The event also featured a CTF competition running from Saturday night to Sunday morning, where our team YoloSw4g secured 6th place among 120 participating teams.  

The following technical analyses focus on the key takeaways from each presentation, emphasizing practical implications for security professionals. 

GPO parser (Synacktiv) 

Speaker: Wilfried Bécard

Synacktiv’s offensive security team introduced a new open-source tool designed to simplify a task that’s both important and often frustrating when dealing with Active Directory compromises: analyzing Group Policy Objects (GPOs). 

GPOs are a key mechanism used by organizations to manage configurations across their Windows environments. They can enforce security policies, run scripts, install software, and more, often without users even realizing it. From an attacker’s perspective, understanding how these policies are set up can provide valuable insight into where to escalate privileges or how to move laterally. But going through GPOs manually to spot those opportunities is time-consuming and not always straightforward. 

Synacktiv’s tool takes things a step further than what’s currently out there for parsing GPOs. While many tools focus on who can apply which policies (by looking at access control lists (ACLs) and linked objects) this one digs into what the policies actually do. It pulls out useful details like which users or groups are being added, what scripts are being run, or which software gets pushed to machines. That deeper look can uncover more complex paths an attacker might take to move through a network, especially ones that aren’t visible when you’re just looking at ACLs. 

The tool also integrates smoothly with BloodHound. By feeding it richer GPO data, BloodHound can show privilege escalation routes that might not show up with simpler analysis. That means defenders, red teamers, and anyone working in AD environments get a clearer picture of how an attacker might chain together GPO behavior to gain access or move around. 

Synacktiv plans to release the tool soon on their GitHub. Whether you’re securing a domain or testing one, it’s definitely worth keeping an eye on. 

DCOM Turns 20: Revisiting a Legacy Interface in the Modern Threatscape 

Speaker: Julien Bedel

DCOM Architecture 

The “DCOM Turns 20” conference presented a technical analysis of the evolving threats related to Component Object Model (COM) and its distributed version (DCOM). Throughout the years, COM has established itself as a central element of the Windows ecosystem by enabling interoperability between applications through unique identifiers (GUID and ProgID). This design facilitates interactions between programs of different languages (i.e. C++, VBS, PowerShell …) but now represents a considerable attack surface with over 30,000 interfaces available on a single Windows 11 workstation.  

This functional richness offers attackers multiple initial access possibilities, ranging from command execution to file downloading, making restriction of access to COM classes technically impossible without compromising system stability. 

Organizations must therefore rely on compensating controls such as AppLocker policies to restrict executable paths and EDR solutions to detect suspicious COM-based activities. 

Persistence Techniques and Lateral Movement 

Attackers can inject specific registry keys into HKCU (taking priority over HKLM) to redirect COM calls to malicious DLLs. This method requires a sophisticated approach: proxying legitimate functions of the original DLL and targeting specific processes (office applications, browsers, VPN clients, EDR solutions) that remain active during the session and communicate regularly with external networks. For lateral movement, DCOM uses AppIDs to identify groups of COM classes accessible remotely. 

The accessibility of port 135 (RPC) signals DCOM availability, enabling the use of tools like DcomExec for remote command execution, particularly through Excel and Office suite interfaces. 

Defense against these lateral movement techniques requires implementing network firewalls to restrict RPC traffic, deploying IDS/IPS solutions to monitor suspicious DCOM communications, and establishing proper network segmentation to limit attackers’ ability to pivot across systems. 

Privilege Escalation and Bypasses 

The conference demonstrated how DCOM serves as the underlying foundation for many widely used privilege escalation techniques. A significant portion of these exploits are commonly known as “Potato” attacks. These techniques have proliferated because Microsoft does not consider them as constituting a breach of security boundaries, leading to the development of multiple variants over time, despite occasional patches being released to address specific implementations.  

The presentation further illustrated how DCOM interfaces serve as a versatile exploitation platform, enabling attackers to achieve diverse objectives through various Windows-specific techniques, from NTLM relay attacks against RDP users to UAC bypass mechanisms, highlighting the breadth of attack vectors available within Microsoft’s DCOM architecture. 

To counter these threats, organizations must implement a defense in depth strategy encompassing protocol signing, NTLM disabling and the use of security solutions such as EDR, IDS or IPS. 

