Les points clés de Security 360 : phishing et ingénierie sociale

« Comme la peur, le risque ne peut être éliminé ; il ne peut qu'être atténué. » – Inconnu

La citation ci-dessus fait puissamment écho dans le contexte de la cybersécurité. Les professionnels le savent : l'éventail des risques existants ne peut jamais être totalement éliminé, mais le but est plutôt d'autonomiser les équipes informatiques et de sécurité pour qu'elles emploient des stratégies de sécurité solides. Ces stratégies doivent être à la fois puissantes pour atténuer les menaces, mais également flexibles : elles doivent en effet s'adapter aux changements (plus ou moins) subtils introduits par la prise en charge de différents types d'appareils, comportements et besoins organisationnels uniques, alors que le paysage des menaces évolue constamment.

Pour réussir à jongler avec toutes ces variables tout en préservant la sécurité des terminaux, des utilisateurs et des données de l'entreprise, il faut d'abord connaître les niveaux de risque, leur origine et les différents vecteurs d'attaque exploités par les acteurs malveillants.

Et c'est là l'objectif de cette série d'articles. Directement inspiré de Jamf Security 360 : Rapport annuel sur les tendances des menaces, chaque article de cette courte série se concentrera sur une tendance spécifique en couvrant notamment les points suivants :

• Les différentes formes de chaque menace
• Leur impact critique sur la sécurité des terminaux
• L'évolution de chacune des menaces dans le temps
• Les meilleures méthodes pour les atténuer

Commençons par l'ingénierie sociale et le phishing.

Pourquoi l'ingénierie sociale est-elle aussi efficace ?

L'ingénierie sociale nécessite peu de ressources, de reconnaissance ou de planification de la part de l'adversaire, mais les bénéfices sont considérables. En effet, au prix d'un effort relativement faible, le taux de réussite est relativement élevé.

De plus, ce type d'attaque ne nécessite pas d'expertise en cybersécurité, ni même de compétences intermédiaires dans le domaine. Il faut surtout savoir présenter un message suffisamment convaincant pour que les victimes fassent ce qu'on leur demande.

Principales menaces liées à l'ingénierie sociale : le phishing

Qui ne préférerait pas travailler moins et gagner plus, plutôt que de travailler plus pour gagner la même chose ?

C'est cette logique qui sous-tend l'ingénierie sociale : l'adversaire vise la quantité et cherche à ratisser très largement pour cibler autant d'utilisateurs que possible. Mais il faut rester vigilant car, comme nous le verrons, il existe plusieurs types d'attaques de phishing, et les variations sont subtiles.

Selon les objectifs des acteurs malveillants, les attaques de phishing peuvent être modifiées pour cibler plus finement certains publics. Les cadres de haut niveau ne sont pas seulement des cibles : leur identité peut également être usurpée pour amener leurs subordonnés à effectuer certaines opérations administratives. Le phishing de cadres (également connu sous le nom de CEO Fraud), par exemple, peut inciter la victime à envoyer des virements bancaires à partir des comptes de l'entreprise. D'autres variantes du phishing peuvent cibler un membre du service informatique ou un ensemble d'utilisateurs spécifiques – sur un réseau social, par exemple. Cette approche se distingue des messages génériques souvent employés pour cibler des utilisateurs en masse.

Voici quelques exemples d'attaques de phishing courantes :

1. E-mail : les malfaiteurs envoient des e-mails semblant provenir d’une source fiable et digne de confiance.
2. Smishing : les malfaiteurs utilisent cette fois des SMS contenant des liens ou des pièces jointes pour compromettre les utilisateurs d’appareils mobiles.
3. Réseaux sociaux : les malfaiteurs utilisent de faux compte pour se faire passer pour des membres du service client et ciblent les utilisateurs qui ont besoin d'une assistance.
4. Spear phishing : approche granulaire et plus ciblée du phishing par e-mail qui se concentre sur des personnes spécifiques au sein d'une organisation afin d'obtenir des informations, des données et/ou des identifiants spécifiques.

Arrêter les attaques d'ingénierie sociale dans l'œuf

Nous l'avons déjà dit et nous continuerons à le répéter : il faut une stratégie de défense en profondeur reposant sur plusieurs contrôles de sécurité coordonnés pour détecter les menaces et arrêter un large éventail d'attaques. En matière d'ingénierie sociale, voici quelques contrôles qui peuvent renforcer la protection :

