top of page
Rechercher

Comment pensent les hackers : vous serez attaqué

  • Terry Telford
  • 4 août
  • 12 min de lecture

 

Icône verte représentant une silhouette encapuchonnée avec un ordinateur portable, évoquant un thème secret ou hacker. Arrière-plan et silhouette dans des tons verts.
It's not a matter of if you will be targeted by cybercriminals, it's when

La dure réalité pour les petites et moyennes entreprises (PME) est la suivante : la question n'est pas de savoir si elles seront ciblées par les cybercriminels, mais quand . L'idée réconfortante que votre entreprise est « trop petite pour compter » est une illusion dangereuse, un mirage que les pirates informatiques exploitent facilement. Des rançongiciels paralysant les opérations aux violations de données érodant la confiance des clients, le paysage des menaces se concentre de plus en plus sur les organisations de toutes tailles.


Comprendre les tactiques de vos ennemis vous permet de protéger votre entreprise et de garder une longueur d'avance sur les acteurs malveillants. En vous mettant dans la peau d'un hacker et en décortiquant sa méthodologie d'attaque à travers le prisme du référentiel MITRE ATT&CK, reconnu mondialement, vous pouvez renforcer vos défenses de manière proactive et affronter le cyberespace avec plus de confiance.


Les pirates informatiques ne sont pas des agents destructeurs chaotiques ; ils sont souvent méthodiques et stratégiques. Ils suivent une série d'étapes bien définies pour atteindre leurs objectifs, à l'instar d'un cambrioleur planifiant et exécutant méticuleusement une intrusion. Pour mieux comprendre ce processus, les professionnels de la cybersécurité font souvent référence au concept de « cyber kill chain », soit la progression séquentielle d'une attaque. Fort de ce constat, le référentiel MITRE ATT&CK fournit une base de connaissances complète et détaillée sur ces tactiques et techniques adverses, offrant un langage et une structure communs pour comprendre les mécanismes complexes des attaquants à travers les différentes étapes d'une attaque. En comprenant ces 14 catégories, les PME peuvent acquérir des connaissances précieuses pour anticiper, détecter et répondre aux cybermenaces.


Les 14 étapes d'une attaque : le manuel du hacker et votre défense


1. Reconnaissance : la phase de reconnaissance

  • Objectif du hacker : recueillir un maximum de renseignements sur votre organisation, ses employés, son infrastructure technologique et sa présence en ligne. Imaginez un cambrioleur inspectant minutieusement une maison à la recherche de vulnérabilités et de points d'entrée.

  • Processus du pirate informatique : Les pirates informatiques fouillent activement vos informations publiques. Cela inclut la page « À propos » de votre site web, les profils d'employés sur LinkedIn et d'autres plateformes de réseaux sociaux, les archives publiques, les offres d'emploi révélant votre infrastructure technologique, et même des informations apparemment anodines partagées sur les réseaux sociaux de l'entreprise. Ils recherchent les noms des employés, le format des adresses e-mail, les versions des logiciels que vous utilisez et toute configuration réseau publiquement exposée. Dans certains cas, ils peuvent même recourir à la reconnaissance physique, comme la fouille de poubelles, pour trouver des documents abandonnés susceptibles de contenir des informations sensibles.

  • Votre défense : Soyez attentif aux informations que vous publiez. Effectuez régulièrement des recherches d'auto-identification en ligne sur votre entreprise, comme le ferait un attaquant, afin de comprendre votre empreinte numérique. Mettez en place une formation complète de sensibilisation des employés, en insistant sur les dangers du partage excessif d'informations personnelles et professionnelles en ligne, ainsi que sur les risques liés aux tentatives d'ingénierie sociale qui exploitent souvent des informations accessibles au public.


2. Développement des ressources : construire l'arsenal

  • Objectif du pirate : créer, acquérir ou compromettre les ressources nécessaires à l'attaque. C'est comme un cambrioleur qui rassemble ses outils, ses crochets, ses pieds-de-biche et son véhicule pour s'enfuir.