Browser Cache Smuggling: the return of the dropper 

Speaker : Aurélien Chalot

The “Browser Cache Smuggling: the return of the dropper” conference presented a different approach to malware delivery and execution during a Red Team assignment. Today, the analysis of attachments in mailboxes is increasingly monitored by security tools. This is an innovative way of delivering a payload to a victim’s machine. Two interesting ideas have been highlighted: 

• Browsers are caching web files to reduce the bandwidth meaning that the files have to be downloaded into victim’s machine 

• Well-known software’s such as Teams can still suffer from DLL Load Order hijacking   

Basically, the attack path relies on the fact that a victim will be tricked into visiting a website controlled by an attacker and where an object with a malicious payload is set up into the HTML page. As browser’s only caches certain file based on the mime-type, the attackers must force the Content-Type of the delivered file to a cacheable value such as image/jpeg. The payload will be then silently downloaded into a temporary folder into the victim’s machine and this file is readable and writable by the current user on the system.  

When the payload is delivered, the attacker needs a way to execute it. The second part of the conference explained how trusted software can be used to hide code and traffic. The example of a certain version of Microsoft Teams has been used to demonstrate how DLL proxying can be used to achieve such executions discreetly. When Teams is executed, the software will try to load multiple DLLs following the Windows Search Order. As some DLL are missing, it will finally search into the current folder where Team’s is installed. As this folder is readable and writable by the current user, then the attacker can force a user to move the malicious payload (i.e the malicious DLL) from the browser cache folder into the Teams folder.  

Limits of this attack: 

• The cache folder will be scanned by an EDR (and not only Microsoft Defender on the article) and the temporary file could be quarantined with alerts. 

• The moving of the payload from the cache folder to the vulnerable software folder relies on social engineering and doesn’t provide a 0-click compromise path.  

• Firefox is not the default browser used by companies nowadays and Google Chrome or Microsoft Edge use more advanced storage mechanisms for cached files. 

Countermeasures: 

• Set a purge a regular purge of the cached files into the browser configuration 

• Ensure that EDR/AV scans temporary files  

• Restrict the modification of the temporary folder of the browser by a normal user 

Links to the articles:  

• https://blog.whiteflag.io/blog/browser-cache-smuggling/ 

• https://blog.whiteflag.io/blog/brower-cache-smuggling-the-return-of-the-dropper/ 

When climate change benefits to APTs 

Speaker: Cybelle Oliveira

Cybelle Oliveira presented a conference on the evolution of several APTs observed during the last few years: the specialization of a dozen APTs groups now engaged in an “environmental warfare”. These APTs now target vital environmental industrial infrastructures (water treatment, power grids, carbon capture labs, etc.), especially those protecting populations from climate change effects. To quote numbers given during the conference, a steep rise of 340% in malicious activity targeting climate infrastructure has been noted between 2022 and 2025. In 89% percents of these attacks, populations were physically impacted. 

So why change targets from private companies to climate infrastructures? One of the main answers is climate change. Attackers seem to have perfectly understood its challenges and turned them into opportunities. Indeed, weaponization of extreme temperatures and availability of infrastructures helping populations to deal with changing climate become powerful extorsion arguments as the impacts may affect the population of whole regions. How would a state react if hundreds of thousands of its citizens were to be deprived of heat during winter or ventilation during ever hotter summers? 

This growing trend is reinforced by the lack of preparation of said industries to face advanced cyber threats. It is well known that industrial information systems do not have the same lifecycles as classic IT: the need for availability results in heavy delays for updates and systems are often used for more than a decade. Consequently, the obsolescence of equipment and protocols used in OT environments makes them easy targets for attackers. In particular, Modbus protocol, a historical OT communication protocol without security features (authentication, integrity checks, etc.), is still widely spread across networks, even though new secure protocols such as OPC-UA have emerged since. Worse, thousands of these Modbus ports can easily be found open over the Internet, creating entry points right within industrial networks. This denotes the lack of inventory and cartography of vital climate infrastructures, preventing Blue Teams from efficiently identifying the attack surface and securing it. 

In conclusion, climate change and its effects should now be accounted for in CTI to better anticipate risk periods and new menaces as attackers already plan their actions based on these criteria. In addition, helping industry securing climate infrastructures becomes a priority to protect populations as well as secure climate action globally. 

Cet article LeHack 2025: What to Remember est apparu en premier sur RiskInsight.

