En combinant phishing, deepfakes et ingénierie sociale, les cybercriminels parviennent à obtenir des identifiants pour infiltrer les systèmes informatiques. Voici trois nouvelles technologies pour adapter les défenses à ces tendances et protéger les SI contre les vols d’identifiants.
Dans son dernier rapport, IBM indique que les attaques utilisant des informations d’identification valides ont augmenté de 71 % depuis l’année dernière. Assistés par des technologies basées sur l’IA, les criminels composent des attaques complexes. En ligne de mire : l’obtention d’identifiants pour accéder « par la grande porte » aux infrastructures informatiques.
En combinant des campagnes de phishing générées par IA, à l’utilisation de deepfakes vidéo, à des attaques d’initiés ciblées et à de l’ingénierie sociale, ils parviennent à voler ou convaincre leurs victimes de leur remettre des informations d’identification. Dès lors, ils peuvent se connecter et altérer les systèmes de production, mais également les systèmes de protection des données – ceux-là mêmes qui doivent rétablir les installations en cas d’incident. De plus en plus privilégiée, cette approche vise particulièrement les cadres ou les administrateurs système. Cette tendance, devenue alarmante, impose de faire évoluer les systèmes de défense des entreprises et de mettre en place de nouvelles fonctionnalités, notamment basées sur l’IA. Capables de déjouer ces attaques et de rétablir les systèmes sereinement si nécessaire, ces évolutions doivent cependant être en conformité avec les différents cadres légaux, de plus en plus stricts.
Pour y voir plus clair, voici trois technologies qui peuvent être déployées pour faire face à la recrudescence des tentatives de vol de données d’identification.
#1 – L’autodéfense adaptative (adaptive self-defense)
Les solutions d’autodéfense adaptative sont capables de surveiller activement et en continu le comportement des utilisateurs – et des administrateurs, d’un système, de manière autonome. Lorsque des anomalies sont détectées, elles ajustent automatiquement en conséquence les défenses déployées ou les niveaux de validation et d’authentification requis pour effectuer une tâche. Elles peuvent renforcer de façon dynamique l’authentification multifactorielle et multi-personnes si une tâche critique tente de s’exécuter à une heure indue.
Pour donner un exemple simpliste : si un administrateur système tente de purger des sauvegardes un dimanche après-midi, une solution d’autodéfense adaptative est capable de soupçonner un usage frauduleux de ses identifiants et de requérir une validation supplémentaire d’un autre administrateur.
#2 – La détection d’anomalies par entropie en ligne
La détection d’anomalie reste bien entendu pertinente, notamment dans le cadre de séries de données chronologiques telles que des sauvegardes récurrentes. Elle permet d’établir des références stables en analysant des modèles de sauvegardes sur plusieurs semaines. De plus, cette technologie apprend en permanence grâce aux caractéristiques granulaires des données propres lorsque les actifs protégés subissent des changements. Cette stratégie d’apprentissage est exsangue de tout type de ransomware et est appelée « apprentissage zéro ».
Les solutions les plus performantes permettent de détecter les anomalies « en ligne » au fur et à mesure des sauvegardes – avec un impact quasi nul sur les performances, tout en éliminant le besoin de ressources supplémentaires ou les coûts inhérents au déport de l’analyse dans le cloud et dans le temps. Cette innovation permet de réduire le délai nécessaire pour détecter et signaler les anomalies potentielles en vue d’un examen plus approfondi ; ce qui est particulièrement important pour limiter la portée d’une faille ou d’une brèche de sécurité.
#3 – Les copilotes IA
L’adjonction d’assistants basés sur l’IA au sein des solutions de protection des données permet d’aider les administrateurs système à rester productifs. En effet, elle absorbe l’augmentation rapide de leur périmètre ainsi que la portée des décisions qu’ils doivent prendre.
Les assistants et les bots ne sont pas nouveaux. Mais grâce à l’intégration de modèles linguistiques larges et de pointe, ils offrent désormais une expérience utilisateur conversationnelle digne d’une discussion avec un expert spécialisé – par exemple dans le cadre d’une aide à la configuration et à la protection des systèmes. De tels assistants sont également capables d’identifier rapidement les vulnérabilités et d’améliorer l’efficacité opérationnelle, de recommander des changements de configuration et de guider les utilisateurs à travers des tâches avancées de gestion des données, permettant ainsi d’extraire une plus grande valeur de leurs investissements technologiques.
Encore rares il y a quelques années, l’immuabilité, la détection des anomalies et des logiciels malveillants dans les sauvegardes sont désormais des fondamentaux pour les systèmes de protection des données. Ironiquement, la généralisation de ces capacités a forcé les criminels à s’orienter vers d’autres types d’attaques, qui en retour imposent l’adoption de nouvelles approches pour protéger les données des entreprises. Ce jeu du « chat et de la souris » peut être sempiternel, il n’en reste pas moins un excellent vecteur d’innovation technique et technologique – que ce soit pour les personnes directement engagées ou pour la société dans sa globalité.
____________________________
Par Daniel de Prezzo, Head of Technology Southern Europe, Veritas Technologies
puis