Menaces modernes de cybersécurité : tout ce que vous devez savoir

Les organisations de toutes tailles peuvent être victimes de cybermenaces modernes. Un acteur malveillant peut avoir divers motifs pour mener une attaque, le plus courant étant le gain financier. Selon la politique de reprise après sinistre de l'entreprise, une cyberattaque peut affecter considérablement la continuité des activités, les flux de revenus et la confiance des clients.

Le suivi et l'étude de l'évolution des cybermenaces sont essentiels à une meilleure stratégie de cybersécurité. Cet article aborde les types de cybermenaces les plus courants, les techniques utilisées par les auteurs de menace pour infiltrer les réseaux d'entreprise et les meilleures pratiques pour améliorer les défenses des entreprises.

Les cybermenaces font référence à toute attaque potentiellement malveillante qui vise à obtenir un accès non autorisé à un réseau pour voler des données sensibles, perturber les opérations commerciales ou endommager des infrastructures et des informations critiques.

Les cybermenaces peuvent provenir de nombreux acteurs : pirates informatiques, hacktivistes, États-nations hostiles, espions d'entreprise, organisations criminelles, groupes terroristes ou initiés mécontents.

Un cyberattaquant peut utiliser les données sensibles d'un employé ou d'une entreprise pour accéder à des comptes financiers ou supprimer, corrompre ou voler des données à des fins personnelles. Si elles ne sont pas surveillées, les cybermenaces peuvent corrompre le réseau informatique de l'entreprise, interrompre les processus métier et provoquer des temps d'arrêt indéfinis.

Les menaces à la cybersécurité peuvent prendre de nombreuses formes. C'est pourquoi il est crucial d'étudier les cyberdangers potentiels et de se préparer à les combattre.

Les logiciels malveillants (abréviation de « logiciels malveillants ») sont des logiciels spécialement conçus pour injecter du code malveillant dans un appareil ou un réseau cible et permettre d'autres actions nuisibles, telles que la corruption de données sensibles ou le dépassement d'un système.

Les attaques par rançongiciel sont un type d'attaque par logiciel malveillant qui bloque l'accès aux systèmes informatiques ou aux données jusqu'à ce qu'une rançon soit payée. De telles attaques sont généralement déclenchées par le téléchargement de logiciels malveillants sur le système cible. Certaines attaques visent à voler des données avant de chiffrer le système cible, ce qui les classerait comme des violations de données.

Les attaques d'hameçonnage sont des e-mails, des appels téléphoniques, des SMS ou des sites Web mal intentionnés conçus pour inciter les utilisateurs à télécharger des logiciels malveillants (attaque par téléchargement intempestif), à partager des informations sensibles ou des données personnellement identifiables (numéros de sécurité sociale, informations de carte de crédit, identifiants de connexion) ou à inciter les victimes ou leur entreprise à d'autres actions attrayantes qui exposent les victimes ou leur entreprise à des cybermenaces.

Une attaque de phishing réussie peut entraîner un vol d'identité, des attaques par rançongiciel, des violations de données, une fraude à la carte de crédit et des pertes financières pour l'organisation.

Les cinq types d'attaques de phishing les plus courants sont le phishing par e-mail, le spear phishing, le SMiShing, le whaling et le phishing Angler.

Une menace persistante avancée (APT) est une cyberattaque de plus en plus sophistiquée dans laquelle les cybercriminels établissent une présence non détectée dans un système ou un réseau pour voler des informations sur une période prolongée. Les attaques APT sont méticuleusement planifiées et conçues pour cibler une organisation spécifique, contourner les moyens de sécurité existants et passer inaperçues le plus longtemps possible.

Les attaques APT nécessitent généralement une personnalisation plus complète que les cyberattaques traditionnelles. Les attaquants sont généralement des équipes expérimentées de cybercriminels disposant d'un financement important pour s'attaquer à des cibles de grande valeur. Pour exploiter les vulnérabilités du système cible, ils ont investi beaucoup de temps et d'efforts dans la recherche de tous les points d'entrée potentiels au sein de l'organisation.

Les quatre raisons générales des APT sont le cyberespionnage (y compris les secrets d'État ou le vol de propriété intellectuelle), l'hacktivisme, la cybercriminalité à des fins financières et la destruction de données et d'infrastructures.