Des attaques dont les objectifs sont souvent difficiles à cerner

L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites.

Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.

Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.

Utiliser les erreurs des attaquants pour mieux les comprendre

Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via BitTorrent en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant oublié de sécuriser ce serveur, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !

Autre exemple, le cas « Red October ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.

Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec la traque de la personne derrière le malware PlugX.

Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d’une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un keylogger sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.

Savoir tirer parti de ces informations pour mieux gérer la crise

Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.

Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager des réponses « actives » à l’attaque. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques

Cet article Cybercriminalité : savoir profiter des erreurs des attaquants est apparu en premier sur RiskInsight.

La cyber-assurance : pour quoi faire ?

Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?

Ainsi, le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.

Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.

La cyber-assurance : pour quels risques ?

Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.

• L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.

Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles  en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.

• L’entreprise étendue, génératrice de nouveaux risques

Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.

• Le développement du e-commerce

De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.

En conclusion : dans quels cas prendre une cyber-assurance ?

En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :

• Elle est susceptible de faire face à une attaque dont certaines conséquences sont facilement mesurables (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.
• Elle dispose d’un SI fortement interconnecté avec l’extérieur. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.
• Elle gère de nombreuses données personnelles. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.
• Elle dispose d’un manque d’expertises sur le sujet de la cybercriminalité et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)

Cet article Cyber-assurance : souscrire ou ne pas souscrire telle est la question ! est apparu en premier sur RiskInsight.

Une situation souvent désastreuse sur le plan de la sécurité de l’information

Les réseaux industriels et leurs composants les plus emblématiques, systèmes SCADA et automate (PLC/API) sont souvent dans des postures de sécurité très faible. Ils ont été construits par des équipes d’automaticiens alors peu confrontés aux problématiques des technologies telles qu’IP ou encore Windows qui ont pourtant depuis envahi les chaînes de production. Nos audits le montrent clairement : en termes d’architecture comme en termes de sécurisation unitaire des composants, beaucoup reste à faire. Avec un problème majeur : des équipements et des protocoles vulnérables « par construction » !

Des solutions d’attentes ont vu le jour

Dans ce contexte, de nombreuses solutions de sécurité ont vu le jour. Elles permettent de compenser une partie des vulnérabilités des systèmes. Nous pouvons en particulier citer les pare-feux industriels, tels ceux conçus par la société Tofino ou encore Industrial Defender. Des solutions plus classiques de sécurité (pare-feu, détection d’intrusion…) peuvent également être utilisées et dans une certaine mesure adaptées aux technologies des réseaux industriels.

Un réveil tardif des constructeurs

Il aura fallu un cas d’attaque de l’ampleur de Stuxnet pour que les constructeurs comprennent les enjeux autour de la sécurité des systèmes industriels. Ce réveil, certes tardif – mais mieux vaut tard que jamais- entraîne aujourd’hui des avancées significatives chez les constructeurs informatiques. On voit ainsi peu à peu apparaître le chiffrement des échanges, la capacité à mettre à jour plus simplement les équipements, des designs types intégrant les exigences sécurité, le durcissement des configurations par défaut…  Il est même question de signatures de code déployé sur les automates !

Quelle stratégie adopter à long terme : protéger ou reconstruire ?

Il s’agit d’un débat qui fait rage actuellement et oppose deux camps aux stratégies différentes. Les partisans de la reconstruction prônent un remplacement volontariste, sur un délai de deux ou trois ans des anciens équipements par des nouveaux, mieux sécurisés. Bien que cela soit possible, la question de l’investissement nécessaire se pose particulièrement en ces temps de crise. En effet, les lignes de production sont souvent conçues pour une durée de vie de 10 à 15 ans ; changer l’ensemble des équipements a un coût non négligeable, à la fois financier mais aussi en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.

D’autres préconisent l’ajout de couches de sécurité additionnelles. Cela n’a cependant jamais été une solution idéale et nécessite également des investissements importants, complexifie les architectures et fait courir de nouveaux risques en particulier sur la disponibilité.

Je reste persuadé que la bonne approche est à trouver dans un compromis entre ces deux solutions. Et en particulier, qu’elle dépend de l’analyse de risques à réaliser sur chacun des systèmes de production concernés. Dans certains cas, un changement pourra être salutaire et permettra une sécurisation au plus près de la production, de manière fiable et pérenne. Dans d’autres cas, l’ajout de mécanismes complémentaires sera suffisant en attendant le renouvellement des systèmes.

Il s’agit donc de prendre le recul nécessaire pour choisir la ou les bonnes solutions  sans oublier que les solutions techniques seules ne font pas tout. Bien souvent dans ces projets, une meilleure gestion des accès, une refonte de l’architecture sur la base des équipements déjà en place, une revue des filtrages en place et surtout une sensibilisation / formation des équipes d’automaticiens apportent beaucoup plus que l’ajout de fonctions de sécurité pure !

Cet article Réseaux industriels : protéger ou reconstruire ? est apparu en premier sur RiskInsight.

Si la gestion de crise lors d’une attaque doit suivre les 4 principes clés évoqués dans notre précédent article, elle doit surtout en intégrer l’anticipation dans ses mécanismes.

Une stratégie à moyen terme basée sur l’anticipation des attaques ciblées

Dès aujourd’hui, il est nécessaire de refondre les processus de gestion de crise. Les scénarios de cybercriminalité doivent être inclus dans les procédures opérationnelles (modalités de réponse, SI spécialisé…). Les relations avec les autorités compétentes doivent être créées ou renforcées dans le but d’accélérer la phase de mobilisation de ces acteurs et de maîtriser les circuits de communication.

Une stratégie de communication claire doit être définie en fonction des acteurs évoluant dans et autour de l’organisation. Les obligations de demain (notification aux clients des fuites de données à caractère personnel…) doivent être anticipées afin de garantir le moment venu un respect des règlementations en vigueur. De ce fait, il ne sera plus possible de garder la confidentialité sur le fait qu’une crise est en cours.

Les attaques ciblées étant souvent constituées d’une somme d’incidents unitaires, il est nécessaire de revoir en parallèle les processus de gestion des incidents pour s’inscrire dans une démarche itérative, garantissant un état de veille constant, une rapidité d’intervention et une prise de recul.

À moyen terme, évaluer son attractivité et connaître ses actifs clés permettent de déterminer les informations attirantes pour des attaquants. Le secteur d’activité et le positionnement sur le marché sont des éléments déterminants. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité du SI aux yeux d’attaquants. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers.

Enfin, il faut mettre en place des mesures avancées pour permettre une sécurisation renforcée des cibles identifiées avec les métiers en sanctuarisant les périmètres les plus sensibles (applications métiers clés, VIP / COMEX…) mais aussi les systèmes techniques clés (serveurs et postes d’administration, infrastructure à effet d’amplification comme la télédistribution ou l’Active Directory).

Des approches plus actives (demande de fermeture des sites utilisés pour l’exfiltration, honeypot …) peuvent être envisagées.

Complexifier l’attaque pour en diminuer sa rentabilité

Les attaques ciblées représentent un challenge pour les grandes organisations qui ne sont pas habituées à gérer ce type de crise silencieuse, à grande échelle, mêlant métier et SI et entraînant une perte de confiance dans ce dernier. Leur gestion nécessite de revoir les processus en place mais également de prévoir des actions pour rendre l’attaque plus difficile, faciliter leur détection et renforcer les capacités de réaction.

La mise en place de ces éléments permettra de complexifier les actions de l’attaquant et, à terme, de rendre l’attaque moins rentable ! C’est certainement une des clés de réponse face à ces nouvelles menaces.

Lire la première partie

Pour en savoir plus, lire le focus attaques ciblées, une refonte nécessaire de la gestion de crise.

Cet article Attaques ciblées : comment gérer le risque en amont ? est apparu en premier sur RiskInsight.

La cybercriminalité ne cesse de croître. Les cas concrets se multiplient.

Les retours d’expérience montrent la difficulté à gérer des crises d’un nouveau type. Ces attaques ciblées sont souvent des crises silencieuses qui atteignent directement la confidentialité des données sans remettre en cause le fonctionnement visible du SI. Ces crises sont difficiles à matérialiser, à traiter et finalement à clore de manière définitive.

Comment réagir à ces attaques ? Quelles démarches et organisations doit-on mettre en place pour se préparer au mieux ? Quelles actions de traitements doivent être mises en œuvre ?

