suffit que cela fonctionne une fois pour que leur entreprise frauduleuse soit très rentable.
La lutte contre ces nouvelles menaces, sans charge utile, comme les attaques BEC exige une nouvelle visibilité. Il est indispensable de disposer d'un ensemble de données vaste et approfondi (Threat Intelligence) sur les tactiques et procédures de ces acteurs, mais aussi d'une expertise humaine en modélisation de menaces pour former spécifiquement les modèles d'apprentissage automatique qui permettront d’identifier et d'arrêter avec précision les mauvais messages sans bloquer à tort les messages légitimes. Les entreprises doivent rechercher une solution qui associe l'apprentissage automatique à des données étendues sur les menaces et à l'expertise d'analystes des menaces pour bloquer les attaques désormais très ciblées de fraude par email qui continuent d'évoluer.
Le succès de la stéganographie
La stéganographie est une forme de dissimulation d’information dans le but de transmettre un message de manière inaperçue au sein d’un autre message. Si ce n'est peut-être pas une attaque comparativement populaire par le nombre, peu d’attaques peuvent l’égaler en termes de succès. L'année dernière, plus d'une personne sur trois visée par des campagnes de stéganographie a cliqué sur la charge utile malveillante.
C'est le taux le plus élevé de toutes les techniques d'attaque et un taux de clics dont tout collaborateur en marketing serait fier d’atteindre.
Les charges utiles étant cachées dans des JPEG, des fichiers .wav et autres, les attaques stéganographiques ne peuvent être repérées à l'œil nu. Pour éviter cette menace, les entreprises doivent disposer d'outils d'analyse complets permettant d'analyser la messagerie à la recherche de données anormales et malveillantes. Et, bien sûr, la vigilance et la prudence de la part des utilisateurs.
Construire une culture de la sécurité centrée sur les personnes
Privilégiant l’interaction humaine, ces attaques sont désormais majoritaires. En conséquence, une solide posture de cybersécurité exige une approche combinant toutes les parties prenantes : les personnes, les processus et les contrôles techniques.
Les criminels ciblent continuellement les employés pour récupérer des données confidentielles, compromettre des équipements de SI et même transférer de l'argent. Grâce à une combinaison technique de règles de passerelle de messagerie, d'analyse avancée des menaces, d'authentification des emails et de visibilité sur les applications cloud, il est possible de bloquer la majorité des attaques ciblées avant même qu'elles n'atteignent les employés. Cependant, il n’est clairement pas raisonnable de ne se fier qu’aux contrôles techniques, car, comme souligné précédemment, il s'agit in fine de gérer le facteur humain.
La sécurité est une responsabilité partagée. Nous devons donner aux employés, à tous les niveaux hiérarchiques, les moyens de comprendre son importance et les comportements à risque qui peuvent conduire à des attaques. Les programmes de formation et de sensibilisation sont essentiels, mais il n'existe pas de solution unique. Les entreprises doivent s’assurer que le programme se place du point de vue de l'utilisateur et qu'il est pertinent pour son travail et sa vie personnelle.
Par ailleurs, les utilisateurs doivent pouvoir disposer de moyens simples les encourageant à signaler les problèmes à l'équipe de sécurité. Par exemple, un seul clic sur un bouton dédié et bien identifié qui envoie automatiquement les emails de phishing supposés à l'équipe de sécurité pour analyse et restitution de cette même analyse à notre vigie interne !
Plus de 99 % des cybermenaces nécessitent une interaction humaine pour réussir. Lorsque le personnel d‘une entreprise est à ce point indispensable à une attaque, il doit alors être un élément essentiel de défense. Les cybercriminels passent nuit et jour à essayer de pénétrer dans les réseaux, systèmes et données des entreprises, le moins que l'on puisse faire est de leur rendre collectivement la tâche le plus difficile possible.