  • Processus du pirate informatique : cela peut impliquer l'enregistrement de noms de domaine trompeurs qui ressemblent étroitement à ceux de votre entreprise (pour des campagnes de phishing), l'achat de listes d'identifiants d'employés volés sur le dark web, le développement ou l'acquisition de logiciels malveillants facilement disponibles (kits de ransomware, enregistreurs de frappe) ou la compromission de services tiers légitimes qui peuvent être utilisés dans le cadre de leur infrastructure d'attaque, tels que des comptes de messagerie ou un stockage cloud compromis.

  • Votre défense : Surveillez proactivement les nouveaux enregistrements de domaines similaires à celui de votre entreprise. Investissez dans des solutions de sécurité de messagerie fiables, capables de détecter et de bloquer les tentatives d'hameçonnage sophistiquées avant qu'elles n'atteignent vos employés. Soyez extrêmement prudent avec les logiciels ou outils non sollicités, en vous assurant que tous les logiciels proviennent de sources fiables.


3. Accès initial : mettre un pied dans la porte

  • Objectif du pirate : établir une première intrusion dans votre réseau ou sur l'un de vos systèmes. C'est à ce moment-là que le cambrioleur trouve une fenêtre déverrouillée ou crochete la serrure de la porte d'entrée.

  • Processus du pirate informatique : les méthodes d'accès initiales les plus fréquentes incluent : des e-mails de phishing très ciblés contenant des liens malveillants ou des pièces jointes infectées conçues pour inciter les employés à cliquer ou à télécharger ; l'exploitation de vulnérabilités connues dans des applications publiques telles que le site Web de votre entreprise, le VPN (Virtual Private Network) ou le protocole RDP (Remote Desktop Protocol) s'ils ne sont pas correctement sécurisés ; ou l'exploitation d'informations d'identification d'employés faibles, par défaut ou volées pour les services d'accès à distance.

  • Votre défense : mettez en œuvre des mesures de sécurité de messagerie robustes, notamment le filtrage du spam, des outils anti-hameçonnage et le sandboxing. Appliquez des mots de passe forts et uniques pour tous les comptes utilisateurs et, surtout, implémentez l'authentification multifacteur (MFA) sur tous les services accessibles, notamment pour la messagerie, le VPN et le RDP. Appliquez régulièrement des correctifs et des mises à jour à tous les systèmes et logiciels accessibles au public afin de corriger les vulnérabilités de sécurité connues.


4. Exécution : exécution du code malveillant

  • Objectif du pirate : exécuter son code malveillant sur le système compromis afin d'atteindre ses objectifs. C'est à ce moment-là que le cambrioleur commence à utiliser ses outils à l'intérieur de la maison.

  • Processus du pirate informatique : cela peut impliquer qu'un utilisateur ouvre sans le savoir une pièce jointe malveillante dans un e-mail, déclenchant l'exécution d'un logiciel malveillant ; un script s'exécutant automatiquement après avoir exploité une vulnérabilité sur un serveur Web ; ou des attaquants utilisant des outils d'administration système légitimes déjà présents sur vos systèmes (comme PowerShell ou l'invite de commande, souvent appelés tactiques de « vivre de la terre ») pour exécuter leurs commandes malveillantes.

  • Votre défense : Déployez des solutions antivirus et de détection et de réponse aux terminaux (EDR) de nouvelle génération capables de détecter et de bloquer l'exécution de codes malveillants en fonction du comportement. Sensibilisez vos employés aux dangers liés à l'ouverture de fichiers suspects ou à la consultation de liens inattendus. Envisagez la mise en place de listes blanches d'applications pour les systèmes critiques afin de limiter l'exécution aux seuls logiciels autorisés.


5. Persistance : maintenir l'accès

  • Objectif du pirate : conserver l'accès à vos systèmes compromis même si vous redémarrez la machine, modifiez les mots de passe ou mettez en œuvre d'autres mesures défensives. Le pirate s'assure ainsi de pouvoir revenir si le point d'entrée initial est découvert.

  • Processus du pirate informatique : les attaquants peuvent créer de nouveaux comptes d'utilisateurs cachés avec des privilèges administratifs ; modifier les configurations de démarrage du système afin que leur code malveillant s'exécute automatiquement à chaque démarrage de l'ordinateur ; planifier des tâches malveillantes à exécuter à des intervalles spécifiques ; ou installer des portes dérobées qui leur permettent de récupérer l'accès à distance.

