Qu'est-ce qu'une cyberattaque ?
Les cyberattaques sont des tentatives indésirables de voler, d'exposer, de modifier, de désactiver ou de détruire des informations via un accès non autorisé aux systèmes informatiques.
Femme faisant de la programmation sur de grands écrans
Pourquoi les cyberattaques se produisent-elles

En plus de la cybercriminalité, les cyberattaques peuvent également être associées à la guerre cybernétique ou au cyberterrorisme, comme les hacktivistes. Les motivations peuvent varier, en d'autres termes. Et dans ces motivations, on trouve trois catégories principales : criminelle, politique et personnelle.

Les pirates motivés par des motifs criminels recherchent un gain financier via le vol d'argent, le vol de données ou la perturbation des activités. De même, les personnes motivées par des griefs personnels, comme les employés anciens ou actuels mécontents, saisiront de l'argent, des données ou une simple chance d'interrompre le système d'une entreprise. Cependant, ils cherchent principalement à se venger. Les pirates dont les motivations sont socio-politiques cherchent à attirer l'attention sur leurs causes. En conséquence, ils font en sorte que leurs attaques connues du public — c'est ce qu'on appelle aussi le hacktivisme.

Parmi les autres motivations de cyberattaque, on peut citer l'espionnage industriel (dans le but d'obtenir un avantage déloyal sur les concurrents) et le défi intellectuel.

Découvrir le coût d'un rapport de violation des données et explorer les moyens d'atténuer les risques

Qui se cache derrière les cyberattaques ?

Les organisations criminelles, les acteurs de l'état et les personnes physiques lancent des cyberattaques contre les entreprises. L'une des manières de classer les risques de cyberattaque consiste à distinguer les menaces externes des menaces internes.

Menaces externes

Les cybermenaces externes comprennent :

  • les criminels organisés ou les groupes criminels
  • les pirates professionnels, tels les acteurs parrainés par un État
  • les pirates amateurs, dont font partie les hacktivistes
Menaces internes

Les menaces internes proviennent des utilisateurs qui détiennent un accès légitime et autorisé aux actifs d'une entreprise et en abusent délibérément ou accidentellement. Notamment :

  • les employés négligents vis-à-vis des politiques et procédures de sécurité
  • les employés actuels ou anciens mécontents
  • les partenaires commerciaux, les clients, les sous-traitants ou les fournisseurs ayant accès au système
Menaces internes

Quelles sont les cibles des cyberpirates ?

Les cyberattaques se produisent dès lors que des organisations, des acteurs pour le compte d'un État ou des personnes privées veulent s'accaparer une ou plusieurs choses, telles que :

  • les données financières de l'entreprise
  • de listes de clients
  • des données financières concernant des clients
  • des bases de données clients, y compris les informations personnellement identifiables (PII)
  • des adresses électroniques et des justificatifs d'identité pour les ouvertures de session
  • toute propriété intellectuelle, comme des secrets commerciaux ou des conceptions de produits
  • un accès à l'infrastructure informatique
  • les services informatiques, pour accepter les paiements financiers
  • des données à caractère personnel
  • la possibilité d'infiltrer les départements du gouvernement américain et les agences gouvernementales

Quels sont les types de cyberattaques les plus fréquents ?

Dans l' environnement numérique connecté actuel, les cybercriminels utilisent des outils sophistiqués pour lancer des cyberattaques contre les entreprises. Leurs cibles d'attaque comprennent les ordinateurs personnels, les réseaux informatiques, l'infrastructure informatiqueet les systèmes informatiques. Les types courants de cyberattaques sont les suivants :

Les chevaux de Troie de porte dérobée

Un cheval de Troie crée une porte dérobée vulnérable dans le système la victime, permettant au pirate d'en obtenir le contrôle à distance et presque total. Fréquemment utilisé pour relier un groupe d'ordinateurs de victimes dans un réseau de bots ou réseau de zombies, les pirates peuvent se servir du cheval de Troie pour d'autres cybercrimes.

Attaque de script intersite (XSS)

Les attaques cross-site scripting insèrent un code malveillant dans un site web ou un script d'application légitime dans le but d'obtenir les informations d'un utilisateur, souvent à l'aide de ressources web tierces. Les pirates se servent fréquemment de JavaScript pour les attaques XSS, mais Microsoft VCScript, ActiveX et Adobe Flash peuvent également être utilisés.