L'attaque d'ingénierie sociale vise à inciter les utilisateurs à faire quelque chose en jouant sur leurs émotions et leur processus de prise de décision. La plupart des attaques d'ingénierie sociale impliquent généralement une forme de manipulation psychologique pour tromper les employés sans méfiance et les amener à transmettre des informations sensibles. Habituellement, l'ingénierie sociale utilise le courrier électronique, les médias sociaux ou d'autres canaux de communication pour invoquer l'urgence ou la peur chez l'utilisateur afin que la victime révèle des données critiques, clique sur un lien malveillant ou exécute un code malveillant sous une forme ou une autre.

Les attaques DNS (Domain Name System) se produisent lorsque des cybercriminels exploitent les vulnérabilités du DNS d'un serveur. Le but du DNS est d'utiliser un résolveur DNS pour traduire des noms de domaine conviviaux en adresses IP lisibles par une machine.

Tout d'abord, le résolveur DNS interrogera son cache local pour le nom de domaine et l'adresse IP. S'il ne parvient pas à localiser les enregistrements requis, il interrogera d'autres serveurs DNS. Si cette étape du processus échoue également, le résolveur recherchera le serveur DNS contenant le mappage canonique du domaine. Une fois que le résolveur a localisé l'adresse IP spécifique, il la renvoie au programme demandeur et la met en cache pour une utilisation ultérieure.

Les attaques DNS exploitent généralement la communication en texte clair entre les utilisateurs et les serveurs DNS. Un autre type d'attaque courant consiste à se connecter au site Web d'un fournisseur DNS via des informations d'identification volées et à rediriger les enregistrements DNS.

Une attaque par déni de service (DoS) vise à arrêter une machine, un système ou un réseau, le rendant inaccessible aux utilisateurs auxquels il est destiné. Les attaques par déni de service inondent la cible de trafic ou envoient des ensembles d'informations spécialement conçus pour déclencher un plantage. Les deux scénarios bloquent l'accès aux utilisateurs légitimes de la ressource ou du service.

Même si les attaques par déni de service n'impliquent généralement pas le vol ou la perte de données, elles peuvent coûter beaucoup de temps et d'argent à une entreprise pour restaurer les systèmes dans leur état d'origine.

Une attaque par déni de service distribué (DDoS) suit un schéma similaire aux attaques par déni de service. Cependant, une attaque DDoS utilisera plusieurs systèmes compromis pour acheminer le trafic d'attaque. Les machines exploitables peuvent être des ordinateurs, des appareils IoT ou d'autres ressources réseau.

Le vol de propriété intellectuelle (PI) fait référence à l'exploitation ou au vol non autorisé d'idées, d'œuvres créatives, de secrets commerciaux et d'autres informations confidentielles protégées par les lois sur la propriété intellectuelle. Le vol de propriété intellectuelle peut comprendre diverses violations d'informations sensibles, y compris la violation de marques de commerce, de droits d'auteur et de brevets.

Le vol de propriété intellectuelle peut affecter les particuliers, les PME et les chefs d'entreprise mondiaux et menacer la sécurité nationale. Le vol de propriété intellectuelle peut nuire à la croissance économique et à l'innovation, ce qui fait de la sécurité des réseaux IP un must pour les organisations de toutes tailles.

Une violation de données fait référence à un incident de sécurité dans lequel des parties non autorisées prennent le contrôle d'informations sensibles ou confidentielles - données personnelles, telles que les numéros de sécurité sociale, les coordonnées bancaires, les données de santé ou les actifs de l'entreprise - enregistrements de données clients, informations financières, propriété intellectuelle, etc.

Les « violations de données » sont souvent utilisées de manière interchangeable avec les « cyberattaques ». Cependant, toutes les violations de données ne sont pas des cyberattaques, et toutes les cyberattaques ne sont pas des violations de données. Une attaque peut être considérée comme une « violation » lorsqu'elle conduit à la compromission de la confidentialité des données. Par exemple, une attaque DDoS qui bloque le trafic réseau n'est pas considérée comme une « violation ». D'autre part, les virus informatiques qui visent à voler ou à détruire des données sur le réseau de l'entreprise sont une « violation ». Il en va de même pour le vol physique de disques durs de stockage - disques durs externes, clés USB et même fichiers papier contenant des informations essentielles.

