Les 5 phases d’une cyber attaque : le point de vue du pirate


Rien n’est jamais acquis. En matière de cyber sécurité, vous devrez sans cesse améliorer vos défenses pour lutter efficacement contre les pirates et, pour ce faire, connaître son ennemi peut être d’une aide précieuse. Quelles sont les différentes phases d’une attaque ?

À la une, Bonnes Pratiques, Cybersécurité // 21/08/2017

La cyber sécurité ne se résume pas à une seule opération qui permettrait d’être protégé de manière permanente. Il s’agit d’un processus continu, qui doit s’intégrer au jour le jour à toutes vos activités. Personne ne dispose des ressources suffisantes pour atteindre la perfection. Votre but ultime doit donc être l’amélioration continue.

Celle-ci commence par la compréhension des risques et des menaces. Vous devez comprendre vos adversaires, leurs objectifs et savoir comment ils mènent leurs attaques. Pour chaque étape, il existe des moyens de défense.

Imaginons une entreprise, victime d’une attaque ransomware. L’attaque ciblée semble avoir une motivation financière, mais le ransomware sert en réalité à dissimuler un tout autre objectif. Le pirate souhaite en réalité s’emparer des données clients sensibles.

Qu’arrive-t-il à chaque phase de la cyber attaque ?

attaque-fuite-donnees

Phase 1 : Reconnaissance

Chronologie : plusieurs mois avant la détection

Le premier objectif du pirate est d’identifier des cibles potentielles permettant d’accéder à des informations sensibles ou de porter atteinte à votre activité.

Le pirate collectera sans doute des informations sur votre entreprise à partir de LinkedIn et de votre site web. Il prendra le temps de retracer votre chaîne d’approvisionnement, d’en savoir plus sur vos projets en cours, sur vos systèmes de sécurité et sur les points d’entrée disponibles. Il se rendra peut-être discrètement dans vos locaux, ou à un évènement organisé par votre entreprise. Peut-être appellera-t-il simplement votre secrétaire. Il créera éventuellement une fausse entreprise, fera l’acquisition de noms de domaine et créera de faux profil à des fins d’ingénierie sociale.

Une fois que le pirate a bien compris les mesures de protection que votre entreprise a mis en place, il peut choisir l’arme la plus adaptée pour les contourner. Le vecteur d’attaque sélectionné est souvent impossible à prévenir ou à détecter. Il peut s’agir d’un exploit 0-day, d’une campagne de phishing ou de la corruption d’un employé. Cette phase n’a pas vraiment d’impact sur votre activité.

Mais le cyber pirate est désormais prêt à procéder à son attaque.

pirates-cyber-attaque

Phase 2 : Intrusion et présence

Chronologie : plusieurs mois avant l’infection

Lors de la seconde phase d’attaque, le pirate cherche à s’introduire dans le périmètre informatique de votre entreprise et à s’établir durablement sur le réseau.

Il aura peut-être recours au phishing pour obtenir des identifiants permettant d’accéder à l’infrastructure de l’entreprise. Sa présence sera alors intraçable.

Très souvent, l’organisation ciblée est incapable de détecter ou de répondre à l’attaque. Et même si elle la détecte, elle ne peut pas être certaine de son objectif.

L’intrusion initiale aboutit à une présence à long-terme et à distance du pirate au sein de l’environnement informatique de l’entreprise.

intrusion-attaque-entreprise

Phase 3 : le mouvement latéral

Chronologie : plusieurs mois ou semaines avant la détection

Une fois que le pirate a établi une connexion au réseau interne, il cherche à infecter davantage de systèmes, davantage de comptes utilisateurs. Son but est de s’ancrer davantage et d’identifier les systèmes hébergeant les données convoitées.

Le cyber pirate cherche les serveurs de fichiers afin de localiser les fichiers de mots de passe et d’autres données sensibles. Il cartographie le réseau pour identifier l’environnement cible.

Il se fait souvent passer pour un utilisateur autorisé : voilà pourquoi il est très difficile de cibler l’intrus durant cette phase de l’attaque.

infection-cyber-attaque

Phase 4 : Acquisition des privilèges administrateurs

Chronologie : plusieurs semaines ou jours avant la détection

Le pirate cherche à identifier et à obtenir le niveau de privilège administrateur nécessaire à l’accomplissement de ses objectifs. Il dispose des canaux d’accès et identifiants acquis durant les phases précédentes.

Il obtient finalement l’accès aux données ciblées. Les serveurs mail, les systèmes de gestion des documents et les données clients sont corrompus.

Phase 5 : Mission achevée

Chronologie : jour 0

Le cyber pirate parvient finalement à la phase finale de sa mission. Il a pu exfiltrer les données clients, corrompre les systèmes vitaux et interrompre les opérations de l’entreprise. Là, il détruit souvent les preuves de son passage avec un ransomware.

Le coût pour une entreprise peut atteindre des montants exponentiels si l’attaque n’a pas pu être neutralisée.

Dans cet exemple, la cible a été atteinte avant toute détection. C’est bien souvent le cas. Les violations de données sont extrêmement difficiles à détecter, parce que les pirates utilisent des outils à première vue inoffensifs et des identifiants légitimes.

Voilà pourquoi vous devez rester alerte en toutes circonstances. En matière de cyber sécurité, rien n’est jamais acquis.

Cet exemple fictif se base sur de véritables attaques, et sur l’expérience de nos hackers éthiques. Les tests de l’équipe de Red Teaming F-Secure permettent aux entreprises de faire le point sur leurs capacités de défense en les mettant à l’épreuve, via des attaques imitant celles de véritables pirates.

Découvrez la vidéo ci-dessous pour en savoir plus sur la Red Team :

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s