Qu’est-ce qu’une cyberattaque ?

Une cyberattaque, ou cyber-attack, est tout accès non autorisé à des systèmes informatiques, des appareils numériques ou des réseaux qui vise explicitement à altérer, bloquer, contrôler, supprimer, détruire, désactiver, perturber, exposer, manipuler ou voler des données, des applications ou d’autres actifs numériques. Les motifs d’une cyberattaque sont nombreux et il en existe de nombreux types. Leur point commun est que les cyberattaques existent depuis presque aussi longtemps que les systèmes numériques, et que le volume, la vitesse et la sophistication des cyberattaques se sont accrus au fur et à mesure que l’utilisation de ces systèmes s’intensifiait.

Pourquoi les cyberattaques se produisent elles ?

Les cyberattaques sont conçues pour causer des dommages, mais les objectifs varient en fonction de l’organisation ciblée et du criminel. Parmi les motivations les plus courantes pour une cyberattaque, on trouve :

• L’espionnage industriel
• La cyber-guerre ou le cyber espionnage contre un autre État-nation
• Le gain financier
• L’hacktivisme ou activisme informatique, qui peut être motivé par la politique, une cause, ou pour faire passer un message
• La reconnaissance et la réussite (c’est-à-dire pour se vanter)
• Des représailles de la part d’un acteur interne en rapport avec un grief

Qui sont les auteurs des cyberattaques ?

Les auteurs de la plupart des cyberattaques sont issus de ces catégories :

• Des organisations criminelles
• Des groupes soutenus par un gouvernement
• Des individus agissant seuls
• Des acteurs internes malveillants

Qui sont les cibles des cybercriminels ?

Une cyberattaque a presque toujours un objectif spécifique. Très souvent, son auteur vise à obtenir quelque chose de valeur, notamment :

• Des données financières
• Des listes de clients
• Des données clients (par exemple, des données à caractère personnel [DCP] et d’autres données sensibles)
• Des perturbations (par exemple, pour créer une distraction tout en commettant un autre crime, des représailles)
• Des adresses e-mail
• La propriété intellectuelle (par exemple, des secrets commerciaux ou des conceptions de produits)
• Des informations d’identification
• De l’argent

En fonction de l’objectif de la cyberattaque, le cybercriminel identifie une cible. Une fois une organisation cible sélectionnée, l’attaque est dirigée contre des individus.

Les auteurs de cyberattaques recherchent des personnes jugées faciles à compromettre, comme celles dont l’identité est facile à découvrir (par exemple, des personnes dont les coordonnées sont accessibles au public, par exemple sur des blogs, des sites Web d’entreprises ou des plateformes de réseaux sociaux).

Il convient de noter que les dirigeants des organisations (par exemple, les cadres supérieurs ou les directeurs), ne sont pas les cibles préférentielles ; les cibles récurrentes sont celles qui ont accès aux dirigeants, comme l’assistant d’un cadre supérieur.

Les organisations les plus couramment ciblées par les cyberattaques appartiennent à divers secteurs industriels, notamment :

• L’infrastructure critique
• L’éducation
• Les entreprises d’énergie et de services publics
• Les institutions financières
• Les agences gouvernementales et militaires
• Les organisations de soins de santé et médicales

Comment les organisations sont-elles affectées par les cyberattaques ?

Bien que les impacts à court terme d’une cyberattaque sur une organisation puissent être significatifs, l’impact à long terme peut être encore pire. Les cyberattaques, lorsqu’elles réussissent, peuvent infliger des dommages majeurs à une organisation dans de nombreux domaines, notamment les suivants :

Perturbation des opérations

Les opérations perturbées en raison d’une cyberattaque entraînent des temps d’arrêt et des retards de service qui peuvent avoir de graves répercussions sur une organisation, impactant la productivité, entraînant des pertes financières et, dans certains cas, mettant des vies en danger.

