<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>protection - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/tag/protection/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/tag/protection/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Wed, 15 Oct 2025 08:15:05 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>protection - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/tag/protection/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>SharePoint &#038; App Registrations : Vecteur de compromission du SI et RETEX Red Team</title>
		<link>https://www.riskinsight-wavestone.com/2025/10/sharepoint-app-registrations-vecteur-de-compromission-du-si-et-retex-red-team/</link>
					<comments>https://www.riskinsight-wavestone.com/2025/10/sharepoint-app-registrations-vecteur-de-compromission-du-si-et-retex-red-team/#respond</comments>
		
		<dc:creator><![CDATA[Nathan HAMARD]]></dc:creator>
		<pubDate>Wed, 15 Oct 2025 08:15:00 +0000</pubDate>
				<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[App Registrations]]></category>
		<category><![CDATA[compromission]]></category>
		<category><![CDATA[Cybersécurité]]></category>
		<category><![CDATA[cybersecurity]]></category>
		<category><![CDATA[Detection]]></category>
		<category><![CDATA[Elevation des privileges]]></category>
		<category><![CDATA[EntraID]]></category>
		<category><![CDATA[Microsoft]]></category>
		<category><![CDATA[protection]]></category>
		<category><![CDATA[red team]]></category>
		<category><![CDATA[RETEX]]></category>
		<category><![CDATA[RETEX Red Team]]></category>
		<category><![CDATA[Sharepoint]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=27926</guid>

					<description><![CDATA[<p>Alors que les environnements Active Directory on-premise se renforcent face aux menaces (modèle en tiers, segmentation réseau, bastions d&#8217;administration, durcissement des contrôleurs de domaine), une nouvelle composante est aujourd’hui exploitée par les attaquants pour compromettre leurs cibles&#160;: les ressources cloud,...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2025/10/sharepoint-app-registrations-vecteur-de-compromission-du-si-et-retex-red-team/">SharePoint &amp; App Registrations : Vecteur de compromission du SI et RETEX Red Team</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;">Alors que les environnements Active Directory on-premise se renforcent face aux menaces (modèle en tiers, segmentation réseau, bastions d&rsquo;administration, durcissement des contrôleurs de domaine), une nouvelle composante est aujourd’hui exploitée par les attaquants pour compromettre leurs cibles&nbsp;: les ressources cloud, et notamment les <em>App Registrations</em> associées aux services Microsoft 365.</p>
<p style="text-align: justify;">Par défaut sous-estimées par les équipes techniques internes et de défense, souvent sur-privilégiées, les <em>App registrations</em> peuvent permettre des pivots puissants suite à la compromission de l’environnement cloud.</p>
<p style="text-align: justify;">Parmi les services les plus exposés, <em>Microsoft SharePoint</em> se distingue. Présent sur la majorité des tenants M365, souvent configuré de manière permissive, il offre un <strong>accès aux fichiers de l’entreprise via SharePoint et des collaborateurs au travers de OneDrive</strong>.</p>
<p style="text-align: justify;">Cet article revient sur plusieurs constats observés en opération Red Team&nbsp;: comment une simple<em> App Registration</em>, liée de près ou de loin à SharePoint, peut offrir un accès élargi à votre SI on-premise, et comment l’exploitation de ce maillon faible permet parfois de faire de votre segmentation en Tiers une simple formalité pour l&rsquo;attaquant.</p>
<p style="text-align: justify;">&nbsp;</p>
<h2 class="Title2" style="text-align: justify;"><span lang="FR">Introduction aux App Registrations</span></h2>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">Dans Microsoft Azure, l’enregistrement d’une application (<em>App Registration</em>) dans Entra ID permet de créer une identité pour cette application, ainsi qu’une <em>Enterprise Application</em> associée. L’<em>App Registration</em> définit l’application (identifiants, clés, permissions), tandis que l’<em>Enterprise Application</em> représente son instance dans le tenant, sur laquelle sont appliquées les politiques d’accès (comme l’authentification conditionnelle portée par les politiques d’accès conditionnels ou les rôles attribués).</p>
<p style="text-align: justify;">Une <em>App Registration</em> contient les informations requises pour s’authentifier auprès d’Entra ID et obtenir des jetons d’accès pour interagir avec des services Microsoft 365 via des API comme Microsoft Graph. Selon les permissions qui lui sont accordées (déléguées (scopes) ou applicatives (rôles)) elle peut lire ou modifier des ressources telles que des mails, des fichiers, des utilisateurs ou des groupes tant que l’<em>Enterprise Application</em> est instanciée dans le tenant.</p>
<p style="text-align: justify;">&nbsp;</p>
<figure id="attachment_27932" aria-describedby="caption-attachment-27932" style="width: 1527px" class="wp-caption aligncenter"><img fetchpriority="high" decoding="async" class="wp-image-27932 " src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/1.png" alt="App Registration dans EntraID" width="1527" height="796" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/1.png 1452w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/1-366x191.png 366w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/1-71x37.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/1-768x400.png 768w" sizes="(max-width: 1527px) 100vw, 1527px" /><figcaption id="caption-attachment-27932" class="wp-caption-text"><em>App Registration dans EntraID</em></figcaption></figure>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">Généralement utilisées pour enregistrer une application visant à automatiser des processus métiers (gestion des utilisateurs, nettoyage de fichiers SharePoint, supervision de l’activité O365…), elles constituent une <strong>surface peu surveillée</strong>, mais à fort impact.</p>
<p style="text-align: justify;">En effet, les secrets des <em>App Registrations</em> (certificats, client secrets) sont souvent stockés de manière non sécurisée (dans des dépôts de code, postes de travails, serveurs). Ces secrets permettent de personnifier une application avec des privilèges potentiellement élevés (listés dans l’<em>App Registration</em>) entraînant une<strong> persistance discrète sur les ressources de l’entreprise.</strong></p>
<p style="text-align: justify;">Pour un attaquant, compromettre une <em>App Registration</em> revient à <strong>s’approprier une identité applicative EntraID disposant d’un accès direct à certaines données de l&rsquo;entreprise</strong>, sans nécessiter de rebond par des comptes utilisateurs interactifs ni MFA. Alors que les sécurités se multiplient autour des comptes utilisateurs (MFA obligatoire, accès conditionnel imposant une adresse IP ou un appareil de confiance), il est souvent constaté que celles-ci ne sont pas encore appliquées aux applications.</p>
<p style="text-align: justify;">&nbsp;</p>
<h3 class="Title3" style="text-align: justify;"><span lang="FR">Se connecter en tant qu&rsquo;une App Registration</span></h3>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">Les <strong>applications Azure</strong> peuvent s’authentifier auprès d’Entra ID à l’aide de secrets d’application générés dans <strong>l’App registration</strong> associée&nbsp;:</p>
<ul style="text-align: justify;">
<li>
