Académique Documents
Professionnel Documents
Culture Documents
Introduction
TOM BURT, VICE - PRÉSIDENT, SÉCURITÉ ET CONFIANCE DES CLIENTS
Au cours de l’année écoulée, le monde a été témoin de l’économie florissante de la cybercriminalité et de la LE RAPPORT SUR LA
croissance rapide des services de cybercriminalité. Nous avons vu ce marché mondial croître à la fois en termes
de complexité et de ferveur. Nous avons vu le paysage des cyberattaques devenir de plus en plus sophistiqué
DÉFENSE NUMÉRIQUE
à mesure que les cybercriminels poursuivent, voire développent, leur activité en temps de crise. De nouveaux DE MICROSOFT
niveaux d’attaques de la chaîne d’approvisionnement et de rançongiciels ont été un rappel puissant que nous
S’APPUIE SUR DES
devons tous travailler ensemble, différemment, pour protéger la cybersécurité de la planète.
INFORMATIONS,
Nous considérons que la transparence et le partage défense de l’écosystème numérique et nous inclurons des défenseurs de Microsoft s’efforce d’identifier
d’informations sont essentiels à la protection de des enseignements exploitables que les entreprises, les menaces et d’informer nos clients, les mauvais DES DONNÉES
l’écosystème. Les connaissances apportent la puissance les gouvernements et les consommateurs peuvent acteurs sont qualifiés et implacables. En partageant
et, à cet effet, les professionnels de la sécurité ont utiliser pour sécuriser davantage les individus et les continuellement les enseignements tirés de notre ET DES SIGNAUX
besoin d’informations diverses et rapides sur les environnements. travail, et de celui d’autres acteurs du secteur, nous
menaces auxquelles ils doivent faire face. espérons permettre à chacun de renforcer la défense de PROVENANT DE
Le Rapport sur la défense numérique de Microsoft son écosystème en ligne.
Microsoft sert des milliards de clients dans le monde s’appuie sur des informations, des données et des TOUS LES PRODUITS
entier. Nous sommes donc en mesure de réunir signaux provenant de tous les produits Microsoft, Microsoft a réalisé des investissements importants
les données de sécurité issues d’un large éventail y compris le cloud, les points de terminaison et et continus pour augmenter et améliorer les MICROSOFT, Y
d’entreprises, d’organisations et de consommateurs. la périphérie intelligente.1 Des milliers d’experts connaissances que nous tirons de nos signaux
Informée par plus de 24 000 milliards de signaux en sécurité Microsoft dans 77 pays interprètent et de menaces. Ces investissements fournissent les COMPRIS LE CLOUD,
de sécurité par jour, notre position privilégiée nous contribuent aux informations tirées de nos signaux informations très synthétisées et intégrées que nous
permet d’établir une vision précise de l’état actuel d’ingénierie avancée et de menaces. Nos experts en partageons ici. Notre objectif consiste à regrouper ces LES POINTS DE
de la cybersécurité, y compris des indicateurs qui sécurité incluent des analystes, des chercheurs, des apprentissages pour aider les entreprises à comprendre
nous aident à prédire les prochaines attaques. Avec intervenants, des ingénieurs et des data scientists. Nous comment les cybercriminels changent continuellement
TERMINAISON ET
la création du Rapport sur la défense numérique de partageons également les enseignements tirés de la de mode d’attaque, et à déterminer les meilleurs
Microsoft, notre objectif est de rassembler des données
et des informations intégrées provenant de plus
transition des clients vers une main-d’œuvre hybride et
des témoignages de nos intervenants en cas d’incident.
moyens de lutter contre ces attaques. Nous rédigeons
et partageons ce rapport afin de permettre à la
LA PÉRIPHÉRIE
d’équipes, dans plus de domaines gérés par Microsoft
que jamais. Nous partagerons ce que nous voyons
Il va sans dire que certaines activités malveillantes
passent inaperçues, certaines étant signalées par
communauté mondiale de tirer parti des informations,
des observations et de la transparence générées par
INTELLIGENTE.
pour aider la communauté mondiale à renforcer la d’autres acteurs du secteur. Même si la communauté notre mission et notre point de vue uniques.
1
La collecte de ces signaux est axée sur la confidentialité des clients. Les données que nous recueillons dépendent du contexte de vos interactions avec Microsoft et de vos choix, notamment vos paramètres de confidentialité et les produits et fonctions Rapport sur la défense numérique de Microsoft | Octobre 2021 3
que vous utilisez.
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Nos domaines d’intérêt pour 2021
CHAPITRE 2
L’état de la cybercriminalité
Introduction
Rançongiciels et extorsion
Logiciels malveillants
Domaines malveillants
La cybercriminalité, qu’elle soit parrainée ou autorisée par un État-nation, constitue une menace pour la sécurité nationale. SANS
Les cybercriminels ciblent et attaquent tous les secteurs des infrastructures critiques, notamment les soins de santé et la santé
publique, les technologies de l’information, les services financiers et les secteurs de l’énergie. Les attaques par rançongiciel
CONNAISSANCES
connaissent un succès croissant, paralysant les gouvernements et les entreprises, et les bénéfices liés à ces attaques montent en TECHNIQUES
flèche.
