Article écrit par James Shepperd le 30 mars 2020
Dans un contexte où la société est bousculée, les arnaques au Covid-19 et autres techniques d’ingénierie sociale pullulent et exploitent cet environnement incertain avec l’objectif d’attaquer les entreprises.
À l’instar du Brexit, la pandémie de coronavirus illustre parfaitement à quel point les cybermalfaiteurs peuvent détourner très rapidement une situation à leur avantage et inscrire leurs méfaits dans une actualité très tourmentée. Les risques sont quant à eux amplifiés par le fait que de nombreux employés doivent désormais travailler de chez eux.
Des conditions de télétravail uniques et propres à l’épidémie de COVID-19
Le Brexit, les ouragans, le RGPD, les embargos ou encore les guerres commerciales sont autant de sujets pouvant impacter le rythme normal d’une entreprise et la bonne continuité de ses activités commerciales. Mais jamais ces phénomènes n’ont contraint des dizaines de millions d'employés à travailler depuis chez eux en si peu de temps, comme ce fut le cas pour l’épidémie de COVID-19.
Le 19 mars 2020, l’agence de presse Reuters indiquait que « l'application de chat et de conférence, Microsoft Teams, avait gagné plus de 12 millions d'utilisateurs quotidiens en une semaine. Un bond de 37,5% s’inscrivant dans une période où davantage de personnes étaient amenées à travailler à domicile en raison de la pandémie de coronavirus ». Reuters a, par la suite, ajouté que le nombre total d'utilisateurs de Teams « était passé de 32 millions à 44 millions au cours de la période unique comprise entre le 11 mars et le 18 mars 2021".
Le passage radical au télétravail forcé combiné au paysage toujours plus hostile des cybermenaces cristallisent de nouveaux et multiples enjeux pour les entreprises de toutes les tailles. Quelques bonnes pratiques peuvent néanmoins vous aider à sécuriser vos données les plus précieuses et à protéger vos employés : sécuriser l’accès par un VPN, ainsi que la mise en place d’une technologie de chiffrement et l’authentification multifacteur sont parmi les étapes incontournables.
Toutefois, ce n’est pas suffisant et cela ne protège pas votre entreprise contre les risques liés aux appareils de la société qui sont connectés en dehors de vos réseaux professionnels, ni contre les malwares qui ciblent les réseaux d’entreprise via des canaux en ligne. Pour vous défendre contre ces menaces, nous vous recommandons d'activer un module de défense dynamique : ESET Dynamic Threat Defense (EDTD).
Celui-ci vous offre le meilleur de la technologie ESET et vous bénéficiez de ses nombreuses couches de sécurité, dont notamment la sandbox cloud, ainsi que la protection par apprentissage automatique, le tout administrable depuis un seul et unique tableau de bord informatique. Mais revenons au sujet qui nous intéresse aujourd’hui : les cybermenaces.
Escroqueries et arnaques d’ingénierie sociale : une porte ouverte vers l’espionnage industriel et les attaques ciblées ?
La frontière entre ingénierie sociale et escroqueries peut parfois sembler floue, d’autant plus lorsque les enjeux associés sont élevés. Les arnaques commerciales sont monnaie courante, surtout lorsqu’elles prennent la forme d’achats de produits contrefaits. Toutefois, les choses sont nettement différentes dès lors qu’elles touchent au digital : l’impact s’avère souvent bien plus conséquent. Les cybermalfaiteurs en connaissent un rayon à ce sujet et n’hésitent pas à exploiter la détresse ou la naïveté des utilisateurs (souvent même des consommateurs) pour parvenir à leurs fins. Cependant, les entreprises ne sont pas en reste face à ces risques : elles partagent toujours plus d’informations dans leurs rapports de RSE (Responsabilité Sociétale des Entreprises) et avec des millions d’employés travaillant désormais de chez eux, les failles peuvent être nombreuses.
Dans le cas de la COVID-19 (et ce même en amont de son statut de pandémie), nous avons pu constater les mêmes appels à l’aide et autres potentielles opportunités professionnelles dans lesquelles les escroqueries étaient légion. Cela peut aussi prendre la forme d’appels d’offre ou de contrats à gagner, avec un constat identique : de nombreuses arnaques ! Les employés en règle générale (et en particulier les représentants et autres commerciaux) sont susceptibles d'ouvrir des e-mails (reçus de manière aléatoire) dont l’objet serait par exemple « RE: Appel d’offres » ou de cliquer sur des fichiers PDF non sollicités. Pourtant, ces éléments mènent aux sources principales d'infection par ransomware…. Mais correspondent également parfaitement aux critères détectés par notre solution EDTD !
