Qu’est-ce qu’une cyberattaque ?

Les motivations derrière les cyberattaques peuvent varier, mais elles sont principalement de trois types : criminel, politique et personnel.

Les pirates à motivation criminelle cherchent à obtenir un gain financier par le biais d’un vol d’argent, d’un vol de données ou d’une interruption de l’activité. Dans ce cas, ils décident de pirater un compte bancaire pour voler de l’argent directement ou utilisent des techniques d’ingénierie sociale pour inciter les gens à leur envoyer de l’argent. Les pirates informatiques peuvent voler des données et les utiliser pour commettre une usurpation d’identité, les vendre sur le dark web ou demander une rançon.

L’extorsion est une autre tactique populaire. Les pirates ont alors recours à des ransomwares, des attaques par déni de service distribué (DDoS, Distributed Denial of Service) ou d’autres tactiques pour prendre des données ou des appareils en otage jusqu’à ce qu’une entreprise paie la rançon. Selon le X-Force Threat Intelligence Index, 27 % des cyberattaques visent à extorquer leurs victimes.

Les cybercriminels à motivation personnelle, tels que le personnel actuel ou ancien mécontent, cherchent principalement à se venger de certaines personnes qui leur auraient causé des torts. Ces pirates peuvent chercher à prendre de l’argent, voler des données sensibles ou perturber les systèmes d’une entreprise.

Les cybercriminels à motivation politique sont souvent associés à la cyberguerre, au cyberterrorisme ou au hacktivisme. Dans la cyberguerre, les acteurs des États-nations ciblent souvent les agences gouvernementales ou les infrastructures critiques de leurs ennemis. Par exemple, depuis le début de la guerre entre la Russie et l’Ukraine, les deux pays ont connu une vague de cyberattaques contre les institutions vitales (lien externe à ibm.com). En revanche, les pirates informatiques engagés, appelés « hacktivistes », peuvent ne pas causer de dommages importants à leurs cibles. Au lieu de cela, ils cherchent généralement à attirer l’attention sur leur cause en faisant connaître leurs attaques au grand public.

Les motivations moins courantes en matière de cyberattaques comprennent l’espionnage d’entreprise, par le biais duquel les pirates volent la propriété intellectuelle pour obtenir un avantage déloyal sur leurs concurrents et le vigilantisme informatique, qui consiste à exploiter les vulnérabilités d’un système pour en avertir les autres. Certains hackers piratent simplement pour la pratique, savourant le défi intellectuel que les attaques représentent.

Organisations criminelles, acteurs étatiques, particuliers : n’importe qui peut lancer des cyberattaques. C’est pourquoi on classe plutôt les cybercriminels en menaces externes ou internes.

Les menaces extérieures ne sont pas autorisées à utiliser un réseau ou un appareil, mais s’y introduisent quand même. Parmi ces menaces, on compte les groupes criminels organisés, les pirates informatiques professionnels, les acteurs sponsorisés par les États, les pirates amateurs et les hacktivistes.

Les menaces internes correspondent aux utilisateurs qui ont un accès autorisé et légitime aux actifs d’une entreprise et abusent de leurs privilèges délibérément ou accidentellement. Cette catégorie comprend le personnel, les partenaires commerciaux, les clients, les prestataires et les fournisseurs ayant accès au système.

Bien que les utilisateurs négligents puissent mettre leur entreprise en danger, il ne s’agit d’une cyberattaque que si l’utilisateur utilise intentionnellement ses privilèges pour procéder à des activités malveillantes. Un employé qui stocke imprudemment des informations sensibles sur un disque non sécurisé ne commet pas de cyberattaque, mais un employé mécontent qui copie sciemment des données confidentielles à des fins personnelles l’est. 

Les cybercriminels s’introduisent généralement dans les réseaux informatiques à la recherche de quelque chose de précis. En voici les exemples les plus courants :

• l’argent ;
• les données financières des entreprises ;
• les listes de clients ;
• les données client, y compris les informations personnelles identifiables (PII) ou d’autres données personnelles sensibles ;
• les adresses e-mail et identifiants de connexion ;
• les formes de propriété intellectuelle, comme les secrets commerciaux ou les conceptions de produits.