SUR LA MANIÈRE
La chaîne d’approvisionnement de la cybercriminalité, souvent créée par des syndicats du crime, continue de se développer, DE MENER
permettant à quiconque d’acheter les services nécessaires pour mener des activités malveillantes à des fins financières ou UNE ATTAQUE
autres. Des cybercriminels sophistiqués travaillent également toujours pour des gouvernements en faisant de l’espionnage et en
s’entraînant sur le nouveau champ de bataille.
CYBERCRIMINELLE,
UN ACTEUR DE LA
L’économie et les
La situation n’est pas désespérée et nous avons pu observer économie de services spécialisés est apparue et les acteurs
récemment deux tendances positives. Premièrement, les de la menace augmentent l’automatisation pour réduire leurs MENACE AMATEUR
services liés à la
gouvernements et les entreprises sont plus nombreux à se coûts et augmenter leur échelle. Par exemple, nous constatons
manifester lorsqu’ils sont victimes. Cette transparence est utile une offre croissante de proxies de rétroconnexions (proxys qui PEUT ACHETER
cybercriminalité
à plusieurs égards. Elle a fait comprendre aux gouvernements tournent entre les systèmes mobiles, résidentiels et les centres
du monde entier que la cybercriminalité était une menace de données) en plus du protocole de bureau à distance (RDP), UNE GAMME DE
pour la sécurité. Les récits des victimes humanisent et du Secure Shell (SSH), du réseau privé virtuel (VPN), du serveur
rendent claires les conséquences de ces attaques, attirant Grâce à nos enquêtes sur les réseaux de criminalité organisée privé virtuel (VPS), des coquilles web, des cPanels (tableau de SERVICES POUR
l’attention sur le problème et permettant un engagement en ligne, aux enquêtes de première ligne sur les attaques bord de gestion d’hébergement web) et d’autres systèmes
accru des intervenants en cas d’incident et des forces de des clients, à la recherche sur la sécurité et les attaques, au d’anonymisation. MENER SES
l’ordre. Deuxièmement, maintenant que les gouvernements suivi des menaces des États-nations et au développement
du monde entier reconnaissent que la cybercriminalité
constitue une menace pour la sécurité nationale, ils ont
d’outils de sécurité, nous continuons à voir la chaîne D’autres exemples incluent la vente d’informations d’identifi- ATTAQUES EN
d’approvisionnement de la cybercriminalité se consolider et cation compromises qui peuvent avoir été obtenues à partir
fait de la lutte contre ce phénomène une priorité. Dans le
monde entier, les gouvernements adoptent de nouvelles
mûrir. Autrefois, les cybercriminels devaient développer toutes du hameçonnage, du grattage des journaux de botnet ou UN CLIC.
les technologies nécessaires à leurs attaques. Aujourd’hui, ils d’autres techniques de collecte d’informations d’identification,
lois en matière de notification, créent des groupes de travail s’appuient sur une chaîne d’approvisionnement mature, où des des noms de domaine d’imposteur, du hameçonnage en tant
intergouvernementaux, allouent des ressources et sollicitent spécialistes créent des kits et des services de cybercriminalité que service, de la génération de prospects personnalisée (par
l’aide du secteur privé. que d’autres acteurs achètent et intègrent à leurs campagnes. exemple, des victimes par pays, secteur ou rôle),
Rapport sur la défense numérique de Microsoft | Octobre 2021 8
Avec l’augmentation de la demande de ces services, une
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
des charges (logiciel malveillant utilisé pour mettre Il existe parfois des groupes géographiques d’acteurs
Prix moyens des services de cybercriminalité
à jour les logiciels malveillants sur un ordinateur qui peuvent offrir certains services, mais la plupart
infecté), le déni de service (DoS), etc. À titre d’exemple, de ces marchés de la cybercriminalité sont de nature
sur certains marchés, les informations d’identification mondiale. Un acheteur au Brésil peut obtenir des kits
compromises sont proposées par différents ven- de hameçonnage auprès d’un vendeur au Pakistan,
deurs pour un montant allant de 1 USD à 50 USD, en des domaines aux États-Unis, des pistes de victimes au
fonction de diverses variables, notamment la valeur Nigeria et des proxys en Roumanie.
perçue de l’entreprise ciblée. Le nombre de sites pro-
posant des services a considérablement augmenté au Ces prix sont restés assez stables au cours des dernières
cours des 12 derniers mois, de même que le volume années, mais comme sur tout autre marché, ils varient
des informations d’identification et la variété des kits en fonction des changements de l’offre, de la demande
de hameçonnage. et de facteurs externes tels que la politique.