Perte financière

Les pertes financières pour les organisations en cas de cyberattaque peuvent inclure :

• Le vol d’informations financières sensibles
• L’exécution de transactions frauduleuses
• La demande de paiements de rançon pour débloquer des données chiffrées, ainsi que les amendes et les frais juridiques associés
• La dépense de temps et d’argent pour enquêter et atténuer une cyberattaque

Perte de propriété intellectuelle

Les cyberattaques ciblent couramment la propriété intellectuelle (PI), notamment les informations propriétaires, les recherches, les données et les secrets commerciaux. Non seulement cela peut compromettre l’avantage concurrentiel et la position sur le marché d’une organisation, mais cela peut également entraîner des impacts allant du gaspillage d’investissements projetés à la perte de possibilités de revenus.

Conséquences légales et réglementaires en matière de conformité

Les organisations encourent des risques de graves conséquences légales et réglementaires à la suite d’une cyberattaque. Si une cyberattaque est considérée comme le résultat d’une défaillance de sécurité, une organisation peut se retrouver en violation des lois sur la protection des données et de la vie privée, des réglementations sectorielles et des obligations contractuelles. Chacun de ces éléments peut entraîner des amendes, des responsabilités juridiques et des poursuites.

Risques pour la sécurité nationale

La sécurité nationale peut être mise en péril lorsqu’une cyberattaque cible un organisme gouvernemental. Par exemple, une cyberattaque pourrait divulguer des informations sensibles, perturber des services essentiels ou compromettre les capacités de défense nationale si l’infrastructure critique, les systèmes gouvernementaux ou les opérations militaires sont touchés.

Dommages à la réputation

Une cyberattaque, en particulier une violation de données, entraîne souvent des dommages importants à la réputation des gouvernements et des organisations, tels que :

• Manque de confiance de la part des clients, des partenaires et du public
• Perte de clients, de partenaires et d’opportunités commerciales
• Publicité négative et dommages à la réputation de la marque

Types de cyberattaques

Les cyberattaques sont classées en plusieurs catégories. La première est une cyberattaque active par opposition à une cyberattaque passive.

Une cyberattaque active vise à impacter la Confidentialité, l’Intégrité ou la Disponibilité (c’est-à-dire le modèle de la triade CIA qui constitue la base des systèmes de cybersécurité). Une cyberattaque passive n’impacte pas les systèmes, mais se concentre sur l’accès aux données.

Une autre façon de catégoriser une cyberattaque est de la qualifier de syntaxique ou de sémantique. Une cyberattaque syntaxique fait référence à un logiciel malveillant qui infecte un ordinateur par divers canaux. Les logiciels malveillants peuvent bloquer l’accès aux fichiers, détruire des données, perturber le fonctionnement des systèmes, les rendre inopérants ou subtiliser des informations.

Une cyberattaque sémantique adopte une approche plus subtile, en manipulant le comportement de la cible. Des logiciels malveillants peuvent être utilisés, mais leur importance est moindre. L’accent est mis sur le fait de tromper une cible pour qu’elle prenne une mesure souhaitée afin de faciliter l’attaque. Par exemple, l’hameçonnage et les ransomwares combinent une cyberattaque syntaxique et une cyberattaque sémantique.

Exemples de vecteurs de cyberattaque syntaxique

Cross-site scripting

Une cyberattaque de cross-site scripting ou XSS ajoute du code malveillant à une page Web ou une application légitime. Lorsqu’un utilisateur visite le site ou l’application compromis, le code malveillant s’exécute automatiquement dans le navigateur Web de l’utilisateur. Le cross-site scripting est généralement utilisé pour voler des informations sensibles saisies dans les formulaires du site légitime ou rediriger le visiteur vers un site Web malveillant falsifié.

Déni de service

Une attaque par déni de service distribuée (DDoS) est une approche qui submerge le serveur d’une cible avec un nombre écrasant de demandes de données simultanées. Ce trafic frauduleux est souvent généré par des botnets, qui sont un réseau d’appareils compromis (par exemple, des appareils de l’Internet des objets [IoT], des appareils mobiles et des ordinateurs portables) infectés par des logiciels malveillants.

Ces logiciels malveillants donnent à un cybercriminel l’accès à la puissance informatique nécessaire pour lancer une cyberattaque DDoS. Le volume et la vélocité du trafic rendent impossible le traitement des demandes légitimes par les serveurs, ce qui perturbe les opérations normales. Souvent, une attaque DDoS est utilisée pour distraire les équipes de sécurité d’un autre vecteur d’attaque.