Refondre les piliers de la gestion de crise

Une attaque ciblée n’est pas une crise SI mais bien une crise métier

En effet, si cette attaque a lieu c’est pour voler ou altérer des données métiers. Il est donc primordial d’impliquer les métiers et d’identifier les enjeux métiers actuels (contrats importants, fusion / acquisition, R&D…) afin d’anticiper les cibles de l’attaque et d’agir pro-activement. Dans le même esprit, et suivant les contextes, un support auprès d’entités étatiques peut également être recherché. Les équipes SI, malgré leur vigilance, ont un périmètre d’observation trop large pour être attentives sur tous les fronts. Identifier les cibles métiers majeures permettra de focaliser l’attention sur les périmètres sensibles.

Augmenter sa visibilité sur le système d’information

Pour analyser l’attaque et proposer des contre-mesures efficaces, il est nécessaire de détecter et de rapprocher les successions d’incidents unitaires et d’événements suspicieux. Pour cela la mobilisation des équipes d’experts « forensics » est essentielle. Ils seront à même de comprendre le fonctionnement des codes malicieux utilisés pour l’attaque et de pouvoir proposer des plans d’actions techniques pertinents. Ces ressources, encore trop rares aujourd’hui, devront être rapidement mobilisées.

L’utilisation d’outils pour capter les « signaux faibles » (analyses de journaux, sondes réseaux et détection d’intrusion) est également un vrai plus malheureusement encore peu généralisé. Notre retour d’expérience montre qu’il est possible de déployer rapidement ce type d’outil pendant une crise mais il nécessite un degré d’expertise fort pour être efficace.

S’astreindre à prendre du recul face à une multitude d’attaques silencieuses et trompeuses

Il est important de prendre régulièrement du recul, malgré la multitude d’évènements, pour comprendre la finalité de l’attaque, son évolution et définir le mode de réponse. La cellule de pilotage devra donc être séparée des opérations les plus « terrains » pour garder ce recul nécessaire.

Attention également à la logique de diversion, souvent mise en oeuvre par les attaquants (attaque en déni de services, sur d’autres serveurs peu critiques…). Il est conseillé dans ce genre de situation de rester focalisé sur les cibles potentielles définies avec les métiers et vigilants pendant les périodes d’inactivité de l’organisation (HNO, week-end, jours fériés).

Une limite souvent rencontrée dans une telle crise est la mobilisation de trop nombreux acteurs décisionnels au regard d’un faible nombre d’acteurs opérationnels en capacité à réaliser les actions. La longue durée d’une attaque (pouvant s’étaler sur plusieurs mois) nécessite la mise en place d’un rythme de gestion différent d’une crise classique. Une organisation adaptée doit être mise en place dans la durée, en prévoyant des rotations des acteurs impliqués.

Disposer d’un SI de crise parallèle et indépendant

L’expérience montre que les attaquants réussissent souvent à prendre le contrôle de l’Active Directory ou encore de la messagerie. Ils sont alors en mesure « d’écouter » les décisions prises par la cellule de crise et de les anticiper. Pour réagir efficacement durant la crise, il est donc crucial de disposer de postes de travail durcis hors des domaines d’administration classique et d’un service de messagerie spécifique. L’utilisation de services Cloud est possible. Attention cependant, les attaquants ayant pu également compromettre les messageries personnelles de tout ou partie des collaborateurs…

Admettre la perte de confiance dans le SI et la regagner

La découverte d’une intrusion majeure a souvent pour conséquence une perte de confiance en son SI vu le nombre et la criticité des serveurs compromis. Pour reprendre le contrôle de ceux-ci, il est souvent nécessaire de reconstruire des socles sains, et en particulier de réinstaller complètement l’Active Directory. À partir de ces socles sains, il sera alors possible de recréer progressivement des zones de confiance en privilégiant les fonctions les plus sensibles de l’organisation.

Les investissements liés à ces plans de reconstruction peuvent être très lourds (nos retours d’expérience montrent qu’ils dépassent fréquemment la dizaine de millions d’euros) et l’attention ne doit en aucun cas être relâchée dans ces zones assainies pour éviter une nouvelle attaque. Il faudra alors mettre en place tous les processus nécessaires pour garantir leur sécurité (administration sécurisée, analyse des journées, filtrage réseaux, gestion des accès fins…).

À suivre …

Cet article Attaques ciblées : une refonte nécessaire de la gestion de crise est apparu en premier sur RiskInsight.

