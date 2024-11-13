Les États-nations hostiles modifient leur approche, passant de la destruction de données à la priorité donnée à la discrétion et à l’espionnage. Selon le rapport Microsoft 2023 sur la défense numérique, « les attaquants au service d’États-nations augmentent leurs investissements et lancent des cyberattaques plus sophistiquées afin d’échapper à la détection et d’atteindre leurs priorités stratégiques ».
Ces acteurs constituent une menace critique pour les infrastructures et les données protégées des États-Unis, dont la compromission pourrait mettre en danger les citoyens.
Heureusement, ces efforts malveillants ont un avantage : l’information. En analysant les tactiques des États-nations, les agences publiques et les entreprises privées sont mieux préparées à suivre, gérer et atténuer ces attaques.
La Cybersecurity & Infrastructure Security Agency (CISA) identifie quatre auteurs prolifiques parmi les États-nations : les gouvernements chinois, russe, nord-coréen et iranien. Chacun de ces acteurs utilise diverses méthodes pour compromettre la sécurité et accéder aux réseaux des victimes.
Selon Jermaine Roebuck, directeur adjoint de la CISA chargé de la traque des menaces : « Il s’agit notamment du phishing, de l’utilisation d’identifiants volés et de l’exploitation de vulnérabilités non corrigées et/ou de configurations de sécurité incorrectes. Ils effectuent une reconnaissance approfondie avant de compromettre le réseau afin d’en connaître l’architecture et d’identifier les vulnérabilités. Grâce à ces informations, ces acteurs soutenus par des États exploitent les vulnérabilités des périphériques connectés et tirent parti des erreurs de configuration des systèmes pour obtenir un accès initial. Ils utilisent souvent du code d’exploitation accessible au public pour les vulnérabilités connues, mais sont également habiles à découvrir et à exploiter les vulnérabilités zero-day. Une fois qu’ils ont accès aux réseaux des victimes, les acteurs avancés utilisent des techniques LOTL (« living-off-the-land ») pour éviter d’être détectés. »
En comprenant les techniques et les tactiques utilisées par les acteurs de la menace, les entreprises sont mieux préparées à allouer leurs ressources de sécurité limitées là où elles seront les plus efficaces. « Connaître ces tactiques permet aux défenseurs d’appliquer des concepts de sécurité et des classes de technologies spécifiques en vue de neutraliser les acteurs malveillants et de se concentrer sur des données bien précises afin de détecter leurs techniques », explique J. Roebuck.
En d’autres termes, plus les entreprises et les agences en apprendront sur les méthodes d’attaque des États-nations, mieux ce sera.
Si les actions de chaque État-nation offrent des informations utiles pour la cybersécurité américaine, il existe un autre élément essentiel à une défense efficace : revenir aux fondamentaux.
Ces approches ne s’excluent pas mutuellement. Par exemple, si les agences publiques doivent identifier et démanteler les campagnes de désinformation, il est tout aussi essentiel de s’assurer que les systèmes intègrent une authentification multifacteur (MFA) inviolable afin de réduire le risque de compromission.
Selon J. Roebuck, la CISA recommande également de :
« Les entreprises doivent organiser régulièrement des sessions de formation sur la reconnaissance des tentatives de phishing et les bonnes pratiques en matière de cybersécurité, explique-t-il. Selon des sources fiables d’Open-Source Intelligence (OSINT), 75 % des intrusions étaient "sans logiciel malveillant". Cela signifie que les acteurs de la menace sont "entrés par la grande porte" grâce à des comptes valides obtenus par phishing et ingénierie sociale. Les utilisateurs doivent être bien formés afin d’identifier les techniques d’ingénierie sociale et les e-mails de phishing.
Pour limiter les risques liés aux identifiants, J. Roebuck recommande que tous les comptes disposent de mots de passe forts et uniques, et suggère aux entreprises de modifier les identifiants par défaut. « Des mots de passe forts et uniques empêchent les accès non autorisés en les rendant beaucoup plus difficiles, limitent les dommages en empêchant les acteurs de la menace d’accéder facilement à d’autres comptes, réduisent les attaques courantes ciblant les mots de passe par défaut ou faibles, protègent les informations sensibles et améliorent la sécurité globale. »
La nature coordonnée des attaques menées par des États-nations signifie qu’aucune entreprise ou agence publique ne peut faire cavalier seul. Il faut au contraire que les organisations coopèrent pour améliorer la sécurité.
La CISA apporte également sa contribution. J. Roebuck cite l’avis conjoint de l’agence sur la République populaire de Chine (RPC), qui recommande des mesures visant à détecter les menaces émergentes, à les atténuer et à les résoudre. « Nous savons toutefois que les cybercriminels sophistiqués au service d’États-nations font constamment évoluer leurs techniques, tactiques et procédures, ajoute-t-il. C’est pourquoi la CISA a établi un partenariat solide avec des agences publiques, des partenaires commerciaux et des opérateurs d’infrastructures critiques afin de fournir des informations exploitables pour lutter contre les cyberactivités malveillantes en constante évolution, telles que celles de la RPC. »
La CISA a également publié récemment le plan Federal Civilian Executive Branch (FCEB) Operational Cybersecurity Alignment (FOCAL), qui propose une feuille de route pour aider les entreprises des secteurs public et privé à améliorer la coordination en matière de cybersécurité et à mieux se défendre contre les menaces provenant d’États-nations.
En fin de compte, le conseil de J. Roebuck en matière de sécurité est simple : « Pour se protéger contre la prévalence croissante des acteurs malveillants, il faut mettre en œuvre et maintenir une solution efficace permettant de détecter les intrusions et d’expulser les attaquants le plus rapidement possible. »
