Comme nombre de vos homologues, la lecture du seul mot « ransomware » suffit probablement à vous générer des bouffées d’angoisse. Le scénario est connu : des hackers infiltrent votre réseau, chiffrent vos données et vous prennent en otage jusqu’à ce que vous vous acquittiez d’une rançon. Si ce scénario est fidèle aux attaques classiques des ransomwares, il oublie une étape importante qui ne cesse de gagner en popularité. Et pour cause, l’exfiltration de données a permis aux hackers de renouveler leur emprise sur leurs victimes.
En effet, pour se prémunir des ransomwares, les organisations déploient des systèmes de sauvegarde fiables et des politiques strictes interdisant le paiement des rançons. En représailles, les acteurs malveillants exfiltrent donc de plus en plus souvent leurs données. Il s’agit d’une stratégie fiable désormais appliquée selon de nouvelles modalités contre des organisations de toutes tailles, mais particulièrement contre les PME et les fournisseurs de services managés (MSP).
Dans cet article, nous allons nous pencher sur le risque posé par l’exfiltration de données lors d’une attaque de ransomware, son déroulement et les mesures à prendre pour protéger votre entreprise.
Exfiltration de données : une nouvelle facette d’une menace déjà ancienne
L’exfiltration de données désigne le vol d’informations sensibles, comme des informations personnelles, de la propriété intellectuelle, des données financières, des éléments relevant du secret des affaires, etc. Cette pratique est utilisée depuis longtemps par les hackers lors de leurs campagnes de phishing et de spear phishing.
Toutefois, elle a changé de visage depuis peu, car les groupes de ransomwares s’en servent aujourd’hui pour bénéficier d’un levier supplémentaire auprès de leurs victimes, une technique appelée « double extorsion ». Le principe est simple : les hackers exfiltrent des informations sensibles, les chiffrent, puis exigent une rançon. Si les victimes refusent de céder, les hackers les menacent alors de diffuser les informations volées auprès du grand public ou sur le dark Web.
Deux facteurs rendent l’exfiltration de données particulièrement utile dans le cadre des attaques de ransomwares. Le premier réside dans le type d’organisation ciblée. Les acteurs malveillants se concentrent généralement sur les entreprises faisant partie de secteurs essentiels comme la santé, l’éducation ou le secteur public, car ces entités disposent d’informations précieuses, ne peuvent se permettre d’interrompre leur activité et présentent souvent des vulnérabilités informatiques.
Les hackers s’en prennent aussi principalement aux PME et aux MSP, car ces deux types d’entreprises ne peuvent consacrer à la cybersécurité les ressources et budgets des grandes entreprises, et opposent donc moins de résistance aux attaques.
Le deuxième facteur est lié aux conséquences auxquelles doivent faire face les victimes d’une violation de données. Leur nature varie en fonction du secteur et de l’activité, mais elles peuvent faire partie des catégories suivantes :
- Dommages financiers. Si les hackers mettent la main sur des identifiants de comptes bancaires, ils peuvent lancer des virements ou vider les caisses.
- Dommages concurrentiels. En divulguant des informations relevant du secret des affaires ou de la propriété intellectuelle, les hackers peuvent faire disparaître ou dégrader l’avantage concurrentiel de leur victime.
- Réputation dégradée. Si des hackers publient des données sensibles relatives à des clients ou fournisseurs, leurs victimes risquent de perdre leurs clients et partenaires actuels, mais aussi futurs.
- Conséquences juridiques. Les violations de données exposent les organisations à des poursuites du gouvernement, de cabinets d’avocats, de clients, de partenaires et d’autres tiers.
- Pénalités réglementaires. En cas de violation de données, les organisations victimes risquent de sévères amendes, notamment si elles sont soumises au RGPD ou à la loi HIPAA.
En février 2022, le fabricant de puces Nvidia, présent dans le monde entier, a été touché par le ransomware d’un groupe malveillant très actif, Lapsus$. Lapsus$ a pu infiltrer le réseau de Nvidia et a par la suite lancé une série d’attaques de ransomwares contre Microsoft, Samsung et d’autres grandes entreprises technologiques. Le groupe aurait exfiltré un téraoctet de données avant d’en divulguer une partie et de demander une rançon. Toutefois, cette rançon n’était pas une demande d’argent, mais de mise à jour de l’un des produits de Nvidia. Le groupe a menacé l’entreprise de diffuser des données confidentielles, et donc de potentiellement mettre en péril son avantage concurrentiel, si elle s’y refusait.