Les organisations doivent désormais faire face à une économie d’attaquants industrialisée, avec une
spécialisation des compétences et un commerce de produits illicites. Comme le montre cet instantané
Toutes les attaques ne fonctionnent pas. Il est des prix moyens, de nombreuses marchandises qui peuvent être achetées sur les marchés noirs sont
essentiel que nous continuions à améliorer nos très bon marché, ce qui réduit le coût des attaques et facilite leur mise en œuvre (tout en augmentant
également le volume des attaques).
défenses pour augmenter le taux d’échec des
attaques et le coût associé pour les attaquants.
extorsion
difficilement imaginables il y a quelques années. préparer et répondre à ces attaques, et contribue à
rançon, car les attaquants risquent non seulement
Pour mettre les choses en perspective, les bénéfices une publication du National Institute of Standards
de laisser les données de la victime chiffrées, mais
Notions de base et taxonomie publiquement déclarés des attaques par rançongiciel
et extorsion donnent à ces attaquants un budget
and Technology (NIST) contenant un profil de cadre
de cybersécurité pour la gestion des risques liés aux
aussi de divulguer des informations sensibles.
des rançongiciels qui rivaliserait probablement avec les budgets des rançongiciels.3
organisations d’attaque des États-nations (sans même Une série d’activités criminelles a lieu bien avant
Les rançongiciels et l’extorsion sont des activités très
compter les bénéfices des attaques qui n’ont jamais fait que le rançongiciel ne soit finalement déployé sur
lucratives et peu coûteuses qui ont un impact débilitant Une attaque par rançongiciel et extorsion implique
les grands titres). les systèmes informatiques d’une organisation. Par
sur les organisations ciblées, la sécurité nationale, la qu’un acteur de la menace déploie un logiciel mal- conséquent, nous avons créé une taxonomie qui se
sécurité économique, la santé et la sécurité publiques.
veillant qui chiffre et exfiltre des données, puis con- concentre sur la relation entre les entités au sein de
Ce qui n’était au départ qu’un simple rançongiciel Pour lutter contre les rançongiciels, une collaboration
serve ces données contre une rançon, en exigeant l’écosystème des rançongiciels, car chaque entité peut
pour un seul PC s’est développé de façon à inclure une mondiale entre le secteur privé, les forces de l’ordre et
souvent un paiement en cryptomonnaie. Au lieu de jouer un rôle différent à un moment donné.
variété de techniques d’extorsion rendues possibles les pouvoirs publics est nécessaire afin de réduire la
par l’intelligence humaine et cela affecte aujourd’hui rentabilité de ce délit, de compliquer l’accès au marché se contenter de chiffrer les fichiers d’une victime et
les réseaux de tous types d’organisations à travers le des rançongiciels et de fournir aux victimes des outils de demander une rançon en échange de la clé de Les attaques par rançongiciel ont évolué vers des
monde. efficaces de prévention et de correction. Microsoft a rançongiciels à commande humaine, également
déchiffrement, les attaquants exfiltrent également
contribué au rapport de la Ransomware Task Force, un appelés « rançongiciels de gros gibier ».
des données sensibles avant de déployer le rançon-
Cette combinaison de renseignements en temps cadre complet conçu pour prendre des mesures dans
giciel. Cette pratique empêche les victimes de se
réel et de tactiques, techniques et procédures (TTP) la lutte contre les rançongiciels.2 Microsoft a également
Fournit l’accès Un logiciel malveillant qui charge d’autres logiciels malveillants ou un groupe qui vend
l’accès en tant que service.
Gère/exploite Direction d’un groupe (comme l’appartenance au cartel MAZE) et/ou fonction qui assure la
coordination (comme la gestion ou l’exploitation d’un site central de fuites d’extorsion)
2
https://securityandtechnology.org/ransomwaretaskforce/report/ 3
https://aka.ms/humanoperated Rapport sur la défense numérique de Microsoft | Octobre 2021 10
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Par exemple, comme le montre l’image de droite, un fournira souvent à la victime un rapport comprenant la Analyse des rôles et des relations entre les entités au sein de l’écosystème des rançongiciels.
acteur de la menace peut développer et déployer un cause profonde, le mouvement des acteurs criminels
logiciel malveillant qui donne à un acteur de la menace dans le réseau de la victime, l’exposition et l’exfiltration
l’accès à une certaine catégorie de victimes, tandis des données, ainsi que des recommandations de
qu’un autre acteur de la menace peut simplement correction.
déployer un logiciel malveillant.
En fonction de la juridiction dont dépend la victime,
modèle économique en
mutation
Le modèle économique des rançongiciels
s’est efficacement transformé en opération de L’ENTREPRISE DE
renseignement. Les acteurs criminels effectuent des
recherches sur leur victime cible afin d’établir une RANÇONGICIEL
demande de rançon optimale. Une fois qu’un acteur
criminel a infiltré un réseau, il peut exfiltrer et étudier
des documents financiers et des polices d’assurance. Il
A ÉVOLUÉ VERS
peut également comprendre les sanctions associées aux
lois locales sur les infractions. Les acteurs extorqueront
UN SERVICE DE
ensuite de l’argent à leurs victimes, non seulement pour
débloquer leurs systèmes, mais aussi pour empêcher
RANÇONGICIEL
la divulgation au public de leurs données. Après avoir
recueilli et analysé ces renseignements, l’acteur criminel
BASÉ SUR LES
RENSEIGNEMENTS
détermine le montant« approprié » de la rançon.
