Lorsque vous écoutez des reportages sur les récentes brèches, on y évoque souvent la « surface d'attaque numérique » ou quelque chose de similaire. Cette notion est essentielle pour comprendre comment les attaques fonctionnent et où les organisations sont le plus exposées. Au cours de la pandémie, la surface d'attaque s'est étendue sans doute plus loin et plus vite qu'à aucun autre moment dans le passé. Et cela a créé ses propres problèmes. Malheureusement, les organisations sont de moins en moins capables de définir la taille et la complexité réelles de leur surface d'attaque aujourd'hui, ce qui laisse leurs actifs numériques et physiques exposés aux acteurs de la menace.
Heureusement, en appliquant quelques bonnes pratiques, ces mêmes défenseurs peuvent également améliorer leur visibilité de la surface d'attaque, et ainsi mieux comprendre ce qui est nécessaire pour la minimiser et la gérer.
Qu'est-ce que la surface d'attaque d'une entreprise?
À un niveau de base, la surface d'attaque peut être définie comme les actifs physiques et numériques d'une organisation qui pourraient être compromis pour faciliter une cyber-attaque. L'objectif final des acteurs de la menace peut aller du déploiement d'un ransomware au vol de données, en passant par l'enrôlement de machines dans un botnet, le téléchargement de chevaux de Troie bancaires ou l'installation d'un logiciel malveillant de cryptominage. L'essentiel est que plus la surface d'attaque est grande, plus la cible que les méchants peuvent viser est grande.
Examinons plus en détail les deux principales catégories de surface d'attaque :
La surface d'attaque numérique
Il s'agit de tous les matériels, logiciels et composants connexes d'une organisation connectés à un réseau. Il s'agit notamment des éléments suivants.
Les applications : Les vulnérabilités dans les applications sont monnaie courante et peuvent offrir aux attaquants un point d'entrée utile dans les systèmes et les données informatiques critiques.
Le code : Un risque majeur maintenant qu'une grande partie du code est compilée à partir de composants tiers, qui peuvent contenir des logiciels malveillants ou des vulnérabilités.
Ports : Les attaquants recherchent de plus en plus les ports ouverts et vérifient si des services écoutent un port spécifique (par exemple, le port TCP 3389 pour RDP). Si ces services sont mal configurés ou contiennent des bogues, ils peuvent être exploités.
Serveurs : Ils peuvent être attaqués par le biais de l'exploitation de vulnérabilités ou être inondés de trafic lors d'attaques DDoS.
Sites web : Une autre partie de la surface d'attaque numérique avec de multiples vecteurs d'attaque, notamment des failles de code et une mauvaise configuration. Une compromission réussie peut conduire à la défiguration d'un site web ou à l'implantation d'un code malveillant pour des attaques de type « drive-by » ou d’autres (par exemple, le formjacking).
Certificats : Les organisations laissent souvent expirer ces derniers, ce qui permet aux attaquants d'en profiter.
Cette liste est loin d'être exhaustive. Pour mettre en évidence l'ampleur de la surface d'attaque numérique, prenons l'exemple d'une étude menée en 2020 sur les entreprises figurant sur la liste FTSE 30, qui a révélé
- 324 certificats expirés
- 25 certificats utilisant l'algorithme de hachage obsolète SHA-1
- 743 sites de test possibles exposés à l'internet
- 385 formulaires non sécurisés, dont 28 étaient utilisés pour l'authentification
- 46 frameworks web présentant des vulnérabilités connues
- 80 instances de la défunte version PHP 5.x
- 664 versions de serveurs web présentant des vulnérabilités connues
La surface d'attaque physique
Il s'agit de tous les dispositifs d'extrémité auxquels un attaquant pourrait accéder « physiquement », tels que :
- Ordinateurs de bureau
- Disques durs
- Ordinateurs portables
- Téléphones/appareils mobiles
- Clé USB
On peut également dire que vos employés constituent une partie importante de la surface d'attaque physique de l'organisation, car ils peuvent être manipulés en utilisant l'ingénierie sociale (l’hameçonnage et ses variantes) au cours d'une cyberattaque. Ils sont également responsables du shadow IT, l'utilisation non autorisée d'applications et de dispositifs par les employés pour contourner les contrôles de sécurité de l'entreprise. En utilisant ces outils non approuvés - et souvent mal sécurisés - pour travailler, ils peuvent exposer l'organisation à des menaces supplémentaires.
