×
Outbyte PC Repair
Outbyte Driver Updater

Cyberattaques très médiatisées : un signal d’alarme pour les petites entreprises

2023/02/13
Cyberattaques très médiatisées : un signal d’alarme pour les petites entreprises
  • Au cours de la dernière décennie, les cyberattaques ont gagné en sophistication et en portée, affectant les petites entreprises aux côtés des géants de la technologie et des agences gouvernementales.
  • Des incidents tels que les attaques mondiales de rançongiciel « NotPetya », le piratage géant d’Equifax et les attaques de la chaîne d’approvisionnement SolarWinds et Kaseya sont des signaux d’alarme qu’aucune organisation ne peut se permettre d’ignorer en matière de sécurité.
  • Alors que les cyberattaques sont devenues plus avancées, les meilleures pratiques en matière de cybersécurité ont également évolué et peuvent fournir des défenses efficaces aux organisations.
  • Cet article est destiné aux propriétaires d’entreprise qui souhaitent en savoir plus sur les cyberattaques et la cybersécurité.

Dans quelle mesure le site Web et le réseau informatique de votre entreprise sont-ils sécurisés ? Cette question devient chaque jour plus pertinente à mesure que les cyberattaques gagnent en sophistication et en portée. Alors que les entreprises disposent aujourd’hui de plus d’outils de sécurité que jamais auparavant, les pirates ont également amélioré leurs capacités d’attaque.

La dernière décennie a été jonchée de cyberattaques très médiatisées qui devraient servir de leçons sur la cybersécurité aux entreprises du monde entier. Qu’il s’agisse de stratagèmes orchestrés par des concurrents ou de quelqu’un avec un chéquier et une rancune, des attaques d’une ampleur considérable peuvent toucher les grandes comme les petites entreprises. Jetez un coup d’œil à certaines des plus grandes attaques de ces dernières années et voyez quelles mesures les entreprises de toutes tailles devraient prendre pour se défendre.

Cyberattaques très médiatisées au cours de la dernière décennie

Au cours des 10 dernières années, nous avons constaté une augmentation significative du nombre, de l’étendue et de l’impact des cyberattaques. Les incidents mis en évidence ci-dessous démontrent que, même si presque aucune organisation n’est entièrement protégée contre les incidents de sécurité potentiels, il existe des actions que des organisations plus préparées peuvent prendre pour éviter les pires résultats possibles.

2013 : Le piratage du New York Times

En 2013, des hackers militants (également connus sous le nom de hacktivistes) ont pris le contrôle du site Web du New York Times lors d’une attaque de « défacement », qui a remplacé le contenu du site par un logo et le message « Hacked by the Syrian Electronic Army » (SEA). Les attaquants ont également compromis le compte Twitter du Times. L’attaque, tout en portant atteinte à la réputation du Times et en empêchant temporairement l’entreprise de fournir du contenu en ligne, n’a causé aucun préjudice durable.

Les hacktivistes ne semblaient pas non plus compromettre les systèmes internes du Times. Au lieu de cela, ils ont ciblé le bureau d’enregistrement des noms de domaine du journal, qui avait des normes de sécurité laxistes. En ciblant le bureau d’enregistrement, les attaquants ont pu obtenir l’accès dont ils avaient besoin pour supprimer temporairement le site Web et le compte Twitter du Times.

2014 : piratage de Sony Pictures

Fin 2014, un groupe se faisant appeler Gardiens de la paix a violé les systèmes internes de Sony Pictures Entertainment. Le groupe a volé des téraoctets de données privées à l’entreprise, a supprimé les données d’origine et a lentement divulgué les informations volées aux journalistes et finalement à Wikileaks. Sony a été confronté à un désastre de relations publiques, à des pertes financières et à des dommages technologiques sur ses réseaux internes qui ont pris plusieurs jours aux administrateurs pour les réparer.

Alors que les Gardiens de la paix se présentaient comme des hacktivistes, le groupe menaçait également d’attentats terroristes. Finalement, le FBI et la NSA ont attribué le piratage à un groupe lié à la Corée du Nord.