Il y a peu de barrières à l’entrée de cette entreprise Quel que soit l’endroit où le rançongiciel est déployé, ENCADRÉ : PAYER OU NE PAS PAYER ? la recherche et le développement (R&D), afin
criminelle. Un cybercriminel n’a pas besoin les auteurs de la menace demandent généralement un À la suite d’une attaque par rançongiciel, les entreprises d’améliorer leurs outils et leur capacité à acheter
de compétences spécialisées en matière de paiement en cryptomonnaie via des portefeuilles de sont souvent complètement déconnectées : leurs l’accès aux failles des organisations victimes
développement de code pour tirer profit de ce délit. cryptomonnaie. Bien que la technologie de blockchain systèmes de sécurité sont altérés, leurs systèmes potentielles. Certaines équipes de rançongiciel
L’entreprise de rançongiciel a évolué vers un service de sous-jacente facilite la transparence des flux de de sauvegarde sont supprimés, leurs données sont disposent de fonds importants pour la R&D et
rançongiciel basé sur les renseignements humains et cryptomonnaies, les propriétaires des portefeuilles chiffrées et leurs utilisateurs ne peuvent pas se l’achat de jours 0 haut de gamme. Par exemple,
la recherche. Elle n’est plus uniquement l’apanage des restent pseudonymisés. Néanmoins, ils doivent encore connecter. Lorsque les opérations sont hors ligne et que certaines équipes de rançongiciels disposent
développeurs de logiciels malveillants, mais implique trouver des entrées et des sorties dans l’écosystème les pertes s’accumulent, il est important de se rappeler d’un budget leur permettant de dépenser
une structure commerciale plutôt modulaire. Les des cryptomonnaies. À la base, l’acteur criminel doit que le paiement des demandes de rançon ne garantit jusqu’à 1 million USD, voire plus, par jour 0.
développeurs de logiciels malveillants recrutent des ajouter la blockchain à une transaction et finalement pas le rétablissement des opérations et ne prévient pas Alors que certaines équipes spécialisées dans
pirates ayant accès aux réseaux en leur promettant une trouver un moyen d’encaisser le paiement. Il existe les attaques futures. les rançongiciels haut de gamme achètent des
« part » des bénéfices. Les criminels peuvent acheter plusieurs parties prenantes au sein de l’écosystème jours 0, d’autres se concentrent sur les moyens
des logiciels malveillants et un accès à des réseaux des cryptomonnaies qui facilitent les transactions et les De plus, nous sommes face à la « tragédie du bien traditionnels d’accéder à distance aux réseaux des
spécifiques, et cibler des secteurs particuliers. Il s’agit paiements liés aux rançons. Ces intermédiaires existent commun » . Bien qu’il puisse être logique pour les
4 victimes.
en fait d’un syndicat du crime où chaque membre est souvent dans des États où les gouvernements sont victimes individuelles de payer pour leur propre • Les outils de rançongiciel deviennent plus
payé pour une expertise particulière. historiquement peu disposés à coopérer avec les États- bénéfice (restaurer des opérations commerciales automatisés et plus efficaces, ce qui permet aux
Unis et d’autres pays. Ce sont ces intermédiaires qui critiques), le paiement contribue également à la mauvais acteurs d’étendre et d’accélérer leurs
Dans l’exemple ci-dessous, en suivant les flux de facilitent le flux des gains mal acquis par l’intermédiaire croissance de ce modèle nuisible pour tout le monde. attaques, avec plus de sophistication et moins
cryptomonnaie, on peut voir qu’une entreprise des rançongiciels. Le secteur privé, par l’entremise Le paiement de rançons peut contribuer au maintien du d’efforts.
criminelle a réparti ses « gains » en bitcoins de de litiges civils, et le gouvernement, par l’entremise cycle, comme décrit ci-dessous :
telle sorte qu’environ 15 % des gains sont allés au de poursuites judiciaires, de l’application de la
• Le modèle économique des extorqueurs est
développeur/responsable et 75 % à l’attaquant. réglementation et de la collaboration internationale,
renforcé, ce qui attire également d’autres mauvais
peuvent prendre des mesures coordonnées contre
acteurs dans la stratégie de monétisation.
les intermédiaires afin de perturber le processus de
Des revenus substantiels sont obtenus par les
paiement.