De nombreux exploits peuvent permettre des cyberattaques sur le réseau d'une entreprise. Ci-dessous, nous discuterons des approches les plus courantes utilisées par les cyberattaquants pour pénétrer les défenses du système.

Un man-in-the-middle (MiTM) fait référence à des attaques dans lesquelles des auteurs de menace interceptent et relaient secrètement des messages entre deux parties autorisées pour leur faire croire qu'elles communiquent directement l'une avec l'autre. L'attaque peut être classée dans la catégorie des « écoutes clandestines », dans lesquelles les attaquants interceptent et contrôlent l'ensemble de la conversation.

Les attaques MiTM donnent à l'acteur malveillant la possibilité de capturer et de manipuler des informations personnelles sensibles - identifiants de connexion, numéros de carte de crédit et détails de compte - en temps réel et, par conséquent, constituent une menace importante pour les réseaux de l'entreprise.

Les vulnérabilités tierces peuvent être introduites dans l'écosystème ou la chaîne d'approvisionnement d'une organisation par des parties externes. Il peut s'agir de fournisseurs, de vendeurs, de sous-traitants, de partenaires ou de prestataires de services, qui peuvent accéder aux données internes de l'entreprise ou des clients, aux processus, aux systèmes ou à d'autres données d'infrastructure critiques.

L'injection SQL (SQLi) est une vulnérabilité permettant aux attaquants d'interférer avec les requêtes d'une application à sa base de données. En règle générale, de telles attaques permettent à l'auteur de la menace d'afficher des données confidentielles, c'est-à-dire des comptes d'utilisateurs, des données ou d'autres informations sensibles auxquelles l'application peut accéder. Dans la plupart des cas, les attaquants peuvent modifier, corrompre ou supprimer ces données et provoquer des changements persistants dans le comportement ou le contenu de l'application.

Dans certains scénarios, les attaquants peuvent intensifier une attaque par injection SQL pour compromettre le serveur cible ou une autre infrastructure clé, ou effectuer une attaque par déni de service.

Parfois, les employés peuvent invoquer des menaces internes sans s'en rendre compte. Les actions accidentelles qui peuvent entraîner une violation de données sont les suivantes :

• Erreur de frappe d'une adresse e-mail et envoi accidentel de données professionnelles critiques à un concurrent.
• Ouvrir des pièces jointes dans des e-mails d'hameçonnage contenant un virus ou un logiciel malveillant.
• Cliquer sans le savoir sur un lien hypertexte malveillant.
• Élimination inappropriée de documents sensibles.

Les logiciels non corrigés contiennent des vulnérabilités connues qui permettent aux attaquants d'exploiter les faiblesses et de déployer du code malveillant sur le système. Les attaquants fouillent souvent dans les logiciels de l'entreprise pour rechercher des systèmes non corrigés et les attaquer directement ou indirectement.

Une vulnérabilité zero-day est une vulnérabilité logicielle découverte par des acteurs malveillants avant que l'éditeur de logiciels n'en ait pris connaissance. Parce que les développeurs ne sont pas au courant de la vulnérabilité, ils n'ont pas publié de correctif pour la corriger.

Un exploit zero-day exploite ces vulnérabilités pour attaquer les systèmes présentant des faiblesses précédemment identifiées. Une attaque zero-day réussie laisse aux fournisseurs et aux entreprises « 0 jour » pour réagir, d'où le nom de l'attaque. De telles attaques peuvent faire des ravages sur un système cible jusqu'à ce que la vulnérabilité soit corrigée.

Les attaquants peuvent utiliser des méthodes d'apprentissage automatique (ML) (réseaux antagonistes génératifs, apprentissage par renforcement, etc.) pour créer de nouvelles cybermenaces hautement sophistiquées capables de percer plus facilement les cyberdéfenses traditionnelles.