Usurpation de DNS (Domain Name System)

L’usurpation de DNS ou l’empoisonnement du DNS modifie secrètement les enregistrements DNS, remplaçant l’adresse IP (Internet Protocol) d’un site Web légitime par celle qui les redirige vers une version malveillante de ce site. À partir de cette dernière, les cybercriminels volent des données ou diffusent des logiciels malveillants.

Tunneling DNS

Le tunneling DNS est une cyberattaque syntaxique sophistiquée. Les cybercriminels établissent un accès système persistant (c’est-à-dire un tunnel) aux systèmes des cibles, fournissant un point d’entrée qui contourne les pare-feux et autres mesures de sécurité.

Ensuite, le trafic malveillant est livré en paquets à travers le tunnel DNS. Le tunneling DNS est également utilisé comme point d’extraction secrète de données ou pour créer des connexions entre des logiciels malveillants et un serveur de commande et de contrôle

Téléchargement furtif

Les cybercriminels infectent souvent des sites Web légitimes avec des logiciels malveillants. Lorsqu’un utilisateur visite un site infecté, le système de l’utilisateur est également infecté.

Logiciel malveillant sans fichier

Une cyberattaque sans fichier ou « fileless » exploite les vulnérabilités des logiciels légitimes pour insérer du code malveillant dans la mémoire d’un système. Les cyberattaques sans fichier modifient généralement les configurations du système ou volent des mots de passe.

Chevaux de Troie

Ils sont nommés d’après le cheval utilisé par les Grecs lors de la guerre de Troie. En termes de cyberattaque, un cheval de Troie semble bénin, mais transporte une charge malveillante.

Les chevaux de Troie sont utilisés pour plusieurs types de cyberattaques ; ils se dissimulent sous la forme d’applications ou sont intégrés dans des logiciels légitimes pour tromper les utilisateurs et les inciter à les installer.

Chevaux de Troie d’accès à distance

Un cheval de Troie d’accès à distance ou RAT crée une porte dérobée secrète sur le système de la cible, puis l’utilise pour accéder sans soupçons à un système et à un cheval de Troie. La cyberattaque est exécutée par le cheval de Troie qui installe des logiciels malveillants supplémentaires.

Logiciel espion

Le logiciel espion est distribué sur un système à l’aide d’un autre type de logiciel malveillant (par exemple, un ver, un virus ou un cheval de Troie). Une cyberattaque par logiciel espion se produit principalement en arrière-plan, les utilisateurs des systèmes étant inconscients de sa présence. Le logiciel espion collecte secrètement des données (par exemple, les numéros de carte de crédit, les noms d’utilisateur et les mots de passe) à partir des systèmes et envoie ces informations au cybercriminel qui a lancé l’attaque.

Injection SQL

Une injection SQL (Structured Query Language) est une tentative de prendre le contrôle et généralement d’extraire des informations. Le code malveillant est injecté dans la base de données backend d’un site Web ou d’une application.

Une fois le code en place, les cybercriminels peuvent exploiter les vulnérabilités des applications pilotées par les données. Ils peuvent par exemple, saisir les commandes à travers les champs accessibles aux utilisateurs, tels que les barres de recherche et les fenêtres de connexion, qui sont transmises à la base de données, qui renvoie les informations sensibles souhaitées (par exemple, les numéros de carte de crédit ou les données personnelles des clients).

Virus

Un virus est un type de logiciel malveillant auto reproductifs qui peut se fixer à un autre fichier ou programme pour se propager. Vecteur de cyberattaque couramment utilisé, les virus se trouvent souvent dans les téléchargements de fichiers et les pièces jointes d’e-mails. Une fois qu’un téléchargement est initié, le virus est activé et se réplique, se propageant à d’autres utilisateurs et systèmes.

Vers

Les vers sont considérés comme le logiciel malveillant le plus fréquemment utilisé pour les cyberattaques syntaxiques. Ils sont autoreproductifs et peuvent rapidement se propager à travers les applications et les appareils.