Est-ce que la surface d’attaque s’accroit?
Les organisations développent leurs ressources informatiques et numériques depuis de nombreuses années. Mais l'arrivée de la pandémie a donné lieu à des investissements massifs, destinés à soutenir le travail à distance et à maintenir les opérations commerciales dans une période d'extrême incertitude du marché. Cela a élargi la surface d'attaque de plusieurs façons évidentes :
- Terminaux de travail à distance (ordinateurs portables, ordinateurs de bureau, etc.)
- Applications et infrastructures en nuage
- Appareils relevant de l’IdO et la 5G
- Utilisation de code tiers et DevOps
- Infrastructure de travail à distance (VPN, RDP, etc.).
Aucun retour en arrière n’est envisageable possible. Selon les experts, de nombreuses entreprises ont maintenant été poussées au-delà d'un point de basculement numérique qui changera leurs opérations pour toujours. Il s'agit d'une mauvaise nouvelle pour la surface d'attaque, car elle peut ouvrir la porte à des attaques :
- Des tentatives d’hameçonnage exploitant un manque de sensibilisation à la sécurité chez les employés.
- Des logiciels malveillants et des exploits de vulnérabilité visant les serveurs, les applications et d'autres systèmes
- Des mots de passe volés ou forcés par brute utilisés pour des connexions non autorisées
- L’exploitation de configurations erronées (par exemple dans les comptes en nuage)
- Des certificats numériques volés
...et bien plus encore. En fait, il existe des centaines de vecteurs d'attaque en jeu pour les acteurs de la menace, dont certains sont extrêmement populaires. ESET a détecté 71 milliards de tentatives de compromission via un RDP mal configuré entre janvier 2020 et juin 2021.
Comment atténuer les risques liés à la surface d'attaque?
La surface d'attaque a une importance fondamentale pour les meilleures pratiques de cybersécurité, car comprendre sa taille et prendre des mesures pour la réduire ou la gérer est la première étape vers une protection proactive. Voici quelques conseils :
- Tout d'abord, comprenez la taille de la surface d'attaque grâce à des audits d'actifs et d'inventaire, des tests d’intrusion, des analyses de vulnérabilité, etc.
- Réduisez la taille de la surface d'attaque et le cyber-risque associé lorsque vous le pouvez via :
- Appliquez les correctifs et gérez de la configuration en fonction des risques
- Consolidez les terminaux et l’abandon du matériel existant
- Effectuez les mises à niveau des logiciels et des systèmes d'exploitation
- Segmentez les réseaux
- Suivez les meilleures pratiques DevSecOps
- Assurez la gestion continue des vulnérabilités
- Atténuez des risques liés à la chaîne d'approvisionnement
- Appliquez les mesures de sécurité des données (c'est-à-dire chiffrement fort)
- Contrôlez fermement les identités et les accès
- Adoptez l’approche zéro-trust
- Utilisez l’enregistrement et la surveillance en continu des systèmes
- Programmez la formation à la sensibilisation des utilisateurs
L'environnement informatique des entreprises est en constante évolution, en raison de l'utilisation généralisée des machines virtuelles, des conteneurs et des microservices, ainsi que de l'arrivée et du départ continuels d'employés et de nouveaux matériels et logiciels. Cela signifie que toute tentative de gérer et de comprendre la surface d'attaque doit être entreprise avec des outils agiles et intelligents qui fonctionnent à partir de données en temps réel. Comme toujours, « visibilité et contrôle » devraient être vos mots d'ordre dans cette aventure.