La plateforme gouvernementale Cybermalveillance.gouv estime que 837 entreprises ont été touchées par un ransomware en 2020 (667 en 2019). Cette multiplication des attaques (réussies) en 2020 est très révélatrice : soit les entreprises n’ont plus aucun contrôle sur les services potentiellement vulnérables aux attaques en ligne, soit elles n’en ont jamais eu. Les pirates se servent souvent des informations publiées sur les sites Web des entreprises pour obtenir des renseignements sur leur infrastructure réseau et mettre à profit ces connaissances lors de leurs attaques. Il leur suffit de recueillir des indices accessibles publiquement pour ensuite installer des malwares et dérober des données confidentielles.
S’il y a bien une résolution que les départements informatiques doivent prendre en 2021, c’est celle d’identifier et de réduire tous les vecteurs d’attaque.
Du point de vue de la sécurité, les entreprises exposent en ligne plus d’informations sur leur infrastructure qu’elles ne le devraient. C’est un fait bien connu. Un service mal configuré laisse des traces sur le Web, tandis que des environnements de développement insuffisamment sécurisés sont une véritable porte ouverte aux pirates. Ils leur donnent accès à des calendriers de réunion partagés, à des fichiers multimédias, voire à des routeurs, qui sont autant de risques d’exposition des données. Pire encore, dès lors qu’une infrastructure matérielle est connectée à Internet, il est très facile pour les attaquants de glaner des informations à son sujet. Un pare-feu, par exemple, établit une frontière entre le réseau interne et externe. Ce faisant, il peut involontairement fournir un aperçu de la structure de l’entreprise à des acteurs externes en divulguant les noms de réseau ou les domaines utilisés au sein des environnements internes.
Grâce à ces renseignements d’origine source ouverte (ou OSINT pour Open Source Intelligence) sur les noms d’hôtes des infrastructures, tels que ras.société.com ou vpneur.société.com, les attaquants sont en mesure de collecter des informations sur les services d’accès à distance ou les accès VPN en Europe. Les ressources avec restrictions d’accès, comme msql.société.com:1433 pour les bases de données de production, ou connect.société.com pour les portails d’accès, permettent également aux pirates de recueillir des informations en ligne sur les entreprises, puis de les exploiter afin de trouver des points d’entrée potentiels et de lancer des attaques. Ce type de données est librement accessible en ligne, souvent même sans que l’entreprise concernée ait conscience des risques encourus. Les attaquants se servent de ces informations du domaine public pour repérer les faiblesses et les points d’accès au réseau de l’entreprise.
Méconnaissance des vecteurs d’attaque de la part des entreprises
Le fait que les entreprises semblent ignorer les surfaces d’attaque potentielles exposées à la vue de tous dans leur propre infrastructure informatique tient à de nombreuses raisons. Les circonstances exceptionnelles que nous avons connues l’année dernière ont sans aucun doute joué dans leur propension à publier en ligne plus d’informations que nécessaire au sujet de leur infrastructure d’accès à distance. En 2020, elles ont dû rapidement mettre des systèmes à la disposition du personnel via un accès à distance, et ce, à grande échelle. Cependant, l’impact de la crise sanitaire mondiale n’est pas la seule cause. De nombreuses autres raisons expliquent pourquoi les entreprises peuvent facilement perdre le contrôle de leur infrastructure informatique.
Parmi les dangers potentiels figurent le départ d’employés chargés de la maintenance des actifs réseau, l’obsolescence de composants d’infrastructure complètement oubliés et dont personne n’est responsable, ou encore le manque flagrant de processus et d’inventaires pour les services en ligne et les composants réseau existants. Les environnements de développement, souvent moins sécurisés que ceux dédiés à la production, présentent également des risques. La possibilité pour pratiquement n’importe qui de mettre en place un service constitue aussi une menace. Si l’opération n’est pas effectuée par un expert ni dans les règles de l’art, ou si les responsabilités ne sont pas clairement définies, la prolifération dangereuse et incontrôlée d’informations en ligne est le prix à payer pour la simplicité. Les entreprises doivent comprendre que chaque service en ligne est visible par tout le monde. Cela signifie que n’importe quel internaute peut venir frapper à la porte en ligne de l’entreprise et, en l’absence de solutions de sécurité efficaces, franchir sans problème le seuil du réseau.