Tout comme les virus, les vers sont généralement distribués via des téléchargements de fichiers et des pièces jointes. Contrairement aux virus, les vers sont autonomes et ne dépendent pas d’un autre fichier pour se propager. Type de logiciel malveillant assez sophistiqué, les vers peuvent collecter et transmettre des données à un emplacement spécifié en utilisant le réseau qu’ils ont compromis.

Exemples de vecteurs et d’approches de cyberattaque sémantique

Basé sur les informations d’identification

Une cyberattaque basée sur les informations d’identification consiste à dérober des informations d’identification pour accéder et gérer des systèmes afin de prendre des données sensibles ou de perturber les opérations d’une organisation. Un type de cyberattaque basée sur les informations d’identification est le bourrage d’informations d’identification, qui se produit lorsque les cybercriminels utilisent des informations d’identification volées pour accéder à d’autres systèmes. Un autre type d’attaque basée sur les informations d’identification est l’attaque par force brute, dans laquelle les attaquants procèdent par essais et erreurs pour tenter de deviner les informations d’identification d’accès (par exemple, les noms d’utilisateur, les mots de passe et les clés de chiffrement).

L’homme du milieu

Avec une attaque de l’homme du milieu, les cybercriminels obtiennent un accès au système en interceptant les communications entre deux personnes ou entre un utilisateur et un serveur. Une fois l’accès établi, le cybercriminel peut voler des données, diffuser des logiciels malveillants ou passer à d’autres systèmes.

L’hameçonnage

L’hameçonnage est un type d’ingénierie sociale dans lequel des messages électroniques sont conçus pour tromper les destinataires en les incitant à les ouvrir, à cliquer sur des liens malveillants, à aller sur un site Web compromis ou contrefait, à télécharger et à ouvrir une pièce jointe ou à partager des informations sensibles. L’un des vecteurs de cyberattaque sémantique les plus répandus, l’hameçonnage continue d’être un outil efficace pour les cybercriminels.

SMiShing

Le SMiShing, également appelé hameçonnage SMS, reprend le concept de l’hameçonnage et l’applique aux SMS. Comme dans le cas de l’hameçonnage, les cibles reçoivent des messages écrits pour les inciter à cliquer sur un lien malveillant ou à ouvrir un fichier infecté.

Ransomware

L’une des cyberattaques sémantiques les plus redoutées est le ransomware. Une combinaison de logiciels malveillants et d’interaction humaine, le ransomware chiffre généralement des fichiers et des dossiers sur des disques locaux, des disques attachés et des ordinateurs en réseau.

Les cybercriminels offrent ensuite à la cible la possibilité de payer une rançon pour retrouver leurs données. Dans certains cas, la menace est que les fichiers resteront chiffrés et inaccessibles. Dans d’autres cas, la menace est que des informations sensibles seront exposées publiquement.

Scareware

Le scareware est un autre type d’ingénierie sociale qui utilise de faux messages pour effrayer les cibles afin qu’elles effectuent une action souhaitée, comme aller sur un site falsifié, télécharger des logiciels malveillants ou révéler des informations sensibles. Par exemple, un cybercriminel enverra un message qui semble provenir des forces de l’ordre et prétendra que le destinataire doit faire quelque chose pour éviter de graves conséquences, bien que fausses.

Chaîne d’approvisionnement

Une cyberattaque de la chaîne d’approvisionnement vise des tiers ayant des liens avec une organisation cible. Souvent, ces tiers ont une sécurité moins robuste que l’organisation cible, ce qui les rend plus faciles à compromettre. Les cybercriminels exploitent ces vulnérabilités comme points d’entrée pour lancer leur attaque sur la cible.

Détection des cyberattaques

Il est impossible d’empêcher une tentative de cyberattaque, mais le fait d’en connaître les signes peut contribuer à empêcher le succès des cybercriminels. Les outils et approches recommandés par les experts pour détecter une cyberattaque sont les suivants :

• Logiciels antivirus et antimalware
• Renseignements sur les menaces
• Analyse de la cybersécurité
• Détection des menaces aux points terminaux
• Signalement des e-mails habituels
• Pièges pour intrus ou honeypots
• Détection des menaces réseau
• Signalement d’une activité de connexion inhabituelle
• Tests de pénétration
• Chasse proactive aux menaces
• Signalement d’un réseau plus lent que d’habitude
• Technologie de détection d’événements de sécurité
• Systèmes de gestion de l’information et des événements de sécurité (SIEM) enrichis de données de renseignement sur les menaces
• Outils de détection des menaces
• Analyse comportementale des utilisateurs et des entités (UEBA)

