Cet article revient sur quatre conférences marquantes, mettant en lumière les techniques d’attaque modernes et les approches de défense associées : la recherche de Synacktiv sur l’analyse des GPO, l’évolution des menaces basées sur DCOM, les techniques émergentes de cache smuggling dans les navigateurs, ainsi que l’intérêt des APTs pour les infrastructures industrielles environnementales critiques.

L’événement a également accueilli une compétition CTF du samedi soir au dimanche matin, au cours de laquelle notre équipe YoloSw4g a décroché la 6ᵉ place sur 120 équipes participantes.

Les analyses techniques suivantes mettent en lumière les principaux enseignements de chaque présentation, en soulignant ainsi leurs implications concrètes.

GPO parser (Synacktiv)

Intervenant : Wilfried Bécard

L’équipe de sécurité offensive de Synacktiv a présenté un nouvel outil open source destiné à simplifier une tâche à la fois essentielle et souvent frustrante dans le cadre de compromissions d’Active Directory : l’analyse des Group Policy Objects (GPO).

Les GPO constituent un mécanisme clé utilisé par les organisations pour gérer les configurations sur leurs environnements Windows. Ils permettent d’appliquer des politiques de sécurité, d’exécuter des scripts, d’installer des logiciels, et bien plus, souvent sans que les utilisateurs en aient conscience. Du point de vue d’un attaquant, comprendre la configuration de ces politiques peut fournir des indications précieuses pour l’élévation des privilèges ou la latéralisation. Cependant, l’analyse manuelle des GPO afin d’identifier ces opportunités est chronophage et rarement intuitive.

L’outil développé par Synacktiv va plus loin que les solutions existantes pour le parsing des GPO. Alors que de nombreux outils se concentrent sur les entités pouvant appliquer les politiques (en analysant les ACLs et les objets liés), celui-ci s’intéresse à ce que les politiques font réellement. Il extrait des informations pertinentes telles que les utilisateurs ou groupes ajoutés, les scripts exécutés ou les logiciels déployés sur les machines. Cette vision approfondie permet de détecter des chemins d’attaque plus complexes, souvent invisibles via une simple lecture des ACLs.

L’outil s’intègre également de manière fluide avec BloodHound. En lui fournissant des données GPO enrichies, BloodHound est en mesure d’afficher des scénarios d’élévation de privilèges qui ne seraient pas visibles lors d’une analyse plus basique. Cela permet aux défenseurs, aux red teamers et à toute personne travaillant sur des environnements Active Directory d’avoir une vision plus claire des enchaînements possibles d’actions malveillantes exploitant le comportement des GPO pour accéder à un system ou se déplacer au sein du réseau.

Synacktiv prévoit de publier cet outil prochainement sur leur GitHub. Que votre objectif soit de pentester un domaine ou de le sécuriser, cet outil mérite une attention particulière.

DCOM Turns 20 : retour sur une interface héritée dans le paysage des menaces modernes

Intervenant : Julien Bedel

Architecture DCOM

La conférence « DCOM Turns 20» a proposé une analyse technique des menaces évolutives liées au Component Object Model (COM) et à sa version distribuée (DCOM). Au fil des années, COM est devenu un élément central de l’écosystème Windows, permettant l’interopérabilité entre applications grâce à des identifiants uniques (GUID et ProgID). Cette architecture facilite les interactions entre des programmes écrits dans différents langages (C++, VBS, PowerShell, etc.), mais représente aujourd’hui une surface d’attaque importante, avec plus de 30 000 interfaces accessibles sur un poste de travail sous Windows 11.

Cette richesse fonctionnelle offre aux attaquants diverses possibilités d’accès initial, allant de l’exécution de commandes au téléchargement de fichiers, rendant impossible toute restriction sur les classes COM sans compromettre la stabilité du système.

Les organisations doivent donc s’appuyer sur des mesures compensatoires telles que les politiques AppLocker pour restreindre les chemins exécutables, ainsi que sur des solutions EDR pour détecter les activités suspectes basées sur COM.