  • Votre défense : effectuez des audits réguliers des comptes utilisateurs afin d'identifier tout ajout non autorisé. Surveillez en permanence les fichiers système critiques et les configurations de démarrage pour détecter toute modification inattendue. Mettez en place et appliquez des contrôles d'accès stricts et révisez régulièrement ces autorisations.


6. Escalade des privilèges : acquérir une autorité supérieure

  • Objectif du pirate : élever ses droits d'accès du compte utilisateur initialement compromis à un niveau d'autorité supérieur, idéalement en obtenant des privilèges d'administrateur ou de système. Cela lui permet de contrôler davantage de vos systèmes.

  • Processus du pirate informatique : les attaquants peuvent exploiter les vulnérabilités logicielles de vos systèmes d'exploitation ou de vos applications, exploiter les erreurs de configuration des paramètres système ou des autorisations des applications, ou exploiter les faibles autorisations de service pour obtenir un accès de niveau supérieur.

  • Votre défense : Priorisez et implémentez un processus rigoureux de gestion des correctifs pour tous les logiciels et systèmes d'exploitation. Adhérez au principe du « moindre privilège », en veillant à ce que les utilisateurs et les applications ne disposent que du niveau minimal d'autorisations nécessaires à l'exécution de leurs tâches légitimes. Effectuez régulièrement des analyses de vulnérabilité de votre réseau et de vos systèmes internes afin d'identifier et de corriger les faiblesses potentielles.


7. Évasion défensive : se cacher de la détection

  • Objectif du pirate : éviter d'être détecté par vos outils de sécurité (antivirus ou pare-feu) et empêcher votre équipe de sécurité (si vous en avez une) de remarquer son activité. Il s'agit d'un cambrioleur qui tente de se déplacer silencieusement et d'éviter de déclencher les alarmes.

  • Processus du pirate informatique : cela peut impliquer la désactivation ou le contournement d'un logiciel antivirus, l'utilisation d'un code obscurci ou crypté pour rendre leurs logiciels malveillants plus difficiles à analyser, l'utilisation d'outils système légitimes (binaires « vivant de la terre » ou LOLBins) pour effectuer des actions malveillantes (car ces outils sont souvent sur liste blanche), ou le cryptage de leur trafic de commande et de contrôle (C2) pour masquer leur communication avec des serveurs externes.

  • Votre défense : Mettez en œuvre des mesures de sécurité multicouches. Ne vous fiez pas à un seul produit de sécurité. Utilisez les fonctionnalités de surveillance comportementale de vos outils de sécurité pour détecter les activités inhabituelles ou suspectes, même si elles impliquent l'utilisation malveillante d'outils légitimes. Formez vos employés à reconnaître et à signaler tout comportement inhabituel du système, car cela peut être un indicateur précoce de compromission.


8. Accès aux informations d'identification : vol des informations de connexion

  • Objectif du pirate : voler des noms d’utilisateur, des mots de passe et d’autres informations d’authentification qui lui permettront de se déplacer latéralement au sein de votre réseau et d’accéder à des données sensibles.

  • Processus du pirate informatique : les techniques courantes incluent l'enregistrement des frappes au clavier (enregistrement silencieux des frappes au clavier), le vidage des informations d'identification de la mémoire système (par exemple, l'extraction des hachages de mot de passe du processus LSASS sur les systèmes Windows), le reniflage du réseau (capture des informations de connexion non chiffrées transmises sur le réseau) ou la tromperie des utilisateurs pour qu'ils révèlent leurs informations d'identification via des tactiques sophistiquées de phishing ou d'ingénierie sociale.

  • Votre défense : implémentez l'authentification multifacteur (MFA) sur tous les services qui la prennent en charge. Appliquez des politiques de mots de passe robustes, complexes et uniques pour tous les comptes utilisateurs. Envisagez la mise en œuvre de solutions de gestion des accès privilégiés (PAM) pour contrôler et surveiller étroitement l'accès aux comptes administratifs hautement sensibles.