Le personnel peut aussi laisser fuiter des informations clés, comme un e-mail direct ou le numéro de téléphone du directeur financier. Les escroqueries et techniques de spearphishing à destination des hauts dirigeants (que l’on appelle aussi Business Email Compromise (BEC)) ont entraîné des pertes estimées à au moins 1,7 milliard de dollars US en 2019. Certaines actions réalisées par des employés peuvent, de prime abord, être perçues comme inoffensives. Pourtant, des ransomwares, des menaces persistantes ou des attaques entraînant des pertes financières peuvent s’y cacher et se répandre ensuite sur votre réseau.
Hameçonnage : à la chasse aux requins !
L’hameçonnage (ou phishing en anglais), l’une des menaces les plus redoutables ciblant les entreprises, s’intensifie souvent à mesure que la concurrence commerciale s’accentue. Ainsi, lorsque les communications sont au cœur des préoccupations du moment et font l’actualité autour de sujets ou projets à haute valeur ajoutée, c’est généralement à ce moment-là que les informations sensibles peuvent commencer à faire l’objet de fuites de données. Ce qui démarre souvent comme une opportunité commerciale “légitime” peut vite susciter l’intérêt de malfaiteurs ou de concurrents sans vergogne. À cet instant, le cybercriminel, qu’il soit expérimenté ou non, possède déjà suffisamment d'informations pour orchestrer une attaque directe d’espionnage ou de spearphishing (hameçonnage ciblé) à l’encontre de votre entreprise. Alors, qu’en est-il des hauts dirigeants dont nous vous parlions plus haut ? Et bien que cela soit via un partage d’informations excessif, par le biais du spearphishing, voire même l’association des deux, il apparaît qu’ils auraient pu, tout comme d’autres membres stratégiques du personnel, être davantage exposés à ces risques depuis le 12 mars.
Documents et e-mails : adoptez la levée de boucliers !
Les entreprises et organisations n’ont pas attendu la crise de COVID-19 pour s’armer et améliorer leur dispositif de sécurité informatique en réaction au paysage actuel des cybermenaces. Désormais, le déploiement rapide de mesures concrètes pour renforcer leur protection est de mise. Quelques mesures constituent un excellent point de départ, dont notamment : le renforcement de la protection des communications par e-mail ainsi que l’analyse plus en profondeur des pièces jointes et documents pouvant être attachés aux courriers électroniques.
Pour débuter, il convient de noter que la méthode d’infection de menaces la plus répandue (incluant notamment les ransomwares) reste l’e-mail et elle peut même être activée dans le cadre d’attaques ciblées. La protection du courrier électronique s’avère donc incontournable. Dans de nombreux cas de figure, on constate qu’un logiciel “downloader” qui se télécharge est envoyé à l’aide d’un document ou d’un e-mail malveillant et qui par la suite mène à une étape secondaire : l’infection par ransomware ou pire, une attaque persistante sur le réseau.
Protégez-vous à l’aide d’ESET Dynamic Threat Defense. EDTD vous offre également une protection supplémentaire grâce à sa présence au sein des produits ESET Mail Security, ESET File Security ainsi que dans Endpoint Protection). Notre logiciel utilise une technologie de cloud sandboxing et plusieurs modèles d'apprentissage automatique dans le but de détecter et de bloquer des menaces encore jamais identifiées jusqu’à présent.
Image 1 : le processus de traitement d’un nouvel échantillon à travers l’analyse basée sur le cloud d’EDTD
Pour les entreprises nouvellement confrontées à un nombre important d’employés en télétravail, EDTD leur permet d’analyser des échantillons en quelques minutes seulement, peu importe la localisation des personnes. En cas de suspicion d’un élément malveillant détecté auprès d’un unique employé, la protection s’étend instantanément à l’ensemble de l’entreprise.
EDTD utilise une technologie d’apprentissage automatique identique à celle qui a récemment permis aux chercheurs d’ESET de mettre en évidence un échantillon suspect présent sur les ordinateurs des universités de Hong Kong. Celui-ci a finalement été identifié comme un déclencheur de malwares mis à jour et exploité par le groupe malveillant Winnti.
La soumission d’échantillons suspects dans le cadre d’une analyse en machine learning dans le cloud à l’aide d’EDTD est particulièrement recommandée. Cela permet d’exploiter la pleine puissance du traitement cloud et de tirer parti de davantage de modèles pour détecter des malwares. Les pièces jointes identifiées comme malveillantes par EDTD sont ainsi supprimées des e-mails tandis qu’une notification de cette détection est envoyée au destinataire et au reste du réseau. EDTD est également en mesure d'exécuter ces mêmes analyses sur les fichiers identifiés sur les clés USB des employés.
