AVIS D’EXPERT – Xavier Daspre, directeur technique France chez Proofpoint, décrypte pour les lecteurs de Solutions Numériques & Cybersécurité ce mode opératoire et le fonctionnement de la chaîne d’attaque. Des éléments qu’il est essentiel de comprendre pour que les entreprises soient en mesure de se protéger.
80 % des infractions liées au piratage informatique impliquent l’utilisation d’informations d’identification perdues ou volées, c’est ce qu’indique le dernier rapport Data Breach Investigations de Verizon. Porte d’entrée rapide et efficace, les identifiants de connexion sont devenus la cible première des acteurs de la menace, qui profitent de l’inattention humaine pour pénétrer et évoluer discrètement dans les systèmes des organisations.
Fait d’autant plus intéressant, le rapport Data Loss Landscape, une enquête menée auprès de 600 professionnels de la sécurité à travers 12 pays, révèle que 88 % des cas de pertes de données peuvent être attribué à seulement 1% des utilisateurs. Dans la majorité des cas, l’imprudence est la cause première : les données sont partagées par erreur – à l’échelle d’une entreprise de 5000 employés, chaque année plus de 3 400 courriels sont envoyés au mauvais destinataire – mais aussi, couramment liées au turnover dans l’entreprise : 87 % des cas d’exfiltration anormale de fichiers, stockés sur le cloud depuis au moins neuf mois, ont été causés par le départ d’un employé.
Des négligences d’autant plus graves que pour 86% des organisations françaises, ces pertes de données ont entraîné des conséquences négatives telles que l’interruption des activités et la perte de revenus (57%) ou une atteinte à la réputation (43%).
La chaîne d’attaque
De cette évolution découle aussi un risque grandissant qui pèse aujourd’hui sur la chaîne logistique, et la recrudescence des attaques sur les petites et moyennes entreprises – à l’instar de celles menées contre Pôle Emploi par le biais de son fournisseur de Majorel, entraînant la fuite de données personnelles d’environ 10 millions de demandeurs d’emploi en France.
Plus faciles à compromettre, les fournisseurs deviennent une passerelle pour voler les identités de collaborateurs des organisations ciblées, via notamment des tactiques de phishing et de compromission de courriel professionnels (BEC). Une méthodologie d’autant plus efficace, qu’une seule identité compromise peut permettre aux cybercriminels de se déplacer latéralement avec facilité dans l’organisation.
Les étapes suivantes – escalade des privilèges, collecte de renseignements, distribution de charges utiles, etc. – ne sont plus qu’un simple exercice de routine, qui sera réalisé sans même toucher aux défenses périmétriques traditionnelles. Raison pour laquelle, ces défenses doivent impérativement évoluer. Bien que de nombreuses organisations aient déjà investi d’importantes sommes pour renforcer leur infrastructure d’identité, les composants les plus vulnérables – informations d’identification stockées et mises en cache, cookies de session, clés d’accès, comptes privilégiés fantômes et diverses configurations erronées – sont encore trop négligées.
Afin de se protéger au mieux, il est essentiel de comprendre comment fonctionne la chaîne d’attaque et quelles sont les points d’entrées les plus vulnérables. Pour bien faire, elles doivent comprendre comment les cybercriminels s’attaquent aux identités afin de se protéger au mieux, dès le début de la chaîne d’attaque.
Les trois types d’identités les plus fragiles
En général, les cybercriminels ciblent trois domaines d’identité : les non gérés, les mal configurés et les plus exposés.
- Les identités non gérées – Il s’agit des identités utilisées par les comptes de service d’applications et les administrateurs locaux. L’étude de Proofpoint sur les menaces a révélé que 87 % des administrateurs locaux ne sont pas inscrits dans une solution de gestion des comptes privilégiés. Pourtant, ces types d’identités ne sont souvent pas découverts lors du déploiement ou sont oubliés après avoir rempli leur fonction. Beaucoup de ces comptes utilisent des mots de passe par défaut ou obsolètes, ce qui augmente encore le risque.
- Les identités mal configurées – Les administrateurs “fantômes”, les identités configurées avec un chiffrement faible ou inexistant, et les comptes avec des informations d’identification faibles sont des exemples d’identités mal configurées. Le rapport Human Factor 2023 de Proofpoint révèle que 40 % des identités d’administrateurs mal configurées ou « fantômes » peuvent être exploitées en une seule étape, par exemple en réinitialisant le mot de passe d’un domaine pour élever les privilèges. En outre, 13 % des administrateurs fictifs disposent déjà de privilèges d’administrateur de domaine, ce qui permet aux attaquants de récupérer des informations d’identification et d’accéder aux systèmes de l’entreprise.
- Les identités exposées – Cette catégorie comprend les informations d’identification mises en cache et stockées sur divers systèmes, les jetons d’accès au cloud stockés sur les terminaux et les sessions d’accès à distance ouvertes. Un terminal sur six contient des mots de passe de comptes privilégiés exposés, tels que des informations d’identification mises en cache. Cette pratique est tout aussi risquée que d’autoriser les employés à laisser des notes autocollantes avec des noms d’utilisateur et des mots de passe sur leurs appareils, mais elle est souvent négligée.
Quel que soit le type d’identité compromis par des acteurs malveillants, il suffit d’un seul compte vulnérable pour donner un accès illimité à votre organisation. Et plus longtemps ils ne sont pas détectés, plus les conséquences potentielles sont dévastatrices.
Développer une réponse à la hauteur du risque
Le périmètre humain étant devenu l’élément le plus vulnérable, la détection et la réponse aux menaces liées à l’identité (ITDR) sont devenues des éléments essentiels pour identifier et atténuer les lacunes dans l’exposition aux menaces liées à l’identité.
Cela dit, les cybercriminels évoluent tout simplement trop vite pour que les équipes de sécurité puissent suivre les menaces liées à l’identité sans les outils adéquats. L’ITDR nécessite donc une combinaison de processus, d’outils et de bonnes pratiques en matière de sécurité et cyber hygiène.
Si les collaborateurs sont la plus grande faille de sécurité dans l’entreprise, les défenses doivent être centrées sur les personnes, en leur donnant les moyens de briser la chaîne d’attaque et modifier leurs comportements et leurs habitudes. L’amélioration de l’hygiène est une activité simple qui ne nécessite pas beaucoup de ressources.
Xavier Daspre