Cyberattaques : le tiercé gagnant des hackers

Cyberattaques / hackers

Avec l’émergence de nouvelles technologies telles que l’Intelligence Artificielle et l’apprentissage automatique, de nouvelles failles apparaissent en effet au sein des entreprises et aggravent leur exposition aux menaces.

Lavi Lazarovitz, CyberArk Labs Ream Leader revient sur la sophistication croissante des techniques de cyberattaque. Il met en avant les trois vecteurs qui seront les plus utilisés par les cybercriminels, et qui nécessitent une grande surveillance : le cloud, l’authentification et les privilèges.

La transformation numérique constitue à elle seule une menace significative. Le simple fait de déclarer qu’une entreprise vient d’adopter une nouvelle stratégie digitale, ou cherche à innover rapidement, peut en effet susciter l’intérêt des cybercriminels. En outre, mettre l’accent sur les DevOps et l’innovation peut également engendrer indirectement une baisse du niveau de sécurité.

Récemment, une enquête réalisée auprès de 1 300 décisionnaires IT, de spécialistes DevOps et de développeurs, a révélé que 79 % des organisations françaises ne disposent d’aucune stratégie liée à la gestion et la sécurisation des secrets DevOps ; alors que plus d’un tiers (37 %) des spécialistes DevOps admettent que leurs outils et environnements ne sont pas assez sécurisés et forment l’une des cibles les plus vulnérables de leurs organisations.

Ces dernières s’exposent dès lors à de nombreux risques, et toutes les innovations qu’elles pourraient déployer ne feront qu’accentuer les menaces planant sur ses données clients et stratégiques.

Pour les organisations, l’une des meilleures façons de protéger leurs données les plus précieuses, et de s’assurer que seules les personnes adéquates peuvent y accéder, consiste à mettre en place une stratégie de gestion et de sécurisation des comptes à privilèges, aussi appelés administrateurs ou à hauts pouvoirs.

En effet, dans la majorité des attaques récentes, des identifiants subtilisés sont utilisés aux différentes étapes : l’infiltration, les mouvements latéraux dans le réseau, et enfin, l’exfiltration de données.

Cette menace ne fera que s’intensifier via les nouvelles méthodes mises au point par les cybercriminels. Trois vecteurs d’attaque devraient ainsi prendre de l’ampleur au cours des prochains mois :

Du nuage au brouillard   

La migration vers une infrastructure cloud, qu’elle soit privée ou publique, restera un sujet sensible en termes de gestion des accès et des privilèges, et de visibilité des opérations. Les centres opérationnels de sécurité (ou SOC pour Security Operation Centers), qui contrôlent et surveillent les comptes à hauts pouvoirs, pourraient manquer de visibilité afin de pouvoir déceler à temps toute activité malveillante ou suspicieuse.

Bien que les attaques opportunistes puissent être décelées plus rapidement, du fait de leur nature ostentatoire, les cybercriminels qui adopteront une approche plus ciblée en s’introduisant insidieusement dans les systèmes, pourront rester cachés longtemps. Par conséquent, les délais de détection, qui sont actuellement de 110 jours en moyenne, pourraient revenir à la même durée qu’il y a quelques années, soit 220 jours et plus. De ce fait, les entreprises ne peuvent pas se contenter de répondre aux menaces lorsque celles-ci se présentent, et doivent déployer un système de protection efficace pour préserver la confidentialité de leurs données.

Authentification à deux facteurs & authentification unique

Les services cloud se standardisent, le déploiement de l’accès par authentification unique, ou SSO pour Single Sign On, se généralisera et deviendra indispensable d’ici peu.

Dans un futur proche, les utilisateurs pourront ainsi travailler de façon continue, sans devoir saisir régulièrement des mots de passe.

Grâce au SSO, les employés n’ont qu’à saisir leur mot de passe une ou deux fois par jour pour obtenir un jeton d’accès aux services mis à leur disposition.

Si un système d’authentification forte est déployé, l’utilisateur doit alors présenter un second facteur, en complément de son mot de passe, pour obtenir ce jeton d’accès lui permettant de travailler toute la journée, sans avoir à s’authentifier de nouveau.

Quant aux cybercriminels qui réussiront à pénétrer dans un réseau, ils adopteront des technologies leur permettant de contourner l’authentification à deux facteurs et d’utiliser les jetons légitimes émis aux utilisateurs.  Pour contrer cette menace, les entreprises devront étroitement surveiller l’activité de leurs comptes à privilèges et réserver les SSO aux services et utilisateurs qui ne présentent pas de risques majeurs pour l’organisation.

Des privilèges précis

Etant donné que la gestion et la protection des comptes à privilèges deviendra un jeu d’enfant pour les équipes de sécurité, les cybercriminels devront s’adapter et utiliser des identifiants dotés de peu d’accès pour ne pas être détectés. Ils devront dès lors créer de nouveaux comptes avec des privilèges spécifiques, ou modifier des comptes sans privilèges, en leur octroyant des autorisations afin d’accéder à des données supplémentaires, ou à d’autres emplacements réseau. Ils contourneront ainsi les restrictions et les systèmes de détection des équipes SOC. Cette forme d’attaque poussera les organisations à contrôler de façon systématique les privilèges de l’ensemble de leurs comptes, en particulier lorsque ceux-ci subissent des modifications.

Finalement, alors que de nouvelles formes d’attaque voient le jour et que les systèmes de défense traditionnels vacillent, il est temps pour les entreprises de reconsidérer leurs pratiques en matière de sécurité et de mettre en place une stratégie cohésive. Une telle coordination demandera des investissements. Cependant, face à des cybercriminels prêts à abuser de toutes les vulnérabilités possibles, le temps commence à manquer pour prendre les mesures nécessaires.