Réponse aux cyberattaques

Une réponse rapide est cruciale pour minimiser les dommages et les perturbations en cas de cyberattaque. Les huit étapes ci-dessous constituent un cadre de base pour un plan de réponse efficace :

1. Préparation
   Disposer d’un plan pour traiter les types de cyberattaques susceptibles de toucher l’entreprise.
2. Détection et analyse
   Utiliser des outils pour permettre une détection précoce de l’activité suspecte qui pourrait indiquer une cyberattaque. En cas d’attaque en cours, analyser les informations disponibles en examinant les journaux informatiques et réseau pour identifier la source et l’ampleur de l’attaque.
3. Endiguement de l’attaque
   L’endiguement est essentiel, car les logiciels malveillants peuvent se propager rapidement à travers les systèmes et les réseaux.
4. Éradication des logiciels malveillants et fermeture des points de violation
   Une fois que le vecteur d’attaque a été identifié et contenu, il doit être neutralisé et détruit. Les failles doivent être comblées et les vulnérabilités connexes éliminées.

Suivi post-attaque et restauration des systèmes

1. Évaluation de l’ampleur des dommages
   Cette étape permet à l’équipe de sécurité de détecter les vulnérabilités restantes. L'évaluation des systèmes compromis aide également à déterminer les divulgations légales requises.
2. Consultation des équipes juridiques et de conformité de l’entreprise
   Il est important de bien comprendre les obligations d’information en cas de cyberattaque. En fonction de la portée, de l’ampleur et du contenu de la cyberattaque, les exigences peuvent varier, et certaines sont obligatoires.
3. Alerte des parties concernées
   Une fois que les parties impactées nécessitant une notification ont été identifiées, elles doivent être contactées en temps opportun. Disposer d’ébauches de ces communications avant un incident permet de garantir un processus de notification sans heurts et de contrôler le message afin de limiter les atteintes à la réputation.
4. Récupération et restauration
   Dès que possible, les opérations normales doivent être rétablies et toutes les données perdues ou endommagées doivent être récupérées à partir de sauvegardes.

Prévention des cyberattaques

Si les cyberattaques sont omniprésentes et souvent efficaces, il existe de nombreuses méthodes qui rendent leur lancement plus difficile. Les solutions et tactiques de prévention des cyberattaques les plus couramment déployées sont les suivantes :

• Sauvegarder régulièrement les données.
• Effectuer régulièrement des tests de pénétration.
• Maintenir les systèmes et les applications à jour avec les derniers correctifs et versions.
• Gérer et surveiller étroitement les identités des utilisateurs.
• Tirer des enseignements des tentatives de cyberattaques passées.
• Dispenser une formation de sensibilisation à la sécurité.
• Exiger une authentification multi-facteurs et des mots de passe robustes.
• Restreindre l’accès aux systèmes et aux données, adopter une zero-trust.
• Réviser et tester régulièrement les plans de réponse en cas de cyberattaque.

Des solutions contre les cyberattaques

Utilisez des solution éprouvées contre les cyberattaques:

• Antivirus et antimalware
• Gestion de la surface d’attaque (ASM)
• Détection et réponse étendues (XDR)
• Pare-feux
• Gestion de l’identité et des accès (IAM)
• Orchestration, automatisation et réponse de sécurité (SOAR)
• Gestion unifiée des points terminaux (UEM)

Atténuation du risque de cyberattaque

Ce tour d’horizon des cyberattaques est un premier pas vers leur compréhension. Prenez le temps d’effectuer une analyse approfondie et d’évaluer ce que votre organisation fait pour se défendre contre une tentative de cyberattaque, ainsi que d’évaluer les processus de réponse en place. Bien que la prévention soit l’idéal, les cybercriminels sont sophistiqués et rusés et continuent de trouver des moyens de contourner même les meilleures défenses. Il est donc essentiel d’être prêt à détecter et à contenir une attaque afin d’en minimiser les dommages.