Afficher le sommaire Masquer le sommaire
« Connais ton ennemi et connais-toi toi-même » écrit Sun Tzu dans L’art de la guerre : face à la hausse fulgurante des cyberattaques en France ces dernières années dont le coût devrait atteindre 119 milliards d’euros en 2024 (source Statista), les entreprises et institutions gagneraient à appliquer davantage ce conseil pour contrer la « guerre numérique ». Mieux comprendre leurs motivations, leurs profils, les outils qu’ils utilisent et leurs modes d’action éclairent sur les dispositifs de protection qu’il convient de mettre en œuvre.
Les cybercriminels des années 2020 sont loin de l’esprit libertaire des hackers des années 70 à 90. Laissant de côté le défi intellectuel et les valeurs de partage et de coopération, leur objectif est désormais principalement financier (91% selon une étude Verizon 2023) et leur mode de fonctionnement s’apparente à celui d’une entreprise. Ils cherchent avant tout à dégager du chiffre d’affaires en établissant une relation marchande avec leurs cibles. Certains poussent même le cynisme jusqu’à mettre en place un service client pour faciliter le paiement des rançons. On peut parler de professionnalisation du cybercrime.
A côté, une criminalité moins organisée et moins expérimentée continue d’opérer, mais elle est tout aussi dangereuse car elle peut accéder facilement à des outils d’attaques sur le darkweb, voire dans des forums internet.
Il faut savoir que, malheureusement, la démocratisation de la connaissance et de l’accès aux technologies via internet s’étend aussi à des outils dédiés à la cybercriminalité. Ainsi, on trouve des services SaaS de hacking et des frameworks complets pour mener une cyberattaque. Cela nécessite donc de moins en moins d’expertise, de temps ou de budget. Outre la faible sécurisation des systèmes IT des entreprises, c’est l’une des raisons qui explique l’explosion des cyberattaques.
Des profils variés
Les profils des hackers sont variés. Tous ne sont pas des cybercriminels et peuvent être classés en plusieurs catégories. Les pirates « back hat » sont les acteurs les plus malveillants : des cybercriminels motivés principalement par le gain financier. Les pirates « grey hat » sont a priori moins dangereux et misent sur l’ambiguïté, la zone grise. Ils peuvent s’infiltrer dans des systèmes informatiques puis aider les victimes. Selon leurs motivations, ils peuvent facilement basculer dans la criminalité. Les pirates « green hat » sont des cybercriminels débutants : ils se forment au piratage et essaient de créer leurs propres outils.
Il ne faut pas les confondre avec les « script kiddles » qui se contentent de réutiliser des scripts d’attaque existants.
Face à eux, on retrouve les hackers éthiques, les « white hats », qui testent la vulnérabilité du système d’information d’une organisation. Les « red hats » attaquent, quant à eux, directement les « black hats » en employant leurs mêmes méthodes. Ce sont des sortes de justiciers qui ont une motivation positive mais des méthodes en marge de la loi. Enfin, les hackers « blue hat » sont des salariés ou des contractants pour le compte des entreprises. La couleur bleue fait référence aux badges Microsoft.
Il existe beaucoup d’autres nuances – des cyberactivistes aux cyberterroristes – qui dépendent des enjeux locaux et mondiaux. Les cybercriminels exploitent à leur profit les crises géopolitiques, sociales et économiques et profitent des mutations du monde du travail post-covid (SI plus exposés, télétravail…) pour organiser des attaques massives.
5 étapes à bien comprendre pour se prémunir contre les cyberattaques
Classiquement, une cyberattaque se déroule en 5 étapes. Les comprendre aide à savoir où agir pour réduire l’exposition de l’entreprise aux risques :
- La reconnaissance : l’acteur malveillant va d’abord chercher à comprendre quels sont les actifs de l’entreprise ainsi que ses données humaines, technologiques, organisationnelles et financières. Il utilise l’OSINT (Open-source intelligence) ou la collecte de « renseignement de sources ouvertes ». Une simple recherche Google, Weyback Machine, Linkedin, Instagram, Leboncoin, les annonces d’emploi… apportent également leur lot d’informations exploitables. Toute donnée disponible sur internet peut avoir une valeur pour le cybercriminel. La porosité entre les comportements numériques professionnels et personnels exposent le salarié et l’entreprise aux risques. L’entreprise a donc, elle aussi, tout intérêt à mener une veille active via l’OSINT.
- Le scanning : l’acteur malveillant entre en activité frontale avec sa cible, notamment en scannant les ports réseaux et en détectant les versions des logiciels installés. Il va tester les failles du système d’information et des équipes. Pour se prémunir du scanning, l’entreprise, de son côté, doit faire en sorte de maîtriser au mieux l’ensemble des politiques de filtrages par le biais par exemple de solutions de firewalling. Il doit également maîtriser les ports ouverts sur l’ensemble de ses actifs, connaître l’exposition et son empreinte numérique ainsi que ses potentielles obsolescences.
- L’accès aux ressources : l’acteur malveillant va identifier et exploiter une faille logicielle dans le système d’information pour accéder aux ressources et données. Les failles connues sont accessibles dans le registre des Common Vulnerabilities and Exposure ou CVE. Mais il existe de nombreuses failles inconnues ou « zero day » qui n’ont pas été publiées et n’ont pas reçu de patch de la part des éditeurs. Les cybercriminels peuvent en profiter pour s’infiltrer dans le SI avant même qu’elle soit référencée et publiée.
- Le maintien de l’accès : l’acteur malveillant pérennise son accès au système en exploitant par exemple des vulnérabilités connues et en obtenant un accès shell restreint. Ce dernier sera éventuellement escaladé en privilèges par l’attaquant en exploitant un port ouvert qui pourrait servir à se connecter à la cible. Il peut alors capturer l’ensemble des touches claviers (keylogger) pour récupérer les données saisies par un administrateur. Il peut aussi accéder à d’autres systèmes par des attaques par rebond de manière horizontales ou verticales qui compromettent d’autres entités du SI, voire à ceux des clients et fournisseurs de l’entreprise. Sachant qu’en moyenne il faut 16 jours aux entreprises pour découvrir qu’elles ont été victimes d’une cyberattaque (source M-Trends 2023), sinon des mois, les hackers ont le temps de récupérer un maximum de données. Pour gagner en proactivité, il est nécessaire de disposer de politiques de journalisation (ex : un SIEM permettant une collecte centralisée de l’ensemble des journaux des différents actifs de l’organisation). Cette centralisation permet de disposer de traces de l’attaque pour comprendre les actions malveillantes et permettre une éventuelle collecte de preuves à fournir aux autorités (gendarmerie, CNIL, ANSSI …). De plus en plus fréquemment, les organisations disposent de solutions dédiées appelées EDR, XDR ou encore SOAR. Certaines solutions permettent en effet d’automatiser des réponses en temps réel et de bloquer des menaces en fonctions de différents scénarios.
- L’effacement des traces : Enfin, comme il dispose de temps avant que la cyberattaque soit détectée, l’acteur malveillant peut effacer les logs (traces numériques) des attaques pour empêcher de remonter jusqu’à lui.
Les entreprises, PME en tête, doivent gagner en maturité sur le volet cybersécurité. En connaissant mieux les cybercriminels, leurs approches et leurs méthodes, elles pourront mieux s’armer face aux menaces. La phase de reconnaissance est donc clé pour bien se connaître, évaluer ses actifs, ses processus et bâtir sa stratégie de cybersécurité. En identifiant sa surface d’attaque, on peut repousser le moment où une attaque surviendra.
Arthur Danger
Directeur Avant-Ventes et Solution de NAITWAYS