Qu’est-ce que la protection contre les menaces avancées ?

Lorsque l'on évoque les attaques de cybersécurité, on a souvent l'image du pirate informatique vêtu d'un sweat à capuche, dans un sous-sol obscur, en train de « pirater le serveur central » avec son ordinateur portable. Il y a peut-être une part de vérité dans cette image, mais on rencontre aussi des acteurs plus sophistiqués qui emploient des technologies et des méthodes de pointe pour compromettre des systèmes hautement protégés. Souvent très bien financées, ces menaces persistantes avancées (APT) peuvent agir pour le compte d'États-nations ou de groupes criminels. Ces acteurs développent et déploient des menaces ciblées qui s'infiltrent insidieusement dans les systèmes, parfois pendant de longues périodes.

Elles peuvent ainsi, en toute discrétion, récolter les données de votre organisation – informations sensibles et secrets industriels inclus. En raison du volume de données qui peut être extrait à long terme, ces menaces peuvent faire des ravages. Et c'est pourquoi vos solutions de sécurité doivent impérativement intégrer une protection contre les menaces avancées (ATP).

La protection contre les menaces avancées va au-delà des pare-feu et des antivirus traditionnels.

Et elle doit être aussi persistante et multifacette que ses adversaires. Cet article explore ces menaces avancées et les avantages des solutions ATP dans la lutte contre ces malveillances.

Comprendre les menaces avancées

Les menaces avancées peuvent se présenter sous différents types et combinent généralement plusieurs vecteurs d'attaque. Quelle que soit la méthode, elles ont toutes en commun la capacité de prendre le contrôle de vos systèmes et de se dissimuler dans votre infrastructure – parfois pendant longtemps – en échappant aux outils traditionnels de détection des menaces.

C'est leur complexité et leur faculté d'adaptation qui leur permet de se cacher dans vos systèmes. Les attaquants créent généralement des portes dérobées accessibles à tout moment au moyen de chevaux de Troie. Ces attaques sont ciblées : ils savent souvent exactement quelles parties de votre système sont les plus vulnérables. Ces menaces ne se détectent pas simplement, mais elles s'accompagnent souvent de symptômes caractéristiques :

• Augmentation du nombre de connexions en dehors des heures de travail
• Multiplication des chevaux de Troie
• Flux d'informations inattendus

Logiciels malveillants et ransomware

Certains logiciels malveillants « élémentaire » prennent la forme de pop-ups intempestifs qui envahissent votre navigateur web après avoir téléchargé un logiciel pirate infecté en pensant faire une économie. Mais il existe aussi des virus plus complexes, comme ceux qui se dissimulent dans des pièces pièce jointe à un e-mail et qui permettent à des acteurs malveillants d'obtenir vos identifiants.

Tristement célèbre, Stuxnet est une forme avancée de logiciels malveillants qu'on considère souvent comme la première cyberarme. Ce ver, découvert en 2010, a infecté les systèmes d'au moins 14 sites industriels en Iran. Il a été introduit dans leur système par une clé USB puis s'est autopropulsé d'appareil en appareil jusqu'à sa cible : le système de contrôle industriel de centrifugeuses. À partir de là, il a exploité des vulnérabilités zero-day du système et en a pris le contrôle. Il affichait que tout fonctionnait normalement mais faisait tourner les centrifugeuses jusqu'à la panne. Cette attaque ciblée nécessitait une grande connaissance du matériel et des logiciels iraniens et reposait sur plusieurs vecteurs d'attaques : ingénierie sociale, logiciels malveillants et exploits de type « zero-day ».

Les groupes APT utilisent également les ransomwares. Récemment, la société de cybersécurité ESET a découvert qu'un ransomware associé au groupe de menaces Sandworm avait été utilisé pour perturber l'infrastructure énergétique et les entreprises de logistique ukrainiennes. Selon ESET, ces attaques diffèrent des ransomware traditionnels dans la mesure où Sandworm n'a probablement jamais prévu de déchiffrer les données : le but était plutôt de les effacer du système.

Phishing et ingénierie sociale

La plupart des menaces persistantes avancées – 90 % d'entre elles selon un rapport 2019 de Positive Technologies – commencent par du spearphishing, ou phishing ciblé. En 2015, le groupe APT29, également connu sous le nom de Cozy Bear, a lancé une campagne de spearphishing par e-mail. Plus de 1 000 destinataires ont ainsi reçu des liens infectés. Cette attaque a utilisé des domaines légitimes associés à des organisations et des établissements d'enseignement américains pour héberger des logiciels malveillants et envoyer les e-mails. Il a suffi qu'une victime active le logiciel malveillant pour qu'APT29 puisse acquérir des privilèges sur le système et ainsi exfiltrer des e-mails via des connexions chiffrées. APT29 a réussi à infiltrer d'autres systèmes avec le spearphishing.

