Barracuda full logo

Échapper à la bulle de la sécurité des entreprises

Thèmes:
24 janv. 2024
|
Asaf Cidon

La grande majorité des efforts de l'industrie de la sécurité et les milliards de dollars consacrés à la recherche et au développement se concentrent sur la manière d'empêcher les pirates d'entrer dans le périmètre de sécurité de l'entreprise. Par exemple, les passerelles de messagerie, les firewalls, les firewalls d'applications et les agents de terminaux sont tous destinés à empêcher les e-mails/paquets/demandes/fichiers malveillants d'entrer sur le réseau de l'entreprise et de voler des données sensibles ou de manipuler les employés de l'organisation.

Cette course au chat et à la souris dure depuis des décennies. Par exemple, dans le domaine des e-mails, nous avons assisté à une évolution du phishing à grande échelle vers le spear phishing beaucoup plus ciblé, jusqu'à la compromission d'une boîte de messagerie professionnelle qui manipule spécifiquement les cadres dirigeants, jusqu'aux attaques de piratage de compte dans lesquelles un compte de messagerie professionnelle existant est utilisé pour tromper d'autres personnes dans le réseau.

Bien que ce jeu du chat et de la souris soit évidemment important et qu'il continuera de se développer dans les décennies à venir, je tiens à mettre en avant la menace croissante d'attaques qui se contentent de contourner la « bulle » de sécurité de l'entreprise, en contournant toutes les défenses sophistiquées construites autour de l'infrastructure de l'entreprise.

De nouvelles attaques qui contournent la bulle

Je suis sûre que vous avez tous reçu (et moi aussi) des textos ou des messages WhatsApp comme celui-ci :

 

Ces types d'attaques sont en augmentation. Si la tactique n'a rien de nouveau (elle ressemble aux millions d'e-mails d'hameçonnage que Barracuda voit chaque jour), le vecteur d'attaque, lui, est nouveau : les pirates ciblent désormais les utilisateurs sur leurs téléphones personnels.

Une version beaucoup plus sophistiquée de ce vecteur d'attaque fonctionne de la manière suivante : un employé reçoit un e-mail d'hameçonnage qui au lieu d'un lien contient un code QR :

 

 

Pourquoi le pirate prendrait-il la peine de coder le lien sous forme de code QR, vous demandez-vous ? Tout d'abord, il est moins probable qu'un système de sécurité des e-mails fasse l'effort de décoder le code QR et d'inspecter le lien. Mais ensuite, et c'est bien plus important encore, le code QR sera scanné et le lien sera ouvert sur le téléphone personnel de l'utilisateur plutôt que sur son ordinateur portable.

Pourquoi les pirates ciblent-ils les téléphones personnels ?

Vous vous demandez peut-être pourquoi les pirates sont-ils si déterminés à cibler les téléphones personnels ? Eh bien, il n'y a pas de système de sécurité d'entreprise sophistiqué (ou même basique) qui surveille les messages entrants sur un téléphone. Si vous cliquez sur un lien dans l'un de ces messages, il est probable qu'aucun système ne bloque le site d'hameçonnage, car votre téléphone ne fait probablement pas partie du réseau d'entreprise. Enfin, si un malware est installé sur votre téléphone, la grande majorité d'entre vous ne dispose d'aucune protection des terminaux de l'entreprise qui puisse protéger votre appareil personnel.

Ce problème n'est évidemment pas nouveau. Les lecteurs d'un certain âge se souviendront qu'il y a une dizaine d'années, le secteur de la sécurité avait tendance à protéger le « BYOD » (bring your own device), un raccourci désignant les téléphones, les ordinateurs portables et les tablettes qui accèdent aux données de l'entreprise. À l'époque, une multitude d'entreprises proposaient une protection de ces appareils, appelée MDM (mobile device management). Certaines de ces offres existent toujours.

Bien sûr, de nombreuses entreprises conservent et protègent encore certains terminaux, notamment les ordinateurs portables. Mais pour ce qui est des téléphones, pour la grande majorité des organisations, ce temps est révolu. Il est très important pour les organisations informatiques et de sécurité de retrouver et de protéger les téléphones de tous les employés. Même avec un agent fonctionnant sur le téléphone, ce serait une tâche herculéenne que de surveiller tout message entrant envoyé par SMS, iMessage, WhatsApp, Messenger, Instagram, etc. pour détecter un éventuel hameçonnage.

Nous en sommes donc arrivés au point où les smartphones échappent plus ou moins complètement à la bulle de sécurité des entreprises et où les pirates ciblent de plus en plus les utilisateurs professionnels sur leurs appareils personnels non protégés. Une fois qu'ils se sont introduits dans les appareils personnels, ils peuvent les utiliser pour cibler ces mêmes systèmes d'entreprise précieux (par exemple, l'e-mail, le système de fichiers, les applications SaaS) à partir de l'appareil lui-même.

Que faisons-nous à ce sujet ?

Cela soulève la question suivante : que pouvons-nous faire collectivement face à ces attaques ? Il s'agit là d'un défi majeur auquel est confrontée la communauté de la sécurité. Je ne pense pas que le retour du MDM puisse fonctionner, car il est très coûteux de s'occuper de tous les appareils mobiles des employés. Certaines entreprises disposent des ressources nécessaires pour le faire, mais ce n'est pas le cas de la plupart d'entre elles. 

L’une des solutions disponibles aujourd’hui et que chaque organisation devrait être en mesure de mettre en œuvre est, bien entendu, une formation de sensibilisation à la sécurité. Un programme complet de formation de sensibilisation à la sécurité doit non seulement englober le vecteur d’attaque « classique » des e-mails d’entreprise, mais également en inclure d’autres, comme l’hameçonnage par SMS et d’autres types de scams. Un autre outil important est le Zero Trust, qui permet aux entreprises d’implémenter le contrôle et la surveillance des accès sur des appareils personnels potentiellement compromis lorsque ces derniers tentent d’accéder au réseau de l’entreprise.

Même si ces solutions sont très importantes, elles ne suffisent pas. Nous avons besoin d'outils automatiques capables de bloquer le phishing sur les appareils personnels, de la même manière que les solutions sophistiquées de protection des e-mails professionnels les bloquent. La manière d'intercepter et de surveiller ces messages sans avoir d'agent invasif sur l'appareil reste un défi à relever.

 

 

Asaf Cidon

Asaf Cidon est professeur d'ingénierie électrique et d'informatique à l'Université de Columbia et conseiller chez Barracuda. Il était auparavant vice-président des services de sécurité du contenu chez Barracuda Networks. À ce poste, il a été l'un des leaders de Barracuda Sentinel, la solution d'IA de l'entreprise pour la défense contre le spear phishing en temps réel et la cyber-fraude. Asaf était auparavant PDG et cofondateur de Sookasa, une start-up de sécurité du stockage dans le cloud, acquise par Barracuda. Avant cela, il a obtenu son doctorat à Stanford, où ses recherches portaient sur la fiabilité et les performances du stockage dans le cloud. Il a également travaillé au sein de l’équipe d'ingénieurs dans la recherche Web de Google. Asaf est titulaire d’un doctorat et d’une maîtrise en génie électrique de Stanford et d’un bachelor en génie informatique du Technion en Israël.

Connectez-vous avec Asaf sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.