Sécurité

Les organisations à l’affût des attaques par rebond

Share this post:

 

En ne visant pas directement les systèmes d’information (SI) des entreprises, les attaquants contournent leurs protections et ne laissent que peu de traces dans les systèmes des sociétés visées. Cette méthode est connue sous le nom d’attaques par rebond. La France et l’Europe sont en pointe sur le sujet. Le Cybersecurity Act, en définissant un cadre européen de certification de cybersécurité qui vise à renforcer la sécurité du marché unique numérique européen, devrait ainsi contribuer à compliquer le travail des cybercriminels.

Une préoccupation grandissante

Les attaques par rebond sont une technique en pleine croissance, qui consiste à ne pas attaquer directement la cible, mais à l’atteindre au travers d’un intermédiaire. Cette méthode englobe des cyberattaques très variées :

  • Une entreprise compromise au travers d’un de ses partenaires. Les interconnexions entre les SI des sociétés sont une porte d’entrée commode pour les pirates.
  • L’attaque d’un sous-traitant informatique, qui permet de remonter dans le SI de ses clients pour en extraire des informations intéressantes.

Les attaques par rebond ne sont néanmoins pas l’apanage des grands groupes. Les petites entreprises peuvent également en être victimes. Ce fut le cas d’un prestataire de gestion de paye en septembre 2019. Le piratage a généré un préjudice de 70 millions de dollars et la fermeture de la société.

Les particuliers peuvent également faire l’objet de ce genre d’attaque. Certains pirates vont ainsi utiliser la technique du SIM swapping. En arrivant à convaincre l’opérateur de renouveler une carte SIM (sous prétexte de perte ou de vol), ils vont accéder au numéro de téléphone de leur victime et pourront s’en servir pour modifier les mots de passe de ses comptes web.

 

Comment se prémunir des attaques par rebond ?

Du point de vue de la gouvernance, il est important de s’assurer que ce risque est bien identifié et pris en compte par le RSSI. Du point de vue technique, les bastions se chargeront de sécuriser les points d’entrée et de sortie du SI.

Dans le cas d’une infogérance offshore, il faudra également vérifier le cadre règlementaire du pays du partenaire. Certains ne sont en effet pas aussi stricts que l’Union Européenne quant aux obligations de sécurité et d’information des clients en cas de compromission.

Malgré toutes ces précautions, un incident peut survenir. C’est ce qui a amené l’ANSSI à adresser ce sujet dans son rapport annuel publié le 15 avril 2019[1]. L’agence veut répondre à ce problème au travers d’une liste blanche de prestataires d’administration et de maintenance sécurisée (PAMS). Une liste d’acteurs vertueux en matière de sécurité du SI, sur lesquels les entreprises pourront s’appuyer en toute confiance.

 

Une réponse institutionnelle à la hauteur

Cette proposition de l’ANSSI mène la voie à une institutionnalisation du traitement de la problématique des attaques par rebond. Aujourd’hui au travers de la liste blanche PAMS. Et demain par le biais d’une certification ?

C’est la voie qui semble en tout cas se dessiner depuis l’entrée en vigueur du Cybersecurity Act européen[2] le 27 juin 2019 (règlement 2019/881). Ce texte donne un mandat permanent à l’agence européenne chargée de la sécurité des réseaux et de l’information (AESRI, ou ENISA en anglais). L’une de ses nouvelles prérogatives sera de définir le cadre de certifications européennes en matière de cybersécurité. Elles porteront sur les produits IT, les services et les processus, avec l’attribution d’un certificat qui sera reconnu dans l’ensemble des pays de l’Union Européenne.

Ce cadre règlementaire est une excellente nouvelle : c’est le signe que les autorités prennent le sujet de la cybersécurité à bras le corps, avec une vision globale de cette problématique. La mise en place de ces certifications devrait permettre de limiter l’impact des attaques par rebond en s’assurant du sérieux – mais surtout de la capacité à réagir en cas d’incident – des fournisseurs et prestataires informatiques auxquels font appel les entreprises.

 

Pour en savoir plus, visitez notre site IBM Security.

 

[1] https://www.ssi.gouv.fr/actualite/rapport-annuel-2018-construisons-ensemble-la-confiance-numerique-de-demain/

[2] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0881&from=FR

 

Consultant en Sécurité IBM

More Sécurité stories
16 juillet 2020

Beyond, une plateforme dans le Cloud pour répondre aux enjeux d’innovation dans le BTP

Construire l’avenir Sixense travaille avec IBM pour transformer la façon dont les entreprises du Bâtiment et des Travaux Publics gèrent les plus grands projets de construction. J’ai consacré au secteur des Bâtiments et des Travaux Publics (BTP) la quasi-totalité de ma carrière et j’y ai vu des réalisations incroyables. Les ingénieurs d’aujourd’hui sont capables d’accomplir […]

Continue reading

10 septembre 2019

Inauguration du nouveau site IBM et du Lab à Sophia-Antipolis

Inauguration IBM France a inauguré le nouveau site de son Lab à Sophia-Antipolis lundi 9 septembre . Une centaine d’invités ont participé à l’événement. Nicolas Sekkaki, président d’IBM France, aux côtés de Renaud Muselier, Président du Conseil régional de Provence-Alpes-Côte d’Azur, Charles-Ange Ginesy, Président du Conseil départemental des Alpes-Maritimes, Jean Leonetti, Président de la CASA […]

Continue reading

7 mars 2019

Think 2019, le show d’IBM à San Francisco

Vous connaissez déjà Think Paris, le grand rendez-vous annuel d’IBM France au Carrousel du Louvre en octobre et dont j’ai dévoilé les coulisses dans un article précédent. Aujourd’hui je souhaite partager avec vous mon expérience de Think 2019, l’événement mondial d’IBM, cette année à San Francisco. Alors « Goodbye » les machines à sous de Las Vegas […]

Continue reading