Quand l’attaquant se prend les pieds dans le tapis...
Beaucoup d’entreprises réalisent qu’elles ont été victimes d’une intrusion lorsqu’elles découvrent, parfois des mois plus tard, que leurs données sensibles circulent sur internet. Mais on peut prévenir cela car les attaquants, même discrets, laissent des traces et peuvent tomber dans certains pièges.
Une entreprise qui a investi dans sa protection périphérique peut penser qu’elle est à l’abri des intrusions. Mais un attaquant déterminé finira selon toute vraisemblance par trouver un chemin d’entrée dans le système d’information. Il adressera par exemple un mail de phishing ciblé à un utilisateur dans le but de récupérer ses identifiants réseau ou de lui faire exécuter un malware visant à compromettre l’infrastructure IT. L’attaquant peut aussi commencer par infecter un fournisseur, ou être lui-même interne à l’entreprise.
Voir sans être vu
Une fois entré dans le périmètre réseau, l’attaquant va le plus souvent s’y déplacer silencieusement pour identifier tous les éléments susceptibles de détenir des informations sensibles. Cette phase d’exploration peut prendre des mois, le but premier de l’attaquant étant d’observer en évitant la détection. C’est seulement ensuite qu’il compromettra les éléments qui l’intéressent et procédera à l’exfiltration ou au chiffrement des données, souvent dans le but de demander une rançon.
La clé du succès, pour un attaquant, c’est le temps. Plus il est présent longtemps dans l’infrastructure IT sans être détecté, plus ses chances de réussite augmentent.
Mais même si le hacker se fait le plus discret possible, son exploration implique qu’il se connecte aux différents systèmes de l’entreprise. Ces investigations préalables nécessaires à l’attaquant sont également une formidable opportunité pour celui qui cherche à se défendre.
L’avantage du défenseur
On dit souvent qu’un attaquant est favorisé par rapport à un défenseur parce qu’il n’a besoin de réussir son attaque qu’une seule fois. Ce n’est que partiellement vrai. Le défenseur a un avantage de taille: il connaît son environnement et sait en principe où se trouvent les données sensibles et les applications critiques. Il peut donc les surveiller particulièrement et mettre en œuvre pour ce faire différents modes de détection d’intrusion. Une approche classique consiste à implanter des outils intelligents capables de collecter et d’analyser les informations provenant de différentes sources (postes de travail, serveurs, logs, trafic réseau, etc.). Ces outils analysent des séquences d’événements, détectent les anomalies, puis en déduisent des profils de risque et génèrent des alertes en conséquence.
L’intrus pris au piège
Une approche alternative consiste à placer des pièges, de type honeypot ou canary, dans les emplacements stratégiques du réseau. En imitant des ressources (ou des utilisateurs) existants, ces pièges vont attirer l’attention des hackers et émettre une alerte lors de toute tentative d’accès. Cette démarche a l’avantage d’être à la fois simple à déployer et peu coûteuse. Une intrusion et une fuite ou une perte de données engagent la crédibilité et l’image de l’entreprise, sans parler de sa propriété intellectuelle. Des méthodes efficaces, dont certaines requièrent très peu de ressources permettent de s’en protéger. Ces méthodes sont aussi une occasion de revaloriser le rôle du défenseur dans sa lutte permanente contre les hackers.