<p><em><span style="text-decoration: underline;">AppId + App Secret</span>: </em>Ce moyen d’authentification, équivalent à l’usage d’un nom d’utilisateur et d’un mot de passe est soumis aux mêmes limitations&nbsp;: il est <strong>compliqué d’assurer leur protection</strong> car ils peuvent facilement se retrouver stockés de manière non sécurisée, exposés dans les historiques de commandes, etc…</p>
</li>
<li>
<p><em><span style="text-decoration: underline;">AppId + Certificat</span>: </em>Cette méthode de connexion est davantage sécurisée, puisque les solutions de sécurité installées sur les machines protègent de manière efficace les certificats installés. Néanmoins, celle-ci est généralement moins utilisée en raison des contraintes d&rsquo;utilisation qu&rsquo;elle implique, telle que l&rsquo;installation du certificat sur chaque machine nécessitant l&rsquo;utilisation du compte.</p>
</li>
</ul>
<p style="text-align: justify;">&nbsp;</p>
<figure id="attachment_27934" aria-describedby="caption-attachment-27934" style="width: 1480px" class="wp-caption aligncenter"><img decoding="async" class=" wp-image-27934" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/2-437x160.png" alt="Certificats et secrets de l'App Registration" width="1480" height="542" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/2-437x160.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/2-71x26.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/2-768x281.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/2-1536x563.png 1536w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/2.png 1801w" sizes="(max-width: 1480px) 100vw, 1480px" /><figcaption id="caption-attachment-27934" class="wp-caption-text"><em>Certificats et secrets de l&rsquo;App Registration</em></figcaption></figure>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">Les identifiants et secrets d&rsquo;une application lui permettent de récupérer un jeton d’accès <em>OAuth2</em>, afin de s’authentifier et d’appeler des API Microsoft (Graph, SharePoint, Exchange, etc.) qu&rsquo;elle est autorisée à contacter. Ce mode de connexion est généralement difficile à détecter si les journaux d’accès ne sont pas activés ni supervisés.</p>
<p style="text-align: justify;">&nbsp;</p>
<h3 class="Title3" style="text-align: justify;"><span lang="FR">Les droits d&rsquo;une App Registration</span></h3>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">Chaque <em>App Registration</em> définit les <strong>permissions API associées à l’application enregistrée</strong>. Elles sont décrites sous forme de rôles ou de scopes, sur différents services Microsoft. A titre d’exemples, ces autorisations d’application peuvent permettre de&nbsp;:</p>
<ul style="text-align: justify;">
<li>Lire ou modifier des profils utilisateurs (<em>User.ReadWrite.All</em>)&nbsp;;</li>
<li>Gérer des objets dans l’annuaire Entra ID (<em>Directory.ReadWrite.All</em>)&nbsp;;</li>
<li>Lire, écrire ou supprimer des fichiers SharePoint ou OneDrive (<em>Files.ReadWrite.All</em>)&nbsp;;</li>
<li>Lire ou écrire des mails dans toutes les boîtes mails (<em>Mail.ReadWrite</em>)&nbsp;;</li>
<li>Etc.</li>
</ul>
<p style="text-align: justify;">Lors des audits, il est constaté que ces droits sont <strong>souvent surdimensionnés</strong> par rapport aux besoins réels des applications. Ils peuvent ainsi offrir à un attaquant un <strong>levier d’élévation de privilèges majeur</strong> s’ils sont récupérés.</p>
<p style="text-align: justify;">D’autre part, un attaquant peut <strong>identifier les droits d’une application au travers de l’</strong><em>App Registration</em><strong> associée et compromise</strong> en s’authentifiant via l’URL <a href="https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"><span style="color: #000080;">https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token</span></a><span style="color: #000080;">&nbsp;</span>:</p>
<p style="text-align: justify;">&nbsp;</p>
<figure id="attachment_27936" aria-describedby="caption-attachment-27936" style="width: 1423px" class="wp-caption aligncenter"><img decoding="async" class=" wp-image-27936" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/3-437x128.png" alt="Récupération d’un jeton d’accès à l’API Microsoft Graph" width="1423" height="417" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/3-437x128.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/3-71x21.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/3-768x225.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/3-1536x451.png 1536w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/3.png 1667w" sizes="(max-width: 1423px) 100vw, 1423px" /><figcaption id="caption-attachment-27936" class="wp-caption-text"><em>Récupération d’un jeton d’accès à l’API Microsoft Graph</em></figcaption></figure>
<p style="text-align: justify;">&nbsp;</p>
<p style="text-align: justify;">Le jeton d’accès obtenu est au format <em>base64</em>, et les droits définis par l’App Registration y sont présents&nbsp;:</p>
<p style="text-align: justify;">&nbsp;</p>
<figure id="attachment_27997" aria-describedby="caption-attachment-27997" style="width: 720px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27997 " src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/4.png" alt="Récupération des droits de l’App Registration compromiseRécupération des droits de l’App Registration compromise" width="720" height="602" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/4.png 1035w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/4-229x191.png 229w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/4-47x39.png 47w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/4-768x642.png 768w" sizes="auto, (max-width: 720px) 100vw, 720px" /><figcaption id="caption-attachment-27997" class="wp-caption-text"><em>Récupération des droits de l’App Registration compromiseRécupération des droits de l’App Registration compromise</em></figcaption></figure>
<p style="text-align: justify;">&nbsp;</p>



<h2 style="text-align: justify;">Compromission d&rsquo;App Registrations en opération Red Team</h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Dans le cadre d&rsquo;une attaque, il est très fréquent que la compromission s&rsquo;opère de manière progressive.</p>
<p style="text-align: justify;">Généralement, un premier serveur est compromis, puis un second, etc. jusqu&rsquo;à atteindre des composants plus critiques de l&rsquo;infrastructure ou des utilisateurs davantage privilégiés : accès initial, élévation de privilèges, latéralisation, et ainsi de suite.</p>
<p style="text-align: justify;">Ces dernières années, l&rsquo;implémentation du modèle en Tiers (Tier-0, Tier-1 et Tier-2) au sein des infrastructures Active Directory s&rsquo;est généralisée, avec par la même occasion une augmentation du niveau de sécurité des SI on-premise. Un nouveau facteur s’est également ajouté avec le développement des agents EDR : la détection !</p>
<p style="text-align: justify;">Dorénavant au sein d&rsquo;environnements matures, il est plus difficile de compromettre le Tier-0 (contrôleur de domaine, PKI, etc.) par la simple compromission d&rsquo;un serveur Tier-1, le tout sans se faire détecter par la Blue Team, l’équipe de défense.</p>
<p style="text-align: justify;">Toutefois, au cours de plusieurs opérations au sein d&rsquo;environnement très variés, SharePoint s&rsquo;est présenté comme un vecteur d&rsquo;élévation de privilèges redoutable, et où <strong>aucune détection</strong> n&rsquo;a été remontée côté Blue Team.</p>
<p style="text-align: justify;">Plusieurs retours d&rsquo;expériences d&rsquo;opérations Red Team illustrant ce propos sont partagés ci-dessous.</p>
