Qu’est-ce qu’une cyberattaque ?

Une cyberattaque est un terme général donné à toute menace permanente sur un système. Les menaces peuvent provenir d’utilisateurs internes qui sont victimes d’une attaque par phishing, ou d’une personne extérieure qui trouve une vulnérabilité dans une application Web et l’exploite.

Les cyberattaques sont une préoccupation majeure pour les entreprises, qui peuvent perdre des millions de dollars par des revenus perdus, des dommages à la marque et des frais de justice si une menace réussit à pénétrer dans un système et à voler des données.

Chaque jour, les attaquants s’efforcent de pénétrer dans les ressources Internet. Les compromissions touchent les grandes et les petites entreprises, mais tous les incidents ne font pas la une des journaux nationaux. Les petites entreprises ne se considèrent souvent pas comme une cible, alors que les attaquants savent qu’elles ne disposent pas des ressources nécessaires pour détecter les attaques sophistiquées.

Voici quelques cyberattaques récentes :

• Le département de la santé de l’Alaska a subi une violation de données qui a exposé des informations résidentielles, financières, sanitaires et personnelles.
• À l’instar du botnet Mirai, le botnet Meris a attaqué la publication de recherche sur la sécurité KrebsOnSecurity et le moteur de recherche russe Yandex avec l’une des plus grandes attaques par déni de service distribué (DDoS) à ce jour.
• Le fournisseur d’hébergement Epik a subi une violation de données après que des attaquants ont eu accès à des informations datant de dix ans provenant de ses bases de données internes.
• Le district scolaire de Dallas, au Texas, a signalé une violation de données qui a permis aux attaquants d’accéder aux informations personnelles des étudiants et des employés.
• Une petite chaîne alimentaire du Nevada, connue pour héberger des services de jeux d’argent, a signalé que des attaquants avaient installé des logiciels malveillants sur ses systèmes et volé les informations personnelles de ses clients.

Les cinq cyberincidents susmentionnés se sont produits en l’espace d’un seul mois. Ce n’est pas surprenant si l’on considère qu’une nouvelle vulnérabilité est découverte chaque jour, donnant aux attaquants le levier nécessaire pour voler des données.

Aucune entreprise ne doit partir du principe qu’elle n’est pas une cible. Chaque entreprise doit donner la priorité à la cybersécurité pour protéger ses actifs numériques et les données de ses clients.

Nous avons l’habitude de lire des articles sur des brèches importantes qui touchent des organismes gouvernementaux et des millions d’utilisateurs. En réalité, des violations mineures se produisent quotidiennement, mais elles ne font pas la une des journaux.

Ces dernières décennies ont été marquées par des cyberattaques sans précédent qui ont fait prendre conscience à leurs victimes de l’importance de la cybersécurité.

Voici quelques-unes des plus grandes violations de données de l’histoire :

1999 - La NASA et le ministère américain de la défense. En 1999, la NASA a subi une violation de données lorsqu’un pirate de 15 ans a exploité la vulnérabilité d’un routeur et a volé le code source d’un logiciel utilisé pour contrôler la température et l’humidité de la station spatiale de la NASA. La violation a entraîné 21 jours d’interruption de service et a coûté 41 000 dollars à la NASA.

1999 - Le virus Melissa. La première macro d’envoi massif de messages électroniques a exploité Microsoft Word et Outlook pour envoyer des messages électroniques à tous les contacts de la première victime de l’attaque. Lorsque ces contacts ouvraient le document Word joint, leurs contacts recevaient le même message. Le virus s’est propagé de manière exponentielle et a coûté 80 millions de dollars dans le monde.

2017 - WannaCry. Bien que les ransomwares aient existé pendant des années avant le lancement de WannaCry, le monde n’avait jamais vu ce niveau de cyberattaque sophistiquée qui a rapidement paralysé les systèmes d’entreprise à travers le monde. Il a donné naissance à plusieurs variantes et continue d’être la base de nombreuses attaques de ransomware.