Tout d’abord, les attaques ne visent plus uniquement les entités gouvernementales ou leurs sous-traitants et leurs fameux « secret défense ». Les entreprises sont aujourd’hui la cible, soit pour les données de leurs clients, soit pour leurs propres données (stratégie, R&D, accords commerciaux…). Le phénomène est mondial et la France est concernée, même si cela est moins visible. Tous les secteurs d’activités sont touchés sans distinction.

Mais au-delà de ce buzz médiatique, que retenir de l’évolution de la sécurité de l’information sur ces 12 derniers mois ? Et que doit répondre le RSSI à sa direction générale qui l’interroge de plus en plus fréquemment sur ces affaires ?

Diffuses, opportunistes ou ciblées : savoir reconnaître les attaques

L’analyse des évènements récents fait ressortir trois différents types d’attaques. La première catégorie, « historique », correspond aux habituelles infections virales ou encore au spam. Il s’agit d’attaques diffuses. Ne visant pas une organisation en particulier, ces attaques vont avoir un effet néfaste sur le SI : déni de service, perte de données utilisateurs…

Ces attaques sont souvent simples à éviter et simples à juguler. Elles ont marqué les entreprises dès les années 2000 pour connaître leur dernière itération majeure avec Conficker en 2008. Celles-ci ne seront pas abordées dans la suite de l’article.

La deuxième catégorie, l’attaque opportuniste, est à but lucratif ou idéologique. Elle vise soit à capturer de l’information facilement monnayable (données des clients, données de cartes bancaires, etc.), soit à avoir un effet médiatique important (déni de service distribué ou defacement de sites web publics, vols de données lambda ensuite publiées sur internet, etc.). Elle ne relève souvent pas d’un haut niveau de technicité et ses auteurs ne cherchent pas à nuire à tout prix à une organisation donnée. Aussi, si l’une est plus sécurisée qu’une autre, ils passeront leur chemin pour se jeter sur la proie la plus facile. Ce scénario est également majoritairement vrai pour les attaques « idéologiques ». Il s’agit pour des groupes comme Lulzsec ou Anonymous de capturer, là où c’est facile, des données perçues comme sensibles et de les rendre publiques. La quasi-totalité de leurs attaques ont été rendues possibles par des manques criants de sécurité et des failles extrêmement simples dans les systèmes des organisations visées.

La troisième catégorie correspond à l’attaque ciblée. Celle-ci vise des informations sensibles et précises dans l’organisation. Ses auteurs sont mandatés pour viser une entité en particulier avec un objectif clair. Ils disposent de temps pour comprendre et analyser l’organisation, préparent des scénarios d’attaques et utilisent tous les moyens à leur disposition, techniques comme humains, internes comme externes, simples comme complexes, afin d’atteindre leur but. Le niveau de technicité et les moyens disponibles s’élèvent drastiquement, tout comme les enjeux. La communauté sécurité évoque ainsi le terme APT ou Advanced Persistent Threat pour décrire ces menaces avancées et persistantes. Google ou RSA en ont été victimes. De nombreux autres cas ont été recensés, y compris en France. Les attaques les plus courantes reposent sur des emails piégés émis à destination de personnes clés (spear-phishing), ou encore des attaques sur des plate-formes externes (site web) permettant ensuite des rebonds multiples sur le réseau interne pour atteindre les données de l’organisation visée.

Après cette entrée en matière, deux autres tribunes vont venir compléter l’analyse.

Tribune n°2

Tribune n°3

Cet article Nouvelles menaces externes et attaques ciblées : quelle stratégie pour le RSSI ? est apparu en premier sur RiskInsight.

Il s’agit ici de situations similaires à celles observées dans le secteur de la défense depuis de nombreuses années. Mais aujourd’hui, les grandes organisations y sont confrontées au quotidien. Pour protéger les données extrêmement sensibles, il leur faut donc mettre en œuvre des moyens avancés, drastiques, similaires à ceux employés dans le secteur de la défense.

