Pour vous préparer face aux cyberattaques, il est crucial de comprendre vos menaces. Mais qui sont les personnes prêtes à compromettre votre système d’information, que ce soit de façon accidentelle ou intentionnelle ? Des individus malveillants aux groupes cyber criminels internationaux, les motivations et les moyens utilisés pour vous attaquer sont très variés. C’est pourquoi il est important de déterminer ce qui est pertinent pour vous.
Il y a deux types de menaces pour votre organisation : les internes et les externes. Les internes font partie de votre organisation. Ces individus ont accès à votre environnement, car ils travaillent pour vous. À l’opposé, les externes sont plus nombreux. Ils n’ont pas un accès direct à vos systèmes.
Les menaces internes
Les personnes disposant d’accès privilégié constituent une menace majeure pour l’organisation. Elles connaissent bien l’environnement et le fonctionnement de l’entreprise, ce qui les rend difficiles à détecter. Une personne qui ne travaille plus pour vous, mais a conservé ses accès est considérée comme une menace interne, car c’est votre responsabilité de supprimer les accès en fin de contrat. Les prestataires qui ont accès à vos systèmes à distance seront aussi considérés comme une menace interne.
Vos équipes menacent vos systèmes sans le savoir
Vos équipes peuvent mettre l’organisation en danger sans le savoir en causant des incidents ou des pannes de façon non intentionnelle. Cela peut être dû à un manque de connaissances à tous les niveaux de l’entreprise :
- Le directeur financier réalise un paiement en urgence à la suite d’un message WhatsApp usurpant sa directrice générale,
- La comptable change les coordonnées bancaires d’un fournisseur après avoir reçu un email sans faire de vérification
- L’administratrice réseau oublie de changer la configuration de sécurité d’un équipement,
- Le technicien laisse le mot de passe par défaut sur la nouvelle caméra de surveillance,
- Le commis clique sur un lien de phishing.
Comme les équipes ne comprennent pas l’importance de la sécurité, et les mesures à prendre à leur niveau, elles ne prennent pas le temps de faire les vérifications nécessaires. Pire, elles savent ce qu’elles doivent faire, mais comme elles ne sentent pas responsables, elles ne le font pas.
La fraude interne, la menace principale des organisations
Il s’agit pour moi de la menace principale car il est quasiment impossible de s’en prémunir. En effet, pour avoir un environnement 100% sécurisé, vous devrez mettre en place de telles mesures que la performance serait trop dégradée pour que vos équipes fonctionnent.
Vous devez être sceptique et enseigner cette attitude à vos équipes. Toute situation qui semble anormale doit être investiguée. Même les spécialistes d’un processus ou d’une application qui disent que tout est normal peuvent être impliqués dans une fraude.
Comment une personne commence à frauder
La fraude n’est pas un comportement naturel et courant. Elle est le résultat de trois éléments : opportunité, pression et rationalisation.
L’opportunité est le principal levier sur lequel vous pouvez agir. En effet, vous ne donnez pas accès aux comptes bancaires de l’organisation à l’ensemble du personnel. Il en va de même pour les données. Vous devez gérer les droits d’accès en déterminant qui peut accéder à quoi selon le principe du moindre privilège. Mais cette gestion requiert aussi de réviser les accès et supprimer ce dont les équipes n’ont plus besoin pour leur travail.
La pression est vécue par l’individu. Elle est souvent financière et en dehors de votre zone de contrôle. Il peut s’agir de problèmes personnels, familiaux qui impactent le budget. La jalousie, exacerbée par les réseaux sociaux, contribue à mettre une pression sur l’individu qui souhaite obtenir ce que les autres « ont ». Dans tous les cas, la personne cherche à besoin l’argent.
La rationalisation précède le passage à l’action. C’est le moment ou la personne se rassure quant à la justesse de son acte. Elle se rappelle qu’elle n’a pas eu la promotion demandée, se trouve mal payée, ou part du principe que cela ne changera rien pour l’organisation.