Bien gérer l’expansion en ligne
Rendre des informations publiques et en discuter avec des tiers est le propre d’Internet. Néanmoins, tous les services et les actifs doivent être protégés par des mesures de sécurité adéquates. Un site d’achat en ligne doit être accessible aux utilisateurs, sans pour autant donner inutilement accès à des informations telles qu’une base de données clients. Lors du choix d’une solution de sécurité, les entreprises doivent commencer par déterminer quelles informations rendre accessibles à tous et quelles données réserver à un cercle restreint d’utilisateurs.
Pour limiter les vecteurs d’attaque, la priorité numéro un consiste à attribuer des niveaux de sécurité distincts aux différents groupes d’utilisateurs. La distinction entre publics cibles internes et externes peut servir de critère de catégorisation de base. En interne, certains groupes auront besoin d’un accès aux applications, tandis que l’équipe de support devra disposer de droits d’accès plus complets. Les administrateurs qui gèrent les applications auront eux aussi besoin de droits renforcés. L’accès doit être défini à un niveau granulaire. Sur le plan externe, il convient de faire la distinction entre les scénarios utilisateur impliquant des clients ou d’autres tiers. Pour chaque catégorie d’utilisateurs, les entreprises doivent instaurer un niveau de sécurité contrôlé reposant sur une segmentation granulaire, selon les besoins des groupes d’utilisateurs. La difficulté de ce type de configuration réside dans sa complexité. Les techniques traditionnelles de segmentation basées sur des interactions manuelles augmentent les risques d’erreurs.
La mise en œuvre d’une sécurité automatisée selon une approche « Zero Trust » peut être la solution au problème. Le système isole les services et les données requis par l’utilisateur en s’appuyant sur son identité et ses droits d’accès. Ce principe vaut aussi bien pour les services et les applications Cloud que pour les réseaux physiques. L’isolement et la segmentation en fonction des droits d’accès des utilisateurs aux différents niveaux applicatifs empêchent les attaquants de pénétrer dans le système et de progresser latéralement au sein du réseau de l’entreprise. Pour implémenter le concept de segmentation, les entreprises doivent au préalable évaluer avec précision le niveau d’exposition en ligne de leur infrastructure.
Analyse des vecteurs d’attaque
Tous les services ou équipements accessibles en ligne représentent une surface d’attaque potentielle. Les entreprises doivent donc avoir une vision complète des éléments exposés en ligne avant de pouvoir mettre en place des mesures de sécurité adéquates. Les outils capables de détecter ces renseignements d’origine source ouverte et d’indiquer où intervenir facilitent le processus.
Tout n’a pas nécessairement besoin d’être accessible en ligne, au plus grand nombre et de manière non sécurisée. Ce n’est qu’une fois les vecteurs d’attaque ouverts identifiés que les entreprises pourront agir sur la sécurité, et établir des règles de segmentation et d’isolement appropriées pour les applications via un modèle Zero Trust. Les applications seront alors uniquement accessibles aux utilisateurs autorisés, ce qui fermera la porte aux attaquants.
En 2020, le télétravail a encore un peu plus étendu le périmètre informatique de l’entreprise et élargit la surface d’attaque de l’entreprise. C’est sans aucun doute l’une des raisons de l’augmentation des cyberattaques, notamment de ransomware. L’urgence du maintien de l’activité de l’entreprise est passé, il est désormais temps, en 2021, de reprendre la main sur sa cybersécurité et la compréhension de ses vulnérabilités exposées aux cyberattaquants.
___________________
Par Nathan Howe, Directeur Stratégie de transformation EMEA de Zscaler