2017 - Equifax. Après avoir laissé pendant des mois des logiciels obsolètes installés sur des serveurs web, Equifax a subi une violation massive de données lorsque des attaquants ont exploité un logiciel non corrigé et ont volé les informations financières et personnelles de millions de consommateurs. La négligence d’Equifax leur a coûté des millions de dollars en litiges et réparations.

2020 - Organisation mondiale de la santé. Au cours de recherches sur le coronavirus, des attaquants ont eu accès à 25 000 adresses électroniques et mots de passe de l’Organisation mondiale de la santé et de la Fondation Gates. On ne sait pas comment les attaquants ont obtenu cet accès, mais on pense qu’il pourrait provenir d’une attaque par hameçonnage.

Le Global Risks Report 2020 du Forum économique mondial classe les cyberattaques au cinquième rang des risques les plus importants pour les organisations, l’impact et la probabilité étant jugés “très probables” et “financièrement dommageables”.

En raison de la pandémie, le coût d’une violation de données a explosé en 2020, passant de 3,86 millions de dollars à 4,24 millions de dollars, un prix record pour une violation de données en 17 ans. Les justificatifs d’identité volés sont la cible la plus courante d’une violation de données, mais les cibles des cyberattaques se sont étendues au-delà des justificatifs d’identité volés.

La criminalité numérique et les cyberattaques ont augmenté de 600 % “post-pandémie”, principalement parce que les utilisateurs travaillent désormais à domicile et ne disposent pas de cyberdéfenses de niveau entreprise sur leurs appareils personnels. À l’échelle mondiale, les coûts devraient monter en flèche d’ici 2025 pour atteindre plus de 10 500 milliards de dollars, contre 3 000 milliards en 2015.

Les coûts associés à une cyberattaque sont graves et peuvent peser sur les finances d’une organisation. Les coûts indirects à prendre en compte sont les suivants :

• La perte de revenus
• Temps d’arrêt entraînant une perte de productivité
• Les atteintes à la réputation entraînant une baisse des ventes et une limitation de la croissance
• Les problèmes de continuité des activités
• Litiges et coûts de réparation

“Cyberattaque” est un terme générique utilisé pour décrire une menace numérique. Ces menaces utilisent divers exploits et vecteurs, mais toutes provoquent des temps d’arrêt, des dommages aux données, des vols et l’installation de malwares.

Le type de menace détermine les mesures de réponse à l’incident nécessaires pour éradiquer la menace, mais chaque brèche nécessite les bons experts pour enquêter, contenir et supprimer les vulnérabilités.

Voici quelques menaces courantes que les organisations devraient prendre en compte lors de la définition de leur plan de cybersécurité :

• Phishing : Le courrier électronique est la forme d’attaque la plus courante, mais les attaquants utilisent également des messages texte et des appels vocaux pour inciter les utilisateurs à divulguer des informations sensibles. Une attaque de phishing réussie peut être évitée en utilisant la sécurité et les filtres de messagerie.
• Les malwares (logiciels malveillants) : Tout code ou exécutable malveillant sur le réseau peut exposer l’organisation à des attaques de logiciels malveillants sophistiqués, tels que les ransomwares. Les attaquants installent des logiciels malveillants en utilisant des attaques de phishing, des pages web malveillantes et des dispositifs USB.
• Man-in-the-middle (MitM) : Lorsque les utilisateurs se connectent aux réseaux d’entreprise en utilisant des hotspots Wi-Fi publics, ils ouvrent leurs appareils au risque d’attaques MitM. Les connexions VPN permettent de contrer ces attaques.
• Déni de service distribué (DDoS) : Les administrateurs n’ont aucun avertissement avant qu’un DDoS ne se produise, de sorte que son attaque rapide et soudaine épuise les ressources et provoque des temps d’arrêt. Certains systèmes de cybersécurité détectent un DDoS au début de l’attaque afin que les administrateurs puissent réagir rapidement.
• Injection SQL : Des instructions SQL malformées injectées dans la saisie et envoyées à un serveur de base de données peuvent être exploitées pour récupérer des données, endommager des objets de la base de données (par exemple, des tables) et lever les autorisations. Les développeurs doivent toujours valider les inputs SQL et éviter de construire des requêtes à partir de chaînes de caractères et d’input utilisateur.