EDTD fonctionne de concert avec les autres technologies installées sur les endpoints telles que ESET Ransomware Shield (qui propose une détection basée sur le comportement des ransomwares), ainsi que le Host-based Intrusion Prevention System (HIPS), lequel permet aux utilisateurs de définir des règles personnalisées en vue de bloquer les processus affichant des comportements semblables à ceux des ransomwares.
Renforcer la sécurité de votre entreprise en période d’incertitudes : une fausse bonne idée ?
De nombreuses entreprises sont - à juste titre - frileuses à l’idée d’ajouter de nouvelles technologies à leur politique de sécurité existante. Toutefois, EDTD permet d’enrichir votre architecture informatique à l’aide d’une protection supplémentaire, sans aucun impact sur l'organisation ou la performance des réseaux administrés. Les processus d'apprentissage automatique qui prennent en charge l'analyse du cloud sandboxing au sein d’EDTD ont lieu dans le cloud ESET et ne nécessitent aucune utilisation de ressources client sur site. Cela fait d’EDTD un outil particulièrement adapté au contexte versatile actuel, à la hausse croissante du télétravail et aux centaines de millions d'utilisateurs qui ont intensifié leurs activités en ligne quasiment du jour au lendemain.
À l’heure où de nombreux utilisateurs combinent appareils professionnels et personnels tout en mélangeant les usages, il semble que beaucoup d’entre eux ne parviennent pas à utiliser les bons outils ou à conserver de bonnes pratiques en matière de sécurité pour assurer leur travail en ligne. En parallèle, les réseaux d'entreprise tout comme les moyens de connexion utilisés ne sont pas forcément mieux protégés ni surveillés. Ces risques alimentent donc à la fois l'ingénierie sociale et les escroqueries et permettent aux menaces de se frayer une place de choix en ciblant des millions d'ordinateurs professionnels.
Changements d’organisation et de fournisseur : attention danger !
Certaines situations peuvent amener les entreprises à devoir remplacer des fournisseurs, modifier leurs moyens de communication voire même procéder au changement intégral d’un système logistique. C’est le cas notamment en période de crise sanitaire, d’incidents de sécurité informatique ou de chamboulements dans certains secteurs. Malheureusement, les bouleversements soudains d’une entreprise et sa tentative de vouloir remédier rapidement à un problème peuvent la mener à des situations bien plus compliquées encore. Cela peut se produire notamment en cas de collaboration avec une société peu regardante en matière de risques ou qui ne respecte pas les pré-requis et standards de sécurité informatique (ou il peut même s’agir purement d’une arnaque). Voilà pourquoi il est essentiel d’être protégé par une suite de sécurité correctement paramétrée et administrée. Ce constat est d’autant plus vrai en raison de tous les changements majeurs générés par la pandémie de COVID-19.
Certains détails de ces différents scénarios ont déjà été observés, en témoigne l’attaque orchestrée par le groupe d’APT baptisé Telebots, qui a causé de gigantesques dégâts au sein de chaînes d’approvisionnement mondiales avec le malware NotPetya. Il s’agit à ce jour de la cyberattaque la plus dévastatrice de l'histoire et on estime qu’elle a coûté plus de 10 milliards de dollars à certaines de ses plus grandes victimes. Et tandis que ces quelques entreprises sont affectées directement par ces conséquences, d’autres, pourtant épargnées par l’attaque, préfèrent couper le contact avec leurs homologues en amont et en aval de la chaîne d'approvisionnement, par effet de domino, et avec la ferme intention de rester en sécurité. Peut-être en avez-vous, d’ailleurs, déjà fait l’expérience ?
Conclusion
La situation incertaine tout comme les risques toujours plus importants que nous vous avons présentés au long de ce texte, mettent en évidence la nécessité pour les entreprises d’améliorer leur protection à chaque instant et sur le long terme. Ce constat est d’autant plus vrai avec la pandémie de COVID-19 et le paysage des menaces qui ne cesse de se transformer. ESET Dynamic Threat Defense peut aider votre entreprise à s’armer et à se protéger de manière fiable et efficace, en sécurisant à la fois les communications et en protégeant le point faible de toute organisation informatique : le facteur humain.
*Ce blog fait référence aux recherches d'ESET sur les groupes de menaces actifs et qui sont présentés à la fois sur le site MITRE ATT&CK® et sur WeLiveSecurity.com