Elles devront alors créer un SI dédié, spécialisé, pour gérer le « secret entreprise » analogue au « secret défense ». Et, si aucune mesure de sécurité n’est infaillible, ces éléments permettront d’augmenter la difficulté des attaques et donneront plus de temps pour les détecter et y répondre, le cas échéant. Quatre grands chantiers doivent être envisagés :

 Créer des sanctuaires pour les données sensibles. Basés sur une infrastructure dédiée, ils associent un nombre important et varié de mesures de sécurité : filtrage, chiffrement, isolation interserveurs, authentification forte dédiée, contrôle de conformité… Mais ils disposent également de processus spécifiques de mise en production afin de s’assurer que tout nouveau système est sécurisé. Ces systèmes et leur réseau devront être différents de ceux utilisés dans l’entreprise de manière classique. Ces sanctuaires seront maintenus par des équipes dédiées internes, sans utiliser d’accès distant.

 Spécialiser les terminaux clients. Vecteur d’intrusion classique lors d’attaques ciblées, le poste de travail devra être spécialisé en fonction des usages. Si l’utilisation de postes distincts en fonction des usages est fréquemment rencontrée, elle reste complexe à généraliser. Le recours à de nouveaux OS virtualisés et isolant les machines virtuelles suivant leur sensibilité est une piste à explorer. L’utilisation de solutions de déport d’écran peut être une option temporaire intéressante avant la généralisation d’un poste de travail virtualisé. Les échanges avec la zone sanctuarisée seront bien entendu chiffrés et les postes ne permettront pas de stockage local d’informations très sensibles.

 Sensibiliser et contraindre. Les utilisateurs manipulant les données les plus critiques sont souvent les plus difficiles à convaincre de l’importance de la sécurité. L’utilisation d’exemples concrets et surtout la mise en place d’un mécanisme coercitif en cas d’écarts permettront de diminuer les solutions de contournement. Sur ces périmètres spécifiques, il ne faudra pas tolérer d’écart aux politiques de sécurité, comme cela peut aujourd’hui être le cas, et composer avec les impacts métiers consécutifs.

 Surveiller, réagir et prévoir la reconstruction : L’attaque étant très probable, elle doit pouvoir être détectée et son impact minimisé. Une équipe interne dédiée à la gestion des zones sanctuarisées et à la gestion des incidents et des crises devra être formée. La traçabilité devra être mise en place et suivie avec des moyens importants (H24, temps réel, etc.). De nouvelles générations d’outils devront être testées et déployées en particulier pour détecter les signaux faibles relatifs à la fuite d’information. Ces systèmes seront également d’une aide précieuse pour enquêter sur les fuites de données lors de l’intrusion. D’autre part, des actions de reconstruction devront être imaginées pour pouvoir repartir sur une base saine en cas de succès d’une attaque. L’utilisation du PCA/PCI peut également être envisagée. Tous ces moyens sont contraignants et ont un coût élevé. Ils doivent être limités à un nombre restreint de traitements et de données. C’est le prix à payer pour conserver un niveau de sécurité important. L’armée américaine estime que la sécurisation des projets très sensibles entraîne un surcoût de 20%, du fait des mesures additionnelles, mais aussi de la complexité et des contraintes posées sur le travail au quotidien (cloisonnement de l’information, séparation des équipes, etc.).

Certaines entreprises sont prêtes aujourd’hui à franchir ce pas à la vue des risques encourus. Il s’agit en particulier du secteur de la défense, des sociétés fournissant des systèmes de sécurité, des sociétés où l’innovation est réalisée sur des cycles longs de recherche et de développement. Pour d’autres, la sécurisation ne sera pas acceptable, soit pour des raisons de pratiques internes, soit pour des raisons budgétaires (les coûts dépassant la rentabilité du SI ou bridant la compétitivité). Il faudra alors peut-être décider de réduire le périmètre de protection, et accepter consciemment de potentielles fuites de données qu’il faudra justifier et valider avec le management.

Le rôle du RSSI, entre évaluation des risques et pouvoir de conviction

Il est évident que ces menaces sont amenées à perdurer dans le temps. C’est au RSSI de réaliser  l’évaluation des risques de sa structure face à ces menaces et de convaincre sa direction de l’importance des actions à mener.

Se protéger à tout prix contre les attaques ciblées n’est pas envisageable et n’a pas de sens. Par contre, construire un socle solide résistant aux attaques opportunistes sur lequel viennent se greffer des sanctuaires sécurisés est une orientation à évaluer chez chacun.

Cet article Du « secret défense » au « secret entreprise » : des mesures avancées à déployer pour lutter contre les attaques ciblées est apparu en premier sur RiskInsight.