Comprendre les cyberattaques et faire face à leur multiplication

ParOlivier Giraud

Comprendre les cyberattaques et faire face à leur multiplication

Les cyberattaques concernent aujourd’hui les particuliers et les entités (entreprises, associations, organismes publiques) de toutes tailles et de tous secteurs. Chaque jour révèle son lot d’attaques d’envergure plus ou moins grande.

Les technologies sont utilisées partout. De nos PC, tablettes, smartphones, elles se sont progressivement immiscées dans nos objets du quotidien (montres, brosse à dents, électroménager, enceinte connectée…). Mais désormais, boostées par l’IoT (l’internet des objets) et bientôt la 5G, elles envahissent désormais tout : à la maison (smarthome), les transports (véhiculent autonomes…), nos villes (smartcity), les réseaux (smartgrid…), le monde industriel (usines 4.0).

Ces technologies produisent de grandes quantités de données, parfois des données personnelles, parfois des données sensibles voir stratégiques.

La sécurisation des SI est nécessaire mais même dotés des meilleures protections, des failles subsistent toujours (les vulnérabilités zéro-day par exemple).

Le contexte actuel de pandémie, qui a contraint l’adoption massive du télétravail dans l’urgence, a entrainé le déploiement à la va vite de solutions informatiques peu sécurisées, donc sans grande maîtrise des risques et sans mise en place des dispositifs de cybersécurité adéquats. 

Ainsi, des failles existent et/ou subsistent. Les pirates, dont beaucoup se sont professionnalisés et regroupés, les utilisent.

Mais comment comprendre et faire face aux cyberattaques ?

Les principales cyberattaques

Il faut d’abord comprendre quelles sont ces cybermenaces.

Parmi les principales cybermenaces :

  • Le Ransomware est une application qui verrouille l’accès à vos données. L’attaquant demande, pour déverrouiller l’accès, une rançon. NB : il ne faut jamais payer la rançon, car il n’y aucune assurance que l’accès aux données soient débloquées pour autant. De plus, l’entité deviendra une cible récurrente puisqu’elle paie. A savoir également : les entités possèdent désormais souvent des sauvegardes permettant de rétablir le système et donc d’éviter de payer la rançon. Donc les attaquants attaquent désormais aussi les sauvegardes, les rendant inopérantes. Donc les entités doivent protéger leurs sauvegardes et vérifier régulièrement qu’elles fonctionnent. L’attaquant peut également copier les données avant d’en bloquer l’accès. En cas de non-paiement et/ou d’un rétablissement du système à l’aide d’une sauvegarde, il pourra menacer l’entité de publier les données sur internet avec les conséquences en termes d’image, de confiance à assumer.
  • Le Déni de service (DoS) est attaque informatique qui provoque le dysfonctionnement ou la paralysie complète d’un service proposé (la plupart du temps sur internet) en sollicitant le système d’information de la cible, jusqu’à saturation.
  • L’hameçonnage, (phishing), est une technique par laquelle un attaquant usurpe l’identité d’un tiers légitime, par exemple une banque via un e-mail frauduleux (ou un mail covid du ministère de la santé) qui parait authentique, dans le but d’obtenir des informations sensibles.
  • L’intrusion désigne un accès non autorisé au système d’information de l’entité.
  • Le malware (logiciel malveillant) est un logiciel qui vise à nuire à votre ordinateur, à en prendre le contrôle, à accéder à votre réseau d’entité et/ou à voler ou détériorer vos données. Parfois il vous avertit de la présence de logiciels nuisibles sur votre terminal et vous invite, contre rémunération à contacter quelqu’un ou à télécharger des logiciels de « réparation ».
  • Toute autre méthode malveillante : l’ingénierie sociale (manipulation d’une personne sur la base de renseignements la concernant en vue de l’escroquer), faux site internet, clé USB infecté, faux réseau WiFi…

Qui sont les attaquants et quelles sont leurs motivations ?

Les attaquants à l’origine de ces cyberattaques sont multiples. Parfois, ils se liguent entre eux et/ou commanditent à d’autres des attaques pour plus d’efficacité et de discrétion. On trouve :

  • Les pirates informatiques isolés qui souhaitent nuire à l’entité par rancœur (suite à un licenciement par exemple) idéologie ou par motivation financière (ex : ransomware).
  • Des hacktivistes qui regroupent des hackers dont la motivation est idéologique et qui cherchent à nuire à la réputation et à l’image de marque d’une entité (ex : piratage et modification de la page d’accueil d’un site par l’affichage d’un message revendicatif ou dégradant pour l’entreprise, autre ex : déni de service DoS).
  • Des groupes de cybercriminels motivés par l’argent (ex : ransomware – autre ex : vol de données bancaires d’une entreprise et revente sur le darkweb – autre ex : commercialisation d’outil de piratage…)
  • Les entreprises spécialisées ou des communautés de hackers mercenaires qui pratiquent l’espionnage, le sabotage, le vol de données, la déstabilisation qui peuvent s’attaquer à des personnalités, des entreprises, des organismes publics, des états.
  • Des agences d’état qui mènent des actions de surveillance, d’espionnage, d’attaque.