<p style="text-align: justify;"> </p>
<h3 style="text-align: justify;">Cas n°1 : Administrateur Tier-2 d&rsquo;un sous-domaine vers la compromission de la forêt Active Directory</h3>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Ce cas illustre une opération pour un client international dont le SI se compose de plusieurs milliers de serveurs, qu&rsquo;il s&rsquo;agisse de serveurs applicatifs et métiers, industriels, d&rsquo;infrastructure, etc. La compromission d&rsquo;un premier serveur a engendré la <strong>compromission de comptes administrateurs Tier-1 puis Tier-2</strong>.</p>
<p style="text-align: justify;">Dès l’obtention de privilèges d’administration acquis sur des postes de travail (Tier-2), une phase de collecte ciblée s&rsquo;est amorcée dans le but d’identifier des secrets applicatifs.</p>
<p style="text-align: justify;">Sur plusieurs postes d’utilisateurs à profil technique (équipes DevOps, Cloud, etc.), des scripts PowerShell sont découverts. Certains contiennent des <strong>identifiants liés à des App Registrations</strong>, avec un <em>AppId</em>, un <em>AppSecret</em>, ainsi que l&rsquo;identifiant du tenant Azure auquel ils sont associés :</p>
<p style="text-align: justify;"> </p>
<figure id="attachment_27940" aria-describedby="caption-attachment-27940" style="width: 1570px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27940 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/5.png" alt="Script PowerShell contenant les identifiants de l'App Registration" width="1570" height="1066" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/5.png 1570w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/5-281x191.png 281w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/5-57x39.png 57w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/5-768x521.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/5-1536x1043.png 1536w" sizes="auto, (max-width: 1570px) 100vw, 1570px" /><figcaption id="caption-attachment-27940" class="wp-caption-text"><em>Script PowerShell contenant les identifiants de l&rsquo;App Registration</em></figcaption></figure>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">L’exploitation de ces secrets permet à l’attaquant de <strong>se connecter directement à la </strong><em>Microsoft Graph API</em>, avec les autorisations déjà consenties définies dans l’<em>App Registration</em> compromise.</p>
<p style="text-align: justify;">L’<em>App Registration</em> identifiée dans ce contexte contient des droits d’application étendus sur O365, notamment :</p>
<ul style="text-align: justify;">
<li><em>User.ReadWrite.All</em>: Lire et modifier tous les profils utilisateurs.</li>
<li><em>Directory.Read.All</em>: Lire les données du répertoire.</li>
<li><em>Directory.ReadWrite.All</em>: Lire et écrire les données du répertoire.</li>
<li><em>Group.ReadWrite.All</em>: Lire et écrire toutes les informations des groupes.</li>
<li><span style="color: #ff0000;"><em>Files.ReadWrite.All</em>:</span> Lire et écrire tous les fichiers.</li>
<li><em>Mail.ReadWrite</em>: Lire, créer, supprimer des mails en toutes les boîtes mails.</li>
<li><em>Calendars.ReadWrite</em>: Lire et écrire tous les calendriers.</li>
<li><em>Contacts.ReadWrite</em>: Lire et écrire tous les contacts.</li>
<li><em>Tasks.ReadWrite</em>: Lire et écrire toutes les tâches.</li>
</ul>
<p style="text-align: justify;">Parmi cet ensemble de permissions d’application, le droit <em>Files.ReadWrite.All</em> s’avère <strong>particulièrement critique et intéressant pour un attaquant</strong>, autorisant un accès complet à tous les fichiers stockés sur <em>SharePoint</em> et <em>OneDrive</em>.</p>
<p style="text-align: justify;"><em><strong><span style="text-decoration: underline;">Note :</span></strong> Ces permissions peuvent être « déléguées » et dans ce cas ne s’appliquent que dans le contexte de ce que peut faire l’utilisateur.</em></p>
<p style="text-align: justify;">Un script PowerShell a été développé par l&rsquo;équipe Red Team Wavestone <span style="color: #000080;">(<a style="color: #000080;" href="https://github.com/Ethical-Kaizoku/SharePwned">SharePwned</a>)</span> afin d&rsquo;effectuer des recherches sur SharePoint et OneDrive basées sur des mots-clefs, et télécharger les fichiers souhaités.</p>
<p style="text-align: justify;">Par le biais de ce script et via une <strong>recherche sur le nom de domaine de la forêt d&rsquo;administration Active Directory</strong> (<em>admin.xx.xxxx.net</em>), plusieurs fichiers ont été identifiés au sein d&rsquo;espaces OneDrive d&rsquo;utilisateurs, puis téléchargés :</p>
<p style="text-align: justify;"> </p>
<figure id="attachment_27942" aria-describedby="caption-attachment-27942" style="width: 1988px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27942 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/6-FR.png" alt="Identification dans OneDrive de fichiers contenant des secrets" width="1988" height="361" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/6-FR.png 1988w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/6-FR-437x79.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/6-FR-71x13.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/6-FR-768x139.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/6-FR-1536x279.png 1536w" sizes="auto, (max-width: 1988px) 100vw, 1988px" /><figcaption id="caption-attachment-27942" class="wp-caption-text"><em>Identification dans OneDrive de fichiers contenant des secrets</em></figcaption></figure>
<p style="text-align: justify;"> </p>
<figure id="attachment_27944" aria-describedby="caption-attachment-27944" style="width: 635px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27944 " src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/7.png" alt="Récupération de comptes sur la forêt d’administration AD" width="635" height="414" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/7.png 1398w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/7-293x191.png 293w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/7-60x39.png 60w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/7-768x500.png 768w" sizes="auto, (max-width: 635px) 100vw, 635px" /><figcaption id="caption-attachment-27944" class="wp-caption-text"><em>Récupération de comptes sur la forêt d’administration AD</em></figcaption></figure>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Ces fichiers, stockés sur l&rsquo;espace OneDrive d&rsquo;utilisateurs à privilèges, permettent d&rsquo;identifier les <strong>serveurs de rebond utilisés pour accéder à la forêt Active Directory d&rsquo;administration du SI</strong>.</p>
<p style="text-align: justify;">Le <strong>stockage non sécurisé des secrets</strong> sur les postes de travail et espaces Cloud représente une faille de sécurité majeure. Pour autant, l&rsquo;absence de sécurité et de supervision autour de cette <em>App Registration</em> liée à d’importants privilèges représente une vulnérabilité critique dès lors qu’une <em>Enterprise Application</em> associée est instanciée dans le tenant.</p>
<p style="text-align: justify;">Dans le cas présent, la compromission du Tier-2, puis l&rsquo;accès en lecture aux fichiers stockés sur les espaces OneDrive des collaborateurs a permis d&rsquo;<strong>identifier rapidement les secrets et rebonds réseaux nécessaires à la compromission du Tier-0 de l&rsquo;entreprise</strong>.</p>
<p style="text-align: justify;"> </p>
<h3 style="text-align: justify;">Cas n°2 : Accès distant au réseau d&rsquo;entreprise du Groupe à partir de la compromission d&rsquo;une filiale</h3>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Ce second cas présente une opération Red Team ciblant une entreprise disposant de nombreuses filiales et dont les réseaux ne communiquent pas entre eux.</p>