Grâce à des outils d'IA générative (par exemple, ChatGPT), les cybercriminels peuvent créer un code malveillant de meilleure qualité et plus sophistiqué, rédiger des e-mails de phishing personnalisés alimentés par l'IA, générer des données deepfake, saboter le ML dans la détection des cybermenaces, craquer des CAPTCHA et permettre une devinette de mot de passe efficace et des attaques par force brute.

Les attaques de la chaîne d'approvisionnement se produisent lorsque les attaquants utilisent un fournisseur externe ayant accès aux systèmes ou aux données cibles pour infiltrer les infrastructures critiques. Étant donné que la partie externe a obtenu l'accès aux applications, aux données sensibles et aux réseaux de l'entreprise, les attaquants peuvent percer les défenses du tiers pour infiltrer le système plus facilement.

La manipulation des données est une cybermenace de nouvelle génération. Au lieu de contourner brutalement les logiciels antivirus, les attaquants apportent des modifications subtiles et furtives aux données cibles pour obtenir un effet ou un gain. Certains auteurs de menace peuvent décider de manipuler les données pour déclencher intentionnellement des événements et en tirer parti. Plus la fraude est sophistiquée, plus la manipulation risque de compromettre l'intégrité des données.

Examinons deux exemples de menaces de cybersécurité qui se sont transformées en attaques à part entière.

Le service de vidéosurveillance basé sur le cloud, Verkada, a été piraté en mars 2021. À la suite de l'attaque, les acteurs de la menace ont pu accéder aux données privées des clients via le logiciel Verkada. De plus, les attaquants ont eu accès à plus de 150 000 caméras dans des hôpitaux, des écoles, des usines, des prisons et d'autres institutions grâce à des identifiants de compte administrateur légitimes qu'ils ont trouvés en ligne.

Plus tard, plus de 100 employés de Verkada ont été identifiés comme ayant des privilèges de « super-administrateur », ce qui leur a permis d'accéder à des milliers de caméras clientes, définissant le risque important associé à un grand nombre d'utilisateurs sur-privilégiés.

Ubiquiti Networks Inc., une entreprise américaine de technologie de réseau, a été victime d'une attaque de spear phishing. Les cybercriminels se sont fait passer pour une entité externe (ainsi que quelques employés de haut niveau) pour cibler l'équipe financière d'Ubiquiti et l'inciter à transférer un total de 46,7 millions de dollars.

À la suite de l'attaque, des conseillers externes et le comité d'audit de l'entreprise ont signalé des faiblesses importantes dans les contrôles internes de l'information financière de l'organisation, ce qui a entraîné la démission du directeur financier.

Même si elles ne menacent pas la sécurité nationale, les menaces de cybersécurité peuvent gravement affecter les processus quotidiens, les flux de revenus et les jalons de continuité des activités d'une organisation.

Pour lutter contre les risques de cybersécurité provenant de l'extérieur, ainsi que les menaces internes, les entreprises doivent s'appuyer sur les meilleures pratiques en matière de sécurité des données.

• Cryptage des données et sauvegardes régulières

L'enregistrement des données critiques dans un format texte normal permet aux attaquants d'y accéder plus facilement. Le chiffrement des données limite l'accès aux ressources aux utilisateurs disposant d'une clé de chiffrement. Même si les pirates parviennent à accéder aux données, ils ne pourront pas les lire à moins de les déchiffrer. De plus, certaines solutions de cryptage vous alerteront si d'autres parties tentent de modifier ou de falsifier les données.

Un autre aspect essentiel de la protection des données est la sauvegarde régulière de toutes les informations importantes. Parfois, les menaces de cybersécurité peuvent se transformer en violations de données à part entière, entraînant une perte de données. À la suite d'un tel scénario, vous ne pourrez pas récupérer les données perdues à moins de conserver une sauvegarde fiable et sécurisée dans le stockage.

Si vous ne parvenez pas à restaurer les données opérationnelles, vous risquez d'entraîner des temps d'arrêt, une perte de revenus et la méfiance des clients. Dans ce cas, votre équipe de sécurité doit suivre des directives de sauvegarde robustes, telles que la règle de sauvegarde 3-2-1. La règle vous suggère de conserver deux copies de vos données localement sur des supports différents, avec une copie supplémentaire stockée dans un emplacement hors site.