Les attaques informatiques présentent plusieurs avantages pour les attaquants. Elles sont :

  • Peu risquées,
  • Discrètes (pour une attaque bien réalisée, il est souvent impossible d’identifier avec certitude l’attaquant),
  • Peu couteuses,
  • Très efficaces (une attaque bien menée peut paralyser ou détruire tout un SI),
  • Elles peuvent être furtives (difficiles à détecter).

Conséquences des cyberattaques

Pour la victime, les conséquences potentielles sont multiples et dépendent du type d’attaque. Cela peut être :

  • Du temps d’exploitation perdu si le SI est indisponible et donc l’activité de l’entité ralentie voire stoppée.
  • Des coûts d’investigations et de remise en état du SI et des coûts potentiels d’actions en justice.
  • La perte de confiance des clients.
  • L’atteinte à la réputation et la déstabilisation de l’entreprise, d’une personne publique (homme politique, dirigeant d’entreprise…) ou d’institutions par la diffusion de documents internes sensibles, de données personnelles…
  • Le vol d’informations stratégiques revendues à un concurrent, potentiellement : processus de fabrication, innovations technologiques, secrets commerciaux…
  • Dans le cas d’impact sur des données personnelles, l’exposition à des sanctions de la CNIL.
  • Des litiges avec vos clients pour les mêmes raisons
  • Si certaines de vos données ont été détruites ou chiffrées, que vous ne pouvez les récupérer alors qu’elles sont nécessaires à votre activité, la pérennité de votre activité peut être compromise.
  • L’atteinte au fonctionnement d’objets ou de SI sensibles avec parfois des impacts humains et/ou économiques. Exemples : Prise de contrôle à distance, sabotage, blocage par un pirate :
    • D’une voiture autonome en cours de trajet avec les risques d’accidents que cela comporte.
    • Des systèmes informatiques d’une entité – par exemple un hôpital, une banque… impactant voir bloquant leur fonctionnement.
    • De machines pouvant par exemple, dans le cas de services publics bloquer la distribution d’eau, d’électricité, les transports…
    • D’un système domotique donnant accès à vos serrures électroniques, vos caméras de surveillance, vos enceintes connectées, votre système d’éclairage, de régulation thermique…
  • Des primes d’assurance qui peuvent augmenter.
  • Des pertes financières liées à toutes les conséquences précédentes.

NB : Les entreprises utilisent ces techniques pour éliminer des concurrents, gagner des appels d’offre, étayer des procès.

Que faire face à ces cybermenaces ?

Il existe différents dispositifs à mettre en œuvre qui dépendent de la maturité de l’entité :

  • Mettre en place un dispositif de défense efficace en appliquant les bonnes pratiques de sécurité du SI puis monter en maturité en particulier pour les actifs les plus risqués.
    • NB : vos ressources informatiques (cloud, infogérant) et accès externes (télétravail, prestataires externes) doivent également être protégés de façon suffisante. NB : Les prestataires d’une grande entreprise ont souvent leur SI moins bien protégés que le leur. Les pirates les ciblent donc pour accéder plus facilement au réseau de leurs clients. La mise en œuvre massive et dans l’urgence du télétravail s’est parfois faite au détriment de la sécurité. Lorsque, par exemple un collaborateur utilise son PC personnel souvent très peu protégé pour se connecter au réseau de l’entreprise.
    • Sensibiliser les collaborateurs face aux risques, leurs manifestations et les bonnes pratiques à adopter.
    • Toutefois, si ces dispositifs sont indispensables, ils ne sont pas suffisants. Ils peuvent être contournés car ils ne protègent que contre des menaces déjà connues.
  • Mettre en place des dispositifs et une équipe de surveillance du SI pour détecter les attaques, les traiter efficacement. Mettre en place des dispositifs de continuité d’activité, de reconstruction du SI et de reprise de l’activité. Par exemple un SOC (Security Operations Centers).
  • Coopérer à des structures d’alerte et d’assistance telles que les CERT (Computer Emergency Response Team). Elles aident les organismes qui lui sont rattachés à faire de la prévention et du traitement d’incidents de sécurité IT.
  • Solliciter des entreprises spécialisées dans la prévention des fuites internes pour des clients particulièrement visés tels que les célébrités, les secteurs du luxe, de la pharmacie, de l’énergie, de la défense, du divertissement. Ces entreprises surveillent en permanence le darknet pour détecter des failles zéroday par exemple, des données et fichiers volés de leurs clients.
  • Mettre en place une stratégie d’attaque.

Conclusion

Les cyberattaques se multiplient et se professionnalisent. Des états, des entreprises, des groupes d’intérêts divers les utilisent de plus en plus pour nuire, déstabiliser voire éliminer leurs adversaires.

Même dotés d’un véritable arsenal informatique, il n’existe pas de dispositif de défense infranchissable. Le contexte actuel de développement des IoT et la généralisation du télétravail génère des vulnérabilités supplémentaires. La mise en place de dispositifs de surveillance et d’intervention est donc indispensable. Une cyberattaque est facile à mettre en place, difficile à anticiper et presque impossible à contrer. Ne rien faire pour faire face, c’est condamner son activité.

À propos de l’auteur

Olivier Giraud administrator

Laisser un commentaire