Ransomware

Break the Attack Chain : décisions stratégiques

Share with your network!

Dans notre série d’articles de blog « Break the Attack Chain », nous nous sommes intéressés à la façon dont les cybercriminels compromettent nos défenses et se déplacent latéralement sur nos réseaux pour élever les privilèges et atteindre leur objectif. Nous arrivons maintenant à la dernière étape de la chaîne d’attaque, qui nécessite d’élargir quelque peu notre perspective.

Bien que la plupart des cybercriminels externes suivent la même approche, ils ne sont pas nos seuls adversaires. Aujourd’hui, lorsqu’un collaborateur quitte une entreprise, ses données s’en vont souvent avec lui. Plus de 40 % des collaborateurs admettent emporter des données avec eux. Par ailleurs, plus de la moitié des fuites de données d’origine interne sont imputables à des collaborateurs négligents qui commettent des erreurs de sécurité.

Par conséquent, bien qu’il soit important de détecter et de bloquer les cybercriminels cherchant à exfiltrer nos données, nous devons également nous méfier de nos propres utilisateurs. Qu’ils soient malveillants ou négligents, ils sont tout aussi capables d’exposer des données sensibles.

Dans ce troisième et dernier article, nous expliquons comment les entreprises perdent généralement des données et comment nous pouvons renforcer leur protection contre toutes sortes de risques.

Comprendre les fuites de données

Comme à chaque étape de la chaîne d’attaque, nous devons d’abord comprendre les menaces avant de pouvoir mettre en place des protections. Commençons par le cas d’un cybercriminel suivant la chaîne d’attaque habituelle. Même si cela ne ressemble peut-être pas à une attaque d’origine interne traditionnelle, la tâche du cybercriminel est souvent facilitée par des collaborateurs négligents ou imprudents.

Les utilisateurs exposent des données et rendent votre entreprise vulnérable aux compromissions d’une multitude de façons, par exemple via l’utilisation de mots de passe faibles, la réutilisation d’identifiants de connexion, le non-respect des bonnes pratiques de sécurité et l’ouverture de pièces jointes ou de liens malveillants. Toutes ces actions dangereuses permettent aux cybercriminels d’infiltrer vos réseaux, de s’y déplacer latéralement et d’élever les privilèges.

Ces incidents sont tellement courants que plus de 80 % des fuites de données d’origine interne sont imputables à des utilisateurs négligents ou compromis. Les 20 % restants sont dus à des utilisateurs internes malveillants. Une menace interne peut désigner un collaborateur mécontent cherchant à provoquer des perturbations, un utilisateur compromis par des cybercriminels ou, et c’est de plus en plus courant, un collaborateur qui s’apprête à quitter votre entreprise.

Dans la plupart des cas, une exfiltration de données suit une approche en trois étapes :

  • Accès. Les utilisateurs, qu’ils soient malveillants ou compromis, tentent de mettre la main sur le plus d’informations possible, par exemple en téléchargeant ou en copiant un grand nombre de fichiers à partir de lecteurs d’entreprise ou en exportant des données depuis des interfaces Web ou des applications client.
  • Obfuscation. Les cybercriminels et les utilisateurs internes malveillants savent quels types d’activités sont susceptibles de déclencher des alertes et prennent les mesures nécessaires pour les éviter. La modification des noms et des extensions de fichiers, la suppression des journaux et de l’historique de navigation ainsi que le chiffrement des fichiers sont des stratégies courantes.
  • Exfiltration. Une fois leurs cibles identifiées et leurs traces effacées, les cybercriminels procèdent à l’exfiltration de données en copiant des fichiers sur un cloud personnel ou un périphérique de stockage amovible et en partageant des fichiers avec des comptes de messagerie personnels ou temporaires.

Se défendre de l’intérieur

Comme nous l’avons expliqué dans notre série de webinaires, si l’étape initiale de la chaîne d’attaque consiste à tenir les cybercriminels à l’écart de notre entreprise, les deux dernières étapes se concentrent davantage sur ce qui se passe à l’intérieur de celle-ci.

Par conséquent, une solution efficace doit défendre l’entreprise de l’intérieur. Elle doit détecter et neutraliser les activités suspectes avant que les données n’échappent aux protections internes et soient exposées au monde extérieur. Les données ont de nombreux pouvoirs, mais pas celui de quitter l’entreprise par elles-mêmes.

Qu’il soit compromis, négligent ou malveillant, un humain est forcément derrière chaque fuite de données. C’est pourquoi les outils traditionnels de prévention des fuites de données (DLP) ne sont plus aussi efficaces qu’auparavant. En se concentrant sur le contenu d’un incident, ils ne résolvent qu’un tiers du problème.

Une défense complète contre les fuites de données doit plutôt associer la classification du contenu et l’analyse des menaces et des comportements des utilisateurs. Proofpoint Information Protection est la seule solution qui combine ces trois fonctionnalités sur tous les canaux au sein d’une interface unifiée et native au cloud.

Grâce à ces informations, les équipes de sécurité peuvent identifier qui accède à des données et les déplace, quand, où et pourquoi. En ayant également recours à la threat intelligence, Proofpoint Information Protection peut relier les menaces email à celles circulant dans le cloud et d’autres environnements.

Ce niveau de visibilité est essentiel pour se défendre contre les cybermenaces. Plus vous en savez sur vos données et les personnes qui y ont accès, plus vous pouvez briser la chaîne d’attaque facilement.

Toutefois, Proofpoint Information Protection ne se contente pas de vous aider à détecter les activités suspectes. La solution détecte et bloque activement les tentatives d’exploitation de données. C’est pourquoi plus de 45 % des entreprises du classement Fortune 100 lui font confiance pour :

  • Protéger les données sensibles et la propriété intellectuelle
  • Empêcher les données de sortir de l’entreprise en même temps que les collaborateurs qui la quittent
  • Se défendre contre les utilisateurs malveillants, négligents et compromis

En savoir plus

Regardez notre webinaire pour découvrir comment gérer les risques pesant sur vos informations de l’intérieur.

Apprenez-en plus sur Proofpoint Information Protection, la seule solution qui associe classification du contenu et analyse des menaces et des comportements des utilisateurs sur tous les canaux au sein d’une interface unifiée et native au cloud.