Qu’est-ce qu’un acteur de la menace ?

Il existe aujourd'hui de nombreux types d'acteurs de la menace, tous présentant des attributs, des motivations, des niveaux de compétence et des tactiques différents. Parmi les plus courants, on trouve les hacktivistes, les acteurs des États-nations, les cybercriminels, les amateurs de sensations fortes, les acteurs de la menace interne et les cyberterroristes.

La fréquence et la gravité des cybercrimes ne cessant d’augmenter, il est de plus en plus important de comprendre ces différents types d’acteurs de la menace afin d’améliorer la cybersécurité des individus et des organisations.

Le terme « acteur de la menace » est large et relativement général, puisqu’il désigne toute personne ou tout groupe constituant une menace pour la cybersécurité. Ces acteurs de la menace sont souvent classés en différentes catégories selon leur motivation et dans une moindre mesure, leur niveau de sophistication.

Ces individus ou groupes perpétuent des cybercrimes pour des raisons financières. Parmi les délits les plus courants commis par les cybercriminels, on trouve les attaques par ransomware et les escroqueries par phishing (hameçonnage) qui incitent les victimes à effectuer des transferts d’argent ou à divulguer les informations de leur carte de crédit, leurs identifiants de connexion, leurs droits de propriété intellectuelle ou autre information privée ou sensible.

Les États-nations et les gouvernements financent fréquemment des acteurs de la menace dans le but de voler des données sensibles, de recueillir des informations confidentielles ou de perturber l’infrastructure critique d’un autre gouvernement. Parmi ces activités malveillantes, on trouve souvent l’espionnage ou la cyberguerre, qui bénéficient généralement d’un financement important, rendant alors les menaces complexes et difficiles à détecter.

Ces acteurs de la menace utilisent des techniques de piratage pour promouvoir des programmes politiques ou sociaux, notamment la diffusion de la liberté d'expression ou la révélation de violations des droits de l'homme. Les hacktivistes pensent qu'ils favorisent un changement social positif et considèrent qu'ils sont en droit de cibler des individus, des organisations ou des agences gouvernementales pour dévoiler des secrets ou d'autres informations sensibles. Anonymous est un exemple bien connu de groupe hacktiviste. Il s'agit d'un collectif international de pirates informatiques qui prétend défendre la liberté d'expression sur Internet.

Comme leur nom l’indique, la motivation des amateurs de sensations fortes est de s’attaquer aux systèmes informatiques et d’information pour le plaisir. Certains veulent voir combien d’informations ou de données sensibles ils peuvent voler. D’autres veulent utiliser le piratage pour mieux comprendre le fonctionnement des réseaux et des systèmes informatiques. Les « script kiddies », une catégorie d’amateurs de sensations fortes, n’ont pas de compétences techniques avancées, mais utilisent des outils et des techniques préexistants pour s’attaquer à des systèmes vulnérables, principalement pour s’amuser ou pour leur satisfaction personnelle. Bien qu’ils ne cherchent pas toujours à nuire, les amateurs de sensations fortes peuvent néanmoins causer des dommages involontaires en perturbant la cybersécurité d’un réseau et en ouvrant la porte à de futures cyberattaques.

À la différence de la plupart des autres types d'acteurs, les acteurs de la menace interne ne cherchent pas nécessairement à nuire à l'entreprise. Certains le font par erreur humaine, par exemple en installant involontairement des logiciels malveillants ou en perdant un appareil fourni par l'entreprise qu'un cybercriminel trouve et utilise pour accéder au réseau. Toutefois, les initiés malveillants existent : un employé mécontent, par exemple, qui abuse de ses privilèges d'accès pour voler des données à des fins lucratives ou qui endommage des données ou des applications en guise de représailles après avoir été écarté d'une promotion.

Les cyberterroristes lancent des cyberattaques à motivation politique ou idéologique qui menacent ou entraînent des actes de violence. Certains cyberterroristes sont des acteurs étatiques, d’autres agissent seuls ou au nom d’un groupe non gouvernemental.

