Netskope vient de publier une étude sur les menaces des applications cloud dans l’assurances. Une des vecteurs de diffusions serait GitHub.
Les principales conclusions de l’étude :
- Adoption des applications cloud :
- En moyenne, les employés du secteur des assurances interagissent régulièrement avec 24 applications cloud chaque mois. Parmi celles-ci, les outils Microsoft tels que OneDrive, Teams, SharePoint ou Copilot sont favorisées. Outre le fait d’être les plus couramment utilisées, ces applications couvrent également une grande variété de fonctionnalités telles que le stockage, le courrier électronique et la messagerie instantanée.
- Si Teams, OneDrive et SharePoint sont largement utilisées dans de nombreux autres secteurs, le monde des assurances se distingue par le fait que les outils de Microsoft occupent les six premières places.
- Utilisation malveillante d’applications cloud pour la diffusion de malwares :
- Parmi les compagnies d’assurance, les trois applications cloud qui ont donné lieu au plus grand nombre de téléchargement de malwares sont GitHub, OneDrive et SharePoint.
- À titre d’exemple, GitHub compte près de deux fois plus de téléchargements de malwares dans le secteur des assurances que dans d’autres industries.
- Principales familles de malwares :
- Les cinq principales familles de malwares et ransomwares ciblant les utilisateurs du secteur des assurances au cours des 12 derniers mois sont les suivantes : Backdoor.Zusy (alias TinyBanker), Downloader.BanLoad, Infostealer.AgentTesla, Trojan.Grandoreiro et Phishing.PhishingX.
Le Threat Labs de Netskope recommande d’analyser leur posture de sécurité afin de garantir qu’elles sont correctement protégées contre les tendances suivantes :
- Inspecter la totalité des téléchargements HTTP et HTTPS, y compris le trafic échangé sur le web et dans le cloud, afin d’empêcher les malwares d’infiltrer le réseau.
- S’assurer que les types de fichiers à haut risque, tels que les exécutables et les archives, sont scrupuleusement inspectés en combinant des outils d’analyse statique et dynamique en amont de leur téléchargement. Configurer des règles permettant de bloquer le téléchargement à partir d’applications et d’instances qui ne sont pas utilisées dans l’entreprise dans le but de limiter la surface exposée aux seules applications et instances dont elle a besoin.
- Configurer des règles permettant de bloquer le téléversement vers des applications et des instances qui ne sont pas utilisées dans l’entreprise afin de réduire le risque d’exposition de données — accidentelle ou délibérée — par des initiés ou d’exploitation malveillante par des cyberattaquants.
- Utiliser un système de prévention des intrusions (IPS — Intrusion Prevention System) capable d’identifier et de bloquer les schémas de trafic malveillants tels que les échanges de commande et contrôle (C2) associés aux malwares les plus répandus. Le fait de bloquer ce type de communications peut empêcher des dommages en limitant la capacité des cybercriminels à exécuter des actions supplémentaires.
- Utiliser la technologie d’isolation du navigateur à distance (RBI — Remote Browser Isolation) pour appliquer une ligne de protection supplémentaire lorsqu’il est impératif de visiter un site appartenant à une catégorie susceptible de présenter un risque plus élevé, par exemple un domaine nouvellement observé ou nouvellement enregistré.