Techniques de persistance et de latéralisation

Les attaquants peuvent injecter des clés de registre spécifiques dans HKCU, qui est prioritaire sur HKLM, pour rediriger les appels COM vers des DLL malveillantes. Cette méthode exige une approche avancée : proxifier les fonctions légitimes de la DLL originale et cibler des processus spécifiques (applications Office, navigateurs, clients VPN, solutions EDR) actifs durant la session et en communication régulière avec des réseaux externes. Pour le mouvement latéral, DCOM utilise des AppID pour identifier des groupes de classes COM accessibles à distance.

L’exposition du port 135 (RPC) signale la disponibilité de DCOM, permettant l’usage d’outils comme DcomExec pour exécuter des commandes à distance, notamment via Excel ou d’autres interfaces de la suite Office.

La défense contre ces techniques repose sur la mise en place de pare-feu réseau pour restreindre le trafic RPC, le déploiement de solutions IDS/IPS pour surveiller les communications DCOM suspectes, et une segmentation efficace du réseau afin de limiter les possibilités de pivot pour les attaquants.

Escalade de privilèges et bypass

La conférence a montré que DCOM constitue la base de nombreuses techniques d’élévation de privilèges largement utilisées. Une partie significative de ces exploits est connue sous le nom d’attaques « Potato ». Ces techniques se sont répandues car Microsoft ne les considère pas comme une violation des limites de sécurité, ce qui a permis le développement de nombreuses variantes au fil du temps, malgré quelques correctifs publiés pour des implémentations spécifiques.

La présentation a également illustré comment les interfaces DCOM offrent un panel varié d’outils, permettant aux attaquants d’atteindre divers objectifs via des techniques propres à Windows : des attaques de type relais NTLM contre des utilisateurs RDP, jusqu’aux mécanismes de contournement de l’UAC, mettant en évidence la diversité des vecteurs d’attaque disponibles au sein de l’architecture DCOM de Microsoft.

Pour contrer ces menaces, il est essentiel de mettre en œuvre une stratégie de défense en profondeur, incluant la signature de protocoles, la désactivation de NTLM et l’utilisation de solutions de sécurité telles que les EDR, IDS ou IPS.

Browser Cache Smuggling : le retour du dropper

Intervenant : Aurélien Chalot

La conférence « Browser Cache Smuggling : le retour du dropper » a présenté une approche alternative pour la livraison et l’exécution de malwares dans le cadre d’une mission Red Team. À l’heure où l’analyse des pièces jointes dans les boîtes mail est de plus en plus surveillée par les outils de sécurité, cette technique innovante propose un nouveau vecteur pour déployer une charge utile sur la machine de la victime.

Deux idées clés ont été mises en avant :

• Les navigateurs web mettent en cache certains fichiers pour réduire la consommation de bande passante, ce qui implique que ces fichiers sont téléchargés sur la machine de la victime.
• Des logiciels bien connus tels que Microsoft Teams restent vulnérables au détournement de l’ordre de chargement des DLL (DLL Load Order Hijacking).

L’attaque repose sur la capacité de l’attaquant à inciter la victime à visiter un site web contrôlé sur lequel un objet malveillant est intégré à la page HTML. Comme les navigateurs ne mettent en cache que certains types de fichiers selon leur MIME type, l’attaquant doit forcer le Content-Type du fichier livré à une valeur acceptée par le cache, comme image/jpeg. La charge utile est alors silencieusement enregistrée dans un dossier temporaire sur la machine de la victime qui est accessible en lecture et en écriture par l’utilisateur actuel sur le système.

Une fois le fichier malveillant en place, il faut l’exécuter. La seconde partie de la conférence a démontré comment des logiciels de confiance peuvent être utilisés pour dissimuler du code et du trafic. Une version spécifique de Microsoft Teams a été prise comme exemple : à son lancement, Teams tente de charger plusieurs DLL en suivant l’ordre de recherche défini par Windows. Si certaines DLL sont absentes, Teams finit par chercher dans son propre dossier d’installation qui est également accessible en lecture/écriture par l’utilisateur. L’attaquant peut alors forcer l’utilisateur à déplacer la DLL malveillante depuis le cache du navigateur vers ce dossier, permettant ainsi une exécution discrète via le mécanisme de proxy DLL.