Attaque par déni de service (DoS)

L'attaque par déni de service (DoS) et l'attaque par déni de service distribuée (DDoS) inondent les ressources d'un système, les surchargeant et empêchant les réponses aux demandes de services, ce qui réduit la capacité de fonctionnement du système. Souvent, ce type d'attaque prépare une autre attaque.

Tunnellisation des systèmes de noms de domaines (DNS)

Les cybercriminels utilisent la tunnellisation DNS, un protocole transactionnel, pour échanger des données d'applications, comme l'extraction de données en mode silencieux ou l'établissement d'un canal de communication avec un serveur inconnu, à l'image de l'échange de commande et de contrôle (C&C) à titre d'exemple.

Logiciels malveillants

Il s'agit d'un logiciel malveillant qui peut rendre les systèmes infectés inopérants. La plupart des variantes de logiciels malveillants détruisent les données en supprimant ou en effaçant les fichiers essentiels au fonctionnement du système d'exploitation.

Lire l'indice de renseignements sur les menaces 2022 sur les logiciels malveillants

Hameçonnage

L'escroquerie par hameçonnage tente de voler les identifiants ou les données sensibles des utilisateurs comme les numéros de cartes de crédit. Dans ce cas, les escrocs envoient aux utilisateurs des e-mails ou des SMS conçus pour avoir l'air de venir d'un code source légitime, en utilisant de faux hyperliens.

Rançongiciel

Le rançongiciel est un logiciel malveillant sophistiqué qui tire avantage des faiblesses du système, en utilisant un chiffrement renforcé pour retenir les données ou la fonctionnalité du système en otage. Les cybercriminels se servent du rançongiciel pour exiger un paiement en échange de la libération du système. Un développement récent avec le rançongiciel est l'ajout de tactiques d' extorsion.

Pour plus d'informations, voir l'indice de renseignement sur les menaces

Injection SQL

Les attaques par injection de langage de requête structurée (langage SQL) intègrent un code malveillant dans des applications vulnérables, produisant des résultats finaux de requêtes de bases de données et exécutant des commandes ou des actions similaires que l'utilisateur n'a pas demandées.

Exploit zero-day

Les attaques zero-day tirent avantage des faiblesses inconnues du matériel et du logiciel. Ces vulnérabilités peuvent exister pendant des jours, des mois ou des années avant que les développeurs ne prennent connaissance de ces failles.


Que peuvent faire les cyberattaques ?

En cas de succès, les cyberattaques peuvent porter préjudice aux entreprises. Elles peuvent causer une indisponibilité précieuse, des manipulations ou des pertes de données, et des pertes d'argent par le biais de rançons. De plus, les temps d'indisponibilité peuvent entraîner des interruptions de service majeures et des pertes financières. Par exemple :

    Les
  • attaques DoS, DDoS et par logiciel malveillant  peuvent causer des plantages du système ou du serveur.
  • Les attaquent par tunnellisation DNS ou injection SQL  ont la capacité de modifier, supprimer, insérer ou voler des données à l'intérieur d'un système.
  • Les attaques par hameçonnage et les exploits du jour zéro  permettent aux pirates d'entrer dans un système pour causer des dommages ou voler de précieuses informations.
  • Les attaques par rançongiciel  peuvent désactiver un système jusqu'à ce que l'entreprise paie une rançon au pirate.

À titre d'illustration, DarkSide, un gang de rançongiciels, a attaqué Colonial Pipeline, un large réseau américain de pipelines de produits raffinés, le 29 avril 2021. Par l'intermédiaire d'un réseau privé virtuel (VPN) et d'un  mot de passe compromis  (lien externe à ibm.com), cette cyberattaque de pipeline a pénétré dans les réseaux de l'entreprise et a perturbé les opérations du pipeline. En effet, DarkSide a fermé le pipeline qui transporte 45 % du gaz, du diesel et du carburéacteur qui est acheminé vers la côte est des États-Unis. Rapidement après le blocage du pipeline, l'entreprise a reçu une demande de rançon de près de 5 millions de dollars en cryptomonnaie Bitcoin, finalement payée par le PDG de Colonial Pipeline (lien externe à ibm.com).

Suite à cette mésaventure, Colonial Pipeline a engagé une entreprise de cybersécurité tierce et a informé les agences fédérales et les autorités américaines. 2,3 millions USD de la rançon versée ont été récupérés.