À partir de ce moment, le processus de fraude s’enclenche, la personne va utiliser le modèle suivant : pousser – tester – sourire. Dans un premier temps, elle pousse le système, elle va de plus en plus loin. Elle teste les limites et la détection. Si elle éveille les soupçons, elle sourit et explique qu’il n’y a rien d’anormal. Elle va alors ajuster sa fraude pour rester en dessous de la ligne de détection.
Les menaces externes
Comme elles sont nombreuses, je les sépare en quatre catégories, basées sur leurs capacités, niveau de compétences et moyens.
Médias et grand public
Les médias informent. Ils cherchent à obtenir des nouvelles privilégiées pour alimenter leurs articles, même si cela peut nuire à votre réputation. Certains membres du public pourraient aussi à nuire à votre réputation, ou tout simplement à utiliser vos données pour alimenter un débat sur des sujets controversés. C’est d’ailleurs le travail des journalistes d’investigation.
Les médias et le grand public ne disposent pas de moyens techniques offensifs avancés pour obtenir de l’information. Par contre, ils vont fouiller ce qui est disponible en ligne. Si vos données sont mal protégées, ils vont les trouver. De la même façon, si vos équipes ne comprennent pas l’importance des informations dont elles disposent, des journalistes seront capables d’obtenir des informations confidentielles simplement en les demandant.
Pour éviter ce premier groupe de menaces, vous devez sensibiliser vos équipes. Elles doivent savoir quelles sont les informations confidentielles. Les personnes qui travaillent sur des projets stratégiques doivent le savoir. Vous pouvez leur faire signer des ententes de confidentialité, qui sont un excellent moyen de sensibilisation et de responsabilisation.
Pirates amateurs
Historiquement, il s’agissait de jeunes avides d’informatique qui, depuis leur garage, accédaient aux réseaux internes d’entreprises reconnues. Depuis, les pirates amateurs se sont multipliés, dans tous les genres et toutes les tranches d’âge. Leurs objectifs sont de prouver leurs compétences, défier leurs pairs ou tout simplement s’amuser. Évidemment, l’attrait du gain facile les motive, et plusieurs grosses organisations ont mis en place des programmes de Bug Bounty pour utiliser et récompenser leurs efforts dans un cadre légitime.
Ces pirates disposent de moyens techniques limités, mais ont l’avantage du temps et de la passion. Ils et elles ne ciblent pas nécessairement des organisations précises. Alors, vous devez appliquer des mesures de protection de base.
Organisations concurrentes ou activistes
Ce deuxième groupe rassemble des personnes qui ont plus de moyens. Elles sont de plus très motivées et ciblent directement votre organisation. Elles vont donc passer plus de temps pour trouver un point d’entrée et arriver à leurs fins.
Une organisation concurrente peut utiliser ses ressources internes ou faire appel à un spécialiste pour mener à bien son projet. Elle a un objectif précis : dérober de l’information, bloquer l’accès à votre système pendant un moment critique ou changer des informations pour nuire à votre réputation.
Les activistes ont des motivations d’ordre politique ou agissent au nom de leur idéologie. Encore une fois, l’appel à des spécialistes est fréquent et les activistes passent du temps à étudier leurs cibles.
Pour toutes ces menaces, vous devez identifier vos données critiques et les protéger. En effet, ces groupes sont très motivés. Ils savent ce qu’ils cherchent et vont prendre le temps qu’il leur faut pour mener leurs projets à bien. Vous avez besoin de processus et de technologies efficaces pour protéger vos systèmes d’information contre ce type de menace.
États et groupes cybercriminels
Disposant de moyens financiers et techniques importants, ces deux groupes sont très puissants. Ils disposent des dernières technologies, de processus organisationnels et d’équipes formées. La frontière entre les états et les groupes cybercriminels est floue. Dans certains cas, des états soutiennent directement des groupes cybercriminels, les utilisant comme une sorte de « bras armé » pour mener des attaques informatiques contre des cibles étrangères. À l’inverse, les groupes cybercriminels exercent une pression sur leurs gouvernements respectifs pour qu’ils les autorisent à mener des activités illégales en ligne en toute impunité.