• Formation régulière des employés

Les e-mails d'hameçonnage sont l'un des principaux moyens pour les pirates d'infiltrer les réseaux de l'entreprise. Si vos employés interagissent avec des e-mails frauduleux, ils peuvent installer des logiciels malveillants sans le savoir ou accorder un accès au réseau à des attaquants.

Les e-mails d'hameçonnage sont difficiles à détecter car ils semblent légitimes à première vue. Sans une formation adéquate, vos employés peuvent être trompés et cliquer sur un lien malveillant, ouvrir une pièce jointe corrompue ou envoyer des informations sensibles à l'attaquant. C'est pourquoi il est essentiel d'organiser régulièrement des formations de sensibilisation à la cybersécurité pour éduquer vos employés sur les principales formes de cybermenaces et les meilleurs moyens de les bloquer.

• Mises à jour des systèmes et des logiciels

Les correctifs logiciels et système sont essentiels à votre stratégie de cybersécurité. Ils ajoutent de nouvelles caractéristiques et fonctionnalités et corrigent les failles de sécurité et les vulnérabilités logicielles que les acteurs malveillants peuvent autrement exploiter.

La mise à jour rapide de vos systèmes est essentielle pour contrer le code malveillant qui cherche à exploiter les faiblesses logicielles. Il est préférable de s'appuyer sur une solution de gestion des correctifs pour automatiser le processus et déployer toutes les mises à jour critiques dès qu'elles sont publiées.

• Évaluation et surveillance des fournisseurs

Comme nous l'avons mentionné, les auteurs de menace peuvent exploiter les vulnérabilités de l'environnement de votre fournisseur pour percer les défenses de l'entreprise. C'est pourquoi il est essentiel de mettre en place une gestion complète des risques liés aux fournisseurs. Cela vous aidera à atténuer les risques liés aux tiers au lieu de dépendre uniquement de la réponse aux incidents.

• Mots de passe forts

Un nombre stupéfiant de violations de données résultent de mots de passe faibles. Comme la technologie de craquage de mots de passe a beaucoup évolué ces dernières années, les mots de passe simples sont souvent obsolètes lorsqu'il s'agit de lutter contre les menaces de cybersécurité.

Chaque membre de votre organisation doit utiliser des mots de passe complexes combinés à une authentification multifacteur pour refuser l'accès aux parties non autorisées. Il est également préférable d'éliminer le partage de mot de passe pour isoler une attaque si un seul appareil est compromis. De plus, il est préférable de conserver tous les mots de passe dans un format crypté.

• Minimisez la surface d'attaque

La surface d'attaque d'un réseau comprend tous les points d'entrée potentiels que les attaquants peuvent exploiter (logiciels, systèmes d'applications Web, IoT, employés, etc.) pour pénétrer les défenses de sécurité.

Les trois principaux types de surface d'attaque sont les suivants :

• Physique : comprend les actifs de l'entreprise qu'un pirate peut engager s'il a un accès physique à vos bureaux.
• Numérique : comprend les ressources accessibles via Internet (et qui ne sont pas protégées par un pare-feu). Il s'agit notamment de serveurs d'entreprise, de systèmes d'exploitation, d'actifs obsolètes, tels qu'un site Web ancien mais toujours actif, etc.
• Ingénierie sociale - dans ce type de surface d'attaque souvent négligé, les attaquants exploitent la psychologie humaine et manipulent les employés pour qu'ils partagent des informations sensibles.

• Améliorer la sécurité physique

La plupart des stratégies de gestion des cyber-risques se concentrent sur l'aspect numérique de votre environnement, en négligeant les locaux physiques de l'entreprise. Cependant, les organisations doivent effectuer des évaluations de sécurité régulières pour déterminer l'état de sécurité des infrastructures critiques afin de les protéger contre les attaquants qui tentent de s'introduire dans leurs bureaux.

• Un Killswitch

Un killswitch peut protéger votre organisation contre les attaques à grande échelle. Cette forme de protection réactive en matière de cybersécurité permet à votre équipe de sécurité informatique d'arrêter tous les systèmes dès qu'elle détecte un comportement suspect jusqu'à ce que le problème soit résolu.