Les acteurs de la menace ciblent généralement les grandes entreprises, car elles ont plus d’argent et plus de données sensibles, ce qui représente un gain potentiel plus important.

Toutefois, ces dernières années, les petites et moyennes entreprises (PME) ont également été fréquemment prises pour cible par les acteurs de la menace en raison de la faiblesse relative de leurs systèmes de sécurité. En fait, le FBI s’est récemment inquiété de l’augmentation du nombre de cybercrimes commis à l’encontre des petites entreprises, indiquant qu’en 2021 seulement, elles ont perdu 6,9 milliards de dollars à la suite de cyberattaques, soit une augmentation de 64 % par rapport à l’année précédente.

De même, les acteurs de la menace ciblent de plus en plus les particuliers et les ménages pour des sommes plus modestes. Ils peuvent, par exemple, pénétrer dans les réseaux domestiques et les systèmes informatiques pour voler des informations d’identité personnelle, des mots de passe et d’autres données potentiellement précieuses et sensibles. On estime actuellement qu’un foyer américain sur trois possédant un ordinateur est la cible d’un logiciel malveillant.

Les acteurs de la menace ne font pas de discrimination. Bien qu’ils aient tendance à s’attaquer aux cibles les plus intéressantes ou les plus significatives, ils profiteront également de toute faiblesse en matière de cybersécurité, où qu’elle se trouve, contribuant ainsi à rendre le paysage de la menace de plus en plus coûteux et complexe.

Les acteurs de la menace utilisent un ensemble de tactiques pour lancer une cyberattaque, en insistant davantage sur certaines que sur d’autres, en fonction de leur motivation première, de leurs ressources et de la cible visée.

Les logiciels malveillants sont des programmes qui endommagent ou rendent les ordinateurs inutilisables. Ils se propagent généralement par le biais de pièces jointes à des e-mails, de sites Web infectés ou de logiciels compromis et peuvent aider les acteurs de la menace à voler des données, à prendre le contrôle de systèmes informatiques et à attaquer d’autres ordinateurs. Parmi les logiciels malveillants, citons les virus, les vers et les chevaux de Troie, qui se téléchargent sur les ordinateurs en se faisant passer pour des programmes légitimes.

Un ransomware est un type de logiciel malveillant qui verrouille les données ou l’appareil de la victime et menace de ne rien déverrouiller, voire pire, à moins que la victime ne paie une rançon au pirate. Aujourd’hui, la plupart des attaques par ransomware se présentent sous la forme d’une double extorsion qui menace également de voler les données de la victime et de les vendre ou de les divulguer en ligne. Selon l’IBM X-Force Threat Intelligence Index, les attaques par ransomware représentent 20 % de toutes les attaques par logiciel malveillant.

Les attaques significatives de type Big Game Hunting (BGH, ou chasse au gros gibier) sont des campagnes massives et coordonnées de ransomware qui ciblent les grandes organisations (gouvernements, grandes entreprises, fournisseurs d’infrastructures critiques) ayant beaucoup à perdre en cas de panne et qui sont plus enclines à payer une rançon importante.

Les attaques par phishing (hameçonnage) utilisent des e-mails, des SMS, des messages vocaux ou de faux sites Web pour tromper les utilisateurs et les inciter à partager des données sensibles, à télécharger des logiciels malveillants ou à s'exposer à la cybercriminalité. Parmi les types de phishing, on trouve :

• Le phishing ciblé (ou harponnage), une attaque par hameçonnage qui cible une personne ou un groupe spécifique de personnes avec des messages qui semblent provenir d’expéditeurs légitimes qui ont une relation avec la cible.

• La compromission de la messagerie professionnelle, une attaque de phishing ciblé qui envoie à la victime un e-mail frauduleux à partir du compte de messagerie d’un membre du personnel, dont l’identité a été usurpée ou détournée.
  