9. Découverte : Cartographie de l'environnement

  • Objectif du hacker : comprendre l'architecture de votre réseau interne, identifier les systèmes connectés, découvrir les lecteurs partagés et les serveurs de fichiers, et localiser les données importantes. Il s'agit du cambrioleur qui cartographie l'intérieur de la maison à la recherche d'objets de valeur.

  • Processus du pirate informatique : les attaquants exécutent souvent des outils d'analyse réseau pour identifier les hôtes actifs et les ports ouverts, interrogent Active Directory (si vous l'utilisez) pour collecter des informations sur les utilisateurs et les groupes, répertorient les fichiers et les répertoires sur les systèmes compromis et les partages réseau, et tentent d'identifier les serveurs ou bases de données critiques qui contiennent des informations précieuses.

  • Votre défense : Mettez en œuvre la segmentation du réseau pour le diviser en zones isolées et limiter ainsi l'impact potentiel d'une violation. Configurez des pare-feu basés sur l'hôte sur chaque système pour restreindre les connexions réseau non autorisées. Activez et surveillez activement les journaux de sécurité pour détecter toute activité d'analyse réseau inhabituelle ou toute tentative suspecte d'accès aux informations d'annuaire.


10. Mouvement latéral : élargir l'emprise

  • Objectif du pirate : se déplacer du système initialement compromis vers d'autres machines et serveurs de votre réseau. Cela lui permet d'atteindre des cibles plus précieuses et d'échapper à la détection.

  • Processus du pirate informatique : les attaquants peuvent utiliser des informations d'identification volées pour se connecter à distance à d'autres postes de travail ou serveurs, exploiter des vulnérabilités non corrigées sur des systèmes internes pour « sauter » entre eux ou exploiter des protocoles d'accès à distance comme RDP pour naviguer sur votre réseau.

  • Votre défense : Appliquez une authentification forte (y compris l'authentification multifacteur, même pour les systèmes internes lorsque cela est possible). Mettez en œuvre des politiques de sécurité RDP strictes, telles que la limitation de l'accès aux seuls utilisateurs nécessaires et l'utilisation de mots de passe forts et de l'authentification multifacteur. Renforcez la segmentation du réseau pour contenir les failles et limiter les mouvements latéraux. Déployez des solutions EDR sur tous les terminaux, car ces outils sont conçus pour détecter et alerter sur les techniques de mouvements latéraux suspects.


11. Collecte : collecte des données cibles

  • Objectif du pirate : localiser et rassembler les données spécifiques qu’il souhaite voler, souvent en les regroupant dans une zone de stockage temporaire avant l’exfiltration. Le cambrioleur récupère alors les bijoux et autres objets de valeur.

  • Processus du pirate : Il peut s'agir de rechercher des documents sensibles, des dossiers financiers, des bases de données clients, des informations de propriété intellectuelle ou des informations personnelles sur vos employés. Une fois localisés, ces fichiers peuvent être compressés ou archivés pour optimiser le processus d'exfiltration.

  • Votre défense : Mettez en place des contrôles d'accès stricts et des politiques de prévention des pertes de données (DLP) basées sur le principe du « besoin d'en connaître ». Surveillez les activités de création, de modification ou de transfert de fichiers volumineux ou inhabituels au sein de votre réseau. Sauvegardez régulièrement toutes vos données critiques dans des emplacements hors site sécurisés, isolés de votre réseau principal.


12. Exfiltration : vol de données

  • Objectif du pirate : extraire les données collectées de votre réseau compromis vers ses propres systèmes ou une infrastructure contrôlée en dehors de votre organisation.

  • Processus du pirate informatique : les attaquants peuvent transférer les données volées via des protocoles Internet courants tels que FTP ou HTTP/S vers des serveurs externes qu'ils contrôlent, exploiter des services de stockage cloud ou établir des tunnels de commande et de contrôle cryptés pour contourner la surveillance de base du réseau et les restrictions du pare-feu.

  • Votre défense : implémentez un filtrage de sortie réseau sur votre pare-feu afin de limiter les connexions sortantes aux seules destinations nécessaires et connues. Envisagez la mise en œuvre de solutions de prévention des pertes de données (DLP) (bien que leur configuration et leur gestion puissent être complexes pour les PME). Surveillez attentivement le trafic réseau pour détecter les transferts de données sortants anormalement importants, susceptibles d'indiquer une exfiltration de données.