Menaces d'initiés

Certes, un acteur malveillant peut chercher délibérément à s'introduire dans votre entreprise afin de compromettre vos systèmes. Mais la menace peut également provenir d'employés apparemment inoffensifs, que ce soit en représailles ou par appât du gain. Pour autant, les initiés ne jouent pas toujours un rôle actif dans une menace avancée. Leur implication est souvent le fruit d'une négligence ou de l'ignorance – c'est ce qui se passe lorsqu'un employé télécharge une pièce jointe infectée. D'où l'importance de la formation à la cybersécurité, doublée d'une robuste protection des réseaux et des terminaux, mais nous y reviendrons.

Solutions de protection contre les menaces avancées

Une chose est claire : les menaces avancées sont destructrices, sophistiquées et difficiles à repérer. Comment s'en prémunir ? Au niveau le plus fondamental, il faut former le personnel et renforcer la technologie et les opérations de votre organisation. L'objectif : une approche de défense en profondeur. Mais pour les besoins de cet article, nous nous limiterons à la technologie.

Les solutions ATP ne sont pas monolithiques et dépendent de votre situation. Aucun logiciel, matériel ou programme de formation ne peut à lui seul défendre vos systèmes contre les menaces avancées. Mais en règle générale, les solutions ATP doivent réunir ces capacités :

Détection et réponse aux menaces

Pour protéger votre organisation contre les menaces avancées, vous devez pouvoir les détecter dans votre système et y répondre. C'est le rôle de la protection des terminaux, des pare-feu et des antivirus. Une détection adéquate des menaces implique :

• Une surveillance constante de l'état de votre réseau et de vos terminaux
• Une parfaite connaissance des menaces actuelles, obtenue via des référentiels de menaces tels que le cadre MITRE ATT&CK
• La capacité de découvrir des menaces encore inconnues sur la base de signatures numériques et d'autres comportements.

Des règles de sécurité bien établies, pour que le personnel apporte une réponse efficace et adaptée aux menaces détectées :

• Isolement des systèmes compromis pour éviter la propagation de la menace
• Mise à jour des règles et des outils à l'origine de la compromission (par exemple, ajout d'une authentification multifacteur ou remplacement du VPN par le ZTNA)
• Mise en place ou révision des programmes de formation à la cybersécurité.

Intelligence artificielle et machine learning

L'IA et le machine learning (ML) soutiennent les efforts de recherche des menaces, qui visent à identifier les vulnérabilités et les anomalies avant qu'elles ne soient exploitées. Les capacités des ordinateurs à passer au peigne fin l'activité des réseaux et à l'analyser dépassent de loin celles des humains, d'où la nécessité d'une surveillance assidue.

Analyse comportementale et détection des anomalies

L'analyse comportementale et la détection des anomalies sont des piliers essentiels. Comme les menaces avancées savent se faire discrètes, le seul avertissement peut être une déviation mineure par rapport au comportement de référence de votre réseau. Pour comprendre votre situation de référence, vous pouvez compter sur ces outils :

• Une solution SIEM pour surveiller et analyser les comportements de vos systèmes et de vos utilisateurs
• L'IA et le ML pour traiter l'activité de votre réseau, savoir quels utilisateurs accèdent à votre système et repérer les anomalies.
• Les solutions de gestion des appareils mobiles apportent de la transparence sur la santé et la conformité de votre flotte d'appareils.

Sandbox et isolation

Parce que les groupes de menaces persistantes avancées peuvent développer leurs propres méthodes d'attaque, le recours aux sandboxes et à l'isolement a son intérêt. Une sandbox, ou bac à sable, est un environnement sûr et isolé qui imite vos réseaux et permet d'observer le comportement des programmes suspects. On peut ainsi étudier les méthodes des acteurs malveillant pour apprendre à les arrêter et les bloquer avant qu'ils n'affectent vos systèmes.

Protection contre les menaces avancées : les points à retenir

• Les menaces persistantes avancées sont des attaques complexes et ciblées qui visent une organisation.
• Les groupes de menaces avancées combinent différents vecteurs d'attaques, ce qui oblige les organisations à se défendre sur tous les fronts.
• Pour s'en prémunir, il faut une solution à multiples facettes, capable de protéger à la fois les terminaux, les réseaux, les utilisateurs et les informations de l'entreprise
• L'intelligence artificielle, le machine learning, les solutions SIEM, les pare-feux, les solutions de gestion des appareils et les sandboxes sont autant d'armes pour la protection des organisations.