Comment faire face à des compromissions de données sans cesse plus complexes, envahissantes et dommageables ? Gabriel Leperlier revient sur le cas de l’université qui a subi une compromission par un botnet, et évalue comment les entreprises peuvent se prémunir des cyberattaques et comment elles doivent réagir en cas de compromission avérée.
Tribune Verizon, rédigée par Gabriel Leperlier, Head of Continental Europe Advisory Services GRC/PCI – Les compromissions de données deviennent sans cesse plus complexes ; elles ne sont plus confinées au seul département IT, mais touchent désormais chaque service d’une entreprise. Surtout, chaque compromission laisse une empreinte persistante sinon durable sur l’entreprise victime.
La plupart des victimes de compromission de données se pensent isolées, confrontées à des tactiques et des malwares particulièrement sophistiqués et inconnus jusque-là. Mais ce n’est pourtant pas le cas, et il existe de nombreux points communs dans les affaires de compromissions de données. L’objectif du Verizon Data Breach Digest est de partager les archives de cyberattaques, afin que les secteurs d’industrie concernés renforcent leurs processus de sécurité pour mieux se défendre face aux cybercriminels.
L’ambition de ce rapport vise à ce que les entreprises comprennent comment identifier les signes d’une compromission de données, quelles sont les sources de preuves importantes et quels sont les moyens à mettre en œuvre pour mener des investigations, et contenir ou se remettre d’une compromission.
Des canaux de communication ouverts
Les activités de réponse aux incidents en cas de compromission de données (investigation,
confinement, éradication, notification et restauration) sont proportionnellement complexes. Les activités de réponse aux incidents ne sont pas qu’un problème de sécurité IT ; c’est le problème de toute l’entreprise, impliquant des intervenants techniciens et non techniciens. Et chaque partie prenante apporte sa perspective légèrement singulière ou son point de vue quant à l’effort à déployer en réponse à la compromission. Leurs contributions interviennent lors de la prise de décisions majeures, les actions prises instantanément et les enseignements à retirer de l’expérience. Le timing est d’une importance critique pour l’efficacité de la réponse aux incidents et il est vital de pouvoir compter sur les lignes de communication ouvertes. La réalité est que les cybercriminels peuvent s’introduire et voler des données en quelques minutes. Dans 93% des cas de vol de données examinés par ce rapport, les systèmes ont été compromis en quelques minutes tout au plus et l’exfiltration des données s’est produite en l’espace de quelques minutes dans 28% des cas. Mais même quand l’exfiltration prend plusieurs jours, les criminels n’ont pas de quoi s’en faire car, dans 83% des cas, les victimes n’ont pas détecté qu’une compromission avait eu lieu avant plusieurs semaines.
Plus le temps est long avant qu’une organisation découvre une compromission, plus les criminels ont de temps devant eux pour trouver les précieuses données qu’ils sont venus chercher et perturber les opérations de l’entreprise victime.
Coup de projecteur sur l’IoT
L’IoT possède un énorme potentiel pour changer définitivement la manière dont nous interagissons avec le monde via la technologie. La prolifération des dispositifs IoT conduit inévitablement à plus d’automatisation, l’analyse de données Big Data et les décisions fondées sur l’intelligence artificielle faisant désormais partie de notre quotidien. Une solution IoT requiert un cadre de sécurité et de confidentialité complet et détaillé. C’est un domaine qui demande encore beaucoup de travail de conception, et une forte volonté commune des acteurs du marché de l’IoT à collaborer à la sécurité sous-jacente.
Et bien que nous soyons dans un monde hyper-connecté, la question de la sécurité de l’IoT demeure encore largement sous-estimée. Le principal problème est que la plupart des sociétés ne réalisent pas que les composants qui sous-tendent l’innovation agile de l’IoT peuvent mal fonctionner et avoir un impact largement supérieur à ce que l’on voit dans l’environnement IT traditionnel. Les dispositifs IoT sont généralement connectés en permanence à Internet et on ne les aborde pas toujours sous l’angle de la sécurité, ce qui les expose à une diversité d’attaques. Ceci fait des dispositifs IoT une cible idéale pour être enrôlés dans une armée de botnets.
Prenons l’exemple de cette université :
- Le crime : l’équipe de sécurité IT d’une université recevait un nombre croissant de réclamations d’étudiants au sujet d’une connectivité réseau lente ou inaccessible.
- Les indices : les serveurs de noms responsables des consultations DNS bloquaient les
consultations légitimes, empêchant l’accès à la majorité d’Internet. Les serveurs avaient notamment bloqué des sous-domaines anormaux concernant les fruits de mer. Notre analyse du pare-feu a permis d’identifier plus de 5 000 systèmes individuels déclenchant des centaines de consultations DNS toutes les 15 minutes. Quasiment tous étaient sur un segment du réseau dédié à l’infrastructure IoT. - Le coupable : un botnet IoT s’était propagé de dispositif en dispositif, des ampoules d’éclairage aux distributeurs automatiques, en forçant les mots de passe par défaut et faibles.
- Leçons apprises/recommandations : créez des zones séparées sur le réseau pour vos systèmes IoT. Changez les identifiants par défaut sur les dispositifs. Incluez les dispositifs IoT dans l’inventaire des actifs IT ; vérifiez régulièrement que des mises à jour de firmwares sont disponibles sur les sites web des constructeurs.
Que faire ?
De nombreuses entreprises victimes de cyberattaques n’ont pas mis en place les pratiques de sécurité de base, comme l’identification des actifs et des données les plus critiques de l’organisation ainsi que la mise en place de contrôles renforcés pour gérer le risque. Négliger ces étapes élémentaires peut mener au désastre.
Voici quelques recommandations élémentaires : connaître son secteur d’industrie et quels sont les schémas d’attaque les plus fréquents ; utiliser l’authentification bifactorielle pour vos systèmes ; encourager les utilisateurs à privilégier les applis de réseaux sociaux utilisant l’authentification bifactorielle, le cas échéant ; déployer rapidement les correctifs et n’autoriser l’accès qu’aux seules personnes qui en ont absolument besoin ; surveiller toutes les entrées et chiffrer les données ; former les membres du personnel pour les sensibiliser aux bonnes pratiques de sécurité. Surtout, identifiez bien les données dont vous disposez pour savoir les protéger convenablement.
Souvenez-vous que la sensibilisation est la première et la meilleure ligne de défense contre les cybercriminels, et c’est ce manque de sensibilisation dans certaines organisations permet à la majorité des cyberattaques d’aboutir. Il est essentiel que les industries continuent de partager l’information sur le cybercrime et les tactiques employées ; cette richesse d’information peut aider l’ensemble des secteurs à lutter contre le cybercrime.
Lorsqu’il est déjà trop tard et que la compromission a eu lieu, voici les mesures que peuvent prendre les organisations :
- Préserver les preuves ; envisager les conséquences de chaque action entreprise
- Se montrer flexible ; s’adapter aux situations changeantes
- Instaurer des méthodes de communication cohérentes
- Connaître vos limites ; collaborer avec les autres parties prenantes
- Documenter les actions et les conclusions ; être en capacité de les expliquer.
Les compromissions de données gagnent en complexité et en sophistication et les compromissions touchent tous les services d’une entreprise, jusqu’aux membres du conseil d’administration. Les entreprises doivent être en capacité de traiter les compromissions de données avant qu’elles se produisent pour pouvoir s’en remettre le plus vite possible. Dans le cas contraire, les compromissions peuvent provoquer des dommages dans toute l’organisation, avec des conséquences dévastatrices et durables, dont la perte de confiance des clients ou la chute du cours des actions.