Limites de cette attaque :

• Le dossier de cache peut être scanné par une solution EDR (et pas uniquement Microsoft Defender), ce qui pourrait entraîner la mise en quarantaine du fichier temporaire et lever des alertes.
• Le déplacement du fichier malveillant repose sur l’ingénierie sociale et ne permet pas de compromission sans interaction (0-click).
• Firefox n’est plus le navigateur par défaut dans les entreprises, tandis que Chrome et Edge utilisent des mécanismes de stockage cache plus évolués.

Contremesures proposées :

• Configurer le navigateur pour purger régulièrement les fichiers mis en cache.
• S’assurer que les solutions EDR/antivirus analysent les fichiers temporaires.
• Restreindre la modification du dossier temporaire du navigateur par un utilisateur standard.

Liens vers les articles :

• https://blog.whiteflag.io/blog/browser-cache-smuggling/
• https://blog.whiteflag.io/blog/brower-cache-smuggling-the-return-of-the-dropper/ 

Quand le dérèglement climatique profite aux APTs

Intervenant : Cybelle Oliveira

Cybelle Oliveira a présenté une conférence sur l’évolution de plusieurs groupes APT observés ces dernières années : la spécialisation d’une douzaine d’entre eux dans une forme de « guerre environnementale ». Ces APTs ciblent désormais des infrastructures industrielles environnementales vitales (stations de traitement de l’eau, réseaux électriques, laboratoires de capture du carbone, etc.), en particulier celles destinées à protéger les populations des effets du dérèglement climatique. D’après les chiffres partagés lors de la conférence, une augmentation de 340 % des activités malveillantes visant ces infrastructures a été constatée entre 2022 et 2025. Dans 89 % de ces attaques, des impacts physiques sur les populations ont été relevés.

Pourquoi délaisser les entreprises privées au profit des infrastructures climatiques ? Une des réponses principales est le dérèglement climatique lui-même. Les attaquants semblent en avoir parfaitement saisi les enjeux et en tirer profit. L’instrumentalisation des températures extrêmes, ainsi que la disponibilité d’infrastructures permettant de gérer leurs effets, deviennent des leviers de chantage puissants, les conséquences pouvant affecter des régions entières. Comment un État réagirait-il si des centaines de milliers de citoyens étaient privés de chauffage en hiver ou de ventilation durant des étés de plus en plus chauds ?

Cette tendance croissante est accentuée par le manque de préparation de ces industries face aux menaces cyber avancées. Il est bien connu que les systèmes d’information industriels ne suivent pas les mêmes cycles de vie que l’IT classique : la nécessité d’assurer la disponibilité induit des retards importants dans les mises à jour, et les équipements sont souvent exploités pendant plus d’une décennie. L’obsolescence des équipements et des protocoles utilisés en environnements OT les rend particulièrement vulnérables. À titre d’exemple, le protocole Modbus ; historiquement utilisé dans l’OT et dépourvu de fonctionnalités de sécurité (authentification, vérification d’intégrité, etc.) ; est encore largement présent sur les réseaux, malgré l’apparition de nouveaux protocoles sécurisés comme OPC-UA. Plus inquiétant encore, des milliers de ports Modbus sont exposés sur Internet, constituant des points d’entrée directs dans les réseaux industriels. Cela reflète l’absence d’inventaire et de cartographie des infrastructures climatiques critiques, empêchant les Blue Teams d’identifier efficacement les surfaces d’attaque et de les sécuriser.

En conclusion, le dérèglement climatique et ses effets doivent désormais être intégrés aux travaux de Cyber Threat Intelligence pour mieux anticiper les périodes à risque et les menaces émergentes, puisque les attaquants orientent déjà leurs actions selon ces critères. Accompagner les industriels dans la sécurisation des infrastructures climatiques devient donc une priorité pour protéger les populations et soutenir l’action climatique à l’échelle mondiale.

Cet article LeHack 2025 : ce qu’il faut retenir est apparu en premier sur RiskInsight.

Des attaques dont les objectifs sont souvent difficiles à cerner

L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites.

Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.

Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.

Utiliser les erreurs des attaquants pour mieux les comprendre

Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via BitTorrent en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant oublié de sécuriser ce serveur, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !

Autre exemple, le cas « Red October ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.

Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec la traque de la personne derrière le malware PlugX.

Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d’une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un keylogger sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.

Savoir tirer parti de ces informations pour mieux gérer la crise

Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.

Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager des réponses « actives » à l’attaque. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques

Cet article Cybercriminalité : savoir profiter des erreurs des attaquants est apparu en premier sur RiskInsight.

La cyber-assurance : pour quoi faire ?

Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?

Ainsi, le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.

Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.

La cyber-assurance : pour quels risques ?

Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.

• L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.

Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles  en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.

• L’entreprise étendue, génératrice de nouveaux risques

Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.

• Le développement du e-commerce

De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.

En conclusion : dans quels cas prendre une cyber-assurance ?

En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :

• Elle est susceptible de faire face à une attaque dont certaines conséquences sont facilement mesurables (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.
• Elle dispose d’un SI fortement interconnecté avec l’extérieur. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.
• Elle gère de nombreuses données personnelles. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.
• Elle dispose d’un manque d’expertises sur le sujet de la cybercriminalité et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)

Cet article Cyber-assurance : souscrire ou ne pas souscrire telle est la question ! est apparu en premier sur RiskInsight.

Une situation souvent désastreuse sur le plan de la sécurité de l’information

Les réseaux industriels et leurs composants les plus emblématiques, systèmes SCADA et automate (PLC/API) sont souvent dans des postures de sécurité très faible. Ils ont été construits par des équipes d’automaticiens alors peu confrontés aux problématiques des technologies telles qu’IP ou encore Windows qui ont pourtant depuis envahi les chaînes de production. Nos audits le montrent clairement : en termes d’architecture comme en termes de sécurisation unitaire des composants, beaucoup reste à faire. Avec un problème majeur : des équipements et des protocoles vulnérables « par construction » !

Des solutions d’attentes ont vu le jour

Dans ce contexte, de nombreuses solutions de sécurité ont vu le jour. Elles permettent de compenser une partie des vulnérabilités des systèmes. Nous pouvons en particulier citer les pare-feux industriels, tels ceux conçus par la société Tofino ou encore Industrial Defender. Des solutions plus classiques de sécurité (pare-feu, détection d’intrusion…) peuvent également être utilisées et dans une certaine mesure adaptées aux technologies des réseaux industriels.

Un réveil tardif des constructeurs

Il aura fallu un cas d’attaque de l’ampleur de Stuxnet pour que les constructeurs comprennent les enjeux autour de la sécurité des systèmes industriels. Ce réveil, certes tardif – mais mieux vaut tard que jamais- entraîne aujourd’hui des avancées significatives chez les constructeurs informatiques. On voit ainsi peu à peu apparaître le chiffrement des échanges, la capacité à mettre à jour plus simplement les équipements, des designs types intégrant les exigences sécurité, le durcissement des configurations par défaut…  Il est même question de signatures de code déployé sur les automates !

Quelle stratégie adopter à long terme : protéger ou reconstruire ?

Il s’agit d’un débat qui fait rage actuellement et oppose deux camps aux stratégies différentes. Les partisans de la reconstruction prônent un remplacement volontariste, sur un délai de deux ou trois ans des anciens équipements par des nouveaux, mieux sécurisés. Bien que cela soit possible, la question de l’investissement nécessaire se pose particulièrement en ces temps de crise. En effet, les lignes de production sont souvent conçues pour une durée de vie de 10 à 15 ans ; changer l’ensemble des équipements a un coût non négligeable, à la fois financier mais aussi en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.

D’autres préconisent l’ajout de couches de sécurité additionnelles. Cela n’a cependant jamais été une solution idéale et nécessite également des investissements importants, complexifie les architectures et fait courir de nouveaux risques en particulier sur la disponibilité.

Je reste persuadé que la bonne approche est à trouver dans un compromis entre ces deux solutions. Et en particulier, qu’elle dépend de l’analyse de risques à réaliser sur chacun des systèmes de production concernés. Dans certains cas, un changement pourra être salutaire et permettra une sécurisation au plus près de la production, de manière fiable et pérenne. Dans d’autres cas, l’ajout de mécanismes complémentaires sera suffisant en attendant le renouvellement des systèmes.

Il s’agit donc de prendre le recul nécessaire pour choisir la ou les bonnes solutions  sans oublier que les solutions techniques seules ne font pas tout. Bien souvent dans ces projets, une meilleure gestion des accès, une refonte de l’architecture sur la base des équipements déjà en place, une revue des filtrages en place et surtout une sensibilisation / formation des équipes d’automaticiens apportent beaucoup plus que l’ajout de fonctions de sécurité pure !