Dans certains cas, les cybercriminels ne veulent rien voler du tout. Ils cherchent simplement à perturber les systèmes d’information ou l’infrastructure informatique pour nuire à une entreprise, à une agence gouvernementale ou à une autre cible. 

Les cybercriminels utilisent de nombreux outils et techniques sophistiqués pour lancer des cyberattaques contre les systèmes informatiques d’entreprise, les ordinateurs personnels et d’autres cibles. En voici les types les plus courants :

Le logiciel malveillant, ou malware, peut rendre les systèmes infectés inopérables. Il est capable de détruire des données, voler des informations ou même effacer des fichiers essentiels à l’exécution du système d’exploitation. Les logiciels malveillants se présentent sous de nombreuses formes, notamment :

• Les chevaux de Troie prennent l’apparence de programmes utiles ou se cachent dans des logiciels légitimes pour inciter les utilisateurs à les installer. Un cheval de Troie d’accès à distance (RAT) crée une porte dérobée secrète sur l’appareil de la victime, tandis qu’un cheval de Troie injecteur installe des logiciels malveillants supplémentaires sur un appareil une fois qu’il s’y est implanté.
  
  
• Les ransomwares sont des logiciels malveillants sophistiqués qui utilisent un chiffrement renforcé pour prendre en otage des données ou des systèmes. Les cybercriminels exigent ensuite un paiement en échange de la libération du système et de la restauration des fonctionnalités. Selon le X-Force Threat Intelligence Index, les ransomwares représentent 17 % des attaques, soit le deuxième type de cyberattaque le plus courant.
  
  
• Le scareware utilise de faux messages pour inciter les victimes à télécharger des logiciels malveillants ou à transmettre des informations sensibles à un fraudeur.
  
  
• Le spyware est un type de malware qui recueille secrètement des informations sensibles, comme les noms d’utilisateur, les mots de passe et les numéros de carte bancaire. Il envoie ensuite ces informations au pirate informatique.
  
  
• Les rootkits sont des paquets malveillants qui permettent aux pirates informatiques d’obtenir un accès de niveau administrateur au système d’exploitation d’un ordinateur ou à d’autres actifs.
  
  
• Les vers sont des codes malveillants qui se répliquent automatiquement et peuvent se propager automatiquement entre les applications et les appareils. 

Les attaques d’ingénierie sociale incitent les victimes à effectuer des actions qu’elles ne devraient pas faire, comme partager des informations privées, télécharger des logiciels dangereux ou envoyer de l’argent à des criminels.

L’hameçonnage est l’une des attaques d’ingénierie sociale les plus répandues. Selon le rapport sur le coût d’une violation de données, il s’agit de la deuxième cause la plus courante de violations. Les attaques d’hameçonnage les plus élémentaires utilisent de faux e-mails ou SMS pour voler les identifiants des utilisateurs, exfiltrer des données sensibles ou diffuser des logiciels malveillants. Les messages d’hameçonnage sont souvent conçus pour être considérés comme provenant d’une source légitime. Ils incitent généralement la victime à suivre un lien hypertexte qui les mène vers un site Web malveillant ou à ouvrir une pièce jointe d’e-mail qui s’avère être un logiciel malveillant.

Les cybercriminels ont également développé des méthodes d’hameçonnage plus sophistiquées. Le harponnage est une attaque très ciblée qui vise à manipuler une personne spécifique, en utilisant souvent les détails de ses profils publics sur les réseaux sociaux pour rendre la ruse plus convaincante. Le whale phishing est un type de harponnage qui cible spécifiquement les dirigeants d’entreprise de haut niveau. Dans le cadre d’une fraude BEC, les cybercriminels se font passer pour des dirigeants, des fournisseurs ou d’autres partenaires accrédités pour inciter les victimes à transférer de l’argent ou à partager des données sensibles. 

