Anatomie d’une surface d’attaque moderne

Pour la plupart des organisations, l’e-mail est un élément essentiel des opérations quotidiennes de l’entreprise. Malheureusement, l’e-mail reste un vecteur de menace majeur. 35 % des incidents de ransomware en 2022 impliquaient l’utilisation de l’e-mail.⁴ Les attaquants n’ont jamais livré autant d’attaques d’e-mail – en 2022, le taux d’attaques par hameçonnage a augmenté de 61 % comparé à 2021^.5

Maintenant, les attaquants tirent aussi profit de ressources légitimes pour mener des attaques par hameçonnage. Cela devient encore plus difficile pour les utilisateurs de distinguer les vrais e-mails des faux, ce qui augmente la probabilité qu’une menace passe au travers. Les attaques par consentement illustrent un exemple de cette tendance, où les acteurs de la menace se font passer pour des fournisseurs de services cloud légitimes et trompent les utilisateurs en leur demandant de leur accorder des autorisations pour accéder à des données confidentielles.

Sans la capacité de mettre en corrélation des signaux dans l’e-mail avec des incidents de plus grande envergure pour visualiser les attaques, détecter un acteur de la menace qui a trouvé un accès via l’e-mail peut prendre du temps. Et il risque d’être trop tard pour éviter des dommages. La durée moyenne nécessaire à un attaquant pour accéder aux données privées d’une organisation est de 72 minutes.⁶ Cela peut entraîner de sérieuses pertes au niveau de l’entreprise. La compromission de messagerie d’entreprise (BEC) a coûté environ 2,4 milliards USD de pertes ajustées en 2021.⁷

Avec l’omniprésence du cloud dans le monde actuel, la sécurisation des accès n’a jamais joué un rôle aussi important. C’est pourquoi il est vital d’avoir une compréhension approfondie des identités de l’ensemble de votre organisation, notamment les autorisations des comptes d’utilisateur, les identités de charge de travail et leurs vulnérabilités potentielles , d’autant plus que les attaques sont de plus en plus nombreuses et imaginatives.

Le nombre d’attaques par mot de passe a été estimé à 921 attaques toutes les secondes en 2022 – une hausse de 74 % comparé à 2021.⁸ Chez Microsoft, nous avons également vu des acteurs de la menace se montrer plus inventifs pour contourner l’authentification multifacteur (MFA) en utilisant des techniques, telles que les attaques par hameçonnage de type « adversary-in-the-middle » et le vol de jetons, pour gagner l’accès aux données des organisations. Les kits d’hameçonnage ont rendu encore plus facile le vol d’informations d’identification. La DCU (Digital Crimes Unit) de Microsoft a observé une augmentation de la sophistication des kits d’hameçonnage l’an dernier, accessibles sans trop d’obstacles – avec un vendeur qui les propose pour la modique somme de 6 USD par jour.⁹

La gestion de la surface d’attaque des identités ne se limite pas à la sécurisation des comptes d’utilisateur, elle englobe l’accès au cloud et les identités de charge de travail. Des informations d’identification compromises peuvent constituer un outil puissant pour les acteurs de la menace qui peuvent les utiliser pour semer le chaos dans l’infrastructure cloud d’une organisation.

Au vu du grand nombre d’appareils dans les environnements hybrides actuels, la sécurisation des points de terminaison est devenue plus compliquée. Ce qui n’a pas changé, c’est que la sécurisation des points de terminaison — en particulier les appareils non gérés — est indispensable à une posture de sécurité forte, dans la mesure où même une seule compromission peut donner aux acteurs de la menace un accès à votre organisation.