Cet article Réseaux industriels : protéger ou reconstruire ? est apparu en premier sur RiskInsight.

Si la gestion de crise lors d’une attaque doit suivre les 4 principes clés évoqués dans notre précédent article, elle doit surtout en intégrer l’anticipation dans ses mécanismes.

Une stratégie à moyen terme basée sur l’anticipation des attaques ciblées

Dès aujourd’hui, il est nécessaire de refondre les processus de gestion de crise. Les scénarios de cybercriminalité doivent être inclus dans les procédures opérationnelles (modalités de réponse, SI spécialisé…). Les relations avec les autorités compétentes doivent être créées ou renforcées dans le but d’accélérer la phase de mobilisation de ces acteurs et de maîtriser les circuits de communication.

Une stratégie de communication claire doit être définie en fonction des acteurs évoluant dans et autour de l’organisation. Les obligations de demain (notification aux clients des fuites de données à caractère personnel…) doivent être anticipées afin de garantir le moment venu un respect des règlementations en vigueur. De ce fait, il ne sera plus possible de garder la confidentialité sur le fait qu’une crise est en cours.

Les attaques ciblées étant souvent constituées d’une somme d’incidents unitaires, il est nécessaire de revoir en parallèle les processus de gestion des incidents pour s’inscrire dans une démarche itérative, garantissant un état de veille constant, une rapidité d’intervention et une prise de recul.

À moyen terme, évaluer son attractivité et connaître ses actifs clés permettent de déterminer les informations attirantes pour des attaquants. Le secteur d’activité et le positionnement sur le marché sont des éléments déterminants. Au-delà de données internes, les relations entretenues avec certains partenaires et / ou clients peuvent augmenter l’attractivité du SI aux yeux d’attaquants. Cette évaluation doit s’inscrire dans une revue régulière des risques avec les métiers.

Enfin, il faut mettre en place des mesures avancées pour permettre une sécurisation renforcée des cibles identifiées avec les métiers en sanctuarisant les périmètres les plus sensibles (applications métiers clés, VIP / COMEX…) mais aussi les systèmes techniques clés (serveurs et postes d’administration, infrastructure à effet d’amplification comme la télédistribution ou l’Active Directory).

Des approches plus actives (demande de fermeture des sites utilisés pour l’exfiltration, honeypot …) peuvent être envisagées.

Complexifier l’attaque pour en diminuer sa rentabilité

Les attaques ciblées représentent un challenge pour les grandes organisations qui ne sont pas habituées à gérer ce type de crise silencieuse, à grande échelle, mêlant métier et SI et entraînant une perte de confiance dans ce dernier. Leur gestion nécessite de revoir les processus en place mais également de prévoir des actions pour rendre l’attaque plus difficile, faciliter leur détection et renforcer les capacités de réaction.

La mise en place de ces éléments permettra de complexifier les actions de l’attaquant et, à terme, de rendre l’attaque moins rentable ! C’est certainement une des clés de réponse face à ces nouvelles menaces.

Lire la première partie

Pour en savoir plus, lire le focus attaques ciblées, une refonte nécessaire de la gestion de crise.

Cet article Attaques ciblées : comment gérer le risque en amont ? est apparu en premier sur RiskInsight.

La cybercriminalité ne cesse de croître. Les cas concrets se multiplient.

Les retours d’expérience montrent la difficulté à gérer des crises d’un nouveau type. Ces attaques ciblées sont souvent des crises silencieuses qui atteignent directement la confidentialité des données sans remettre en cause le fonctionnement visible du SI. Ces crises sont difficiles à matérialiser, à traiter et finalement à clore de manière définitive.

Comment réagir à ces attaques ? Quelles démarches et organisations doit-on mettre en place pour se préparer au mieux ? Quelles actions de traitements doivent être mises en œuvre ?