En savoir plus : « Faire la lumière sur l'attaque par rançongiciel menée par DarkSide » Découvrir les solutions de gestion unifiée des terminaux

Comment réduire le nombre de cyberattaques

Les organisations peuvent réduire les cyberattaques avec un système de cybersécurité . La cybersécurité est la pratique qui consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques, impliquant la technologie, les personnes et les processus. Un système de cybersécurité efficace prévient, détecte et signale les cyberattaques en tirant profit des technologies clés de cybersécurité et des meilleures pratiques, notamment :

  • la gestion des identités et des accès (IAM)
  • une plateforme complète de sécurité des données
  • la gestion des informations et des événements de sécurité (SIEM)
  • des services de sécurité aux capacités offensives et défensives et des renseignements sur les menaces

Prévenir les cyberattaques

Une stratégie de gestion des menaces  identifie et protège les actifs et les ressources les plus importants d'une organisation, y compris les commandes de sécurité physique destinées au développement et à la mise en œuvre de mesures de protection appropriées, notamment au niveau de l'infrastructure critique.

Détecter les cyberattaques

Le système de gestion des menaces fournit des mesures qui alertent l'organisation des cyberattaques grâce à une surveillance de sécurité continue et à des procédures de détection précoce.

Signaler les cyberattaques

Cette procédure consiste à assurer une réponse appropriée aux cyberattaques et aux autres événements en rapport avec la cybersécurité. Les catégories comprennent la planification de l'intervention, les communications, l'analyse, l'atténuation et les améliorations.


Pourquoi la cybersécurité est-elle importante ?

La cybercriminalité peut interrompre et porter préjudice aux affaires d'une entreprise. En 2021 par exemple, le coût moyen d'une atteinte à la protection des données était de 4,24 millions de dollars dans le monde et de 9,05 millions de dollars aux États-Unis. Ces coûts comprennent la découverte et la réponse à l'infraction, le coût des temps d'indisponibilité et des pertes de revenus, ainsi que les dommages à long terme à la réputation d'une entreprise et à sa marque. Et dans le cas d'informations personnelles identifiables (PII) compromises, cela peut entraîner une perte de confiance des clients, des amendes réglementaires, voire des poursuites judiciaires.

En savoir plus : « Qu'est-ce que la cybersécurité ? »

Solutions connexes

Solutions de cybersécurité

Transformez votre programme de sécurité avec le plus grand fournisseur de sécurité d'entreprise.


Services de gestion des menaces

Une approche unifiée, intelligente et intégrée de la gestion des menaces peut vous aider à détecter des menaces avancées, à réagir rapidement et avec précision, et à rétablir les opérations après des perturbations.


Solutions de sécurité des données

Que ce soit sur site ou dans des environnements multicloud hybrides, les solutions de sécurité des données vous aident à acquérir une plus grande visibilité et des informations pour examiner et corriger les menaces et imposer des contrôles et une conformité en temps réel.


Security information and event management (SIEM)

Les solutions SIEM permettent de centraliser la visibilité afin de détecter et d'étudier vos menaces de cybersécurité les plus critiques à l'échelle de l'organisation, et d'y répondre.


Solutions de confiance zéro

Une approche de type Zero Trust (zéro confiance) pour apporter la sécurité à chaque utilisateur, à chaque appareil, à chaque connexion — à chaque instant.


IBM Cloud Pak® for Security

Obtenez des informations sur les menaces et les risques et répondez plus rapidement grâce à l'automatisation . Explorez la plateforme de sécurité intégrée.


Solutions de stockage flash

Simplifiez la gestion des données et de l'infrastructure avec la famille de plateformes unifiées IBM FlashSystem®, qui rationalise l'administration et la complexité opérationnelle dans les environnements sur site, de cloud hybride, virtualisés et conteneurisés.


Sécurité des nœuds finaux

L'essor de la tendance du télétravail et de l'interconnectivité des noeuds finaux s'accompagne de son propre lot de défis en matière de cybersécurité. Pour les combattre, il est nécessaire de disposer d'un outil moderne de réponse et de détection des noeuds finaux basé sur l'IA, capable de bloquer et d'isoler de manière proactive les menaces liées aux logiciels malveillants et aux rançongiciels et de propulser la sécurité des noeuds finaux dans un monde de confiance zéro.



Ressources