acteurs qui en utilisent ensuite une partie pour
4
Tragédie des biens communs – Wikipédia Rapport sur la défense numérique de Microsoft | Octobre 2021 14
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Détails importants à connaître avant de prendre la Le paiement d’une rançon alimente les EXEMPLE : LE RANÇONGICIEL CONTI
décision de payer ou non des rançons : syndicats de rançongiciel Le rançongiciel Conti est apparu vers juillet 2020 et a adopté le modèle économique de la double extorsion. Dans
le cadre de ce modèle de double extorsion, une victime est d’abord extorquée en échange d’une rançon et pour
• En moyenne, les entreprises qui ont payé la rançon
éviter la publication éventuelle de ses données volées. Conti est également un rançongiciel en tant que service
n’ont récupéré que 65 % de leurs données, 29 %
(RaaS), c’est-à-dire un service par abonnement permettant aux affiliés du service d’accéder facilement à des outils de
n’en récupérant pas plus de la moitié.5
création de rançongiciel et à des versions. Les affiliés du service s’accordent sur des paiements en pourcentage de
• Les décrypteurs de rançon sont bogués et la rançon entre le développeur du rançongiciel et l’auteur de la menace qui a effectué l’exploitation. Habituellement,
échouent régulièrement à déchiffrer les fichiers de Conti accède au réseau de la victime en passant par d’autres menaces comme Trickbot, IcedID ou Zloader. Une
données les plus volumineux et les plus importants fois à l’intérieur du réseau de la victime, Conti dispose d’un module de reconnaissance configurable qui lui permet
(fichiers de 4 Go et plus). de balayer les réseaux internes à la recherche de partages de réseaux et d’autres cibles de grande valeur. Une fois
• Le déchiffrement des fichiers de données est un déployé, Conti commence à chiffrer les données et les bases de données modifiables par l’utilisateur en fonction de
processus lent et laborieux, la plupart des clients listes d’extensions de fichiers ciblées. Une fois le chiffrement terminé, une note de rançon est laissée dans chaque
ne déchiffrent que leurs fichiers de données les Le paiement d’une rançon donne aux criminels répertoire de fichiers avec des instructions sur la façon de contacter les auteurs du rançongiciel :
plus critiques et restaurent le reste à partir d’une davantage de ressources pour étendre leurs Note de rançon
sauvegarde. opérations, ce qui les aide à devenir plus
• La restauration des données n’annule pas les organisés et spécialisés. Avec davantage de
manipulations effectuées par les attaquants. fonds disponibles, les groupes peuvent améliorer
leurs outils et leur code, ce qui permet aux
• La restauration des données ne permet pas de
rançongiciels de se propager dans les réseaux
sécuriser les systèmes pour prévenir les attaques.
sans être détectés par les logiciels antivirus.
• Les organisations doivent comprendre la légalité
des paiements effectués dans leur pays. Les
gouvernements du monde entier imposent des
obligations de déclaration des paiements de
rançongiciels, peuvent pénaliser les paiements
effectués à des parties sanctionnées et envisagent
d’adopter des lois qui pourraient rendre les
paiements de rançongiciels illégaux.
5
The State of Ransomware 2021 (L’état des rançongiciels) – Sophos News Rapport sur la défense numérique de Microsoft | Octobre 2021 15
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
L’utilisateur doit maintenant télécharger le fichier texte de la note de rançon vers le site de récupération indiqué dans Une fois que la note de rançon a été chargée, une session de chat est lancée.
cette note. La note sert de preuve de chiffrement et d’identification de la victime pour les auteurs du rançongiciel.
La phase de négociation commence avec l’auteur de la menace, qui prouve qu’il peut déchiffrer tous les fichiers fournis
par la victime. Une fois le prix final de la rançon négocié, l’auteur du rançongiciel fournit une adresse de portefeuille de
Bitcoin à la victime pour qu’elle envoie le paiement. Les auteurs du rançongiciel Conti gèrent des sites de récupération
et d’informations sur des domaines de premier niveau ordinaires (comme sur le web ouvert) ainsi que sur le dark web
ou Tor (également connu sous le nom de The Onion Router).
Dans le cadre du modèle commercial de la double extorsion, les acteurs derrière Conti gèrent un site d’actualités, qui
sert de site de publication pour prouver que si la rançon n’est pas payée, les informations privées de la victime seront
publiées et pourraient être vendues sur le marché noir. Le site Conti News répertorie actuellement des centaines de
victimes avec divers exemples de leurs données privées.
Les victimes de Conti se trouvent principalement aux États-Unis et en Europe, et comprennent des écoles publiques,
des prestataires de soins de santé, des entreprises de fabrication, des administrations municipales américaines et
même des fournisseurs de services publics.
Ce que nous voyons dans les données et les signaux des rançongiciels
SIGNAUX DE DÉFENSE
Taux de rencontre des rançongiciels (nombre de machines) : clients d’entreprise Taux de rencontre des rançongiciels (nombre de machines) : tous les clients
Ces graphiques montrent l’augmentation globale des rencontres de rançongiciels, avec une poussée notable des rencontres par les consommateurs et les
entreprises à la fin de 2019,6 lorsque le RaaS a commencé à se développer, et les premiers mois de 2020 au début de la pandémie de COVID-19.7
6
https://www.microsoft.com/security/blog/2019/12/16/ransomware-response-to-pay-or-not-to-pay/ 7
https://www.microsoft.com/security/blog/2020/03/20/protecting-against-coronavirus-themed-phishing-attacks/ Rapport sur la défense numérique de Microsoft | Octobre 2021 17
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
RÉSUMÉ DES RECOMMANDATIONS Utilisez les phases comme un plan de départ pour savoir ce qu’il faut faire en premier, ensuite et plus tard, afin
Les enjeux ont changé. Les rançongiciels et l’extorsion connaissent une croissance massive. Pour aider à protéger votre d’obtenir les éléments ayant le plus d’impact en premier. Ces recommandations ont été classées par ordre de priorité
entreprise contre les rançongiciels, nous vous recommandons de : selon le principe Zero Trust, qui consiste à réduire au minimum le risque commercial en supposant que les attaquants
peuvent réussir à accéder à votre environnement par une ou plusieurs méthodes.