Refondre les piliers de la gestion de crise

Une attaque ciblée n’est pas une crise SI mais bien une crise métier

En effet, si cette attaque a lieu c’est pour voler ou altérer des données métiers. Il est donc primordial d’impliquer les métiers et d’identifier les enjeux métiers actuels (contrats importants, fusion / acquisition, R&D…) afin d’anticiper les cibles de l’attaque et d’agir pro-activement. Dans le même esprit, et suivant les contextes, un support auprès d’entités étatiques peut également être recherché. Les équipes SI, malgré leur vigilance, ont un périmètre d’observation trop large pour être attentives sur tous les fronts. Identifier les cibles métiers majeures permettra de focaliser l’attention sur les périmètres sensibles.

Augmenter sa visibilité sur le système d’information

Pour analyser l’attaque et proposer des contre-mesures efficaces, il est nécessaire de détecter et de rapprocher les successions d’incidents unitaires et d’événements suspicieux. Pour cela la mobilisation des équipes d’experts « forensics » est essentielle. Ils seront à même de comprendre le fonctionnement des codes malicieux utilisés pour l’attaque et de pouvoir proposer des plans d’actions techniques pertinents. Ces ressources, encore trop rares aujourd’hui, devront être rapidement mobilisées.

L’utilisation d’outils pour capter les « signaux faibles » (analyses de journaux, sondes réseaux et détection d’intrusion) est également un vrai plus malheureusement encore peu généralisé. Notre retour d’expérience montre qu’il est possible de déployer rapidement ce type d’outil pendant une crise mais il nécessite un degré d’expertise fort pour être efficace.

S’astreindre à prendre du recul face à une multitude d’attaques silencieuses et trompeuses

Il est important de prendre régulièrement du recul, malgré la multitude d’évènements, pour comprendre la finalité de l’attaque, son évolution et définir le mode de réponse. La cellule de pilotage devra donc être séparée des opérations les plus « terrains » pour garder ce recul nécessaire.

Attention également à la logique de diversion, souvent mise en oeuvre par les attaquants (attaque en déni de services, sur d’autres serveurs peu critiques…). Il est conseillé dans ce genre de situation de rester focalisé sur les cibles potentielles définies avec les métiers et vigilants pendant les périodes d’inactivité de l’organisation (HNO, week-end, jours fériés).

Une limite souvent rencontrée dans une telle crise est la mobilisation de trop nombreux acteurs décisionnels au regard d’un faible nombre d’acteurs opérationnels en capacité à réaliser les actions. La longue durée d’une attaque (pouvant s’étaler sur plusieurs mois) nécessite la mise en place d’un rythme de gestion différent d’une crise classique. Une organisation adaptée doit être mise en place dans la durée, en prévoyant des rotations des acteurs impliqués.

Disposer d’un SI de crise parallèle et indépendant

L’expérience montre que les attaquants réussissent souvent à prendre le contrôle de l’Active Directory ou encore de la messagerie. Ils sont alors en mesure « d’écouter » les décisions prises par la cellule de crise et de les anticiper. Pour réagir efficacement durant la crise, il est donc crucial de disposer de postes de travail durcis hors des domaines d’administration classique et d’un service de messagerie spécifique. L’utilisation de services Cloud est possible. Attention cependant, les attaquants ayant pu également compromettre les messageries personnelles de tout ou partie des collaborateurs…

Admettre la perte de confiance dans le SI et la regagner

La découverte d’une intrusion majeure a souvent pour conséquence une perte de confiance en son SI vu le nombre et la criticité des serveurs compromis. Pour reprendre le contrôle de ceux-ci, il est souvent nécessaire de reconstruire des socles sains, et en particulier de réinstaller complètement l’Active Directory. À partir de ces socles sains, il sera alors possible de recréer progressivement des zones de confiance en privilégiant les fonctions les plus sensibles de l’organisation.

Les investissements liés à ces plans de reconstruction peuvent être très lourds (nos retours d’expérience montrent qu’ils dépassent fréquemment la dizaine de millions d’euros) et l’attention ne doit en aucun cas être relâchée dans ces zones assainies pour éviter une nouvelle attaque. Il faudra alors mettre en place tous les processus nécessaires pour garantir leur sécurité (administration sécurisée, analyse des journées, filtrage réseaux, gestion des accès fins…).

À suivre …

Cet article Attaques ciblées : une refonte nécessaire de la gestion de crise est apparu en premier sur RiskInsight.