2017 : Attaque de Maersk

En 2017, le monde a subi sa première véritable cyber-pandémie alors que la cyber-arme du rançongiciel NotPetya s’est propagée rapidement et de manière incontrôlable dans une grande partie du monde. Pensé pour avoir été développé par des pirates liés à la Russie surnommés « Sandworm », le groupe a déployé NotPetya contre certaines entreprises ukrainiennes en détournant la procédure de mise à jour d’un logiciel de comptabilité ukrainien omniprésent appelé MEDoc. En prenant le contrôle des serveurs de mise à jour de MEDoc, Sandworm a pu installer NotPetya sur des milliers d’ordinateurs en Ukraine. [Découvrez comment protéger votre entreprise contre les ransomwares .]

NotPetya a été créé pour se propager rapidement et automatiquement. Il s’est rapidement rendu dans des entreprises du monde entier, causant finalement des dommages estimés à 10 milliards de dollars. La compagnie maritime mondiale Maersk a été l’une des organisations les plus durement touchées au monde. NotPetya s’est propagé via un bureau que Maersk avait en Ukraine à son réseau, puis à chacun de ses bureaux dans le monde, cryptant toutes les données de l’entreprise.

2017 : piratage d’Equifax

En septembre 2017, l’agence d’évaluation du crédit Equifax a subi une violation de données affectant jusqu’à 143 millions d’Américains. La violation a conduit les pirates à accéder et à voler les informations personnellement identifiables des clients, y compris les numéros de sécurité sociale, les dates de naissance et les adresses personnelles. L’incident a également touché certains consommateurs canadiens et britanniques.

Le piratage a été rendu possible grâce à une vulnérabilité d’application de site Web non corrigée. Bien qu’il ne soit pas immédiatement clair qui a piraté Equifax, le gouvernement américain a inculpé en 2020 quatre membres de l’armée chinoise en relation avec l’attaque. Les actes d’accusation suggèrent que le piratage d’Equifax était une opération continue des agences militaires et de renseignement chinoises pour voler des informations personnelles à partir de diverses sources. Le but ultime des pirates était de mieux cibler les officiers et responsables du renseignement américain dans diverses opérations, notamment pour corruption ou chantage.

2020 : Attaque de SolarWinds

Début 2020, des attaquants soupçonnés d’être associés au gouvernement russe ont secrètement compromis le serveur de mise à jour appartenant à l’outil de gestion des ressources informatiques Orion de SolarWinds, basé au Texas. La compromission a permis aux attaquants d’ajouter une petite quantité de code malveillant qui, lorsqu’il était téléchargé par les entreprises dans le cadre d’une mise à jour logicielle, accordait aux attaquants un accès détourné aux entreprises concernées dans le cadre d’une attaque de la chaîne d’ approvisionnement . Cette porte dérobée leur a permis d’installer des logiciels malveillants supplémentaires pour espionner les entreprises et les organisations concernées.

En l’espace de quelques mois, SolarWinds a estimé que jusqu’à 18 000 clients avaient installé les mises à jour malveillantes qui les rendaient vulnérables à d’autres attaques des pirates. Les organisations concernées comprenaient la société de cybersécurité FireEye, des entreprises technologiques comme Microsoft et Cisco, et des agences gouvernementales américaines, y compris des parties du Pentagone, du ministère de l’Énergie et du Trésor.

L’objectif des auteurs était l’espionnage et le vol de données. Comme les attaques ont duré des mois et étaient très furtives, de nombreuses entreprises ignoraient qu’elles étaient touchées ou ne savaient pas quelles données avaient pu être volées.

2021 : Attaque de Kaseya VSA

En juillet 2021, REvil – un groupe cybercriminel spécialisé dans les attaques de ransomwares – a lancé une attaque de la chaîne d’approvisionnement via la plate-forme VSA de la société de logiciels Kaseya. L’attaque, qui exploitait des vulnérabilités non corrigées, s’est propagée via Kaseya à un certain nombre de fournisseurs de services gérés (MSP) utilisant la plate-forme VSA et, finalement, aux clients des MSP. Au total, l’attaque par rançongiciel a touché plus de 1 000 entreprises.