• La gestion des appareils mobiles (MDM) pour :
  • harmoniser les configurations des appareils et centraliser leur gestion
  • suivre automatiquement l'inventaire de l'équipement
  • approvisionner des appareils avec un déploiement sans contact pour les remettre plus rapidement aux utilisateurs finaux.
  • sécuriser et suivre les appareils perdus ou volés, en ayant la possibilité de les verrouiller ou les effacer à distance
  • déployer des applications gérées et renforcer les paramètres de sécurité des applications services (chiffrement, configuration des entrées de pare-feu)
  • gérer les correctifs afin de maintenir tous les appareils, systèmes d'exploitation et applications à jour.
  • intégrer les solutions de MDM et de sécurité des terminaux pour partager en toute sécurité les données relatives à l'état des appareils, afin de créer des workflows d'atténuation automatisés
  • gérer de bout en bout le cycle de vie des appareils et des applications
• L'intégration d'un fournisseur d'identité (IdP) cloud pour :
  • fournir aux utilisateurs des identités et des accès aux appareils et aux ressources de l'entreprise
  • exiger l'AMF afin de vérifier les tentatives d'authentification et les demandes de ressources
  • intégrer les données de télémétrie de la sécurité des terminaux pour connaître le statut de l'utilisateur et de l'appareil avant d'accorder l'accès aux ressources demandées, conformément au cadre d'accès réseau zero-trust (ZTNA).
  • harmoniser et appliquer les règles relatives aux mots de passe et aux identifiants afin de minimiser les risques de compromission de compte, tout en limitant l'accès aux données de l'entreprise.
• Un logiciel de sécurité des terminaux qui protège les appareils :
  • en utilisant l'analyse comportementale pour identifier et arrêter les menaces et les vulnérabilités connues présentes sur l'appareil
  • en sécurisant les accès à distance par des microtunnels chiffrés sur toutes les connexions du réseau
  • en employant le machine learning (ML) pour automatiser la réponse aux incidents et détecter les menaces inconnues via des opérations de recherche des menaces
  • en surveillant activement la santé des appareils
  • en générant des notifications en temps réel en cas de modification apportée aux appareils
  • en créant des workflows automatisés pour la mise en quarantaine, l'atténuation et la correction des menaces
  • en implémentant des contrôles au sein du réseau, comme le blocage des URL d'hameçonnage et des attaques de l'homme du milieu
  • en collectant les données de télémétrie des terminaux afin de connaître l'état de santé des appareils en temps réel.
• Alignez vos plans de cybersécurité sur des cadres connus – NIST, CIS et MITRE, par exemple – et respectez les bonnes pratiques pour tous les appareils et OS de votre infrastructure.
• Renforcez la conformité grâce à la gestion basée sur des règles qui garantiront le respect des exigences réglementaires de votre organisation.
• Limitez les fuites ou l'exfiltration de données en restreignant l'accès aux données catégorisées et aux supports autorisés pour stocker les données protégées. Interdisez, par exemple, l'enregistrement de données sur des lecteurs externes ou imposez leur chiffrement.
• Établissez des critères minimums pour les appareils qui accèdent aux ressources de l'entreprise : gestion et encadrement par la MDM, présence d'un logiciel de sécurité des terminaux.
• Optez pour une solution MDM flexible, capable d'assurer la sécurité des données quel que soit le modèle de propriété des appareils (BYOD/CYOD/COPE).
• Préservez la confidentialité des utilisateurs : acheminez les usages personnels directement sur Internet et compartimentez les données et applications professionnelles dans un volume séparé et sécurisé dont les communications sont chiffrées.
• Envoyez les données de journalisation dans une solution SIEM centralisée pour les trier et les catégoriser. Générez des rapports sur l'état des appareils, et dégagez les tendances et les informations nécessaires pour garantir la sécurité des appareils et des données.
• Établissez des procédures de mise hors service afin d'effacer de manière sûre et sécurisée les données des appareils qui doivent être retirés de la flotte.
• Mettez en œuvre – et testez régulièrement – des solutions de reprise après sinistre multifacettes pour sauvegarder les données critiques et vérifier que les sauvegardes sont valides et exploitables.
• Des intégrations internes et tierces doivent échanger les données de télémétrie en toute sécurité par le biais d'API, pour que tous vos outils détiennent les données les plus récentes sur les appareils.
• Encadrez l'utilisation des données mobiles afin de limiter la responsabilité de l'entreprise vis-à-vis des contenus illégaux ou inappropriés, tout en veillant à ce que tous les utilisateurs aient accès à la bande passante nécessaire pour rester productifs.
• Veillez à ce que toutes les protections des appareils, des utilisateurs et des données s'étendent à l'ensemble de l'infrastructure et qu'elles puissent être gérées de n'importe où, à tout moment et sur tous les appareils pris en charge.
• Alignez les exigences réglementaires sur les règlements de l'entreprise par le biais d'une règle d'utilisation acceptable (RUA). Cette RUA doit définir les comportements attendus des employés lorsqu'ils utilisent des équipements, les données et les ressources de l'entreprise.

Et pourtant, malgré un plan de sécurité complet, les acteurs malveillants semblent toujours trouver des moyens de contourner les protections. En effet, tant que les utilisateurs se laisseront piéger par l'ingénierie sociale et donneront d'eux-mêmes leurs identifiants ou d'autres informations sensibles, ce type d'attaque restera la méthode de choix pour des malfaiteurs en quête de gains simples et rapides.

Malgré son omniprésence et la menace critique qu'elle représente pour la sécurité des terminaux, la sécurité des utilisateurs et la sauvegarde des données, l'ingénierie sociale présente une faille flagrante, voire fatale : elle a besoin du concours de sa victime pour atteindre son objectif. Je le répète, c'est sur l'utilisateur final que repose le succès d'une campagne d'ingénierie sociale, et non sur celui qui la mène.

C'est sans doute la plus grande faiblesse de ces attaques : elles exigent de la victime qu'elle participe activement au processus en satisfaisant les requêtes de l'attaquant. Mais si la cible refuse de devenir victime, si elle reconnaît la tentative et se contente de la signaler au service informatique ?

L'attaque est stoppée net, et l'équipe informatique peut déployer des contrôles pour atténuer la menace.

« La connaissance est un pouvoir par elle-même. » – Sir Francis Bacon

C'est dans la capacité à identifier les attaques d'ingénierie sociale, ou du moins à s'en méfier suffisamment pour hésiter et réfléchir avant d'agir, que réside la clé de la mise en échec des attaques d'ingénierie sociale, quelle que soit leur forme. En un mot : la formation. Les formations de sensibilisation à la sécurité informent les utilisateurs sur les menaces existantes émergentes, en s'appuyant sur des renseignements et des tendances. Elles jouent un rôle décisif en équipant les utilisateurs pour qu'ils détectent et arrêtent ces menaces avant qu'elles ne deviennent de véritables incidents de sécurité.