Comme les organisations ont adopté des stratégies BYOD (Bring Your Own Device), les appareils non gérés ont proliféré. Résultat, la surface d’attaque des points de terminaison est maintenant plus grande et plus exposée. En moyenne 3 500 appareils connectés dans une entreprise ne sont pas protégés par un agent de détection et de réponse de point de terminaison.¹¹

Les appareils non gérés (qui font partie du paysage « Informatique fantôme ») sont particulièrement intéressants pour les acteurs de la menace, car les équipes de sécurité manquent de visibilité pour les sécuriser. Chez Microsoft, nous avons constaté que les utilisateurs ont 71 % plus de risques d’être infectés sur un appareil non géré.¹² Étant donné qu’ils se connectent aux réseaux de l’entreprise, les appareils non gérés sont autant d’opportunités pour les attaquants de lancer des attaques plus vastes sur les serveurs et autre infrastructure.

Les appareils non gérés sont aussi des vecteurs potentiels pour les attaques de point de terminaison. En 2021, la Sécurité Microsoft a observé une attaque où un acteur de la menace a profité d’un serveur non corrigé, parcouru les répertoires et découvert un dossier de mots de passe donnant accès à des informations d’identification de compte.

L’un des vecteurs d’attaque de point de terminaison les plus négligés est l’IoT (Internet des objets), qui compte des milliards d’appareils, petits et grands. La sécurité IoT englobe les appareils physiques qui se connectent aux données et qui les échangent avec le réseau, tels que les routeurs, les imprimantes, les appareils photos et autres appareils similaires. Elle peut aussi inclure les appareils opérationnels et les capteurs (technologie opérationnelle ou OT), tels que les équipements intelligents pour la fabrication de gammes de production.

Le nombre d’appareils IoT augmente, tout comme le nombre de vulnérabilités. D’ici 2025, IDC prévoit 41 milliards d’appareils IoT dans les entreprises et chez les particuliers.¹⁵ Étant donné que de nombreuses organisations durcissent les routeurs et les réseaux pour rendre plus difficiles leur violation par les acteurs de la menace, les appareils IoT deviennent des cibles plus faciles et plus attractives. Nous voyons souvent des acteurs de la menace exploiter des vulnérabilités pour convertir des appareils IoT en proxies, en utilisant un appareil exposé comme point d’appui sur le réseau. Une fois qu’un acteur de la menace arrive à accéder à un appareil IoT, il peut analyser le trafic réseau à la recherche d’autres ressources non protégées, se déplacer latéralement pour infiltrer d’autres parties de l’infrastructure de sa cible ou partir en reconnaissance pour planifier des attaques à grande échelle sur des équipements et des appareils sensibles. Selon une étude, 35 % des professionnels de la sécurité ont signalé qu’au cours des 2 dernières années, un appareil IoT a été utilisé pour lancer une attaque plus vaste sur leur organisation.¹⁶

Malheureusement, l’IoT est souvent une boîte noire pour les organisations en termes de visibilité et beaucoup d’entre elles manquent de mesures de sécurité IoT appropriées. 60 % des professionnels de la sécurité ont cité la sécurité IoT et OT comme l’un des aspects les moins sécurisés de leur infrastructure IT et OT.¹⁷

Aujourd’hui, la surface d’attaque externe d’une organisation s’étend sur une multitude de clouds, de chaînes d’approvisionnement numériques complexes et d’écosystèmes tiers massifs. Internet fait maintenant partie du réseau, et malgré sa taille presque insondable, les équipes de sécurité doivent défendre la présence de leur organisation sur Internet au même titre que tout ce qui se trouve derrière leurs pare-feu. Et alors que de plus en plus d’organisations adoptent les principes de la Confiance Zéro, la protection des surfaces d’attaque à la fois internes et externes est devenue un défi à l’échelle d’Internet.