REvil a exigé une rançon de 70 millions de dollars après avoir lancé son attaque. Kaseya n’a pas confirmé, cependant, s’il finissait par payer l’outil de décryptage qu’il a finalement utilisé pour retrouver l’accès aux fichiers concernés. Cet incident a marqué l’adoption de tactiques hautement sophistiquées par un groupe cybercriminel utilisant des méthodes qui n’avaient auparavant été utilisées avec succès que par des pirates liés au gouvernement.

2022 : Attaques Lapsus$

Tout au long de l’année 2022, un groupe de cybercriminels hautement compétents se faisant appeler Lapsus$ a mené une série de cyberattaques contre certains des plus grands noms de l’industrie technologique. Les attaques ont en grande partie entraîné des violations et des fuites de données.

Lapsus$ a principalement mené des attaques contre ses cibles en incitant des individus sans méfiance à partager par inadvertance des mots de passe ou d’autres identifiants de connexion dans un processus appelé ingénierie sociale. Après avoir obtenu l’accès à un réseau d’entreprise via les informations d’identification obtenues de manière malveillante, Lapsus$ a volé des données, puis a extorqué l’entreprise concernée pour qu’elle paie une rançon en échange du fait que le groupe ne divulgue pas les informations volées.

Les entreprises suivantes ont été parmi celles qui ont été affectées par Lapsus$ tout au long de l’année :

  • NVIDIA (la violation a touché des dizaines de milliers d’informations d’identification d’employés et d’informations exclusives)
  • Samsung (données internes de l’entreprise et code source des appareils Galaxy de Samsung volés)
  • Ubisoft (jeux perturbés par un incident et services de l’entreprise)
  • Microsoft (des portions de code source pour Bing et Cortana volées)
  • Uber (messages internes Slack et informations d’un outil de facturation interne volés)

Lapsus$ semble avoir ralenti ses opérations en avril 2022 après l’arrestation d’une série de personnes liées au groupe. Le groupe a fait un retour quelques mois plus tard, suivi d’une autre série d’arrestations en septembre.

Le saviez-vous ? : Alors que les incidents de cybersécurité ont gagné en ampleur et en sophistication au cours de la dernière décennie, la majorité des attaques commencent toujours par les mêmes points de départ : une erreur humaine, probablement due à des e-mails de phishing, ainsi que des systèmes obsolètes ou non corrigés qui introduisent des vulnérabilités.

Les meilleures pratiques de cybersécurité évoluent parallèlement aux cyberattaques

Avec la combinaison de vulnérabilités de sécurité croissantes et d’employés qui sont la proie de programmes Web et de messagerie malveillants, les petites entreprises ont besoin de plus de protection que jamais. La montée en puissance de variantes de logiciels malveillants comme les rançongiciels a radicalement modifié le potentiel destructeur des attaques, ainsi que les impacts financiers que les entreprises doivent être prêtes à affronter. Heureusement, des outils d’atténuation ont évolué parallèlement à ces attaques. Les meilleures pratiques suivantes peuvent aider à sécuriser votre entreprise à mesure que les risques de cybersécurité augmentent.

Investissez dans la technologie et dans la formation des employés.

La formation devrait inclure des activités telles que des exercices d’e-mails de phishing et enseigner aux employés l’importance d’utiliser des mots de passe uniques et forts. De plus, le personnel doit apprendre à utiliser l’authentification multifacteur – qui nécessite un mot de passe ainsi qu’un code de sécurité temporaire supplémentaire auquel seul l’employé doit avoir accès – dans la mesure du possible. Les travailleurs doivent également connaître les signes indiquant qu’un ordinateur est infecté par des virus ou des logiciels malveillants.

Craig Kensek, directeur marketing d’IT-Harvest, a souligné que protéger votre entreprise contre les cyberattaques ne signifie pas seulement mettre en œuvre des solutions technologiques. Cela nécessite une stratégie à multiples facettes qui implique à la fois des investissements technologiques et l’éducation.

