Ces dernières semaines, l’actualité mondiale a été défrayée par de nombreuses vagues de cyberattaques. En France, celles-ci ont notamment frappé Saint-Gobain et la SNCF. Une étude publiée le 17 juillet 2017 par Lloyd’s, le marché d’assurance spécialisé, et le cabinet Cyence révèle qu’en 2016, les cyberattaques ont coûté quelques 450 milliards de dollars aux entreprises, à l’échelle mondiale. L’attaque subie en Avril 2015 par TV5 Monde est emblématique de la méthode qu’utilisent les pirates informatiques pour s’insinuer dans les réseaux d’entreprises et en prendre le contrôle.

En 2015 : une attaque informatique sans précédent frappe TV5 Monde

Début avril 2015, TV5 Monde, qui émet sur 200 pays pour 50 millions de téléspectateurs, a été victime d’un piratage informatique d’une ampleur inédite, avec une interruption de programme qui a duré plusieurs heures. L’Etat Islamique, qui a revendiqué ce piratage, a même réussi à prendre le contrôle des comptes Twitter et Facebook de la chaîne et à y diffuser de la propagande djihadiste. Cette attaque, perpétrée par le groupe APT28, soupçonné d’être le bras armé du Kremlin sur Internet, aurait coûté à la chaine 4,6 millions d’euros.

Une enquête « vue de l’intérieur » : voyage à l’intérieur du réseau

Dans un récent article du Monde, les experts de l’ANSSI, l’Agence Nationale de Sécurité des Systèmes Informatiques, contactés pour résoudre le problème, racontent comment les cybercriminels s’y sont pris. Les pirates se sont connectés au réseau interne de la chaine depuis l‘extérieur, au moyen d’un réseau privé virtuel (VPN). Pour ce faire, ils se sont servi d’un identifiant et d’un mot de passe appartenant à un sous-traitant de la chaine de télévision. En effet, un des moyens favoris des cybercriminels est de passer par le VPN de l’entreprise qu’ils visent, puis de créer un compte privilégié. Ces VPN sont ouverts aux employés, en interne et aux fournisseurs. Mais ces accès ne sont pas sécurisés.

Sécuriser les accès internes et externes

De nouvelles générations de solutions permettent de sécuriser et de contrôler les accès des tierces parties sans VPN, afin d’éliminer le point d’entrée permettant aux pirates de s’immiscer dans les environnements informatiques des entreprises. Ces solutions innovantes permettent d’autoriser et de simplifier les accès à distance sans mettre en danger la sécurité des systèmes. Elles fonctionnent à travers les pare-feu, sans VPN. En réduisant le nombre de connexions par VPN, les clients limitent la surface d’attaque des pirates essayant de pénétrer leur réseau. Par ailleurs, pour obtenir des contrôles beaucoup plus stricts et un accès beaucoup plus sécurisé que ceux d’un VPN traditionnel, des innovations en matière de sécurité élargissent le protocole de connexion à distance au-delà de la simple connexion LAN, sans compromettre la sécurité. Les clients peuvent ainsi rétablir les relations de travail avec leurs fournisseurs en quelques heures, mais cette fois avec des garanties de sécurité.

Contrôler les autorisations d’accès aux différents systèmes

L’enquête de l’ANSSI a montré qu’une fois à l’intérieur du réseau, il a été possible aux cybercriminels de s’octroyer les pleins pouvoirs. Lors de cette moisson fructueuse, ils ont récupéré de nombreuses informations, notamment des identifiants et des mots de passe de diverses machines. Les nouvelles solutions permettent de déterminer à quels systèmes les fournisseurs peuvent accéder, à quel moment et pour combien de temps. Ces derniers ne peuvent donc plus circuler sur le réseau de l’entreprise, accéder à d’autres systèmes ou à des comptes avec des droits et privilèges supérieurs. Il suffit de mettre en place des droits d’accès différents, selon les rôles des utilisateurs et de définir des paramètres de session, tels que les périodes d’accès, les autorisations nécessaires et les opérations autorisées. Le fait de rajouter une authentification à deux facteurs permet de garantir encore plus de sécurité. Autre point clé, pour un niveau de protection encore plus important, il est désormais possible de stocker de façon sécurisée les mots de passe des comptes privilégiés et d’injecter de façon automatique de nouveaux identifiants, sans que l’utilisateur ne les voie.

Des cybercriminels qui ont tissé leur toile, lentement mais sûrement

Le récit de l’attaque précise les étapes suivies par les hackers : « l’offensive a débuté le 23 janvier […]. Le 8 avril, à 19 h 57, l’assaillant commence son entreprise de démolition […]. La première action visible intervient à 20 h 58, quand les comptes sur les réseaux sociaux prennent les couleurs d’un mystérieux « cyber-califat » et affichent leur soutien à l’organisation Etat islamique […] ». Entre leurs premiers accès et le moment où TV5 Monde a constaté l’attaque, il s’est passé deux mois et demi ! Pour pouvoir réagir plus vite, limiter les dommages et suivre l’activité complète des cybercriminels en cas d’attaque, les entreprises doivent absolument disposer de réponses adaptées.

De nouveaux systèmes de sécurité permettent aujourd’hui de créer une piste d’audit et un enregistrement vidéo de toutes les activités des fournisseurs. Les recherches et les alertes sont également possibles. Les utilisateurs autorisés peuvent non seulement suivre, mais également mettre fin aux sessions, en temps réel. Les entreprises peuvent ainsi gagner en visibilité sur les activités des utilisateurs privilégiés sur le réseau. Elles peuvent également identifier les utilisations inappropriées ou abusives, tout en respectant les exigences en matière d’audit.

_________
Benoît Motheron est Directeur France de Bomgar