Les chasseurs de données perdues : Le quotidien d'une équipe de réponse aux incidents
20 janvier 2023
Sophos
Schwachstellen, Cybersecurity, Zukunft, Datenschutz
Peter Mackenzie, directeur de la réponse aux incidents chez Sophos, est un peu l'Indiana Jones du paysage cybernétique : inlassablement, il scanne les systèmes informatiques avec son équipe à la recherche d'anomalies qui pourraient indiquer une cybermenace. Dans la plupart des cas, les personnes lésées font appel à ces experts parce qu'elles ont été victimes d'une attaque de ransomware par exemple ou qu'elles sont encore en plein milieu. Le crux : lorsqu'un tel incident de chantage paralyse les ordinateurs, ce n'est pas le début d'une cyberattaque, mais la finale agressive. "Je décris souvent les ransomwares comme un reçu que les criminels laissent à la fin. De nombreuses victimes que nous interrogeons sur la date et l'heure de l'incident indiquent que le cryptage a commencé à une heure du matin et qu'elles ont ensuite reçu des alertes. Lorsque nous examinons ensuite les systèmes, nous découvrons souvent que les fraudeurs étaient déjà sur le réseau depuis deux semaines et qu'ils avaient déjà fait leurs préparatifs", explique Peter Mackenzie.
La cybercriminalité s'est professionnalisée depuis longtemps
Ceux qui pensent maintenant qu'une personne ou un groupe pirate le clavier jour et nuit, conserve finement les données cryptées et les restitue d'accord avec l'honneur du malfrat après un paiement extorqué, afin de se faire une belle vie à Copacabana avec l'argent récupéré, ont vu trop de films des années 80. En réalité, les cyberattaques se sont professionnalisées depuis longtemps. Il existe des prestataires spécialisés pour chaque domaine d'une attaque, qui vont de "Nous vous faisons entrer dans n'importe quel réseau" (il existe déjà ici la profession de Initial Access Broker....), à "Nous achetons les données volées", en passant par "Nous nous chargeons du chantage". Des connaissances d'experts ne sont pas nécessaires, et même ceux qui craignent l'accès au Dark Web peuvent devenir des apprentis cybercrook via Google et des vidéos "how-to" sur Youtube.Trop d'enthousiasme peut aussi tourner mal, comme le prouve le cas récemment décrit de multiples pirates qui, en tant que groupes de ransomware concurrents, attaquaient la victime commune au hasard dans une sorte de changement d'équipe et se sabotent mutuellement.La négligence dans l'entretien des appareils devient le talon d'Achille
Selon Mackenzie, un aspect est extrêmement important pour les escrocs une fois qu'ils sont entrés dans le réseau : à quoi j'ai accès. Pour ce faire, ils scannent le réseau, même pas concrètement à la recherche de quelque chose de précis, mais plutôt comme un voleur dans le couloir d'un bureau qui appuie sur chaque poignée de porte, une porte finit par s'ouvrir.Les possibilités pour les fraudeurs intelligents sont aujourd'hui immenses. Ainsi, si une impulsion suspecte se trouve sur un système, qu'un logiciel de sécurité la détecte et l'élimine, cela ne signifie pas pour autant que le problème est résolu. La plupart du temps, une gestion négligente des mises à jour, des correctifs et de l'équipement de chaque appareil est le petit début d'une grande catastrophe.La cyberdéfense moderne passe par des logiciels à jour et une expertise humaine.
La cybercriminalité s'est professionnalisée depuis longtemps
Ceux qui pensent maintenant qu'une personne ou un groupe pirate le clavier jour et nuit, conserve finement les données cryptées et les restitue d'accord avec l'honneur du malfrat après un paiement extorqué, afin de se faire une belle vie à Copacabana avec l'argent récupéré, ont vu trop de films des années 80. En réalité, les cyberattaques se sont professionnalisées depuis longtemps. Il existe des prestataires spécialisés pour chaque domaine d'une attaque, qui vont de "Nous vous faisons entrer dans n'importe quel réseau" (il existe déjà ici la profession de Initial Access Broker....), à "Nous achetons les données volées", en passant par "Nous nous chargeons du chantage". Des connaissances d'experts ne sont pas nécessaires, et même ceux qui craignent l'accès au Dark Web peuvent devenir des apprentis cybercrook via Google et des vidéos "how-to" sur Youtube.Trop d'enthousiasme peut aussi tourner mal, comme le prouve le cas récemment décrit de multiples pirates qui, en tant que groupes de ransomware concurrents, attaquaient la victime commune au hasard dans une sorte de changement d'équipe et se sabotent mutuellement.La négligence dans l'entretien des appareils devient le talon d'Achille
L'équipe de réponse aux incidents ne se contente pas de stopper l'attaque, elle analyse également les processus dans les systèmes, ce que les cyber-gangsters ont fait et dans quel but. Il s'agit aussi de savoir s'ils se sont ménagé des portes dérobées pour revenir plus tard.
Selon Mackenzie, un aspect est extrêmement important pour les escrocs une fois qu'ils sont entrés dans le réseau : à quoi j'ai accès. Pour ce faire, ils scannent le réseau, même pas concrètement à la recherche de quelque chose de précis, mais plutôt comme un voleur dans le couloir d'un bureau qui appuie sur chaque poignée de porte, une porte finit par s'ouvrir.Les possibilités pour les fraudeurs intelligents sont aujourd'hui immenses. Ainsi, si une impulsion suspecte se trouve sur un système, qu'un logiciel de sécurité la détecte et l'élimine, cela ne signifie pas pour autant que le problème est résolu. La plupart du temps, une gestion négligente des mises à jour, des correctifs et de l'équipement de chaque appareil est le petit début d'une grande catastrophe.La cyberdéfense moderne passe par des logiciels à jour et une expertise humaine.
Peter Mackenzie, après toute son expérience de la gestion quotidienne des cybermenaces dans les grandes et petites entreprises, conseille la prévention. Les questions suivantes aident à repérer les points faibles dans l'entreprise et à prendre des dispositions (outils, experts, services, etc.) à cet effet. Et ce, de préférence immédiatement, afin de pouvoir réagir rapidement en cas d'urgence.Que se passe-t-il si nous subissons une attaque de ransomware?que se passe-t-il si nos sauvegardes sont effacées?que se passe-t-il si quelqu'un nous informe que nous avons un agresseur dans notre réseau?la sécurité est un processus complet et chronophage qui nécessite des soins et des corrections en continu. Des logiciels qui détectent les anomalies initiales et des experts MDR (Managed Detection and Response) qui identifient et stoppent les attaques 24 heures sur 24 et limitent les dommages pour les systèmes sont les bases essentielles d'une prévention et d'une défense modernes contre les cyberattaques.