<p style="text-align: justify;">Tout d&rsquo;abord, le SI d&rsquo;une <strong>première filiale a été compromis</strong>, ainsi que son tenant Azure.</p>
<p style="text-align: justify;">A des fins de persistances et de recherches, une <em>App Registration</em> a alors été créée par la Red Team, tout en ajoutant l’autorisation d’application <em>Files.Read.All.</em></p>
<p style="text-align: justify;">En téléchargeant les secrets de l&rsquo;application lors de sa création, il est une nouvelle fois possible d&rsquo;utiliser l&rsquo;outil développé par la RT Wavestone pour effectuer des recherches SharePoint et OneDrive :</p>
<p style="text-align: justify;"> </p>
<figure id="attachment_27946" aria-describedby="caption-attachment-27946" style="width: 1920px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27946 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/8-FR.png" alt="Découverte de secrets dans les espaces OneDrive d’utilisateurs" width="1920" height="344" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/8-FR.png 1920w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/8-FR-437x78.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/8-FR-71x13.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/8-FR-768x138.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/8-FR-1536x275.png 1536w" sizes="auto, (max-width: 1920px) 100vw, 1920px" /><figcaption id="caption-attachment-27946" class="wp-caption-text"><em>Découverte de secrets dans les espaces OneDrive d’utilisateurs</em></figcaption></figure>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">En effectuant des recherches de mots de passe, des <strong>comptes associés à des solutions d’accès distants</strong> à l&rsquo;entreprise cible du Red Team sont identifiés. En effet, certains membres des équipes Finance de la filiale compromise disposent d’<strong>accès à la solution de bureau distant du groupe</strong>, et stockent leur mot de passe en clair sur leur espace OneDrive.</p>
<p style="text-align: justify;">Bien qu&rsquo;un MFA soit configuré pour l&rsquo;ensemble des utilisateurs de cette solution, seule une approbation de la notification est requise, et aucun code n&rsquo;est demandé. En noyant les utilisateurs de notifications MFA, l’un d’eux a finalement validé l’authentification, permettant aux opérateurs Red Team <strong>d’accéder temporairement à la solution de bureau distant.</strong></p>
<p style="text-align: justify;">Finalement, en accédant à l&rsquo;application de Finance hébergée sur une machine virtuelle Windows, un <strong>accès au réseau interne du groupe</strong> est récupéré.</p>
<p style="text-align: justify;">Ainsi, à partir d&rsquo;une compromission de filiale sans interconnexion directe avec le réseau groupe, l&rsquo;usage d&rsquo;<em>App Registrations</em> a permis une fois encore de <strong>découvrir des secrets et rebondir sur le SI groupe</strong>.</p>
<p style="text-align: justify;"> </p>
<h3 style="text-align: justify;">Cas n°3 : Compromission de l&rsquo;EDR déployé sur les contrôleurs de domaine à partir de la chaîne CICD</h3>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">La compromission de l’environnement CICD du client (hébergé sur AWS) a mené à la compromission de son serveur <em>GitLab</em>. Avec les droits <em>root</em> sur le serveur <em>GitLab</em>, il est possible d&rsquo;accéder à sa base de données, et aux secrets qui y sont stockés. Bien que ceux-ci soient chiffrés, il est possible de les déchiffrer via la console <em>GitLab Rails</em>.</p>
<p style="text-align: justify;">Parmi ces secrets, des <em>clientID</em> et <em>clientSecrets</em> Azure d’une App Registration sont récupérés. Ces identifiants d&rsquo;accès permettent de se connecter à Azure sous l’identité de l’application associée, dans le cas présent sous l’identité de l’application <em>GitLab</em>.</p>
<p style="text-align: justify;">Sur le tenant client, l’application <em>GitLab</em> dispose d’un rôle de <strong>contributeur</strong> sur les ressources d’une souscription Azure. Cela signifie qu’elle peut <strong>gérer les accès</strong> aux ressources, et en <strong>lire le contenu</strong>.</p>
<p style="text-align: justify;">Parmi les ressources accessibles, des secrets sont stockés (et accessibles en lecture) dans un coffre-fort Azure Vault. En particulier, des <em>clientId</em> et <em>clientSecret</em> y sont présents :</p>
<p style="text-align: justify;"> </p>
<figure id="attachment_27948" aria-describedby="caption-attachment-27948" style="width: 1931px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27948 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/9.png" alt="Exfiltration des secrets d’une App Registration dans un Vault" width="1931" height="809" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/9.png 1931w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/9-437x183.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/9-71x30.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/9-768x322.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/9-1536x644.png 1536w" sizes="auto, (max-width: 1931px) 100vw, 1931px" /><figcaption id="caption-attachment-27948" class="wp-caption-text"><em>Exfiltration des secrets d’une App Registration dans un Vault</em></figcaption></figure>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Une nouvelle application Azure, nommée <em>xxxxx-NettoyageSharePoint</em>, est ainsi obtenue. Celle-ci possède les permissions nécessaires pour <strong>lire l’intégralité de SharePoint et OneDrive</strong>.</p>
<p style="text-align: justify;">En utilisant une première version de l&rsquo;outil <em>SharePwned</em>, une recherche de secrets est effectuée au sein des espaces OneDrive des collaborateurs. Des secrets stockés de manière non sécurisée sont découverts dans des fichiers de configuration d’outils d’administration, tels que <em>mRemoteNg</em>. Ces fichiers de configuration contiennent généralement des mots de passe <strong>chiffrés avec une clé publique connue</strong>. Ainsi, il est possible de les <strong>déchiffrer et obtenir les mots de passe en clair</strong> des utilisateurs :</p>
<p style="text-align: justify;"> </p>
<figure id="attachment_27950" aria-describedby="caption-attachment-27950" style="width: 1927px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" class="wp-image-27950 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10.png" alt="Obtention de secrets stockés de manière non sécurisée dans OneDrive" width="1927" height="165" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10.png 1927w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10-437x37.png 437w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10-71x6.png 71w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10-768x66.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10-1536x132.png 1536w, https://www.riskinsight-wavestone.com/wp-content/uploads/2025/10/10-1920x165.png 1920w" sizes="auto, (max-width: 1927px) 100vw, 1927px" /><figcaption id="caption-attachment-27950" class="wp-caption-text"><em>Obtention de secrets stockés de manière non sécurisée dans OneDrive</em></figcaption></figure>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Le compte récupéré ici dispose de <strong>privilèges d&rsquo;administration sur l&rsquo;application IAM</strong> de l&rsquo;entreprise.</p>
