Un enjeu de cyber sécurité : repérer les mouvements latéraux des attaquants

Pandémie, télétravail : les cyberattaques se sont démultipliées en 2021, venant confirmer une tendance structurelle. Afin de se défendre, repérer les mouvements latéraux est devenu pour les entreprises un enjeu de première nécessité.

Les statistiques de l’année 2021 sont éloquentes. L’an dernier, les cyberattaques ont connu un accroissement de 250%, soit + 400% depuis le début de la crise pandémique. Elles ont touché deux organisations sur trois (près de 7 sur 10), concerné des structures publiques (hôpitaux, mairies…) comme des entités privées (43% de PME) et généré quelque 6000 milliards de dollars de coûts.

Une stratégie de cyberdéfense désormais datée

Les raisons de ces augmentations sont plurielles. Parmi celles-ci, citons l’importance de la faille humaine (dans 9 cas sur 10, les brèches de cybersécurité sont générées par l’être humain) et le rôle du phishing (dans 94% des cas). Ces éléments se trouvent accentués par les migrations que les organisations opèrent massivement sur le cloud, dans un contexte pandémique qui s’est structurellement traduit par un large essor du télétravail. Cloud, télétravail : ces développements ont eu d’importantes conséquences pour les stratégies de défense.

Soudain, le lieu "forteresse" qu’était le système d’information s’est trouvé amplement restructuré, et les points névralgiques démultipliés. De la maison mère, nous sommes passés à un réseau d’habitations : l’écosystème SI s’en est trouvé élargi. Pour autant, les stratégies de cyberdéfense mises en place par les entreprises sont souvent demeurées calquées sur l’ancien modèle, centré sur la protection des portes d’entrées que constituent les postes informatiques. Dans quelle mesure est-il pertinent de défendre la porte d’entrée d’une forteresse alors que celle-ci est désormais reliée à une multitude d’autres entités ? Là est toute la question…

Prendre possession du SI grâce au mouvement latéral 

Soyons pragmatiques : nous ne sommes plus en mesure de défendre pied à pied, avec 100% de réussite, l’intégralité des portes de nos systèmes d’informations. Sachons admettre que des cyber-attaquants sont actuellement en train d’exploiter les failles nouvelles, déployant pour cela des stratégies qui pour l’essentiel reposent sur des mouvements latéraux opérés au cœur même de nos entreprises.

Qu’est-ce qu’un mouvement latéral ? C’est une tactique utilisée par les hackers qui consiste à se déplacer au sein même de votre réseau, avec pour objectif d’en prendre le contrôle. À l’image d’un flibustier, ce pirate a une destination : il souhaite accéder au cœur du système d’information afin d’en devenir l’administrateur. Une fois parvenu à ce coffre-fort, il aspirera les données de votre entreprise, les effacera de vos serveurs et vous demandera une rançon. Celle-ci sera ajustée à la taille de votre société. PME, PMI, grands groupes ou encore organisations publiques telles que les hôpitaux : tout le monde est potentiellement concerné.

La tactique déployée est à chaque fois identique : les pirates s’appuient sur l’ingénierie sociale comme première étape. Une fois l’hameçonnage opéré, ils entrent dans le système et commencent à en prendre la mesure. Ce faisant, des jours voire des semaines durant, ils travaillent le compte qu’ils ont hacké, en utilisent les privilèges pour en obtenir d’autres. Nouveaux identifiants, autorisations supplémentaires… L’attaquant est alors en phase de récolte. Il augmente progressivement son niveau d’autorisations et, peu à peu, gagne du terrain, acquérant des droits de plus en plus importants. Pour filer une métaphore maritime, je dirais qu’il agit comme un navigateur tirant des bords. Un bord à gauche sous le vent ; un autre à droite… Les mouvements latéraux s’enchaînent ainsi en direction de la terre promise qu’est l’administration du système d’information.

Des solutions afin de contrecarrer ces attaques d’un type nouveau

Face à ces nouvelles tactiques, les organisations sont loin d’être démunies. Des solutions existent afin d’identifier, au sein des écosystèmes informatiques, ces mouvements latéraux. Reposant sur l’Intelligence artificielle et le machine learning, elles visent à débusquer, parmi les comptes du parc informatique, ceux qui effectuent des mouvements latéraux jugés suspects. Un stagiaire en RH a-t-il le droit d’accéder à des données sensibles à trois heures du matin ? Un ingénieur produit est-il légitime lorsqu’il acquiert les droits sur un groupe de travail dans lequel il n’est pas référencé ? De tels mouvements peuvent être pointés et qualifiés de suspects. Les solutions qui sont désormais à la disposition des entreprises sont là pour repérer, de manière automatique, chaque signal faible. Recoupés, ces signaux permettent aux entreprises d’intervenir auprès des cybercriminels juste à temps, avant qu’ils ne prennent possession de l’administration du système d’information, et préservent ainsi le coffre-fort de leurs structures.

Plus que la porte d’entrée, c’est bien ce coffre-fort que chacun se doit de protéger.