Autrefois considéré comme un avantage stratégique, le cloud est rapidement devenu indispensable au sein des entreprises. Son adoption, ainsi que l’efficacité et l’agilité qu’il procure, figurent en bonne place de l’ordre du jour des conseils d’administration depuis plusieurs années maintenant.
Toutefois, il a fallu attendre 2020 pour que la plupart des entreprises voient leurs stratégies cloud réellement mises à l’épreuve.
Face à l’adoption rapide du télétravail, il n’est pas étonnant que l’utilisation de Microsoft Office 365 ait gagné du terrain au sein de nombreuses entreprises à des fins de collaboration. En mars 2020, 258 millions d’utilisateurs actifs étaient recensés, soit une hausse de plus de 70 millions par rapport à l’année précédente.
Cette transition contrainte et forcée a bouleversé irrémédiablement le paysage informatique.
Cette adoption accélérée, qui tient plus du baptême du feu compte tenu des circonstances, semble avoir apporté́ des avantages tangibles pendant la pandémie, tels que l’amélioration de la productivité ou la satisfaction au travail. Néanmoins, les aléas des confinements aux quatre coins du monde ont aussi mis à rude épreuve tous les secteurs économiques. Outre les répercussions sur les effectifs, l’évolution rapide du paysage informatique et l’accélération forcée de la migration vers le cloud ont aussi exacerbé la vulnérabilité des entreprises aux cybermenaces.
Évolution rapide du paysage des menaces
En accélérant le déploiement de Microsoft Office 365 et d’Azure AD, de nombreuses entreprises ont étendu leur surface d’attaque et isolé des effectifs qu’elles ne sont peut-être pas en mesure de surveiller et de protéger efficacement. Dans cette nouvelle normalité, les responsables de la sécurité ont du retard à rattraper. Ils doivent en effet comprendre et sécuriser leurs environnements cloud, avec des outils et des stratégies de sécurité souvent lacunaires. Les cybercriminels n’ont pas tardé à flairer le bon filon et à multiplier les attaques. Dès avril 2020, Google indiquait bloquer quotidiennement plus de 18 millions d’e-mails de phishing et contenant des malwares sur le thème de la COVID.-19.
Si la prévalence des attaques de phishing en lien avec la COVID-19 semble aujourd’hui en recul, les failles de sécurité liées à l’essor des déploiements dans le cloud n’ont quant à elles pas disparu.
De leur côté, les attaquants peaufinent leurs techniques et mettent leur expérience à profit pour s’aventurer sur ce nouveau terrain et en exploiter les failles. C’est ainsi que les attaques de malware traditionnelles sont aujourd’hui délaissées au profit d’attaques ciblant les comptes, les identifiants, les autorisations et les rôles, que les outils de sécurité traditionnels sont totalement incapables de détecter.
En réalité, compte tenu des progrès majeurs enregistrés par des outils tels que les solutions de détection et d’aide à la résolution des incidents (NDR) réseau ou les analyses optimisées par l’intelligence artificielle (IA), ce devrait être l’inverse. Une fois que les attaquants parviennent à infiltrer un environnement, ils comptent habituellement sur leur aptitude à se faire oublier dans le tourbillon des activités normales de l’entreprise. Les pirates prudents n’hésitent pas à exploiter les applications métiers légitimes (tactique du « live off the land »), notamment celles intégrées à la suite Microsoft O365, telles que Power Automate
et eDiscovery, pour se déplacer latéralement, se cacher dans le trafic HTTP, HTTPS et DNS, et exfiltrer des données. Les solutions NDR optimisées par l’IA qui s’intègrent aux applications et services cloud sont capables d’exposer cette couverture et d’identifier rapidement le moindre indice qu’un intrus est à l’œuvre.
Cependant, si l’écart entre attaquants et défenseurs se réduit sur papier, cela ne concerne que les entreprises qui ont investi dans de telles fonctionnalités. Pour celles qui ne disposent pas des capacités nécessaires pour détecter les signes subtils d’activité malveillante, l’écart va continuer à se creuser, et les attaquants pourront profiter pleinement de leur infrastructure cloud.
Sécuriser Microsoft Office 365 est une priorité absolue
Microsoft Office 365 continue de jouer un rôle essentiel dans la continuité des activités métiers. Les entreprises doivent dès lors veiller à disposer des capacités nécessaires pour sécuriser leurs environnements cloud. Le problème est particulièrement pressant pour les entreprises qui ont dû revoir rapidement leur fonctionnement au cours de l’année écoulée et qui pourraient avoir du mal à adapter les défenses du périmètre aux frontières plus floues du cloud. La priorité absolue doit être de se prémunir contre la prise de contrôle des comptes d’utilisateur.
Le manque de visibilité induit un excès de confiance
Les responsables de la sécurité sont confiants en leur capacité à prévenir les prises de contrôle de comptes d’utilisateur, une confiance en totale contradiction avec le nombre croissant d’attaques et les longues durées d’implantation. La durée moyenne d’une attaque est estimée à 43 jours (étude Vectra mars 2021) – et les outils de sécurité préventifs sont incapables de détecter les prises de contrôle de comptes d’utilisateur.
De manière générale, les responsables de la sécurité sont également assez confiants en leurs capacités à identifier et à endiguer d’autres formes d’attaques. La plupart estiment avoir une bonne visibilité sur les attaques qui contournent leur périmètre et être en mesure de détecter et de neutraliser tout déplacement latéral. De nouveau, on note une discordance avec le fait que 96 % des environnements Microsoft Office 365 analysés présentent des signes de déplacement latéral.
Un centre d’opérations de sécurité (SOC) peut être confronté
à des centaines de menaces au quotidien. Si l’on considère le nombre d’incidents déjoués comme principal indicateur de succès, tout va pour le mieux dans le meilleur des mondes. Cependant, cette approche élude les vraies questions à se poser : combien de temps a-t-il fallu avant de détecter les menaces et de les neutraliser ? Combien d’entre elles constituaient des tentatives répétées ? La capacité à neutraliser les nombreuses attaques en masse de bas niveau est à distinguer de la détection des menaces sophistiquées, en particulier celles qui visent les utilisateurs.
Une confiance adaptée à la réalité
Pour se faire une idée précise des capacités de sécurité, il est indispensable de disposer des bons indicateurs. Les trois plus importants sont les suivants :
- Délai moyen de détection d’une menace
- Délai moyen de réponse
- Fréquence de répétition des mêmes problèmes
L’analyse de ces trois indicateurs permettra de recueillir des informations contextuelles précieuses sur l’efficacité des dispositifs de sécurité de l’entreprise. Les attaques à longue durée d’implantation constituent la principale menace pour les entreprises. L’accès à une série de données et d’applications en quelques secondes seulement suffit pour causer de nombreux problèmes dans les entreprises. Il est également essentiel de repérer à quel endroit le même problème survient continuellement. C’est le signe qu’il est temps d’envisager un changement fondamental de stratégie ou d’infrastructure.
Toute mesure doit reposer sur un flux suffisant de données reproductibles. La réalisation de tests d’intrusion et d’exercices de simulation d’attaques peut contribuer à obtenir davantage de données fiables sur les menaces. C’est un moyen d’identifier rapidement les failles de la stratégie de sécurité et l’efficacité réelle des défenses en place.
Outre l’aspect « mesure », ce type de test est une compétence essentielle des analystes en sécurité : les serruriers ne doivent pas seulement réparer les serrures, ils doivent aussi pouvoir les forcer.
___________________
Par Gregory Cardiet, Directeur Avant-Ventes Europe de Vectra