  
• Le whaling, une attaque par phishing ciblé visant spécifiquement les cadres de haut niveau ou les dirigeants d’entreprise.

Le phishing (hameçonnage) est une forme d’attaque d’ingénierie sociale, une catégorie d’attaques et de tactiques qui exploitent les sentiments de peur ou d’urgence pour manipuler les gens afin qu’ils commettent d’autres erreurs qui compromettent leurs actifs ou leur sécurité personnels ou organisationnels. Cette forme de manipulation peut se résumer à une simple clé USB infectée par un logiciel malveillant laissée là où quelqu’un la trouve (et qui se dit « Oh ! Une clé USB gratuite ! ») ou à des mois passés à entretenir une relation amoureuse à distance avec la victime afin de lui soutirer le prix du billet d’avion pour « enfin se rencontrer ».

Comme l’ingénierie sociale exploite les faiblesses humaines plutôt que les vulnérabilités techniques, elle est parfois appelée « human hacking » (ou piratage humain).

Ce type de cyberattaque consiste à inonder un réseau ou un serveur de trafic, le rendant ainsi inaccessible aux utilisateurs. Une attaque par déni de service distribué (DDoS) fait appel à un réseau distribué d’ordinateurs pour envoyer du trafic malveillant, créant ainsi une attaque qui peut submerger la cible plus rapidement et qui est plus difficile à détecter, à prévenir ou à atténuer.

Les menaces persistantes avancées (APT) sont des cyberattaques sophistiquées perpétrées sur des mois ou des années plutôt que sur des heures ou des jours. Elles permettent aux acteurs de la menace d'agir dans le réseau de la victime sans être détectés, en infiltrant les systèmes informatiques, en menant des activités d'espionnage et de reconnaissance, en augmentant les privilèges et les autorisations (connu sous le nom de mouvement latéral) et en volant des données sensibles. Étant donné qu'elles peuvent être incroyablement difficiles à détecter et qu'elles sont relativement coûteuses à exécuter, les APT sont généralement lancées par des acteurs étatiques ou d'autres acteurs de la menace bénéficiant d'un bon financement.

Une attaque par porte dérobée se sert d'une ouverture dans un système d'exploitation, une application ou un système informatique non protégé par les mesures de cybersécurité d'une organisation. Parfois, la porte dérobée est créée par le développeur du logiciel ou le fabricant du matériel pour permettre des mises à jour, des corrections de bogues ou (ironiquement) des correctifs de sécurité. D'autres fois, les acteurs de la menace créent leurs propres portes dérobées en recourant à des logiciels malveillants ou en piratant le système. Les portes dérobées permettent aux acteurs de la menace de pénétrer dans les systèmes informatiques et d'en sortir sans être détectés.

Les termes « acteur de la menace », « pirate informatique » et « cybercriminel » sont souvent utilisés de manière interchangeable, notamment à Hollywood et dans la culture populaire. Mais il y a des différences subtiles entre ces termes et les relations qu’ils entretiennent les uns avec les autres.

• Les acteurs de la menace ou les cybercriminels ne sont pas tous des pirates informatiques. Par définition, un pirate informatique est une personne qui possède les compétences techniques nécessaires pour compromettre un réseau ou un système informatique. Toutefois, certains acteurs de la menace ou cybercriminels se contentent de laisser une clé USB infectée à la disposition d’une personne qui la trouvera et l’utilisera, ou d’envoyer un e-mail contenant un logiciel malveillant en pièce jointe.

• Les pirates informatiques ne sont pas tous des acteurs de la menace ou des cybercriminels. Par exemple, certains pirates, appelés pirates éthiques, se font passer pour des cybercriminels dans le but d’aider les entreprises et les agences gouvernementales à tester la vulnérabilité de leurs systèmes informatiques face aux cybermenaces.