En savoir plus :
3 steps to prevent and recover from ransomware (3 étapes pour prévenir et récupérer des rançongiciels) | Blog de
Microsoft dédié à la sécurité (07/09/2021)
Rapidly protect against ransomware and extortion (Se protéger rapidement contre les rançongiciels et l’extorsion) |
Microsoft Docs (24/08/2021)
Azure Sentinel Fusion Detection for Ransomware (Détection d’Azure Sentinel Fusion pour les rançongiciels) (microsoft.
com) (09/08/2021)
The growing threat of ransomware (La menace croissante des rançongiciels) – Microsoft On the Issues (20/07/2021)
Préparer un plan de récupération en rendant plus difficile l’accès aux systèmes et la perturbation de ceux-ci, ce qui
minimise les incitations monétaires pour les attaquants par rançongiciel et facilite la récupération après une attaque Human-operated ransomware (Rançongiciels exécutés par l’homme) | Microsoft Docs (27/05//2021)
sans payer la rançon.
Ransom mafia analysis of the world’s first ransomware cartel (Analyse de la mafia des rançongiciels du premier cartel de
rançongiciels au monde) (document PDF) (analyst1.com) (07/04/2021)
Limiter l’ampleur des dommages en forçant les attaquants à travailler davantage pour accéder à plusieurs systèmes
critiques pour l’entreprise. Mettez en place un accès de moindre privilège et adoptez les principes Zero Trust. Ces Ransomware Playbook (Manuel des rançongiciels) – Cyber Readiness Institute
mesures font qu’il est plus difficile pour un attaquant qui s’introduit dans un réseau de se déplacer sur le réseau pour
trouver des données précieuses à verrouiller. De plus, chiffrez les données au repos et adoptez une bonne hygiène
de sauvegarde et de restauration. Ainsi, même si des données sont volées, elles seront chiffrées et peu utiles pour les
attaquants. Si, par malheur, l’attaquant parvient à chiffrer vos données, vous disposerez d’une bonne sauvegarde à
partir de laquelle vous pourrez restaurer vos données pour assurer la continuité de vos activités.
Rendre l’entrée plus difficile en suivant des étapes d’hygiène de cybersécurité de base qui compliquent l’accès au
réseau par les attaquants. La plus importante de ces étapes est l’utilisation de l’authentification multifacteur (MFA),
qui est importante pour augmenter la friction à l’entrée, mais qui sera longue à mettre en œuvre dans le cadre d’un
parcours de sécurité plus large. D’autres mesures, comme la mise à jour des correctifs et la configuration correcte,
peuvent être prises pour identifier et fermer les points d’entrée vulnérables.
8
Ransomware Playbook (Manuel des rançongiciels) – Cyber Readiness Institute Rapport sur la défense numérique de Microsoft | Octobre 2021 19
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
hameçonnage et
des adresses e-mail professionnelles (BEC), nous avons BEC, où l’une des parties d’une transaction financière
constaté une grande diversification des méthodes est usurpée pour détourner les paiements vers un
autres e-mails
d’obtention, de vérification et d’utilisation ultérieure destinataire non autorisé. Nos enquêtes ont révélé que
des données d’identification, ce qui pourrait expliquer les acteurs de la menace surveillaient les messages à
malveillants
l’augmentation de la menace. Les auteurs de la menace caractère financier pour trouver une identité à usurper,
augmentent leur automatisation et achètent des outils puis enregistraient des domaines homoglyphes/
pour accroître la valeur de leurs activités criminelles. Les imposteurs pour ressembler à l’adresse électronique
informations d’identification appartenant à des victimes de la personne usurpée. Dans ce cas, la personne dont
Menace contre l’identité sans méfiance peuvent être obtenues sur des sites web les informations d’identification ont été volées ferait en
En 2020, le rapport IC39 du FBI a identifié le de hameçonnage qui se font passer pour une myriade sorte qu’une autre personne devienne une victime.
hameçonnage comme le principal type de délit de services en ligne, en exploitant et en analysant
rapporté par des victimes. Le nombre de signalements automatiquement les journaux des appareils infectés
a doublé par rapport à l’année précédente. Le qui enregistrent les touches tapées sur les claviers pour
hameçonnage constitue une menace importante pour deviner où les informations d’identification d’un service
les entreprises et les particuliers, et le hameçonnage en ligne violé ont été réutilisées sur un autre.
d’informations d’identification a été utilisé dans la
plupart des attaques les plus dommageables de l’année Pour chaque information d’identification, il existe des
dernière. services qui enrichissent les informations sur l’identité
avec des détails supplémentaires sur l’identité de la
personne, notamment son nom, l’entreprise pour
laquelle elle travaille, son rôle, son ancienneté dans
l’entreprise et le secteur associé à l’entreprise. Avec ces
informations, l’identité pourrait être utilisée dans des
attaques BEC, pour envoyer des messages non sollicités
(spam), pour collecter des informations sensibles ou
pour héberger des sites web de hameçonnage sur
des comptes en ligne connexes. Même lors d’une
attaque, les comptes peuvent être revendus après que
des systèmes automatisés ont vérifié qu’ils restaient
compromis.