13. Commandement et contrôle (C2) : Maintenir la communication

  • Objectif du pirate : établir et maintenir des canaux de communication secrets avec leurs systèmes compromis, leur permettant de contrôler à distance ces systèmes, d'émettre d'autres commandes et potentiellement d'exfiltrer des données.

  • Processus du pirate : Les attaquants tentent souvent de mélanger leur trafic C2 avec une activité réseau légitime en utilisant des protocoles Internet courants comme DNS ou des ports web standard (HTTP/S). Ils peuvent également employer des logiciels malveillants personnalisés dotés de fonctionnalités C2 intégrées, qui utilisent des techniques sophistiquées pour échapper à la détection.

  • Votre défense : implémentez un filtrage DNS et des proxys web pour surveiller et contrôler le trafic internet sortant. Investissez dans des outils d'analyse du trafic réseau qui peuvent vous aider à détecter les schémas de communication anormaux et à identifier les canaux C2 potentiels. Consultez régulièrement les journaux du pare-feu pour détecter les connexions sortantes suspectes ou les requêtes DNS inhabituelles.


14. Impact : Atteindre l'objectif

  • Objectif du pirate informatique : atteindre enfin son objectif ultime, qui implique presque toujours de causer des dommages, de perturber vos opérations commerciales ou d'obtenir un gain financier direct.

  • Processus du pirate informatique : cela peut se manifester par le cryptage de vos données critiques et la demande d'une rançon pour leur publication (ransomware), la destruction de fichiers essentiels, la perturbation de votre capacité à mener vos activités, la dégradation du site Web de votre entreprise ou l'exposition publique d'informations sensibles sur les clients ou les employés.

  • Votre défense : Des sauvegardes de données robustes et régulièrement testées sont absolument essentielles pour se remettre d'attaques destructrices comme les rançongiciels. Élaborez et pratiquez minutieusement un plan de réponse aux incidents décrivant les étapes à suivre en cas d'incident de cybersécurité. Mettez en œuvre un plan de continuité d'activité complet pour garantir la continuité de vos activités, même si certaines parties de votre infrastructure sont compromises. Enfin, envisagez une assurance cybersécurité pour limiter les pertes financières potentielles liées à une cyberattaque.


Votre stratégie de défense proactive : renforcer la résilience


Comprendre les 14 étapes d'une attaque, telles que définies par le référentiel MITRE ATT&CK, ne signifie pas céder à la peur, mais plutôt donner à votre entreprise les moyens de renforcer sa cybersécurité. N'oubliez pas que la cybersécurité n'est pas un achat ponctuel ni une solution à installer et à oublier ; c'est un processus continu d'évaluation, de mise en œuvre et d'adaptation. Concentrez-vous sur la mise en place de contrôles de sécurité fondamentaux : appliquez une authentification forte avec MFA, maintenez un calendrier rigoureux de correctifs pour tous les logiciels, organisez des formations de sensibilisation à la cybersécurité régulières et engageantes pour vos employés et mettez en place des sauvegardes de données fiables et régulièrement testées. En adoptant une approche de sécurité multicouche, vous rendez chaque étape de l'attaque nettement plus difficile à gérer pour les cybercriminels.


Préparez-vous maintenant, protégez votre avenir


L'idée reçue selon laquelle « nous sommes trop petits pour être une cible » est un risque majeur dans le paysage actuel des menaces. En adoptant le point de vue d'un pirate informatique et en comprenant son approche méthodique à travers le prisme du cadre MITRE ATT&CK, vous obtenez des informations précieuses pour protéger proactivement votre entreprise. Chacune des 14 tactiques présentées représente une vulnérabilité potentielle, mais aussi une opportunité de mettre en œuvre une défense solide. Même des efforts modestes et constants, concentrés sur ces domaines clés, peuvent considérablement renforcer la résilience de votre entreprise face aux cyberattaques. Investissez dans votre cybersécurité avec le même engagement que vous consacrez à d'autres aspects critiques de votre entreprise. La préparation proactive n'est plus facultative : c'est la défense la plus efficace contre l'inévitable « quand » une cyberattaque surviendra.

 

bottom of page