• Certains types d’acteurs de la menace ne sont pas des cybercriminels par définition ou par intention, mais le sont dans la pratique. Par exemple, un amateur de sensations fortes qui « s’amusait » pourrait couper le réseau électrique d’une ville pendant quelques minutes. De même, un hacktiviste qui exfiltre et publie des informations gouvernementales confidentielles au nom d’une noble cause, peuvent également commettre un cybercrime, quelles que soient ses intentions ou ses croyances.

Les technologies deviennent de plus en plus sophistiquées, et il en va de même pour l’environnement des cybermenaces. Pour garder une longueur d’avance sur les acteurs de la menace, les entreprises font continuellement évoluer leurs mesures de cybersécurité et s’intéressent de plus en plus aux renseignements sur les menaces. Voici quelques-unes des mesures prises par les entreprises pour atténuer l’impact des acteurs de la menace, voire pour les empêcher complètement :

• Formation de sensibilisation à la sécurité. Étant donné que les acteurs de la menace exploitent souvent l'erreur humaine, la formation du personnel est une ligne de défense importante. La formation de sensibilisation à la sécurité peut couvrir des sujets aussi variés que la non-utilisation d'appareils autorisés par l'entreprise, le stockage approprié des mots de passe ou les techniques permettant de reconnaître et de traiter les e-mails de phishing.
   

• Authentification multi-facteur et adaptative. La mise en œuvre de l’authentification à étapes exige que les utilisateurs fournissent un ou plusieurs identifiants de connexion en plus d’un nom d’utilisateur et d’un mot de passe. De même, les prompts d’authentification adaptative demande aux utilisateurs de fournir des identifiants supplémentaires lorsqu’ils se connectent à partir de différents appareils ou emplacements, empêchant ainsi les pirates d’accéder à un compte e-mail même s’ils parviennent à voler le mot de passe de l’utilisateur.

• Solutions de sécurité des points de terminaison. Il s’agit notamment de logiciels antivirus, qui détectent et bloquent les logiciels malveillants et les virus connus, ou d’outils tels que les solutions EDR (détection et réponse des terminaux) qui utilisent l’intelligence artificielle (IA) et les outils d’analyse pour aider les équipes de sécurité à détecter les menaces qui contournent les logiciels de sécurité des points de terminaison traditionnels et à prendre des mesures nécessaires.
  
  
• Technologies de sécurité des réseaux. La technologie principale de sécurité des réseaux est le pare-feu, qui empêche le trafic suspect de pénétrer dans un réseau ou d’en sortir, tout en laissant passer le trafic légitime. Parmi les autres technologies, on trouve les systèmes de prévention contre les intrusions (IPS), qui surveillent le réseau pour y détecter d’éventuelles menaces et prendre des mesures pour les contrer, ainsi que la détection et la réponse du réseau (NDR), qui utilise l’IA, le machine learning et l’analyse comportementale pour aider les professionnels de la sécurité à détecter les cybermenaces et à automatiser les réponses nécessaires pour y faire face.

• Logiciel de sécurité d’entreprise. Ces solutions peuvent aider les équipes de sécurité et les centre d’opérations de sécurité (SOC) à détecter et à intercepter les activités aberrantes ou malveillantes dans tous les domaines de l’infrastructure informatique : points de terminaison, e-mails, applications, réseau et workload cloud. Elles comprennent (sans s’y limiter) l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des incidents et événements de sécurité (SIEM) et la détection et réponse étendues (XDR).

Les entreprises peuvent également procéder à des évaluations régulières de la sécurité afin d’identifier les vulnérabilités des systèmes. Le personnel informatique interne peut effectuer ces audits, mais certaines entreprises les confient à des experts ou à des fournisseurs de service externes. Des mises à jour régulières des logiciels permettent également aux entreprises et aux particuliers d’identifier et de corriger les vulnérabilités potentielles de leurs systèmes informatiques et d’information.