Cette vigilance est d’autant plus cruciale que le courriel demeure un vecteur d'attaque prédominant et efficace, deux tiers des entreprises ayant subi au moins une attaque de phishing réussie en 2023. Protéger les accès techniques aux plateformes collaboratives telles que OneDrive ou SharePoint ne suffit plus pour empêcher l’exfiltration de donnée. La clé réside dans l'identification et l'analyse du comportement des utilisateurs à risque, afin de briser efficacement la chaîne d'attaque.
Les comptes à privilèges : une cible de choix
La persistance des attaques ciblant les entreprises est préoccupante en raison des conséquences potentiellement désastreuses. La prise de contrôle de comptes cloud peut entraîner l'exfiltration et la manipulation de données, voire ouvrir la voie à d'autres attaques internes. L'omniprésence du cloud dans les entreprises exacerbe cette menace. L'ANSSI révèle d'ailleurs que 44 % des organisations ont déjà subi une fuite de données dans le cloud, soulignant le risque lié à une intrusion dans les services de stockage externalisés, qui ne constituent pas une barrière contre les accès aux systèmes sur site.L'évolution de ces attaques met en évidence l'intérêt croissant des cybercriminels pour les identités, et plus particulièrement pour les comptes à privilèges, qui offrent un accès aux ressources critiques. Les attaques par courriel visent précisément à compromettre les identifiants des utilisateurs pour infiltrer le réseau de l'entreprise et y progresser latéralement. Une fois à l'intérieur, sous une identité légitime, l'escalade de privilèges, la localisation des données sensibles et le déploiement de charges utiles malveillantes, comme des ransomwares, devient un jeu d’enfant.
Pour les entreprises, la sécurisation des comptes à privilèges représente donc un défi majeur. Près de 10 % des terminaux ont un mot de passe de compte privilégié non protégé, 26 % de ces comptes exposés étant des administrateurs de domaine.À ce risque s'ajoute la vulnérabilité des comptes de service et des administrateurs fantômes,
c'est-à-dire des individus disposant de rôles administratifs ou à privilèges sans autorisation formelle. La compromission d'un seul de ces comptes peut suffire à déclencher une chaîne d'attaque dévastatrice.
Détecter les comportements à risque
Si les défenses techniques des entreprises évoluent, la persistance des attaques interroge. En réalité, la protection des données d'entreprise est intrinsèquement liée au comportement humain. Aussi évident que cela puisse paraître, les données ne peuvent quitter une organisation d'elles-mêmes ; ce sont les employés qui, sciemment ou non, en sont souvent à l’origine. L’ANSSI révèle que 31 % des compromissions cloud sont dues à des problèmes de configuration et à des erreurs humaines. Ces comportements négligents ne sont pas isolés et peuvent être variés : ouverture de lien malveillants, téléchargement de pièces jointes suspectes, absence ou réutilisation de mots de passe, ou encore contournement de mesures de sécurité pour gagner du temps.Au-delà de la simple négligence, les utilisateurs malveillants représentent une menace significative, étant à l'origine d'environ un quart des incidents internes. Motivés par le gain personnel ou la vengeance, ils peuvent voler des données au moment de leur départ ou saboter l'entreprise. De plus, les comptes compromis, souvent en raison d'identifiants exposés, sont impliqués dans environ 18 % des menaces internes.
Face à ces risques, la visibilité et le contrôle des comportements suspects deviennent impératifs, soulignant une fois de plus l'importance d'une approche de sécurité centrée sur l'humain. Plus les équipes de sécurité connaissent les données existantes et les personnes y ayant accès, mieux elles peuvent détecter les activités suspectes et briser
la chaîne d'attaque.
Pour cela, des outils existent, permettant une visibilité accrue sur le réseau et les utilisateurs. Cependant, leur efficacité repose sur la capacité à croiser un maximum de sources d'information : classification du contenu, prévention de la perte de données, télémétrie des menaces, et surveillance et analyse du comportement des utilisateurs sur tous les canaux. Les équipes de sécurité doivent donc orchestrer une synergie entre la mise en place de contrôles pertinents, l'implication des bonnes personnes et un déploiement au moment opportun, afin de construire une défense multicouche efficace. Et au cœur de cet arsenal : une formation continue des utilisateurs, véritables remparts de la protection des données de leur entreprise.
Par Xavier Daspre, Directeur Technique, France de Proofpoint