« La protection la plus efficace contre les piratages consiste à éduquer votre base d’utilisateurs à ne pas cliquer sur des liens risqués, à comprendre comment les logiciels malveillants avancés se manifestent et à avoir un plan de défense solide contre votre empreinte cybernétique exposée », a-t-il déclaré.

Alors que Kensek conseillait aux entreprises d’investir dans la protection contre les logiciels malveillants et les produits de génération III, qui incluent la capacité de protéger le trafic Web, de messagerie et de partage de fichiers, la formation des employés est au cœur de l’atténuation des attaques basées sur le phishing.

« Envisagez une formation à la navigation sur le Web et assurez-vous que les employés savent ce qu’il faut rechercher sur les téléchargements de sites Web, les liens malveillants suspectés et les réseaux sociaux. Ayez une politique d’utilisation définie pour le Web, les applications, les partages de fichiers et la communication par e-mail », a déclaré Kensek.

Regardez votre architecture réseau.

Les cyberattaques ont évolué en grande partie pour tirer parti de la complexité croissante des réseaux d’entreprise. Les entreprises n’ont plus à sécuriser uniquement quelques ordinateurs connectés les uns aux autres sur un réseau physique. Ils doivent également faire face aux risques de cyberattaques mobiles liés aux téléphones portables et aux tablettes, à la nature omniprésente du cloud et même aux appareils intelligents connectés à Internet et à l’Internet des objets. Chacun d’entre eux fournit des voies d’attaque supplémentaires pour les pirates et peut fonctionner comme des points d’accès à votre réseau d’entreprise plus large.

Les entreprises peuvent contribuer à limiter la complexité de leur cybersécurité en appliquant une architecture Zero Trust (ZTA). ZTA est une pratique de sécurité qui se concentre sur les utilisateurs, les actifs et les ressources avec un œil sur la mise en place de contrôles et de gestion d’accès appropriés. Essentiellement, ZTA suppose que tout réseau est déjà piraté lorsque quelqu’un tente d’y accéder, peu importe qui il est, et que les administrateurs doivent se concentrer sur l’authentification et la validation de tous les utilisateurs.

En appliquant ZTA, les entreprises limitent la portée de toute violation potentielle de la sécurité en limitant l’accès à un seul utilisateur. De plus, les systèmes ZTA surveillent les actions typiques des employés sur un réseau ; si un utilisateur se comporte de manière irrégulière, le système le signalera comme suspect, ce qui aidera à détecter les violations potentielles en action.

Parlez à vos fournisseurs et répartissez vos ressources.

« Afin de vous protéger, vous devez faire tout votre possible pour vous assurer que la société auprès de laquelle vous avez enregistré votre nom de domaine protège ce nom de domaine », a déclaré Cedric Leighton, fondateur et président de Cedric Leighton Associates, une société de gestion stratégique des risques. Conseil. Le problème est que la plupart des entreprises ne disposent pas d’une protection adéquate, a-t-il déclaré.

« [La] clé est d’avoir quelque chose comme OpenDNS, qui enregistre les sites Web utilisés par des pirates comme le SEA [impliqué dans le piratage du New York Times] », a déclaré Leighton. «Lorsque ces sites Web tentent de rediriger le trafic Internet légitime vers des sites« mauvais »ou non autorisés, la demande en ce sens est automatiquement bloquée. Malheureusement, la plupart des gens ne savent pas qu’ils doivent se pencher sur la question pour se protéger de tels piratages.

Cela signifie que les entreprises doivent être mieux informées sur leurs options de sécurité et avoir des plans d’atténuation et de reprise après sinistre établis non pas si mais quand une attaque se produit.

Commencez par avoir une conversation approfondie avec vos fournisseurs d’accès Internet. Discutez avec eux non seulement pour savoir si vous êtes protégé ou non, mais aussi pour savoir précisément comment vous êtes protégé en cas d’attaque.

« Tout d’abord, vous devez demander à votre [fournisseur d’accès Internet], ‘Que ferez-vous si je suis attaqué ?' », a déclaré Pierluigi Stella, directeur de la technologie de Network Box USA, un fournisseur de sécurité informatique. « N’espérez pas qu’ils disent : ‘Nous allons vous protéger.’ Ça ne va pas arriver. Le FAI répondra très probablement : « Nous vous mettrons hors ligne ».

