Derrière les cyberattaques ciblées avancées se profile l'exploitation malveillante des comptes à privilèges. Nouvelles tendances et infographies par CyberArk
Il n'y aurait probablement pas eu d'affaire Snowden, cet informaticien qui a révélé les pratiques de la NSA et des Etats-Unis en terme de surveilance de la planète, si ce dernier n'avait pu se procurer les codes d'accès de ses confrères. Ces comptes dits à 'privilèges' sont une porte ouverte vers toutes les données, surtout stratégiques, de l'entreprise, et une cible de choix pour les attaquants du système d'information. Ils se composent notamment des identifiants utilisés pour l'administration informatique des mots de passe par défaut et codés en dur, ainsi que de backdoors d'applications.
Une menace réelle et mesurée
L'étude « Privileged Account Exploits Shift the Front Lines of Security » menée par CyberArk - en partenariat avec les équipes sécurité de Cisco Talos, Deloitte, Mandiant, RSA et Verizon – a permis d'approfondir le phénomène des attaques ciblées et de ses modes de fonctionnement.
Afin de poser la problématique, le rapport révèle par exemple que le cyber-crime fait perdre chaque année 1 trillion (1000 milliards) de dollars aux entreprises, soit environ 3,5 millions de dollars par accident, et pour les seuls Etats-Unis ferait perdre 500.000 emplois... Les seules attaques avancées qui exploitent les comptes à privilèges représenteraient de 80 % à 100 % des incident de sécurité qualifiés de sérieux !
Le casse tête des comptes à privilèges
Les attaques avancées exploitent les comptes à privilèges, également qualifiés des comptes 'à haut pouvoir'. Ces comptes disposent d'accès légalement accordés aux données de l'entreprise. C'est ce qui les rend difficiles à déceler et à stopper.
Comme l'indique Udi Mokady, CEO de CyberArk, « Ces comptes permettent aux assaillants d'accéder à des réseaux et bases de données sécurisés, d'effacer toute trace d'infraction, d'éviter toute détection, et de créer des portes de sortie rendant leur éviction des réseaux quasi impossible. »
Voilà pourquoi la sécurisation des comptes à privilèges est devenue une priorité pour les gestionnaires des SI.
6 tendances sur les attaques ciblées
Dans son étude, CyberArk nous fournit un aperçu des grandes tendances des attaques ciblées qui pèsent sur les organisations :
- Chaque secteur et chaque entreprise est aujourd'hui une cible
Les pirates informatiques ont élargi leur champ d'action et ciblent aujourd'hui les entreprises de toutes tailles, dans tous les secteurs confondus.
- La résistance de périmètre est futile
Les pirates parviendront tout de même à s'introduire dans le périmètre de sécurité, et les employés constitueront le point d'infection le plus probable.
- Les pirates restent cachés pendant plusieurs mois ou années
Lors de leur détection, la plupart des attaques étaient en cours depuis au moins 200 jours.
- Les pirates convoitent les accès à hauts pouvoirs
Dans presque chaque cyberattaque ciblée, des comptes à privilèges ont été piratés.
- Les menaces liées aux comptes à privilèges sont largement sous-estimées
Les sociétés sous-estiment grandement le nombre de comptes à hauts pouvoirs qu'elles possèdent et ignorent quels systèmes les hébergent.
- Les cyberattaques contre les comptes à privilèges sont de plus en plus sophistiquées
Les analystes de la sécurité ont recensé plusieurs types d'infractions au niveau des comptes à hauts pouvoirs, qui vont de l'attaque répétée des comptes de service à la violation des appareils embarqués de l' « Internet des objets », en passant par la création d'identités multiples dans Microsoft Active Directory afin d'assurer la redondance des points d'accès et des portes dérobées.