La surface d’attaque globale s’agrandit avec Internet et s’étend tous les jours un peu plus. Chez Microsoft, nous en avons eu la preuve au travers de plusieurs types de menaces telles que les attaques par hameçonnage. En 2021, la DCU (Digital Crimes Unit) de Microsoft a conduit la suppression de plus de 96 000 URL d’hameçonnage différentes et de 7 700 kits d’hameçonnage, ce qui a permis d’identifier et de fermer plus de 2 200 comptes de messagerie malveillants utilisés pour collecter les informations d’identification de client volées.²⁴

La surface d’attaque externe s’étend bien au-delà des propres ressources d’une organisation. Elle englobe souvent les fournisseurs, les partenaires, les appareils personnels non gérés des employés connectés aux réseaux ou aux ressources de l’entreprise, ainsi que les organisations nouvellement acquises. Il est donc indispensable de connaître les connexions externes et l’exposition afin d’atténuer les menaces potentielles. Un rapport Ponemon de 2020 a révélé que 53 % des organisations ont subi au moins une violation de données causée par un tiers au cours des 2 dernières années, coûtant en moyenne 7,5 millions USD.²⁵

Dans la mesure où l’infrastructure derrière les cyberattaques se développe, il n’a jamais été aussi urgent d’avoir une visibilité de l’infrastructure des menaces et un inventaire des ressources exposées sur Internet. Nous avons observé que les organisations rencontrent souvent des difficultés pour comprendre l’étendue de leur exposition externe, d’où la présence de zones invisibles importantes. Ces zones invisibles peuvent entraîner des conséquences dévastatrices. En 2021, 61 % des entreprises ont subi une attaque par hameçonnage qui a entraîné au moins une interruption partielle de leurs opérations.²⁶

Chez Microsoft, nous disons souvent aux clients de regarder leur organisation de l’extérieur vers l’intérieur lorsqu’ils évaluent la posture de sécurité. Au-delà de l’évaluation des vulnérabilités et des tests de pénétration, il est important d’avoir une visibilité claire de votre surface d’attaque externe afin de vous permettre d’identifier les vulnérabilités dans l’intégralité de votre environnement et de l’écosystème étendu. Si vous étiez un attaquant essayant de trouver un accès, qu’exploiteriez-vous ? La compréhension de toute l’étendue de la surface d’attaque de votre organisation est fondamentale pour la sécuriser.

Comment Microsoft peut vous aider

Le paysage des menaces actuel change constamment et les organisations ont besoin d’une stratégie de sécurité qui peut suivre. Face à une complexité et une exposition toujours plus grandes des organisations, alliées à une quantité élevée de menaces et à une économie de cybercriminalité facilement accessible, il n’a jamais été aussi urgent de sécuriser chaque centimètre carré de et entre chaque surface d’attaque.

Les équipes de sécurité ont besoin d’une veille des menaces performante pour se défendre contre des menaces nombreuses et en constante évolution. Une bonne veille des menaces met en corrélation les signaux de différents endroits — en fournissant au bon moment un contexte pertinent du comportement et des tendances actuels d’attaque afin que les équipes de sécurité puissent réussir à identifier les vulnérabilités, prioriser les alertes et interrompre les attaques. Et si une brèche se produit, la veille des menaces est essentielle pour empêcher d’autres dommages et améliorer les défenses afin d’éviter qu’une attaque similaire se reproduise. Pour le dire simplement, les organisations qui tirent parti d’une veille des menaces sont plus sécurisées et plus florissantes.

Microsoft bénéficie d’une vue sans commune mesure du paysage évolutif des menaces avec 65 mille milliards de signaux analysés tous les jours. En mettant en corrélation ces signaux en temps réel sur toutes les surfaces d’attaque, une veille des menaces reposant sur les solutions de Sécurité Microsoft fournit des renseignements sur l’environnement grandissant de ransomwares et de menaces pour vous permettre de voir et d’arrêter davantage d’attaques. Et avec les fonctionnalités d’IA avancées, telles que Microsoft Copilot pour la sécurité, vous pouvez garder une longueur d’avance sur l’évolution des menaces et défendre votre organisation à la vitesse d’une machine, en permettant à votre équipe de sécurité de simplifier ce qui est complexe, de détecter ce que d’autres ont raté et de tout protéger.