Tout d’abord, les attaques ne visent plus uniquement les entités gouvernementales ou leurs sous-traitants et leurs fameux « secret défense ». Les entreprises sont aujourd’hui la cible, soit pour les données de leurs clients, soit pour leurs propres données (stratégie, R&D, accords commerciaux…). Le phénomène est mondial et la France est concernée, même si cela est moins visible. Tous les secteurs d’activités sont touchés sans distinction.

Mais au-delà de ce buzz médiatique, que retenir de l’évolution de la sécurité de l’information sur ces 12 derniers mois ? Et que doit répondre le RSSI à sa direction générale qui l’interroge de plus en plus fréquemment sur ces affaires ?

Diffuses, opportunistes ou ciblées : savoir reconnaître les attaques

L’analyse des évènements récents fait ressortir trois différents types d’attaques. La première catégorie, « historique », correspond aux habituelles infections virales ou encore au spam. Il s’agit d’attaques diffuses. Ne visant pas une organisation en particulier, ces attaques vont avoir un effet néfaste sur le SI : déni de service, perte de données utilisateurs…

Ces attaques sont souvent simples à éviter et simples à juguler. Elles ont marqué les entreprises dès les années 2000 pour connaître leur dernière itération majeure avec Conficker en 2008. Celles-ci ne seront pas abordées dans la suite de l’article.

La deuxième catégorie, l’attaque opportuniste, est à but lucratif ou idéologique. Elle vise soit à capturer de l’information facilement monnayable (données des clients, données de cartes bancaires, etc.), soit à avoir un effet médiatique important (déni de service distribué ou defacement de sites web publics, vols de données lambda ensuite publiées sur internet, etc.). Elle ne relève souvent pas d’un haut niveau de technicité et ses auteurs ne cherchent pas à nuire à tout prix à une organisation donnée. Aussi, si l’une est plus sécurisée qu’une autre, ils passeront leur chemin pour se jeter sur la proie la plus facile. Ce scénario est également majoritairement vrai pour les attaques « idéologiques ». Il s’agit pour des groupes comme Lulzsec ou Anonymous de capturer, là où c’est facile, des données perçues comme sensibles et de les rendre publiques. La quasi-totalité de leurs attaques ont été rendues possibles par des manques criants de sécurité et des failles extrêmement simples dans les systèmes des organisations visées.

La troisième catégorie correspond à l’attaque ciblée. Celle-ci vise des informations sensibles et précises dans l’organisation. Ses auteurs sont mandatés pour viser une entité en particulier avec un objectif clair. Ils disposent de temps pour comprendre et analyser l’organisation, préparent des scénarios d’attaques et utilisent tous les moyens à leur disposition, techniques comme humains, internes comme externes, simples comme complexes, afin d’atteindre leur but. Le niveau de technicité et les moyens disponibles s’élèvent drastiquement, tout comme les enjeux. La communauté sécurité évoque ainsi le terme APT ou Advanced Persistent Threat pour décrire ces menaces avancées et persistantes. Google ou RSA en ont été victimes. De nombreux autres cas ont été recensés, y compris en France. Les attaques les plus courantes reposent sur des emails piégés émis à destination de personnes clés (spear-phishing), ou encore des attaques sur des plate-formes externes (site web) permettant ensuite des rebonds multiples sur le réseau interne pour atteindre les données de l’organisation visée.

Après cette entrée en matière, deux autres tribunes vont venir compléter l’analyse.

Tribune n°2

Tribune n°3

Cet article Nouvelles menaces externes et attaques ciblées : quelle stratégie pour le RSSI ? est apparu en premier sur RiskInsight.

Il s’agit ici de situations similaires à celles observées dans le secteur de la défense depuis de nombreuses années. Mais aujourd’hui, les grandes organisations y sont confrontées au quotidien. Pour protéger les données extrêmement sensibles, il leur faut donc mettre en œuvre des moyens avancés, drastiques, similaires à ceux employés dans le secteur de la défense.