Les attaques par déni de service (DoS, Denial of Service) et par déni de service distribué (DDoS) inondent les ressources d’un système avec du trafic frauduleux. Ce trafic submerge le système et l’empêche ainsi de répondre aux requêtes légitimes en réduisant sa capacité de fonctionnement. Une attaque DoS peut être une fin en soi ou préparer le terrain pour une autre attaque.

La différence entre les attaques DoS et DDoS tient simplement au fait que les attaques DoS utilisent une source unique pour générer du trafic frauduleux, tandis que les attaques DDoS en utilisent plusieurs. Les attaques DDoS sont souvent menées à l’aide d’un botnet, un réseau d’appareils connectés à Internet et infectés par des logiciels malveillants sous le contrôle d’un pirate informatique. Les botnets peuvent inclure des ordinateurs portables, des smartphones et des appareils de l’Internet des objets (IdO). Les victimes ne savent souvent pas quand un botnet a détourné leurs appareils.

La compromission de compte renvoie à toute attaque dans laquelle les pirates détournent le compte d’un utilisateur légitime pour une activité malveillante. Les cybercriminels peuvent s’introduire dans le compte d’un utilisateur de plusieurs façons, par exemple en volant des identifiants par le biais d’attaques d’hameçonnage ou en achetant des bases de données de mots de passe volées sur le dark web. Ils peuvent utiliser des outils d’attaque par mot de passe comme Hashcat et John the Ripper pour briser les chiffrements de mots de passe ou organiser des attaques par force brute, qui consistent à exécuter des scripts ou des bots automatisés pour générer et tester des mots de passe potentiels jusqu’à ce qu’ils fonctionnent.

Dans une attaque de l’homme du milieu, également appelée attaque d’écoute clandestine, un pirate informatique intercepte secrètement les communications entre deux personnes ou entre un utilisateur et un serveur. Les attaques de l’homme du milieu sont généralement menées via des réseaux Wi-Fi publics non sécurisés, où il est relativement facile pour les acteurs malveillants d’espionner le trafic.

Les pirates informatiques peuvent être en mesure de lire les e-mails d’un utilisateur ou même de modifier secrètement le contenu des e-mails avant qu’il n’atteigne le destinataire. Dans une attaque par détournement de session, le cybercriminel interrompt la connexion entre un utilisateur et un serveur hébergeant des actifs importants, comme une base de données d’entreprise confidentielle. Le cybercriminel échange son adresse IP avec celle de l’utilisateur, faisant croire au serveur qu’il s’agit d’un utilisateur légitime connecté à une session légitime. Cela donne carte blanche au pirate informatique pour voler des données ou faire des ravages. 

Les attaques visant la chaîne d’approvisionnement sont des cyberattaques dans lesquelles les pirates informatiques brisent les défenses d’une entreprise en ciblant ses fournisseurs de logiciels, de matériel et autres services. Étant donné que les fournisseurs sont souvent connectés aux réseaux de leurs clients d’une manière ou d’une autre, les pirates peuvent utiliser le réseau du fournisseur comme vecteur d’attaque pour accéder à plusieurs cibles à la fois.

Par exemple, en 2020, des acteurs de l’État russe ont piraté le fournisseur de logiciels SolarWinds et distribué des logiciels malveillants à ses clients sous couvert d’une mise à jour logicielle (lien externe à ibm.com). Ce logiciel malveillant a permis à des espions russes d’accéder aux données sensibles de diverses agences gouvernementales américaines utilisant les services de SolarWinds, notamment les départements du Trésor, de la Justice et de l’État. 

Les entreprises peuvent réduire les cyberattaques en implémentant des systèmes et des stratégies de cybersécurité. La cybersécurité consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques à l’aide d’une combinaison de technologies, de personnes et de processus. 

De nombreuses organisations mettent en place une stratégie de gestion des menaces pour identifier et protéger leurs actifs et ressources les plus importants. La gestion des menaces peut inclure des politiques et des solutions de sécurité telles que :

• Les politiques et plateformes de gestion des identités et des accès (IAM), y compris l’accès par moindre privilège, l’authentification multifacteur et les politiques de mot de passe fort, peuvent garantir que seules les bonnes personnes ont accès aux bonnes ressources. Les entreprises peuvent également exiger que les télétravailleurs utilisent des réseaux privés virtuels (VPN) lorsqu’ils accèdent à des ressources sensibles via un réseau Wi-Fi non sécurisé.
   