En ce qui vous concerne, il faut retenir que des groupes puissants peuvent obtenir ce qu’ils souhaitent en utilisant toutes sortes de moyens. Si votre organisation est d’importance stratégique dans votre pays ou que la compromission de vos systèmes peut donner accès à de l’information « secret défense », je vous invite, si ce n’est déjà fait, à prendre contact avec vos autorités pour obtenir du soutien technique.
Les infrastructures critiques couvrent les domaines indispensables au fonctionnement de l’économie, il s’agit de :
- Production, transport et distribution des énergies (gaz, pétrole et électricité)
- Production, transport et distribution alimentaire (des champs aux magasins)
- Approvisionnement et traitement des eaux (potable, usées et surface)
- Télécommunications (réseau fibre et câble, réseaux sans-fils)
- Services de santé publique (hôpitaux, ambulances)
- Réseau de transport (routes, voies ferrées, ports et aéroports)
- Services financiers (banques)
- Services de sécurité et d’urgence (police, pompiers, défense civile, armée)
La majorité des organisations ne sont pas directement ciblées. Par contre, toutes les organisations peuvent être des victimes collatérales d’une attaque ciblée. Le terrorisme numérique vise large et sans discernement pour se financer. Vous devez donc garder ces menaces en tête, même si elles semblent lointaines.
Sommaire des menaces
Les parades s’ajoutent et se cumulent pour former une défense solide contre les cyberattaques. À mesure que les niveaux de menace augmentent, de nouvelles parades sont mises en place pour limiter l’impact d’une attaque. À vous de choisir les bonnes parades dans votre contexte.
| Menaces | Contexte | Motivation | Techniques | Parades (cumulatives) |
|---|---|---|---|---|
| Média et grand public | Mise en lumière de faits internes à une entreprise (journalisme d’investigation) | Monétisation des faits Curiosité | Ingénierie sociale Logiciels et scripts publics d’extraction de données | Sensibilisation générale à la sécurité Ententes de confidentialité Test de sécurité pour les systèmes exposant des données face à Internet |
| Interne accidentel | Erreur humaine | Négligence | Mauvaise utilisation des systèmes Erreurs de configurations de sécurité Susceptibilité aux campagnes de phishing. | Formations spécifiques en sécurité Restriction des droits d’administration |
| Pirate amateur | Attaques faiblement motivées et opportunistes | Notoriété personnelle Gain financier | Logiciels et scripts publics (forums de piratage, communautés) | Mise à jour des systèmes Correction des vulnérabilités |
| Concurrents et activistes | Vol de propriété intellectuelle Concurrence déloyale Militantisme | Intelligence économique Gain financier Politique et idéologique | Déni de service Exploitation active de vulnérabilités Corruption d’employé·e | Authentification forte Scan de vulnérabilité Audit de sécurité Outils de détection |
| Interne malveillant | Vol de propriété intellectuelle (par exemple, fichier client) ou fraude Sabotage | Gain financier Revanche | Escalade de privilèges Ingénierie sociale | Séparation et rotation des tâches, double contrôle Révision des accès interne Surveillance sécurité |
| États et groupes cybercriminels | Campagnes visant des organisations ou secteurs précis | Gain financier Intelligence économique Géopolitique | Ransomware Ingénierie sociale Phishing Exploitation de vulnérabilités Méthodes avancées et persistantes difficiles à identifier | Plan de réponse aux incidents Sauvegardes immuables Segmentation réseau Isolation et chiffrement des données les plus sensibles |
Comment se préparer à faire face
Avec un nombre croissant de cybermenaces et de possibilités, il est impossible d’analyser tous les risques de manière exhaustive. De plus, le paysage des cybermenaces évolue rapidement, rendant une telle analyse de plus en plus difficile. Cependant, il est possible de faire une analyse des risques centrée sur les objectifs pour protéger l’essentiel le plus rapidement possible. En ciblant les menaces les plus importantes, vous pouvez alors mettre en place des mesures de protection efficaces.