Les cyberattaques avancées peuvent rester indétectées sur un réseau durant plus de 200 jours en moyenne. Cela laisse amplement le temps aux cybercriminels de collecter et voler des données privées, de surveiller les communications et de cartographier le réseau.
Comme toute entreprise ambitieuse, une cyberattaque réussie exige une planification soignée et une exécution précise. Ce que les piratages efficaces ont en commun est le fait de pouvoir attendre à couvert le bon moment pour frapper. Et si les attaques ont recours à diverses méthodes, elles ont généralement plusieurs étapes similaires en commun. Afin de pouvoir parer les cyberattaques, il est important de comprendre quelles sont ces étapes. Décryptons ensemble leur schéma type.
Voici les sept étapes d’une cyberattaque réussie :
1. Reconnaissance
Avant de perpétrer une attaque, les hackers commencent par identifier une cible vulnérable et ils explorent le meilleur moyen de l’exploiter. La cible initiale peut être n’importe qui au sein d’une entreprise, que ce soit un dirigeant ou un administrateur. Les agresseurs ont juste besoin d’un point d’entrée pour démarrer. Les e-mails de phishing ciblés sont courants à cette étape pour introduire efficacement un malware.
2. Exploration
Une fois la cible identifiée, l’étape suivante consiste à identifier un maillon faible permettant aux agresseurs de s’infiltrer. Ils procèdent généralement par l’exploration du réseau d’une entreprise, au moyen d’outils faciles à trouver sur Internet, jusqu’à repérer des points d’entrée. Cette étape du processus peut prendre du temps, parfois des mois, le temps que les criminels repèrent des vulnérabilités.
3. Accès et élévation
Une fois les faiblesses du réseau ciblé identifiées, l’étape suivante de la cyberattaque consiste à se frayer un accès et remonter. Dans quasiment tous les cas, un accès privilégié est nécessaire car il permet aux agresseurs d’évoluer librement au sein de l’environnement. Des tableaux Rainbow et d’autres outils comparables aident les infiltrés à voler des identifiants, à faire remonter les privilèges jusqu’au niveau admin, puis à s’introduire dans tout système du réseau accessible via le compte administrateur. Une fois que les agresseurs disposent de privilèges élevés, ils prennent le réseau d’assaut, lequel leur « appartient » désormais.
4. Exfiltration
Etant libres de circuler sur le réseau, les agresseurs peuvent avoir accès aux systèmes détenant les données les plus sensibles de l’organisation qu’ils peuvent ainsi extraire à loisir. Mais outre le fait de voler des données privées, ils peuvent aussi changer ou effacer des fichiers sur les systèmes compromis.
5. Attente
Maintenant que les criminels disposent d’un accès sans restriction au réseau ciblé, il ne leur reste plus qu’à rester silencieux, en sommeil. Pour ce faire, les hackers peuvent installer des programmes malveillants secrets, comme des root kits. Ainsi, ils peuvent revenir quand ça leur chante. Et grâce aux privilèges élevés obtenus plus tôt, ils ne sont plus dépendants d’un point d’accès unique. Les criminels peuvent aller et venir à leur guise.
6. Assaut
Heureusement, ce n’est pas le cas de toutes les cyberattaques, car l’assaut est l’étape d’une attaque où les choses se compliquent sérieusement. C’est à ce stade que des cybercriminels risquent de modifier la fonctionnalité des équipements matériels d’une victime ou les désactiver tout simplement. L’attaque Stuxnet des infrastructures critiques en Iran en est un exemple classique. Lors de la phase d’assaut, l’attaque n’a été que de très courte durée. Toutefois, les agresseurs avaient déjà pris le contrôle de l’environnement. Il est donc généralement trop tard pour que l’organisation victime puisse se défendre d’elle-même contre la compromission.
7. Obfuscation
Le plus souvent, les agresseurs souhaitent effacer leurs traces, mais ce n’est pas une vérité universelle, encore moins s’ils souhaitent laisser une « carte de visite » pour se vanter de leurs exploits. L’objectif de l’obfuscation est de perturber l’enquête légale, de rendre l’investigation confuse et de désorienter les enquêteurs. Plusieurs techniques et outils le permettent, y compris ceux de nettoyage de fichiers journaux, de spoofing, de désinformation, de comptes zombis, de commandes de chevaux de Troie, etc.
Se défendre contre les sept étapes d’une cyberattaque
Quasiment tous les réseaux sont vulnérables à une cyberattaque. Selon Mandiant, 97% des entreprises ont déjà été victimes d’au moins un cas de compromission. Et les outils établissant un périmètre de sécurité traditionnel, comme les pare-feu de nouvelle génération, offrent peu de protection contre les attaques ciblées avancées.
Pour contrer une cyberattaque, contrôler les accès privilégiés devient indispensable. A partir de la troisième étape, chacune implique en effet des identifiants privilégiés.
Cela permet d’identifier les comptes privilégiés présents sur le réseau, d’en assurer le contrôle et d’analyser leur utilisation. Chaque identifiant privilégié doit être mis à jour en continu. Ainsi, même si un intrus compromet un identifiant, il ne pourra pas s’en servir pour se déplacer vers d’autres systèmes et en extraire des données.
Si vous avez les moyens de contrôler les accès privilégiés, vous avez les moyens de contrer une cyberattaque. Sinon, informez-vous sur les dommages subis par les enseignes Target, Sony Pictures etc. et préparez votre équipe de gestion de crise à subir des conséquences comparables.