9
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf Rapport sur la défense numérique de Microsoft | Octobre 2021 20
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
E-mails identifiés comme des tentatives de hameçonnage Ce que nous voyons page de connexion d’Office 365, sans qu’il se soit rendu
compte que des acteurs avaient obtenu ses informations
Types d’e-mails malveillants
d’identification. Pendant ce temps, les informations
Que leur objectif soit d’obtenir des informations
d’identification entrées sont stockées ou envoyées à
d’identification, de rediriger un virement bancaire vers leur
l’attaquant pour être utilisées ou vendues plus tard.
propre compte ou de télécharger un logiciel malveillant
sur un appareil, les attaquants sont les plus susceptibles
Les attaquants utilisent également le hameçonnage par
d’utiliser les e-mails comme vecteur initial d’une campagne.
consentement pour envoyer aux utilisateurs des liens
Si on accorde beaucoup d’attention au hameçonnage
qui, lorsqu’une personne clique dessus, leur accordent
d’informations d’identification, les e-mails malveillants sont
l’accès aux applications et les autorisations liées à celles-
utilisés dans de nombreux types de cyberincidents. Les
ci, par exemple au moyen du protocole d’autorisation
chercheurs en sécurité de Microsoft ont observé les trois
OAuth 2.0. Dans ces cas, les utilisateurs peuvent, sans le
types d’e-mails malveillants les plus courants suivants :
vouloir, accorder aux attaquants des autorisations pour des
applications qui leur permettent d’accéder à une multitude
HAMEÇONNAGE
d’informations sensibles.
Le hameçonnage est le type d’e-mail malveillant le plus
courant observé dans nos signaux de menace. Ces e-mails
Le nombre d’e-mails de hameçonnage observés dans
sont conçus de manière à inciter une personne à partager
le flux de messagerie mondial de Microsoft Exchange
des informations sensibles, comme des noms d’utilisateur
a augmenté au cours de la période de juin 2020 à
Palmarès des dix domaines verticaux les plus touchés par le hameçonnage et des mots de passe, avec un attaquant. Pour ce faire, les
juin 2021. Nous avons constaté une forte augmentation
(Defender detections, juin 2021) attaquants rédigent des e-mails en utilisant divers thèmes,
en novembre, potentiellement liée au hameçonnage sur le
comme des outils de productivité, des réinitialisations
thème des Fêtes, et une diminution ultérieure pendant les
de mot de passe ou d’autres notifications en ajoutant un
vacances d’hiver aux États-Unis, ce qui pourrait indiquer
sentiment d’urgence pour inciter l’utilisateur à cliquer sur
que les attaquants envoient moins de messages lorsqu’un
un lien.
grand nombre de personnes ne travaillent pas.
E-mails comportant un logiciel malveillant par semaine DIFFUSION DE LOGICIELS MALVEILLANTS l’e-mail pour permettre au destinataire d’ouvrir les fichiers
La diffusion de logiciels malveillants est un autre exemple et de télécharger le logiciel malveillant. En utilisant ces
de la façon dont les acteurs des menaces utilisent les fichiers d’archive pour héberger le document malveillant
e-mails pour atteindre leurs objectifs. Diverses variantes (souvent un fichier Excel ou Word), les attaquants peuvent
de logiciels malveillants, comme Agent Tesla, IcedID, utiliser un fichier d’archive unique pour chaque destinataire,
Trickbot et Qakbot, se servent des e-mails comme ce qui complique la tâche des défenseurs lorsqu’il s’agit
principale méthode de distribution. Ces e-mails utilisent d’évaluer pleinement une campagne.
des liens ou des pièces jointes pour diffuser des logiciels
malveillants et utilisent souvent des techniques similaires Fait intéressant, entre juillet 2020 et juin 2021, nous avons
à celles des e-mails de hameçonnage. Par exemple, les observé une tendance générale à la baisse du nombre d’e-
e-mails de diffusion de logiciels malveillants et les e-mails mails contenant des logiciels malveillants, ce qui indique
de hameçonnage peuvent utiliser des liens qui renvoient que les attaquants utilisent peut-être d’autres moyens
à un test CAPTCHA pour échapper à la détection des d’entrée. De plus, quelques démantèlements notables de
technologies de sécurité. logiciels malveillants, à savoir Trickbot et Emotet, ont pu
contribuer à cette baisse globale. Un pic important en
Étant donné que les logiciels malveillants ne dépendent pas octobre est associé à la distribution de ces variantes de
On constate une tendance générale à la baisse du nombre d’e-mails comportant des logiciels malveillants.
de l’interaction avec l’utilisateur comme le hameçonnage, logiciels malveillants, et la diminution rapide qui suit le
les attaquants peuvent concevoir leur diffusion de manière pic correspond au moment où Trickbot a été retiré par
Palmarès des 15 plus importantes détections par Defender (juin 2021)
à ce qu’elle soit moins visible par l’utilisateur. Par exemple, Microsoft.