Si le cas de Nvidia n’a rien d’unique, il est symptomatique d’une évolution des menaces, les données devenant le talon d’Achille des organisations. Si l’on prend la liste des groupes de ransomwares les plus craints et médiatisés du moment, on remarque que tous font chanter leurs victimes après avoir exfiltré des données. Nous pouvons ainsi citer Lapsus$, Hive, Conti, LockBit ou encore BlackCat, qui compte à son actif plus de 60 violations de données dans le monde entre novembre 2021 et mars 2022.
Cette évolution invite les organisations à revoir la protection de leurs données. Avant de nous intéresser aux mesures permettant d’empêcher l’exfiltration de données, voyons comment se déroule ce type d’attaque.
Déroulement d’une exfiltration de données
Une exfiltration de données se compose de deux étapes. Lors de la première, les hackers essaient d’accéder au réseau interne d’une organisation. Pour y parvenir, ils peuvent avoir recours à diverses techniques, notamment :
- Campagnes de phishing. Les hackers se font passer pour une marque et poussent leurs victimes à divulguer leurs identifiants ou à cliquer sur un lien menant à un malware pour compromettre leur compte.
- Attaques par force brute. Les hackers s’appuient sur diverses techniques pour deviner les identifiants des victimes et accéder au réseau interne.
- Credential stuffing. À l’aide de robots, les hackers testent des identifiants compromis pour tenter d’accéder à des comptes légitimes.
- Attaques contre le RDP (Remote desk protocol). Les hackers tirent parti d’un protocole Windows pour accéder à un appareil à distance et en prendre le contrôle pour ensuite infiltrer un réseau interne.
- Exploitation de vulnérabilités informatiques. Les hackers exploitent des vulnérabilités du réseau causées par des logiciels obsolètes, des appareils connectés à Internet et non protégés, une sécurisation insuffisante des fournisseurs se connectant au réseau, ou d’autres raisons.
Une fois que les hackers sont parvenus à accéder au réseau interne, ils entament la deuxième étape de leur plan. Ils ont recours à diverses techniques de déplacement latéral, notamment à des stratégies de reconnaissance, pour comprendre la composition et la structure du réseau, puis utilisent des malwares et autres cybermenaces pour compromettre des utilisateurs et procéder à une élévation des privilèges. Ensemble, ces différentes techniques leur permettent d’accéder aux données sensibles qu’ils souhaitent exfiltrer.
Prévention des exfiltrations de données
Pour se protéger, votre organisation doit adopter les technologies et pratiques suivantes.
1. Technologie de détection des menaces basée sur l’IA
L’email reste le principal vecteur des cybermenaces et constitue donc la voie royale pour les hackers cherchant à infiltrer votre réseau. Si les solutions de cybersécurité classiques offrent une protection efficace contre les cybermenaces connues, elles sont impuissantes face aux campagnes de phishing, de spear phishing et de distribution de malwares par email, autrement plus dynamiques et sophistiquées.
Une technologie de détection des menaces basée sur l’IA constitue donc une meilleure option en offrant une protection prédictive contre les menaces connues ET inconnues. Ce type de solution réalise une analyse comportementale des emails, URL, pièces jointes et pages Web pour repérer des comportements suspects et anomalies qui trahissent toutes les cybermenaces, même celles qui n’ont pas encore été observées.
Pour autant, toutes les solutions de détection et réponse aux menaces basées sur l’IA n’offrent pas un niveau de protection suffisant. Pour une sécurité optimale, optez pour une solution combinant plusieurs technologies centrales exploitant l’IA et se spécialisant dans la neutralisation de l’ensemble des menaces véhiculées par les emails. Ces technologies incluent le machine learning, la Computer Vision et le Natural Language Processing. Gardez à l’esprit que l’efficacité de l’IA dépend des informations dont elle dispose : vous devez donc vous assurer que la solution récupère en continu des informations provenant d’un jeu de données volumineux, actualisé et pertinent.