De plus, vous pouvez mettre en œuvre une analyse complète des menaces pour inspecter fréquemment les journaux des serveurs et effectuer des audits du cadre de cybersécurité pour garantir l'intégrité du système. Enfin, il est avantageux de déployer des outils d'analyse médico-légale du réseau pour analyser le trafic réseau.

• Pare-feu

Un système de pare-feu fiable protégera votre réseau contre les attaques par force brute et empêchera les incidents de cybersécurité de causer des dommages importants. De plus, les pare-feu surveillent le trafic réseau pour détecter et identifier les activités suspectes qui pourraient compromettre l'intégrité de vos données.

• Une politique de cybersécurité robuste

Des politiques de cybersécurité complètes font partie intégrante de la détection des menaces et de la prévention des violations de données. Lors de la création de vos directives en matière de cybersécurité, vous devez couvrir plusieurs aspects critiques :

• Reprise après sinistre (DR) : un plan de reprise après sinistre permet de s'assurer que tout le personnel sait quoi faire pendant ou après une attaque. Il minimise également les temps d'arrêt et garantit des processus métier sans entrave.
• Tests de sécurité : une politique de test de sécurité définit la fréquence de vos tests de cybersécurité, ce qui vous permet de découvrir et de corriger les vulnérabilités avant que les attaquants ne puissent les exploiter.
• Contrôle et gestion de l'accès - Cette politique décrit les parties qui peuvent accéder aux informations sensibles, réduisant ainsi le risque d'accès non autorisé.
• Réponse aux incidents (RI) - La planification des RI documente les étapes et les procédures à mettre en œuvre en cas de violation de données. Il attribue également des niveaux de responsabilité aux différents membres de l'organisation et réduit le temps de réponse de votre entreprise.

Le cadre de gestion des risques (RMF) du NIST fournit aux entreprises un processus de gestion des risques de sécurité de l'information et de confidentialité complet, flexible et mesurable en 7 étapes. Les directives et les normes du NIST soutiennent la mise en œuvre de programmes de gestion des risques pour protéger les systèmes de plus en plus vulnérables, prévenir les violations de données et concevoir une stratégie de cybersécurité robuste conformément aux exigences de la loi fédérale sur la modernisation de la sécurité de l'information (FISMA).

• Préparation

Comprend les activités et les processus essentiels pour préparer l'organisation à la gestion des risques liés à la sécurité et à la protection de la vie privée.

• Catégorisation

Fait référence à la catégorisation du système cible et de toutes les données traitées, stockées et transmises sur la base d'une analyse de l'impact des menaces.

• Sélection

Comprend la sélection des contrôles NIST SP 800-53 requis pour protéger le système informatique sur la base d'évaluations complètes des risques.

• Implémentation

Fait référence à l'implémentation des contrôles définis et à la documentation du processus de déploiement des contrôles.

• Évaluation

Fait référence à l'évaluation si les contrôles de sécurité sont correctement mis en place, fonctionnent comme prévu et fournissent les résultats souhaités.

• Autorisation

Désigne les hauts fonctionnaires qui autorisent le système à fonctionner à la suite d'une analyse et d'une décision fondées sur les risques.

• Surveillance

Fait référence à la surveillance continue de la mise en œuvre des contrôles et à l'identification des risques potentiels pour le système protégé.

Acronis Cyber Protect offre une cyberprotection complète dans une solution unique : vous pouvez gérer la détection des menaces, la protection des données, ainsi que les fonctions de sauvegarde et de restauration via un tableau de bord unique et centralisé pour rationaliser votre stratégie de cybersécurité.

Acronis Cyber Protect peut protéger les machines Windows, macOS, Linux, iOS et Android. De plus, vous pouvez exécuter Acronis Cyber Protect dans Acronis Cloud pour garantir une cyberprotection avancée dans les environnements de travail hybrides, mobiles et distants.

Les options de sauvegarde étendues éliminent le besoin d'une équipe de sauvegarde de données dédiée sur site, la reprise après sinistre dans le cloud garantissant un temps d'arrêt minimal et une continuité d'activité inégalée. Combattez facilement les menaces de cybersécurité avec Acronis Cyber Protect. Essayez-le dès aujourd'hui pour offrir un avenir meilleur à vos données.