• Une plateforme complète de sécurité des données et des outils de prévention des pertes de données (DLP) peuvent chiffrer les données sensibles, surveiller leur accès et leur utilisation et émettre des alertes lorsque des activités suspectes sont détectées. Les organisations peuvent également effectuer des sauvegardes régulières des données afin de minimiser les dommages en cas de violation.
  
  
• Les pare-feu contribuent à empêcher les acteurs malveillants de pénétrer dans le réseau en premier lieu. Ils peuvent également bloquer le trafic malveillant sortant du réseau, comme les malwares tentant de communiquer avec un serveur de contrôle et de commande.
   
• La formation de sensibilisation à la sécurité peut aider les utilisateurs à identifier et à éviter certains des vecteurs de cyberattaque les plus courants, tels que l’hameçonnage et d’autres attaques d’ingénierie sociale.
  
  
• Les politiques de gestion des vulnérabilités, y compris les calendriers de gestion des correctifs et les tests d’intrusion réguliers, peuvent aider à détecter et à résoudre les vulnérabilités avant que les pirates informatiques ne puissent les exploiter.
  
  
• Les outils de gestion de surface d’attaque (ASM) permettent d’identifier, de cataloguer et de corriger les actifs potentiellement vulnérables avant que les cybercriminels ne les trouvent.
  
  
• Les outils de gestion unifiées des terminaux (UEM) peuvent appliquer des politiques et des contrôles de sécurité sur tous les terminaux du réseau d’entreprise, y compris les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles.

Il est impossible de prévenir entièrement les tentatives de cyberattaque : les entreprises peuvent donc aussi utiliser une surveillance continue de la sécurité et des processus de détection précoce pour identifier et signaler les cyberattaques en cours. En voici quelques exemples :

• Les systèmes SIEM (Security Information and Event Management) centralisent et suivent les alertes provenant de divers outils internes de cybersécurité, notamment les systèmes de détection d’intrusion (IDS), les systèmes de détection et de réponse des terminaux (EDR) et autres solutions de sécurité.
  
  
• Les plateformes de renseignements sur les menaces enrichissent les alertes de sécurité pour aider les équipes de sécurité à comprendre les types de menaces de cybersécurité auxquelles elles sont confrontées.
  
  
• Les logiciels antivirus analysent régulièrement les systèmes informatiques à la recherche de programmes malveillants et éradiquent automatiquement les logiciels malveillants identifiés.
  
  
• Les processus proactifs de traque des menaces permettent de retrouver les cybermenaces qui se cachent dans le réseau, telles que les menaces persistantes avancées (MPA).

Les organisations peuvent également prendre des mesures pour assurer une réponse appropriée aux cyberattaques en cours et aux autres événements de cybersécurité. En voici quelques exemples :

• Les plans de réponse aux incidents peuvent aider à contenir et à éradiquer divers types de cyberattaques, à restaurer les systèmes affectés et à analyser les causes profondes pour prévenir les futures attaques. Il est démontré que les plans de réponse aux incidents réduisent les coûts globaux des cyberattaques. Selon le rapport sur le coût d’une violation de données, les organisations dotées d’équipes formelles et de plans de réponse aux incidents ont en moyenne 58 % de réduction des coûts de violation.
  
  
• Les solutions d’orchestration, d’automatisation et de réponse à la sécurité (SOAR) peuvent permettre aux équipes de sécurité de coordonner des outils de sécurité disparates dans des protocoles semi-automatisés ou entièrement automatisés pour répondre aux cyberattaques en temps réel.
  
  
• Les solutions de détection et de réponse étendues (XDR) intègrent des outils et des opérations de sécurité pour toutes les couches : terminaux, e-mails, applications, réseaux, charges de travail cloud et données. Les solutions XDR peuvent aider à automatiser les processus complexes de prévention, de détection, d’enquête et de réponse aux cyberattaques, notamment la recherche proactive des menaces.