2. Technologie de réponse aux menaces basée sur l’IA
La détection des menaces ne constitue pas une ligne de défense impénétrable. Si des menaces parviennent jusqu’aux boîtes de réception de vos utilisateurs ou sont émises depuis l’intérieur de votre réseau, vous devez pouvoir les détecter et y remédier sans délai. Les solutions de réponse aux menaces basées sur l’IA offrent les mêmes capacités que les technologies de détection, mais étendent leur protection à votre réseau interne, et ce à chaque instant.
Lorsque vous évaluez des solutions, vérifiez que les propositions qui vous sont faites incluent les fonctions que nous avons mentionnées. Assurez-vous également qu’elles utilisent des API et se déploient nativement dans votre réseau. Ces dernières caractéristiques maximisent la sécurité en permettant de compléter les outils de sécurité de base inclus dans les suites de productivité comme Microsoft 365 ou Google Workspace.
Par ailleurs, veillez à ce que la solution choisie procède à une analyse continue et à une remédiation automatique pour garantir une protection permanente tout en libérant des ressources informatiques stratégiques. La rapidité et la détection sont des facteurs essentiels pour répondre efficacement aux menaces. Par conséquent, vous devez choisir une solution qui vous permet de remédier aux menaces sur les systèmes de tous vos employés ou clients depuis une interface unique. Vous aurez ainsi la certitude de pouvoir agir rapidement et d’éviter tout retard superflu dans votre réponse aux incidents.
3. Formation des utilisateurs
D’après une étude d’IBM et du Ponemon Institute, 21 % des violations de données survenues en 2021 dans le monde proviennent d’une erreur humaine. Si l’email reste le principal vecteur des cyberattaques, vos utilisateurs sont la cible privilégiée des hackers. C’est pour cette raison que la formation de sensibilisation des utilisateurs fait partie des mesures les plus efficaces pour éviter les exploits.
En expliquant à vos équipes comment repérer les menaces contenues dans les emails et y répondre, vous gagnerez un niveau de protection supplémentaire contre le phishing, le spear phishing et les malwares envoyés par email. Les résultats de ces formations sont très variables en fonction de leur nature. Optez pour des solutions dont les programmes présentent les caractéristiques suivantes :
- Automatisés. Déclenchement automatique, sans votre intervention ou celle d’un administrateur.
- Personnalisés. Adaptés au contenu et au contexte des interactions par email habituelles des utilisateurs.
- Opportuns. Déclenchement au moment où les utilisateurs en ont le plus besoin : face à une menace.
4. Sécurité Zero Trust
Comme nous l’avons vu, une fois que les hackers ont pu accéder à votre réseau interne, ils disposent de tout un arsenal de techniques pour se déplacer latéralement et localiser les données à exfiltrer. Le modèle Zero Trust est un cadre de sécurité stratégique qui limite la capacité des hackers à accéder à votre réseau interne et s’y déplacer librement.
En adoptant une sécurité Zero Trust, vous compliquez la tâche des hackers, qui auront plus de mal à compromettre votre réseau après avoir mis un pied dans la porte. Par le biais des technologies comme l’authentification multifacteur (MFA), la segmentation réseau et les contrôles d’accès, le modèle Zero Trust impose à tous les utilisateurs d’être authentifiés, autorisés et validés en continu à chaque interaction intervenant au sein du réseau.
5. Gestion des politiques de mots de passe
Comme la sécurité Zero Trust, la gestion des politiques de mots de passe est une approche stratégique permettant de limiter le risque qu’un hacker parvienne à infiltrer votre réseau. Elle regroupe diverses procédures forçant les utilisateurs à créer des mots de passe forts et uniques, et à les renouveler régulièrement.
En mettant en place un tel système de gestion, vous corrigerez de manière systématique les mauvaises habitudes prises par la plupart des utilisateurs en matière de mots de passe et limiterez la capacité des hackers à accéder à vos réseaux par le biais d’attaques par force brute ou de credential stuffing.
Stoppez l’exfiltration des données avant même qu’elle ne commence
Les données font partie des ressources les plus précieuses de votre entreprise. Comme toutes les ressources précieuses, elles génèrent aussi un risque important et vous exposent à des conséquences graves et durables. Pour autant, vous avez le pouvoir de bloquer durablement les tentatives d’exfiltration de données. En adoptant les mesures et technologies que nous avons vues ensemble, vous pourrez protéger vos clients, partenaires, employés et données.