<p style="text-align: justify;">Après de multiples <strong>recherches de documentations</strong> sur SharePoint, toujours en utilisant l&rsquo;outil <em>SharePwned</em> afin de cibler les recherches, l&rsquo;équipe Red Team a pu comprendre les moyens d’intervention de l’équipe SOC sur le Système d’Information, les coffres-forts où sont stockés leurs secrets, et les droits nécessaires pour y accéder.</p>
<p style="text-align: justify;">Alors, en utilisant le compte administrateur de l’IAM récupéré dans OneDrive, une attaque se basant sur les procédures d’intervention du SOC a été réalisée pour <strong>compromettre </strong><strong>intégralement le Système d&rsquo;Information</strong> on-premise du client.</p>
<p style="text-align: justify;">Dans ce cas de figure également, des recherches ciblées sur SharePoint et OneDrive ont permis de <strong>récupérer de l&rsquo;information technique très intéressante pour un attaquant</strong>, notamment l&rsquo;agent EDR déployé sur les DC, les secrets nécessaires à son utilisation, les droits à s&rsquo;attribuer pour y accéder.</p>
<p style="text-align: justify;">Au-delà des mots de passe récupérés (chiffrés ou non) dans l’ensemble des scénarios précédemment décrits, SharePoint et OneDrive représentent un <strong>accès à la connaissance du SI</strong> pour l’attaquant. Lorsque l’attaquant se veut discret, il doit <strong>reproduire au mieux les flux métiers et d’administrations légitimes de l’entreprise</strong>. Le prérequis à cela est tout d’abord de les connaître, pour ensuite les comprendre et les appliquer.</p>
<p style="text-align: justify;"> </p>
<h2 style="text-align: justify;">Protéger et détecter les usages malveillants des App Registrations</h2>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Comme énoncé précédemment, SharePoint et OneDrive ont permis l’obtention de secrets relativement sensibles et compromettants pour les SI clients. Il reste donc primordial de <strong>sensibiliser les collaborateurs</strong> au stockage sécurisé des secrets et de les outiller à ces mêmes fins.</p>
<p style="text-align: justify;">Malgré cela, il convient d’appliquer des processus et des mesures de sécurité à ces applications afin de leur faire respecter les <strong>principes de moindre privilège</strong> et de <strong>défense en profondeur</strong>. Ci-dessous sont listées des recommandations à appliquer à ces App Registrations.</p>
<p style="text-align: justify;"> </p>
<h3 style="text-align: justify;">Revue régulière et principe de moindre privilège</h3>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Il convient d’<strong>inventorier</strong> les applications disposant des permissions sur SharePoint et <strong>restreindre ces applications au strict minimum</strong>. Les permissions en question sont les suivantes :</p>
<ul style="text-align: justify;">
<li>Sites.Read.All;</li>
<li>Sites.ReadWrite.All;</li>
<li>Sites.FullControl;</li>
<li>Files.Read.All;</li>
<li>Files.ReadWrite.All.</li>
</ul>
<p style="text-align: justify;">Au même titre que pour les utilisateurs et groupes à privilèges, une <strong>revue régulière</strong> de ces <em>App</em> <em>Registrations</em> est nécessaire.</p>
<p style="text-align: justify;"> </p>
<h3 style="text-align: justify;">Gestion et supervision des secrets</h3>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Afin d&rsquo;éviter que des <em>App Secret</em> ne se retrouvent stockés de manière non sécurisée (au sein de scripts, documentations, mails, etc.), il est recommandé de <strong>préférer l&rsquo;usage de certificats de connexion</strong>.</p>
<p style="text-align: justify;">De manière générale, <strong>les secrets</strong> de connexion doivent faire l&rsquo;objet d&rsquo;un<strong> renouvellement régulier et automatisé</strong>.</p>
<p style="text-align: justify;">La création d’une <em>App Registration</em> génère automatiquement la création d’une <em>Enterprise Application</em>. Lorsque celle-ci se voit attribuer des permissions de lecture sur SharePoint, un consentement de la part d&rsquo;un <em>Global Administrator</em> est nécessaire. Il n&rsquo;est ainsi pas trivial pour un attaquant de créer ce type d&rsquo;applications privilégiées et l&rsquo;ajout d&rsquo;un secret à une application existante à privilèges sera souvent préférée par l’attaquant.</p>
<p style="text-align: justify;">Il convient donc de <strong>superviser la création de nouveaux secrets de connexion sur les applications à privilèges</strong>.</p>
<p style="text-align: justify;"> </p>
<h3 style="text-align: justify;">Réduire la surface d’exposition</h3>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;">Enfin, il est recommandé de <strong>limiter les capacités d&rsquo;utilisation de ces applications</strong>. Il peut s&rsquo;agir de <strong>restrictions sur l&rsquo;adresse IP</strong> source ou encore sur les <strong>plages horaires</strong> d&rsquo;utilisation de l&rsquo;application.</p>
<p style="text-align: justify;"><em><span style="text-decoration: underline;"><strong>Note :</strong></span> Il n’est pas toujours nécessaire d’appliquer ces mesures en mode « bloquant ». En effet, une détection sans blocage peut déjà permettre à la Blue Team de prendre connaissance de l’attaque et amorcer sa réponse.</em></p>






<p>Cet article <a href="https://www.riskinsight-wavestone.com/2025/10/sharepoint-app-registrations-vecteur-de-compromission-du-si-et-retex-red-team/">SharePoint &amp; App Registrations : Vecteur de compromission du SI et RETEX Red Team</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2025/10/sharepoint-app-registrations-vecteur-de-compromission-du-si-et-retex-red-team/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?</title>
		<link>https://www.riskinsight-wavestone.com/2021/11/cyber-attaques-quels-risques-sur-les-sauvegardes-et-comment-sen-proteger/</link>
					<comments>https://www.riskinsight-wavestone.com/2021/11/cyber-attaques-quels-risques-sur-les-sauvegardes-et-comment-sen-proteger/#respond</comments>
		
		<dc:creator><![CDATA[Wajih JMAIEL]]></dc:creator>
		<pubDate>Mon, 29 Nov 2021 08:24:52 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Eclairage]]></category>
		<category><![CDATA[Backup]]></category>
		<category><![CDATA[protection]]></category>
		<category><![CDATA[Sauvegarde]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=17386</guid>

					<description><![CDATA[<p>La sécurité des sauvegardes est un sujet qui préoccupe de plus en plus les grands comptes, souvent dans le cadre d’initiatives pour améliorer leur cyber-résilience. Les sauvegardes sont en effet le dernier recours lors d’une cyber-attaque, lorsque toutes les mesures...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/11/cyber-attaques-quels-risques-sur-les-sauvegardes-et-comment-sen-proteger/">Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>La sécurité des <strong>sauvegardes</strong> est un sujet qui préoccupe de plus en plus les grands comptes, souvent dans le cadre d’initiatives pour améliorer leur <strong>cyber-résilience</strong>. Les sauvegardes sont en effet le <strong>dernier recours lors d’une cyber-attaque</strong>, lorsque toutes les mesures de protection, de détection et de réponse n’ont pas suffi : il faut restaurer rapidement le système d’information à partir des sauvegardes.</p>
<p>Les attaquants ont bien compris cet enjeu et nous voyons de plus en plus de cyber-attaques touchant les sauvegardes. Comme le souligne le <a href="https://www.wavestone.com/fr/insight/cyberattaques-en-france-le-ransomware-menace-numero-1/">benchmark 2021 des cyber-attaques en France</a>, <strong>dans 21% des attaques par ransomware, les systèmes de sauvegarde ont été ciblés jusqu’à être rendus inutilisables</strong>.</p>
<h1>Quel est le mode opératoire des attaquants pour atteindre les sauvegardes ?</h1>
