Face à la prolifération des violations de données dont elles sont la cible privilégiée, que peuvent faire les entreprises technologiques ?

En deux mots, la technologie façonne le monde dans lequel nous vivons, et notre dépendance à son égard ne fait que croître jour après jour. Chose que les cybercriminels ont bien comprise.

Les entreprises high-tech ont créé les outils que nous utilisons pour monter et gérer des entreprises, traiter les transactions effectuées par les consommateurs, communiquer avec d’autres personnes, ou organiser notre vie personnelle et notre activité professionnelle. 

L’importance de l’industrie des hautes technologies n’a échappé ni aux cybercriminels ni aux groupes étatiques qui ciblent les entreprises pour de multiples raisons : atteindre des objectifs stratégiques, militaires ou économiques ; accéder à des données institutionnelles sensibles en vue de les monnayer contre une rançon ou de les revendre sur le Dark Web, infecter et paralyser les chaînes d’approvisionnement, etc.

Si la cybercriminalité n’est pas une nouveauté pour ces entreprises — elles sont de longue date dans le viseur —, la menace a pris une tout autre tournure au cours de ces derniers mois. Selon l’édition 2022 de son Rapport sur le Threat Hunting, CrowdStrike indique que les hautes technologies ont été le domaine d’activité le plus fréquemment ciblé par les cyberintrusions entre juillet 2021 et juin 2022, ce qui en fait le secteur le plus « apprécié » des auteurs de menaces au cours d’une année où les experts de la société ont comptabilisé plus de 77 000 intrusions potentielles, soit une toutes les sept minutes environ.

Si ces chiffres ne vous surprennent pas, c’est probablement parce que les violations de données qui touchent le secteur de hautes technologies ont fait les gros titres de l’actualité en 2022. Les entreprises technologiques de toutes tailles doivent par conséquent s’inquiéter des activités adverses susceptibles de s’emparer de leurs données. Étudions de plus près les menaces qui doivent au premier chef inquiéter les entreprises technologiques, ainsi que les tactiques déployées par les adversaires et les solutions disponibles pour les neutraliser.

Comment les agresseurs ciblent les entreprises technologiques ?

Des PME aux grands comptes sans oublier les start-ups, toutes les entreprises doivent prendre conscience des menaces auxquelles elles sont confrontées, ainsi que des moyens qu’elles peuvent et doivent utiliser pour se défendre.

Pour échapper aux radars, les attaquants ont de moins en moins recours aux malwares : le rapport 2022 publié par CrowdStrike explique que les cybermenaces sans logiciels malveillants représentaient 71 % de l’ensemble des détections répertoriées entre juillet 2021 et juin 2022. Cette évolution est en partie liée au fait que les agresseurs utilisent de plus en plus des identifiants légitimes pour accéder à l’environnement IT de leurs victimes et y persister en établissant et en maintenant un accès à long terme dans un système, faisant fi d’événements tels que le redémarrage des machines ou la modification des identifiants. Mais ce n’est pas tout : il convient de souligner la rapidité avec laquelle de nouvelles vulnérabilités sont divulguées et la vitesse à laquelle les adversaires parviennent à opérationnaliser des exploits.

Année après année, le nombre de menaces « zero day » et de vulnérabilités nouvellement divulguées ne cesse d’augmenter. Toujours selon le Rapport 2022 publié par CrowdStrike, plus de 20 000 nouvelles vulnérabilités ont été signalées en 2021 — soit plus qu’au cours de n’importe quelle année précédente —, et plus de 10 000 au cours du premier semestre 2022. En d’autres termes, la tendance n’est pas au ralentissement.

L’examen approfondi des tactiques, techniques et procédures (TTP) utilisées au cours des intrusions révèle que les adversaires partagent des modes opératoires communs. À titre d’exemple, une vulnérabilité exploitée avec succès est systématiquement suivie du déploiement de « web shells », ces scripts malveillants qui permettent d’infecter les serveurs Web et de lancer de nouvelles attaques.

Comment stopper ces violations ?

Les entreprises du secteur high-tech doivent dresser une solide ligne de défense contre des menaces en constante évolution et des attaquants qui modifient leurs TTP pour se faire plus discrets et échapper aux mesures de détection tout en provoquant de plus amples dommages. Il incombe aux défenseurs de protéger les workloads cloud, les identités et les données sur lesquelles leur entreprise s’appuie pour mener ses activités.

Pour conduire leurs attaques, les cybercriminels n’utilisent pas une méthode standard, de même qu’il n’existe aucune solution miracle pour se protéger contre les différentes formes d’intrusion. Cependant, un examen approfondi permet d’identifier les domaines critiques sur lesquels les équipes informatiques et de sécurité doivent se focaliser. Voici quelques recommandations à cet effet :

Revenir aux fondamentaux : les entreprises high-tech doivent avant toute chose respecter les principes de bases de l’hygiène numérique et de la cybersécurité. Par exemple en déployant de solides programmes de gestion des correctifs, de vérification des comptes utilisateurs et de gestion des accès à privilèges dans le but d’atténuer les conséquences d’une éventuelle compromission des identifiants.

  • Procéder régulièrement à un contrôle des services d’accès à distance : vos adversaires n’hésiteront pas à exploiter les outils d’accès à distance préexistants et tenteront d’installer des logiciels légitimes dans l’espoir d’échapper à toute détection automatisée. Des audits réguliers permettent de vérifier si l’outil est autorisé et si l’activité a lieu dans une fenêtre prédéfinie, par exemple pendant les heures ouvrables. Les connexions effectuées entre un même compte utilisateur et plusieurs hôtes dans un bref laps de temps sont le signe potentiel que des identifiants sont compromis.
  • Mener une chasse proactive aux menaces : une fois qu’un adversaire a percé les défenses d’une entreprise high-tech, il est difficile de détecter sa présence alors même qu’il collecte tranquillement des données, recherche des informations sensibles ou subtilise des données d’identification. C’est à cet instant que la chasse aux menaces entre en jeu. En recherchant les adversaires de manière proactive à l’intérieur de leur environnement, les entreprises peuvent détecter les attaques plus tôt et renforcer leur posture de sécurité.
  • Priorité à la protection des identités : pour prendre pied dans des entreprises high-tech, les adversaires s’intéressent de plus en plus aux identifiants. Tout utilisateur — employé, fournisseur tiers ou client — peut être infecté à son insu et ainsi dérouler le tapis rouge aux adversaires. Les entreprises technologiques doivent authentifier chaque identité et autoriser chaque demande afin de prévenir les cyberattaques, qu’elles visent la Supply Chain, donnent lieu à une demande de rançon ou une violation des données.
  • Ne pas oublier la prévention des menaces : s’agissant des entreprises technologiques, les outils de prévention permettent de bloquer des cybermenaces avant qu’elles ne pénètrent dans l’environnement ou commettent des dégâts. Détection et prévention doivent aller de pair. Pour prévenir une cybermenace, il est nécessaire de la détecter en temps réel. Plus l’environnement IT est étendu, plus l’entreprise aura besoin d’outils capables de l’aider à détecter et à prévenir les menaces.

À l’heure où l’évolution de la cybercriminalité et des activités des États-nations ne montre aucun signe de faiblesse, les entreprises du secteur des hautes technologies doivent renforcer leurs moyens de défense, mais également comprendre les techniques de l’adversaire pour protéger efficacement leurs charges de travail, l’identité de leurs collaborateurs et leurs données, afin de préserver leurs performances opérationnelles.