Par Thomas Leconte, Directeur technique chez MTI France

Si les collaborateurs sont souvent considérés comme le maillon le plus faible de la sécurité, bien formés et équipés, ils peuvent au contraire devenir la première ligne de défense de l’entreprise.

L’email, première porte d’entrée des malveillances

La plupart des études et chiffres livrés par les grands éditeurs de solutions de sécurité le montrent: la messagerie électronique constitue l’un des principaux moyens utilisés par les cybercriminels, et notamment via le phishing, qui exploite (ou tente d’exploiter) l’ignorance ou la naïveté des employés.

Leur technique: les inciter à cliquer sur des liens frauduleux ou à ouvrir des pièces jointes contenant des logiciels infectieux. Très utilisé pour la récupération de données d’identité, l’email est aussi l’un des vecteurs d’attaque par ransomware, crypto-jacking ou encore de transferts de fonds frauduleux (en se faisant passer pour un membre de la direction). Les pertes mondiales dues à ces attaques dites BEC (Business Email Compromise) sont colossales, et ont atteint, selon la dernière estimation, 12,5 milliards de dollars.

Au côté du phishing, on trouve également des techniques beaucoup plus sophistiquées pour contourner les filtres de sécurité de l’entreprise,comme les malwares sans fichier qui utilisent des process légitimes de l’entreprise pour se nicher en mémoire des machines infectées évitant ainsi d’être détectés par une simple signature de fichier. Ils permettent aux malwares de gagner en résistance et ne pas se faire repérer, comme l’ont fait les ransomwares NotPetya ou WannaCry.

Derrière l’email, les collaborateurs

Quelle que soit sa taille, toute organisation est une cible potentielle. La formation des utilisateurs de la messagerie électronique est donc la première étape à suivre afin deles aider à identifier toute tentative de phishing.

Il existe à ce titre de nombreux simulateurs de phishing, pour les entraîner à l’aide de scénarios très réalistes. Un dispositif à renouveler régulièrement pour gagner en sécurité et maintenir la vigilance des collaborateurs.

Bien sûr, face à des attaques de plus en plus complexes, la meilleure défense consiste à éviter qu’elles atteignent l’usager. Ce qui est désormais possible via des outils avancés d’analyse de liens URL et de fichiers joints. Ceux-ci peuvent également être complétés par les technologies de Machine learning, capables d’identifier des attaques de type BEC, en apprenant le style d’écriture des principaux cadres de l’organisation.

La surveillance réseau au cœur du dispositif de défense

Surveiller les principaux points clés du réseau (comme la vidéosurveillance qui scrute les lieux stratégiques d’un site), garantit également une meilleure ligne de défense. D’autant plus si cette surveillance est associée à de l’apprentissage automatique, afin de permettre aux solutions de sécurité de détecter des activités suspectes.

Souvent exploité dans les attaques utilisant des logiciels de vol de mots de passe (tels que Mimikatz), Windows Management Instrumentation (WMI) peut ainsi bénéficier de ces techniques complémentaires d’apprentissage de façon à repérer les premiers signes d'alerte et ainsi faire échouer une attaque. On peut aussi les coupler avec des solutions de déception (Threat Deception) qui sont d’ailleurs très prometteuses dans ce domaine. Elles permettent de détecter et de rediriger une attaque vers une machine fictive qui va laisser celle-ci se terminer en vase clos pour en comprendre le comportement, l’objectif et déterminer ainsi la menace réelle qu’elle représente.

En complément, la surveillance et l’apprentissage sauront également accompagner l’entreprise dans le respect du RGPD pour détecter d’éventuelles fuites d’information.

Quoi qu’il en soit, pour se protéger des attaques qui arriveront inexorablement, mieux vaut se préparer, préparer ses collaborateur set agir en amont pour identifier les problèmes et les corriger. Tandis qu’en cas d’attaque avérée, notamment de malwares cherchant à se propager sur le réseau, une surveillance de précision permet d’identifier rapidement les hôtes infectés et leurs typologies, pour contenir et nettoyer l’infection, afin d’en limiter les dégâts.