<p>Tout d’abord, les sauvegardes peuvent être touchées en tant que <strong>dommage collatéral</strong>. Ce fut le cas il y a quelques années lors d’une cyber-attaque chez l’un des clients du CERT-Wavestone : l’infrastructure de gestion des sauvegardes a elle-même été chiffrée par le ransomware et il a fallu la reconstruire avant de pouvoir restaurer les sauvegardes.</p>
<p>Lors d’attaques par ransomware, les attaquants peuvent aussi <strong>cibler directement les sauvegardes</strong> pour <strong>forcer leur cible à payer la rançon</strong>. Par exemple, il y a moins d’un an lors d’une réponse à incident du CERT-Wavestone, l’attaquant avait pris soin de détruire toutes les sauvegardes avant de chiffrer le système d’information du client. Il avait pu arriver à ses fins car l’infrastructure de gestion des sauvegardes était administrée à travers un compte dans l’Active Directory. L’attaquant ayant réussi à élever ses privilèges au plus haut niveau, il a pu aisément se connecter sur l’infrastructure de sauvegarde et supprimer toutes les données sauvegardées.</p>
<h1>Des premières mesures de protection peuvent déjà fortement réduire le risque</h1>
<p>Dans <a href="https://www.wavestone.com/fr/insight/cyberattaques-en-france-le-ransomware-menace-numero-1/">100% des crises ransomware gérées par le CERT-Wavestone</a>, l’attaquant possédait des comptes d’administration du domaine Active Directory. Pour empêcher l’attaquant d’atteindre les sauvegardes par ce biais, il faut donc <strong>séparer l’infrastructure de sauvegarde de l’Active Directory</strong> : s’assurer que les comptes d’administration des sauvegardes ainsi que les serveurs de sauvegarde sont hors Active Directory (NB : cela n’empêchera pas cette infrastructure de sauvegarder les ressources gérées dans l’Active Directory).</p>
<p>Pour réduire davantage le risque de compromission d’un compte d’administration, il faut aussi renforcer l’accès d’administration des sauvegardes, avec par exemple une <strong>authentification multi-facteur</strong> (MFA).</p>
<p>Par ailleurs, les attaques par ransomware se propageant souvent sur le même système d’exploitation, il peut être intéressant d’<strong>adopter un système d’exploitation différent pour l’infrastructure de sauvegarde</strong>. Sinon, a minima effectuer une <strong>copie du catalogue de sauvegarde </strong>(base de données contenant les pointeurs vers les sauvegardes)<strong> sur un système d’exploitation différent</strong>, afin de permettre une restauration rapide de l’infrastructure de sauvegarde en cas de compromission.</p>
<p>En complément, il est parfois possible d’appliquer des <strong>mesures de rétention des données sauvegardées</strong> <strong>au niveau de la technologie de stockage des sauvegardes,</strong> comme l’application d’un délai avant la suppression réelle des données ou bien la conservation d’une copie (ou snapshot) sur la baie de stockage. Cela permet de s’accorder un délai d’un ou plusieurs jours avant la perte complète des données en cas de suppression.</p>
<h1>Pour aller plus loin…</h1>
<p>Différentes initiatives émergent, visant à standardiser les mesures de protection des données face à la menace grandissante (e.g. <a href="https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2021/20210518e1.pdf">Secure Tertiary Data Backup Guideline</a> par la HKAB –<em> Hong Kong Association of Banks</em>, <a href="https://www.shelteredharbor.org/how-it-works">Sheltered Harbor</a> aux Etats-Unis…).</p>
<p>Par ailleurs, les éditeurs de solutions de sauvegarde construisent leurs solutions en prenant en compte la menace cyber, avec des <strong>fonctionnalités de détection de ransomware</strong>, des<strong> fonctionnalités d’immutabilité</strong> (pour rendre les données sauvegardées complètement inaltérables, même pour un administrateur) ou encore des possibilités d’<strong>isolation « hors-ligne » des sauvegardes.</strong></p>
<p>Ces solutions peuvent être adoptées <strong>en remplacement</strong> <strong>ou bien en complément</strong> de solutions de sauvegarde existantes. Néanmoins, elles nécessitent <strong>souvent des investissements importants</strong>. Or comme nous l’avons vu, un certain nombre de premières mesures de protection peuvent déjà fortement réduire le risque. Il convient donc de bien identifier les scénarios de menace redoutés et son niveau d’exposition, ainsi que les éventuels besoins de conformité (réglementations, standards…), afin de définir une feuille de route adaptée de montée en maturité.</p>
<p><em>Cet article se veut être une introduction à la protection des sauvegardes contre les cyber-attaques. Nous aurons l’occasion d’approfondir le sujet dans le cadre de futures publications.</em></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2021/11/cyber-attaques-quels-risques-sur-les-sauvegardes-et-comment-sen-proteger/">Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2021/11/cyber-attaques-quels-risques-sur-les-sauvegardes-et-comment-sen-proteger/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Assurer son système d’information industriel contre une cyberattaque, c’est possible ?</title>
		<link>https://www.riskinsight-wavestone.com/2015/12/assurer-son-systeme-dinformation-industriel-contre-une-cyberattaque-cest-possible/</link>
		
		<dc:creator><![CDATA[Martin Descazeaux]]></dc:creator>
		<pubDate>Wed, 16 Dec 2015 09:03:37 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Manufacturing & Industry 4.0]]></category>
		<category><![CDATA[cyberassurance]]></category>
		<category><![CDATA[manuf & industry 4.0]]></category>
		<category><![CDATA[protection]]></category>
		<category><![CDATA[SI industriel]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=8621</guid>

					<description><![CDATA[<p>Les cyberattaques récentes nous ont rappelé que des attaques sur les systèmes d’information peuvent avoir des impacts matériels, voire humains, avec des conséquences financières très importantes. Les attaques sur les systèmes d’information (SI) industriels en sont les exemples parfaits : une...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/12/assurer-son-systeme-dinformation-industriel-contre-une-cyberattaque-cest-possible/">Assurer son système d’information industriel contre une cyberattaque, c’est possible ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Les cyberattaques récentes nous ont rappelé que des attaques sur les systèmes d’information peuvent avoir des impacts matériels, voire humains, avec des conséquences financières très importantes. Les attaques sur les systèmes d’information (SI) industriels en sont les exemples parfaits : une compromission logique du SI industriel peut entrainer le dérèglement et/ou la destruction du matériel industriel associé, et avoir des conséquences désastreuses en fonction des activités de l’entreprise. Face à ces impacts financiers critiques, la question de l’assurabilité de ce risque se pose alors. Mais le marché de l’assurance est-il aujourd’hui capable de proposer des solutions satisfaisantes ? Que proposent les assurances traditionnelles (Dommages, Tous Risques Informatiques, Responsabilité Civile…) ? La cyberassurance peut-elle répondre à cette problématique ?</em></p>
<h2>Pourquoi assurer son SI industriel ?</h2>
<p>On définit les systèmes d’information industriels comme des systèmes « logiques » permettant de piloter des outils de production « physiques » (chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguillages, pipelines…). De plus en plus ouverts, ils se positionnent comme un intermédiaire entre le système d’information « classique » de l’entreprise, et sa chaine de production physique.</p>
