Comment les pirates utilisent le spear phishing ciblé pour échapper aux défenses de cybersécurité

Version imprimable, PDF et e-mail

Souffrez-vous d'un problème de spear phishing ? Plus important encore, le sauriez-vous si c'était le cas ? Et que feriez-vous en cas d'incident ? En effet, le nombre d'attaques de spear phishing ne cesse d'augmenter tandis que les pirates informatiques perfectionnent leurs tactiques afin de cibler davantage leurs victimes et de déjouer les meilleurs systèmes de défense.

Pourtant, les entreprises restent étonnamment naïves et confiantes face à la menace que représente le spear phishing. Dans l'esprit de beaucoup de gens, cette menace se résume aux arnaques stéréotypées qui sont habituellement détectées par les filtres de sécurité de nos passerelles de messagerie.

Les attaques ciblées en hausse

La réalité est bien différente. Barracuda a récemment examiné plus de 2,3 millions d'attaques de spear phishing visant 80 000 entreprises dans le monde entier sur une période de trois mois l'année dernière. Il en ressort que les attaques de spear phishing ciblé augmentent en nombre et en complexité, et ont des conséquences de plus en plus importantes sur les entreprises. On observe notamment une augmentation des tactiques plus ciblées et plus subtiles telles que l'usurpation de marque, le détournement de conversations et la compromission de la messagerie d'entreprise (BEC).

La BEC, où les pirates se font passer pour un employé, un fournisseur ou une autre personne de confiance, est l'une des tactiques de spear phishing en vogue à l'heure actuelle. Fin 2020, elle représentait 12 % de toutes les attaques de spear phishing, contre 7 % auparavant. L'objectif de ce type d'attaque est en principe de gagner la confiance de la victime et d'obtenir une réponse de sa part, plutôt que de l'amener à cliquer sur une URL malveillante, comme en témoigne le fait que seulement 30 % des attaques BEC comportent une URL.

Une fois à l'intérieur, le pirate peut utiliser le compte de messagerie compromis pour communiquer en toute légitimité avec l'entreprise et inciter les collaborateurs à réaliser certaines opérations, comme par exemple transférer de l'argent sur un compte bancaire illégal.

Au cœur d'un incident de spear phishing

Prenons le cas d'une entreprise que je suis allé voir et qui était absolument convaincue de ne pas avoir de problème de spear phishing : « impossible », « pas du tout », « pas chez nous ». Les résultats apportés par notre scanner de menaces par e-mail étaient alarmants, mettant ainsi en évidence l'ampleur réelle du problème de cette entreprise.

Un compte de messagerie avait été compromis par une attaque de spear phishing plusieurs mois auparavant. Le pirate utilisait ce compte pour communiquer sans être détecté avec les fournisseurs et les faire régler des factures sur différents comptes bancaires. Il avait réussi à s'introduire dans une quinzaine de comptes de messagerie différents au sein de l'entreprise par le biais d'un mouvement latéral, une technique consistant à se servir d'un compte de messagerie compromis pour cibler d'autres utilisateurs au sein de l'entreprise. Ces attaques sont particulièrement difficiles à détecter car elles proviennent de comptes de messagerie internes et légitimes et semblent provenir d'un collègue de confiance.

Ce cas illustre bien combien le spear phishing peut affecter les entreprises, et il ne s'agit en rien d'un incident isolé.

L'objectif de ce type d'attaque est de gagner la confiance de la victime et d'obtenir une réponse de sa part, plutôt que de l'amener à cliquer sur une URL malveillante, comme en témoigne le fait que seulement 30 % des attaques BEC comportent une URL.Cliquez pour tweeter

Comment réagir et neutraliser la menace

Toute la question est de savoir comment se défendre au mieux contre cette menace accrue de spear phishing et comment réagir en cas d'incident. Pour cela, il convient de mettre en place une bonne solution de protection des boîtes de réception et de réponse aux incidents, tout en tenant compte des trois éléments essentiels suivants :

  1. L'accès réseau zero trust

La finalité d'un environnement zero trust est de limiter les accès à votre environnement. Ainsi, même si un compte e-mail est compromis par une attaque de spear phishing, le pirate ne pourra pas s'en servir pour accéder à d'autres comptes et parties de l'entreprise. Et il ne s'agit pas ici de contrôler l'accès seulement à votre réseau interne, mais aussi à vos applications cloud, telles que Microsoft Office 365, qui sont par essence ouvertes aux quatre vents à moins de les verrouiller au moyen de contrôles appropriés.

  1. Une sécurité multicouche

En plus d'être un terme couramment utilisé, la défense en profondeur est l'un des moyens les plus efficaces pour lutter contre ces menaces. Dans le cas de la messagerie, cela comprend les incontournables passerelles de sécurité, mais aussi des outils plus récents tels que la protection des boîtes de réception et la protection contre le spear phishing. Un grand nombre d'entreprises ne disposent toujours pas de ces couches supplémentaires ou croient à tort que leur passerelle de sécurité suffit (ce qui, d'ailleurs, n'est pas le cas).

  1. Formation

Votre personnel est un élément clé de vos mécanismes de sécurité. Veillez donc à ce qu'il soit sensibilisé aux risques liés au spear phishing et à ce qu'il y accorde une attention maximale au quotidien. Formez votre personnel à reconnaître et à signaler les attaques, puis à comprendre les répercussions qu'elles peuvent avoir sur l'entreprise. Ne considérez pas la formation à la sécurité comme un simple exercice annuel. Il est primordial de les former en permanence et de les faire participer à des simulations d'attaques, mais aussi d'effectuer des campagnes de sensibilisation générale par le biais d'affiches murales et de bannières sur les intranets de l'entreprise. Formez le personnel à reconnaître et à signaler les attaques

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager