La sécurité des informations repose avant tout sur la nécessité de défendre les données, notamment contre les cybercriminels qui cherchent à monétiser les données volées à des fins géopolitiques ou purement lucratives. Récemment, nous avons constaté que les cybercriminels étaient de plus en plus nombreux à tirer profit de l'exfiltration de données sur trois tableaux : ils se font payer pour restituer les données volées, détruire ces données volées et révéler les modifications apportées aux données restituées.
Imaginez maintenant la chaîne d'attaque. Commençons par la fin, lorsque le cybercriminel atteint son objectif d'exfiltration de données. Dans une entreprise, les données ne sont pas laissées à la disposition de tous. Des règles d'accès propres à chaque utilisateur s'appliquent aux données. Par exemple :
- Un site SharePoint Microsoft 365 est soumis à des règles d'accès qui déterminent qui peut télécharger des fichiers sensibles.
- Les identifiants de connexion à la machine d'un utilisateur déterminent qui peut accéder aux fichiers stockés sur ce terminal.
Quel que soit l'endroit où se trouvent les données, l'identité détermine l'accès. Les cybercriminels l'ont bien compris : ils savent que pour accéder aux données les plus précieuses d'une entreprise, ils doivent usurper la bonne identité. Ils déploient donc leur attaque en se déplaçant latéralement d'une identité à une autre et en élevant leurs privilèges jusqu'à accéder à ces fichiers.
Les cybercriminels peuvent également utiliser les identifiants de connexion d'un compte administrateur local vulnérable, élever ses privilèges, puis obtenir un accès aux fichiers de l'entreprise. Après une compromission, le déplacement latéral avec usurpation d'identité est l'activité préférée des cybercriminels.
Le rôle déterminant des emails dans l'atteinte des objectifs des cybercriminels
En remontant la chaîne d'attaque, des questions telles que les suivantes viennent souvent à l'esprit : « Quelle a été la première action du cybercriminel ? » et « Comment a-t-il réussi à infiltrer l'entreprise ? ».
La question de l'identité est centrale — et l'adresse email est une forme d'identité externe. Votre nom complet dans le répertoire, vos identifiants de connexion à votre PC, votre identité Microsoft 365… Tout est lié et exposé aux menaces externes par le biais de votre adresse email.
Cela n'a pas échappé aux cybercriminels. C'est la raison pour laquelle :
- L'email demeure le principal vecteur de menaces utilisé par les cybercriminels
- Les cybercriminels continuent d'utiliser l'email pour distribuer des malwares
- Le piratage de la messagerie en entreprise (BEC, Business Email Compromise) génère plusieurs milliards de dollars de pertes dans le monde entier
- Les attaques de phishing d'identifiants de connexion sont déployées par email
- L'email continue d'être le point d'accès initial exploité par de nombreux cybercriminels
Voilà également pourquoi Proofpoint met l'accent sur la protection des personnes. Lorsque des cybercriminels visent des personnes, ils ciblent leurs adresses email, leurs identités et les données auxquelles ces identités ont accès.
Notre approche est unique. Aucun autre acteur du marché ne peut mettre en place les dispositifs de défense en profondeur nécessaires pour contrer les offensives des cybercriminels, de leur première action à leur objectif final.