<p>De par son positionnement clé pour l’entreprise, la sensibilité des données et systèmes qu’il manipule et son ouverture accrue sur le SI de l’entreprise (voire parfois sur internet), le SI industriel devient de plus en plus souvent la cible d’attaques aux motivations différentes (destruction, espionnage, gain financier…). Les récentes attaques révélées en Allemagne par le BSI avec la <a href="http://www.lemagit.fr/actualites/2240237195/Un-industriel-allemand-victime-dune-attaque-de-type-Stuxnet">compromission du système de contrôle du haut fourneau</a> ou en Corée du Sud avec <a href="http://www.securityweek.com/south-korea-accuses-north-cyber-attacks-nuclear-plants">le vol de données sur les réacteurs nucléaires</a> ne font que confirmer la probabilité d’attaques de ces systèmes.</p>
<p>En plus des dommages matériels (destruction de ses outils de production) et immatériels (frais de reconstruction des données, frais d’expertise…) pour l’entreprise, les conséquences de ces attaques peuvent être considérables et dépasser le cadre même de l’entreprise : fuite radioactive, déraillement d’un train…</p>
<p>Face à ce risque majeur, et l’impossibilité à la fois d’empêcher la totalité des attaques et d’absorber l’ensemble des impacts, le besoin d’assurabilité de ces systèmes se fait ressentir.</p>
<h2>Les assurances traditionnelles ne répondent pas au besoin</h2>
<p>Les assurances traditionnelles, et notamment les assurances « Dommages », peuvent répondre à certains risques liés aux SI industriels. Elles permettent notamment de couvrir les dommages matériels liés à une panne informatique, ou à un incendie. De même, les polices « Responsabilité Civile » peuvent couvrir les dommages aux tiers suite à un incident sur le SI industriel.</p>
<p>Pour autant ces contrats traditionnels trouvent parfois leurs limites dans un contexte cyber.</p>
<p>En effet, ces assurances couvrent très rarement les dommages immatériels, quel que soit le scénario de sinistre, et encore moins si le scénario est une cyberattaque. De fait, les frais de reconstitution des données et d’expertise technique (par exemple pour les investigations numériques suite à une attaque) sont rarement couverts par ces assurances.</p>
<p>De plus, la plupart de ces contrats ont des exclusions liées la cause du sinistre et excluent les cyberattaques. Il est parfois possible de « racheter » ces exclusions moyennant une hausse de la prime annuelle, mais ce n’est pas toujours le cas et la couverture se limite quasiment toujours aux dommages matériels.</p>
<h2>La cyberassurance est-elle la solution ?</h2>
<p>Se présentant comme l’assurance des risques cyber, on pourrait naturellement imaginer qu’elle couvre complètement les besoins d’assurance des SI industriels relatifs au risque de cyberattaque. Malheureusement, il n’en est rien : si certains contrats commencent à proposer des solutions couvrant la particularité logique/physique des SI industriels, la plupart n’y répond que partiellement.</p>
<p>Le premier frein à la couverture totale est le fait que la cyberassurance couvre majoritairement les dommages immatériels, puisque destinée principalement aux systèmes d’information « classiques ». En effet, l’impact naturel associé à une cyberattaque est une atteinte aux données, et non au matériel. Avec cette approche, de nombreux frais sont couverts : frais de reconstruction des données, frais d’expertise, frais de notification, frais de justice…. Pour autant, l’ensemble des dommages matériels, et notamment sur les systèmes physiques industriels détruits, ne sont pratiquement jamais couverts, ce qui entraine un manque notable dans la couverture du risque pour un SI industriel, et peut ainsi freiner la souscription d’une cyberassurance.</p>
<p>Par ailleurs, au vu des impacts importants liés aux SI industriels qui peuvent dépasser le cadre même de l’entreprise, certains assureurs excluent directement dans leur police la couverture de l’ensemble des frais liés à ces systèmes, qu’ils soient immatériels ou matériels. Le risque n’est alors pas (ou peu) couvert.</p>
<h2>Une évolution en vue ?</h2>
<p>Cependant, avec la demande croissante des acteurs de l’industrie, les cyberassureurs commencent à intégrer la couverture des dommages matériels (voire humains) à leur police. Pour autant, il est à noter que des sous-limites (limitation de garantie pour certains frais) contraignantes y sont souvent associées, ce qui peut parfois en limiter considérablement l’intérêt. Cependant, dans un marché fortement concurrentiel et compte tenu des impacts associés, cet argument peut rapidement apparaitre comme différenciateur.</p>
<p>&nbsp;</p>
<p>Il existe un « vide » dans la couverture assurantielle des risques cyber pour les systèmes d’information industriels. Les assurances traditionnelles montrent un certain nombre de limites en excluant souvent les scénarios cyber, et a contrario les cyberassurances couvrent rarement les dommages matériels, pourtant centre de coût clé des SI industriels. Pour autant, les cyberassurances commencent à proposer des solutions avec une couverture plus globale incluant les dommages matériels. Mais la demande doit continuer d’augmenter et le marché se démocratiser pour atteindre une couverture optimale des SI industriels. Pour 2016 ?</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2015/12/assurer-son-systeme-dinformation-industriel-contre-une-cyberattaque-cest-possible/">Assurer son système d’information industriel contre une cyberattaque, c’est possible ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>La vie privée à 27 : encadrer la ruée vers l’or numérique</title>
		<link>https://www.riskinsight-wavestone.com/2012/03/la-vie-privee-a-27-encadrer-la-ruee-vers-lor-numerique/</link>
		
		<dc:creator><![CDATA[Marianne Benichou]]></dc:creator>
		<pubDate>Fri, 23 Mar 2012 11:49:28 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Digital Compliance]]></category>
		<category><![CDATA[CNIL]]></category>
		<category><![CDATA[Digital privacy]]></category>
		<category><![CDATA[DPO]]></category>
		<category><![CDATA[numérique]]></category>
		<category><![CDATA[protection]]></category>
		<category><![CDATA[vie privée]]></category>
		<guid isPermaLink="false">http://www.solucominsight.fr/?p=1681</guid>

					<description><![CDATA[<p>Le 25 janvier dernier, la Communauté Européenne dévoilait son projet de refonte en profondeur de la législation communautaire en matière de protection des données à caractère personnel. Si celui-ci ne présente aucune surprise de fond, les principales évolutions ayant déjà...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/03/la-vie-privee-a-27-encadrer-la-ruee-vers-lor-numerique/">La vie privée à 27 : encadrer la ruée vers l’or numérique</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>Le 25 janvier dernier, la Communauté Européenne dévoilait son projet de refonte en profondeur de la législation communautaire en matière de protection des données à caractère personnel. Si celui-ci ne présente aucune surprise de fond, les principales évolutions ayant déjà été annoncées, son entrée en vigueur nécessitera la conduite de travaux importants au sein de bon nombre d’organismes.</em></p>
<p>Les chiffres donnent le vertige : lors de la préparation de son introduction en Bourse, Facebook a évalué ses 850 millions d’amis à 100 milliards de dollars.</p>
<p>De son côté, Google recentre de plus en plus ostensiblement son business model sur la collecte et la valorisation des données relatives à ses utilisateurs et du profilage qu’il en déduit.</p>