Ensuite, déterminez exactement quelles zones de votre site Web doivent être protégées, telles que le site Web lui-même et vos serveurs DNS. Pour vous protéger contre une attaque qui détruirait vos serveurs DNS, Stella a déclaré que votre modus operandi devrait être de diviser pour mieux régner.

« Avoir plusieurs DNS hébergés à différents endroits. Si vous voulez vraiment héberger vos propres serveurs DNS, hébergez une sauvegarde ailleurs, peut-être avec un bureau d’enregistrement ou peut-être avec une autre grande société d’hébergement Web disposant de ressources suffisantes pour ne pas trop vous inquiéter des attaques DDoS. L’hébergement DNS n’est pas une entreprise coûteuse, et si vous étendez votre présence, il est beaucoup plus difficile de vous éliminer complètement », a déclaré Stella.

Pour garder votre site Web en ligne et éviter la perte de données, Stella a recommandé d’avoir des copies hébergées dans le stockage en nuage. Si des attaquants verrouillent votre site Web principal, vous pourrez reconfigurer votre DNS pour qu’il pointe vers le site Web secondaire pour le moment, a-t-il déclaré.

Appliquez la « défense en profondeur ».

Alors que les cyberattaques deviennent plus complexes, les entreprises doivent penser au-delà des approches de sécurité universelles. L’époque de l’installation d’un pare-feu et d’un logiciel antivirus et de l’appeler un jour est malheureusement révolue. Désormais, les entreprises doivent se préparer avec une posture de sécurité de défense en profondeur.

Cela fait référence à une politique de cybersécurité d’entreprise efficace qui implique une approche multicouche de la sécurité. Les pare-feu et les programmes antivirus sont toujours des défenses intégrales, mais ces outils ne suffisent plus à protéger vos appareils contre les pirates. Au lieu de cela, ils devraient être combinés avec des éléments tels que ZTA, la formation des employés, les connexions VPN pour les travailleurs à distance, les meilleures solutions de surveillance des employés et le cryptage informatique de toutes les données.

Bien qu’aucune solution de sécurité ne soit infaillible, la superposition de défenses augmente considérablement les chances de minimiser les pires résultats de tout incident de sécurité qui survient.

Ne négligez pas l’entretien.

Un thème commun parmi certaines des pires cyberattaques de la dernière décennie était la façon dont les attaquants ont réussi à pénétrer d’abord dans les systèmes affectés via des vulnérabilités logicielles non corrigées. Les entreprises peuvent augmenter considérablement leur cybersécurité globale en auditant régulièrement leurs systèmes et en créant un inventaire courant de tous les logiciels et matériels, en notant la version de chaque programme et la dernière fois qu’il a été mis à jour.

Après avoir créé cet inventaire, les entreprises doivent maintenir un calendrier régulier de gestion des correctifs. Les entreprises doivent également s’inscrire aux alertes des fournisseurs avertissant des vulnérabilités critiques qui doivent être corrigées dès que possible. Si vous travaillez avec un MSP, assurez-vous qu’il surveille et applique également les correctifs à une cadence acceptable.

Se préparer au pire

Les cyberattaques sont devenues plus courantes, plus sophistiquées et plus destructrices au cours de la dernière décennie. Malheureusement, les entreprises continuent de faire face à des taux de cybercriminalité plus élevés année après année. Les entreprises de toutes tailles doivent se préparer aux pires scénarios dans leur planification de la sécurité.

Il y a une doublure argentée, cependant. Bien qu’il n’existe pas de sécurité parfaite, les entreprises peuvent réduire considérablement les risques d’attaque dommageable en suivant les meilleures pratiques de cybersécurité, telles que celles décrites ci-dessus. Ces pratiques peuvent faire passer un incident de cybersécurité du potentiel d’une attaque paralysante à un moment de chaos contrôlé. Apprenez-en plus dans notre guide détaillé sur la cybersécurité pour les petites entreprises.

Sara Angeles a contribué à cet article. Des entrevues avec des sources ont été menées pour une version précédente de cet article.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *