Détecter les attaques avant qu’elles ne se produisent ou du moins avant qu’elles ne causent de sérieux dommages. Tel est l’un des principaux objectifs de la cyberdéfense. Le moyen idéal pour évaluer la situation de la menace est la Threat Intelligence – une tâche exigeante.
Texte: Andreas Heer, Photo: Swisscom
12 octobre 2023
Il faut en moyenne plus de 200 jours pour qu’une cyberattaque réussie soit détectée. Ce Mean Time to Identify (MTTI) a une influence sur les coûts, comme l’indique l’IBM Cost of a Data Breach Report 2023(ouvre une nouvelle fenêtre). Plus une intrusion est découverte rapidement, moins les dommages et les coûts sont élevés.
Si une attaque met autant de temps à être détectée, la question suivante se pose inévitablement: les entreprises ne doivent-elles pas partir du principe que des cybercriminels ont déjà accès à leur infrastructure? C’est précisément le point de départ de l’idée d’«Assume breach» en matière de cyberdéfense. Ce concept suit une approche globale: il ne suffit pas de faire confiance à des mesures préventives. La détection et la réponse doivent par conséquent être renforcées afin de détecter les attaques le plus tôt possible et de minimiser les dommages.
Mais comment les entreprises peuvent-elles savoir si elles ont déjà été attaquées avec succès ou si une attaque est imminente? Les réponses à ces questions sont fournies par les informations et les recherches de Threat Intelligence (TI), éventuellement soutenues par une recherche active de traces d’effraction menée à l’aide de la chasse aux menaces (Threat Hunting).
Threat Intelligence fait des recherches à trois niveaux. D’un point de vue stratégique, les tendances de la cybercriminalité sont au centre des préoccupations, mais c’est aussi le cas de la situation sociopolitique globale. Celle-ci a une influence sur les activités de différents acteurs. D’un point de vue tactique, l’idée est de comprendre les modèles d’attaque afin de les intégrer ensuite au niveau opérationnel dans l’amélioration de la cyberdéfense.
La manière dont se présente la menace n’est pas forcément évidente. Par exemple, les attaques de ransomware à motivation financière ne sont souvent pas ciblées, mais s’emparent des victimes qui n’ont pas colmaté assez rapidement une faille de sécurité connue. «Les auteurs des menaces qui font les gros titres ne sont pas toujours la principale menace», explique Jakub Rutynowski, spécialiste de la cybersécurité et responsable de Threat Intelligence chez Swisscom. «Nous devons essayer de comprendre ces auteurs et leur motivation pour savoir si nous sommes une cible potentielle.» Cela implique également de déterminer si, au-delà de ces gros titres, d’autres groupes intensifient leurs activités en arrière-plan. C’est une entreprise ambitieuse, et souvent, le contexte n’apparaît qu’avec le recul: s’agissait-il «seulement» d’une attaque de ransomware à motivation financière ou bien d’auteurs soutenus par l’État qui voulaient extorquer des cryptomonnaies ou utiliser les données exfiltrées à des fins d’espionnage? Les objectifs réels ne sont pas toujours évidents.
«Il est en tout cas important de placer les informations sur les attaques en cours dans le contexte de sa propre entreprise», précise Jakub Rutynowski. «Sommes-nous dans une situation similaire du point de vue de notre organisation ou de notre infrastructure et pourrions-nous donc être pris pour cible? Question subsidiaire: sommes-nous préparés?»
D’après le rapport IBM mentionné au début de l’article, les vecteurs d’attaque les plus fréquents sont les e-mails d’hameçonnage (16%) et les données d’accès volées (15%). Dans ce contexte, le darknet sert souvent de lieu d’échange pour les informations volées. Les données d’accès sont proposées à l’achat sur des forums et des places de marché par des courtiers d’accès initial («Initial Access Brokers»). Les documents commerciaux récupérés lors d’une intrusion sont quant à eux souvent publiés et vendus sur les sites de fuite des exploitants de ransomware.
Pour les entreprises, de telles informations sont pertinentes pour mieux évaluer la situation en termes de menaces. Mais il est quasiment impossible de réaliser une telle recherche manuellement. «Sur de nombreuses places de marché, il faut d’abord ‹mériter› l’accès», ajoute Jakub Rutynowski. «Souvent, ce n’est souvent qu’en combinant des informations provenant de plusieurs sources qu’il est possible de savoir où et quand une infection ou une intrusion a eu lieu.»
Les solutions de Digital Risk Protection peuvent aider les entreprises dans cette tâche, en leur retirant le fastidieux travail manuel, ou au moins en le leur facilitant. Cela aide à détecter les fuites de données dans le darknet. Mais Jakub Rutynowski en indique les limites: «Le nombre important et changeant de places de marché et de canaux sur des messageries telles que Telegram rend difficile la recherche des informations recherchées.»
Si une entreprise veut se protéger de manière proactive contre les cyberattaques ou du moins les détecter à temps, elle a donc besoin d’un ensemble de mesures en matière de détection et de réponse aux incidents. L’interaction entre Threat Intelligence et Threat Hunting aide à détecter de possibles intrus et de potentielles failles dans sa propre cyberdéfense. En effet, la Threat Intelligence fournit les indices qui permettent aux chasseurs de menaces (Threat Hunter) de poursuivre leurs recherches.
Dans ce travail d’équipe, les chasseurs de menaces sont donc souvent les commanditaires de la Threat Intelligence, explique Jakub Rutynowski: «Dans le cadre de ce que l’on appelle la ‹Requirements driven Threat Intelligence›, nous sommes par exemple chargés d’effectuer des recherches sur une menace concrète.» Les résultats peuvent à leur tour être intégrés dans la réponse aux incidents et ses processus. Cela n’améliore pas seulement la protection globale de l’entreprise, la Security Posture: d’après le rapport IBM, de telles mesures proactives peuvent également raccourcir le temps nécessaire à la détection d’un incident et par là réduire les coûts d’une violation de données.