<p>Car ces données à caractère personnel constituent bien, des mots mêmes de Viviane Reding, <em>la devise des marchés numériques d’aujourd’hui</em>. Et la commissaire européenne à la Justice d’en déduire : <em>et comme toute monnaie, celle-ci requiert stabilité et confiance. Ce n’est que lorsque les consommateurs pourront avoir pleinement confiance en la protection de leurs données qu’ils continueront à les confier aux entreprises et autorités, à acheter en ligne et à accepter de nouveaux services.</em></p>
<h2>La vie privée à l’heure des nouvelles frontières du numérique</h2>
<p>Jusqu’à présent, le droit européen en matière de protection des données à caractère personnel se fonde sur une Directive de 1995, écrite alors qu’Internet n’en était qu’à ses balbutiements.</p>
<p>Depuis, la part d’Internet dans les communications mondiales est passée de 1% à plus de 97%. Cette internationalisation des échanges de données, en parallèle de la monétisation croissante des données, met en évidence les limites et insuffisances de la législation actuelle.</p>
<p>En ce sens, le projet de refonte dévoilé le 25 janvier dernier est doublement intéressant.</p>
<p>Tout d’abord, là où l’on attendait une nouvelle Directive, la Communauté a publié un Règlement : bien loin d’une coquetterie de juriste, il s’agit d’affirmer une approche radicalement différente de celle qui était jusqu’alors en œuvre et fortement décriée. Un Règlement a ceci de spécifique qu’il s’applique directement aux membres, sans qu’ils aient à l’intégrer à leur droit national. En effet, alors que les frontières existent de moins en moins pour les flux de données, il a été estimé que les disparités dans les traductions nationales du droit communautaire en la matière coûtent à elles seules jusqu’à 2,3 milliards par an aux entreprises.</p>
<p>L’objectif, réaffirmé en introduction du document, est donc bien de s’adapter à un monde ouvert et d’harmoniser la protection des données au niveau européen.</p>
<p>Les enjeux, ensuite, ont très clairement évolué. En 1995, le législateur mettait le citoyen au cœur de ses préoccupations, puisqu’il entendait le protéger contre l’informatisation croissante des entreprises et des États. En 2012, maturité aidant, les enjeux économiques et commerciaux sont passés au premier plan : il ne s’agit plus uniquement de protéger la vie privée – ce droit à la vie privée est passé dans les mœurs – mais d’apporter confiance au citoyen (et consommateur) et sécurité juridique aux opérateurs privés et publics.</p>
<h2>Les réseaux sociaux en ligne de mire</h2>
<p>Un Règlement donc, pour la forme.</p>
<p>Sur le fond, cette proposition s’attaque sans surprise aux nouveaux enjeux liés au développement des réseaux sociaux.</p>
<p>Elle pose ainsi de nouvelles règles, spécifiques au traitement des données à caractère personnel relatives aux enfants de moins de 13 ans, qui sera désormais soumis à l’autorisation de leurs parents. Elle instaure également explicitement un droit à l’oubli numérique, y compris pour les données rendues publiques par la personne. Les pratiques de profilage, telles que celles mises en œuvre par Google, requerront quant à elles le consentement explicite des personnes concernées.</p>
<p>En réaction à la démocratisation d’Internet, elle rend de plus obligatoire la mise en place de canaux électroniques pour l’exercice des droits d’accès et de modification, tout en imposant un délai raisonnable du traitement des demandes.</p>
<h2>Une amende à 500 millions de dollars</h2>
<p>Si chaque État reste maître dans la définition des sanctions pénales en cas de non-respect des exigences du Règlement, les sanctions administratives sont, elles, considérablement augmentées puisqu’elles pourront atteindre 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise. À titre d’illustration, la sanction maximale prononcée l’année dernière par la CNIL à l’encontre de Google s’élevait à 100 000 €. Demain, elle pourra s’élever à près de 500 millions de dollars…</p>
<h2>Vers l’obligation d’un système de management de la protection des données à caractère personnel</h2>
<p>Ultime raffinement de l’existant, directement inspiré des meilleures pratiques du marché, cette proposition de Règlement pourrait accélérer la mise en œuvre de systèmes de management de la protection des données à caractère personnel.</p>
<p>On connait les systèmes de management tels que définis dans les normes ISO : par exemple, la qualité, dans l’ISO 9001 (SMQ), la sécurité, dans l’ISO 27001 (SMSI), ou encore l’environnement, dans l’ISO 14001 (SME).</p>
<p>De manière analogue, figurent en effet explicitement dans le texte :</p>
<ul>
<li>A l’instar de l’analyse de risque, qui guide la mise en œuvre des mesures de sécurité dans un SMSI, l’obligation :</li>
</ul>
<p>&#8211; De conduire des analyses d’impacts relatifs à la vie privée sur les traitements les plus sensibles.</p>
<p>&#8211; De prendre en compte la protection des données à caractère personnel dès la conception des systèmes (le <em>privacy by design</em> anglo-saxon), en fonction des coûts des mesures de sécurité et de l’état de l’art en la matière.</p>
<ul>
<li>A l’instar du contrôle, ensuite, qui fonde l’amélioration continue dans les différents systèmes de management cités, un devoir d’audit de l’efficacité des mesures par le responsable de traitement.</li>
</ul>
<p>&nbsp;</p>
<p>Argument complémentaire, si besoin en était, pour la mise en place de tels systèmes : si les formalités déclaratives disparaissent, en contrepartie de l’obligation de désigner officiellement un correspondant aux données à caractère personnel (le CIL français), l’obligation de notification des violations aux traitements de données à caractère personnel, actuellement valable pour les opérateurs télécoms, s’appliquera à l’ensemble des secteurs.</p>
<h2>Les critiques de la CNIL</h2>
<p>Ce projet de Règlement constitue ainsi une volonté de synthèse entre les meilleures pratiques du marché et des réponses pragmatiques aux difficultés des organismes, en particulier multinationaux, à répondre aux exigences actuelles.</p>
<p>Dans sa volonté d’harmonisation et de renforcement de la coopération européenne en la matière, la Commission propose ainsi un fonctionnement en mode <em>guichet unique</em> : si le justiciable peut s’adresser à l’autorité de contrôle (les CNIL européennes) de son choix, chaque entreprise est placée sous la responsabilité d’une autorité unique, en fonction de la localisation de son siège européen.</p>
<p>Et c’est là que le bât blesse.</p>
<p>Dans un communiqué publié début mars, la CNIL s’est ainsi fait la voix des nombreux détracteurs de cet aspect du Règlement. Intitulé <em>La défense de la vie privée s’éloigne du citoyen</em>, cet article fait état de l’opposition ferme de la commission à ce principe, qui constitue, selon ses termes, <em>une véritable régression vis-à-vis des droits des citoyens</em>.</p>
<p>Pour autant, la majorité des autres points du Règlement ont d’ores-et-déjà emporté l’adhésion de nombreux spécialistes du sujets, juristes et opérationnels. Les organismes seraient donc bien avisés dès maintenant de les intégrer à leur réflexion afin d’être à même de respecter les futures exigences légales.</p>
<p>Et Facebook ne s’y est pas trompé, qui a fait figurer en bonne position parmi les risques mentionnés dans son dossier d’introduction en bourse le durcissement de la législation en matière de données à caractère personnel.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2012/03/la-vie-privee-a-27-encadrer-la-ruee-vers-lor-numerique/">La vie privée à 27 : encadrer la ruée vers l’or numérique</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
