Sécurité

Les organisations à l’affût des attaques par rebond

Share this post:

 

En ne visant pas directement les systèmes d’information (SI) des entreprises, les attaquants contournent leurs protections et ne laissent que peu de traces dans les systèmes des sociétés visées. Cette méthode est connue sous le nom d’attaques par rebond. La France et l’Europe sont en pointe sur le sujet. Le Cybersecurity Act, en définissant un cadre européen de certification de cybersécurité qui vise à renforcer la sécurité du marché unique numérique européen, devrait ainsi contribuer à compliquer le travail des cybercriminels.

Une préoccupation grandissante

Les attaques par rebond sont une technique en pleine croissance, qui consiste à ne pas attaquer directement la cible, mais à l’atteindre au travers d’un intermédiaire. Cette méthode englobe des cyberattaques très variées :

  • Une entreprise compromise au travers d’un de ses partenaires. Les interconnexions entre les SI des sociétés sont une porte d’entrée commode pour les pirates.
  • L’attaque d’un sous-traitant informatique, qui permet de remonter dans le SI de ses clients pour en extraire des informations intéressantes.

Les attaques par rebond ne sont néanmoins pas l’apanage des grands groupes. Les petites entreprises peuvent également en être victimes. Ce fut le cas d’un prestataire de gestion de paye en septembre 2019. Le piratage a généré un préjudice de 70 millions de dollars et la fermeture de la société.

Les particuliers peuvent également faire l’objet de ce genre d’attaque. Certains pirates vont ainsi utiliser la technique du SIM swapping. En arrivant à convaincre l’opérateur de renouveler une carte SIM (sous prétexte de perte ou de vol), ils vont accéder au numéro de téléphone de leur victime et pourront s’en servir pour modifier les mots de passe de ses comptes web.

 

Comment se prémunir des attaques par rebond ?

Du point de vue de la gouvernance, il est important de s’assurer que ce risque est bien identifié et pris en compte par le RSSI. Du point de vue technique, les bastions se chargeront de sécuriser les points d’entrée et de sortie du SI.

Dans le cas d’une infogérance offshore, il faudra également vérifier le cadre règlementaire du pays du partenaire. Certains ne sont en effet pas aussi stricts que l’Union Européenne quant aux obligations de sécurité et d’information des clients en cas de compromission.

Malgré toutes ces précautions, un incident peut survenir. C’est ce qui a amené l’ANSSI à adresser ce sujet dans son rapport annuel publié le 15 avril 2019[1]. L’agence veut répondre à ce problème au travers d’une liste blanche de prestataires d’administration et de maintenance sécurisée (PAMS). Une liste d’acteurs vertueux en matière de sécurité du SI, sur lesquels les entreprises pourront s’appuyer en toute confiance.

 

Une réponse institutionnelle à la hauteur

Cette proposition de l’ANSSI mène la voie à une institutionnalisation du traitement de la problématique des attaques par rebond. Aujourd’hui au travers de la liste blanche PAMS. Et demain par le biais d’une certification ?

C’est la voie qui semble en tout cas se dessiner depuis l’entrée en vigueur du Cybersecurity Act européen[2] le 27 juin 2019 (règlement 2019/881). Ce texte donne un mandat permanent à l’agence européenne chargée de la sécurité des réseaux et de l’information (AESRI, ou ENISA en anglais). L’une de ses nouvelles prérogatives sera de définir le cadre de certifications européennes en matière de cybersécurité. Elles porteront sur les produits IT, les services et les processus, avec l’attribution d’un certificat qui sera reconnu dans l’ensemble des pays de l’Union Européenne.

Ce cadre règlementaire est une excellente nouvelle : c’est le signe que les autorités prennent le sujet de la cybersécurité à bras le corps, avec une vision globale de cette problématique. La mise en place de ces certifications devrait permettre de limiter l’impact des attaques par rebond en s’assurant du sérieux – mais surtout de la capacité à réagir en cas d’incident – des fournisseurs et prestataires informatiques auxquels font appel les entreprises.

 

Pour en savoir plus, visitez notre site IBM Security.

 

[1] https://www.ssi.gouv.fr/actualite/rapport-annuel-2018-construisons-ensemble-la-confiance-numerique-de-demain/

[2] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0881&from=FR

 

Consultant en Sécurité IBM

More Sécurité stories
30 juin 2020

Think Digital Event Experience 2020, ce qu’il ne fallait pas manquer sur IBM Security

La sécurité s’invite en force sur l’IBM Think Digital Event Experience. L’un des thèmes récurrents était le télétravail, qui a connu un bond pendant la crise du Covid-19. Le renforcement de l’identification des personnes et équipements, et la prise en compte des infrastructures multicloud hybrides ont également fait l’objet de plusieurs débats.   Crise du […]

Continue reading

6 mai 2020

La micro-segmentation au service de la LPM

La Loi de programmation militaire impose aux Opérateurs d’importance vitale de mettre en œuvre des règles de cloisonnement et de filtrage. La micro-segmentation répond à ces enjeux, tout en restant plus agile que le cloisonnement réseau traditionnel. Dans le domaine de la cybersécurité, la Loi de programmation militaire (LPM) a des conséquences sur les Opérateurs […]

Continue reading

6 mai 2020

Cyber-crises : les clés pour une détection et une gestion efficaces

Aujourd’hui, les incidents de sécurité concernent toutes les organisations. Leur nombre et leur fréquence ne cessent d’augmenter. On constate une vraie prise de conscience de ce phénomène de la part des entreprises qui se préparent de plus en plus à faire face à des situations de crise. Bien qu’il soit impossible d’anticiper tous les éléments […]

Continue reading