Lorsque la pandémie a modifié la façon dont les gens travaillent, les tendances en matière de cyberattaques ont également changé. Ces changements exploitent l’erreur humaine et la cybersécurité inadéquate que les particuliers installent sur leurs ordinateurs.

Les attaques par hameçonnage continuent d’être l’un des vecteurs les plus populaires ciblant les utilisateurs et les incitant à télécharger des logiciels malveillants ou à divulguer leurs informations d’identification sur le réseau. Ces méthodes permettent aux attaquants d’accéder aux ressources internes, ce qui les rend difficiles à détecter lorsque les attaquants se font passer pour des utilisateurs légitimes.

Les utilisateurs travaillent souvent avec leurs propres smartphones et appareils IoT, et ces appareils de périphérie constituent une menace pour la sécurité du réseau. Les attaquants savent que l’antivirus fonctionne probablement sur un ordinateur de bureau, mais les appareils IoT et intelligents n’ont pas le même niveau de protection. Cibler les appareils IoT est une méthode populaire pour les attaquants. Les plus grandes attaques DDoS proviennent de dispositifs IoT piratés utilisés pour inonder les réseaux mondiaux de trafic.

Les ransomwares donnent aux attaquants un moyen de monétiser leurs efforts. Cette attaque de logiciels malveillants est l’une des plus dommageables pour les organisations, car il n’existe aucune méthode pour inverser la charge utile.

Les ransomwares chiffrent les données avec des algorithmes de chiffrement sûrs (par exemple, AES-256), de sorte que les entreprises doivent restaurer les données de sauvegarde. Le paiement de la rançon ne garantit pas le retour des données de l’organisation, ce qui peut être dévastateur pour les organisations ayant de mauvaises stratégies de sauvegarde.

Pour prévenir les cyberattaques, chaque organisation a besoin d’une stratégie. Les stratégies couvrent l’infrastructure, les logiciels, les politiques et la formation nécessaires pour stopper les menaces. Aucune stratégie ne peut éliminer le risque à 100 %, mais elle peut le réduire considérablement et fournir aux organisations des moyens de réagir et de se rétablir rapidement.

Voici quelques moyens pour les organisations de prévenir les violations de données et les temps d’arrêt dus aux attaques :

• Créer des politiques de cybersécurité : Ces politiques nécessitent généralement un professionnel afin que chaque vecteur soit couvert. Les politiques indiquent aux administrateurs et aux employés comment gérer des attaques spécifiques telles que le phishing, l’ingénierie sociale, le spam et les menaces physiques (par exemple, le piggybacking).
• Logiciel de test de pénétration : avant de déployer en production, il faut toujours effectuer un examen de la sécurité et un test de pénétration du code pour détecter les vulnérabilités. Ces vulnérabilités doivent être corrigées avant le déploiement.
• Proposer une formation à la sécurité à l’échelle de l’entreprise : Tous les employés doivent être formés à la détection du phishing et de l’ingénierie sociale pour les signaler plutôt que de s’engager avec les attaquants. La formation à la sécurité de Proofpoint, qui propose une approche unique centrée sur les personnes, peut réduire jusqu’à 90 % les attaques de phishing et les infections par des logiciels malveillants. Notre solution a été classée leader par Gartner dans son Magic Quadrant pendant 6 années consécutives.
• Mettre en œuvre des applications de surveillance et de renseignement sur les menaces : La plupart des entreprises utilisent un SIEM (Security Information and Event Management) pour les aider à analyser les événements et à alerter les administrateurs en cas d’activité suspecte sur le réseau.
• Déployer des systèmes de détection des intrusions : Un système de détection des intrusions (IDS) aide les administrateurs à détecter et à bloquer les attaques potentielles. Ces systèmes fonctionnent avec les systèmes de prévention pour bloquer automatiquement l’accès si un attaquant trouve une vulnérabilité.
• Faire des sauvegardes fréquentes : Les sauvegardes constituent la solution de secours ultime si un ransomware ou un autre logiciel malveillant endommage les données et les applications. Une stratégie de sauvegarde fait partie d’un bon plan de reprise après sinistre et améliore la continuité des activités.