Elles devront alors créer un SI dédié, spécialisé, pour gérer le « secret entreprise » analogue au « secret défense ». Et, si aucune mesure de sécurité n’est infaillible, ces éléments permettront d’augmenter la difficulté des attaques et donneront plus de temps pour les détecter et y répondre, le cas échéant. Quatre grands chantiers doivent être envisagés :

 Créer des sanctuaires pour les données sensibles. Basés sur une infrastructure dédiée, ils associent un nombre important et varié de mesures de sécurité : filtrage, chiffrement, isolation interserveurs, authentification forte dédiée, contrôle de conformité… Mais ils disposent également de processus spécifiques de mise en production afin de s’assurer que tout nouveau système est sécurisé. Ces systèmes et leur réseau devront être différents de ceux utilisés dans l’entreprise de manière classique. Ces sanctuaires seront maintenus par des équipes dédiées internes, sans utiliser d’accès distant.

 Spécialiser les terminaux clients. Vecteur d’intrusion classique lors d’attaques ciblées, le poste de travail devra être spécialisé en fonction des usages. Si l’utilisation de postes distincts en fonction des usages est fréquemment rencontrée, elle reste complexe à généraliser. Le recours à de nouveaux OS virtualisés et isolant les machines virtuelles suivant leur sensibilité est une piste à explorer. L’utilisation de solutions de déport d’écran peut être une option temporaire intéressante avant la généralisation d’un poste de travail virtualisé. Les échanges avec la zone sanctuarisée seront bien entendu chiffrés et les postes ne permettront pas de stockage local d’informations très sensibles.

 Sensibiliser et contraindre. Les utilisateurs manipulant les données les plus critiques sont souvent les plus difficiles à convaincre de l’importance de la sécurité. L’utilisation d’exemples concrets et surtout la mise en place d’un mécanisme coercitif en cas d’écarts permettront de diminuer les solutions de contournement. Sur ces périmètres spécifiques, il ne faudra pas tolérer d’écart aux politiques de sécurité, comme cela peut aujourd’hui être le cas, et composer avec les impacts métiers consécutifs.

 Surveiller, réagir et prévoir la reconstruction : L’attaque étant très probable, elle doit pouvoir être détectée et son impact minimisé. Une équipe interne dédiée à la gestion des zones sanctuarisées et à la gestion des incidents et des crises devra être formée. La traçabilité devra être mise en place et suivie avec des moyens importants (H24, temps réel, etc.). De nouvelles générations d’outils devront être testées et déployées en particulier pour détecter les signaux faibles relatifs à la fuite d’information. Ces systèmes seront également d’une aide précieuse pour enquêter sur les fuites de données lors de l’intrusion. D’autre part, des actions de reconstruction devront être imaginées pour pouvoir repartir sur une base saine en cas de succès d’une attaque. L’utilisation du PCA/PCI peut également être envisagée. Tous ces moyens sont contraignants et ont un coût élevé. Ils doivent être limités à un nombre restreint de traitements et de données. C’est le prix à payer pour conserver un niveau de sécurité important. L’armée américaine estime que la sécurisation des projets très sensibles entraîne un surcoût de 20%, du fait des mesures additionnelles, mais aussi de la complexité et des contraintes posées sur le travail au quotidien (cloisonnement de l’information, séparation des équipes, etc.).

Certaines entreprises sont prêtes aujourd’hui à franchir ce pas à la vue des risques encourus. Il s’agit en particulier du secteur de la défense, des sociétés fournissant des systèmes de sécurité, des sociétés où l’innovation est réalisée sur des cycles longs de recherche et de développement. Pour d’autres, la sécurisation ne sera pas acceptable, soit pour des raisons de pratiques internes, soit pour des raisons budgétaires (les coûts dépassant la rentabilité du SI ou bridant la compétitivité). Il faudra alors peut-être décider de réduire le périmètre de protection, et accepter consciemment de potentielles fuites de données qu’il faudra justifier et valider avec le management.

Le rôle du RSSI, entre évaluation des risques et pouvoir de conviction

Il est évident que ces menaces sont amenées à perdurer dans le temps. C’est au RSSI de réaliser  l’évaluation des risques de sa structure face à ces menaces et de convaincre sa direction de l’importance des actions à mener.

Se protéger à tout prix contre les attaques ciblées n’est pas envisageable et n’a pas de sens. Par contre, construire un socle solide résistant aux attaques opportunistes sur lequel viennent se greffer des sanctuaires sécurisés est une orientation à évaluer chez chacun.

Cet article Du « secret défense » au « secret entreprise » : des mesures avancées à déployer pour lutter contre les attaques ciblées est apparu en premier sur RiskInsight.