lorsqu’ils utilisent des pièces jointes comme méthode de
diffusion, les attaquants peuvent utiliser un document Les logiciels malveillants que les attaquants distribuent
leurre avec des macros qui, lorsqu’elles sont activées par le par e-mail changent régulièrement pour diverses raisons,
destinataire, téléchargent le logiciel malveillant en arrière- notamment les démantèlements de logiciels malveillants et
plan à l’insu de l’utilisateur. L’utilisateur peut alors penser les objectifs des attaquants. Comme le montre le graphique
que le document est défectueux ou qu’il ne lui est pas sur les détections de Defender pour le mois de juin 2021, le
destiné, et il peut ignorer complètement qu’un logiciel logiciel malveillant le plus prolifique observé par Microsoft
malveillant est exécuté sur son appareil. était Agent Tesla, un logiciel espion voleur d’informations
d’identification. Le deuxième logiciel malveillant le plus
Une des méthodes les plus courantes de diffusion de observé, Tisifi, qui identifie les pièges de l’ingénierie
logiciels malveillants observées l’année dernière est le sociale, n’a été vu qu’un tiers du temps par rapport à Agent
recours à des fichiers d’archives protégés par un mot de Tesla. EncDoc et CVE-2017-11882, qui arrivent en troisième
passe. Ces e-mails contiennent des fichiers d’archives, et cinquième positions, indiquent que les attaquants
comme des pièces jointes ZIP, qui sont protégés par mot privilégient toujours les documents malveillants comme
de passe, afin d’empêcher les technologies de sécurité de méthode courante de diffusion de diverses menaces. La
les faire exploser et de les analyser. Cependant, les mots de quatrième détection principale,
Les logiciels espions conçus pour voler des informations d’identification ont été le type de logiciel passe de ces fichiers sont souvent inclus dans le corps de
malveillant le plus couramment observé dans les e-mails et ils ont été détectés trois fois plus souvent
que le deuxième type de détection le plus fréquent.
Rapport sur la défense numérique de Microsoft | Octobre 2021 22
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
HTML/Hameçonnage n’inclut que les e-mails de comme récompense pour ses collaborateurs. Le Détection du hameçonnage en ligne Les domaines créés spécifiquement pour des attaques
hameçonnage qui utilisent une pièce jointe HTML. Ces destinataire est généralement invité à envoyer les L’année dernière, les attaques de hameçonnage en ont tendance à être actifs pendant des périodes
types de hameçonnage prennent souvent la forme de cartes-cadeaux numériques à l’attaquant une fois ligne ont continué à devenir plus sophistiquées. Les kits plus courtes, et avec moins d’adresses électroniques
faux messages de hameçonnage sur les boîtes vocales. qu’elles ont été achetées, mais nous avons également de hameçonnage utilisés dans le cadre des attaques malveillantes, que les attaques qui utilisent une
vu des attaquants demander à l’utilisateur d’acheter par hameçonnage en ligne utilisent généralement des infrastructure légitime. Au cours de l’année dernière,
COMPROMISSION DES E-MAILS D’ENTREPRISE des cartes-cadeaux physiques et d’envoyer une photo images, du contenu contextuel et d’autres techniques Microsoft SmartScreen a constaté une augmentation
Bien qu’il ne s’agisse pas du type d’e-mail malveillant le du code au dos de la carte, ce qui permet à l’attaquant avancées pour éviter la détection. Nos modèles de des attaques qui commencent et se terminent en
plus prolifique en termes de quantité, les BEC se sont de les revendre en ligne ou de les échanger contre des machine learning (ML) et nos heuristiques de réseau
l’espace d’une heure ou deux.
avérés être le type de cybercriminalité ayant le plus cryptomonnaies. doivent évoluer en permanence pour maintenir une
d’impact financier.10 Les BEC se produisent lorsqu’un protection efficace. Le langage utilisé par les attaquants
attaquant se fait passer pour un compte commercial La fraude par virement bancaire est un type de s’est également considérablement amélioré ; les Techniques d’e-mails
conseils donnés autrefois aux utilisateurs de rechercher
légitime, en utilisant une adresse électronique com-
promise, un domaine similaire qu’il a enregistré ou un
BEC beaucoup plus sophistiqué et plus dangereux
financièrement. Dans ce type de BEC, les acteurs les fautes d’orthographe et de grammaire sont
malveillants
service d’e-mail gratuit tel que Hotmail ou Gmail, et s’insèrent dans des transactions financières prévues et désormais moins efficaces, en particulier contre les Les attaquants se sont adaptés au fil du temps pour
envoie des e-mails conçus pour inciter les destinataires demandent au destinataire de modifier les informa- attaques ciblées et plus avancées. Les kits modernes créer des e-mails plus susceptibles d’échapper aux
à effectuer une action financière, à communiquer des tions du compte bancaire sur un virement bancaire. sont suffisamment sophistiqués pour se faire passer détections et aux protections en utilisant des e-mails
informations sensibles ou à fournir des biens, tels que Les acteurs se font passer pour le destinataire des pour un contenu légitime avec leur utilisation de qui semblent légitimes d’un point de vue professionnel.
des cartes-cadeaux, à l’attaquant. fonds, ce qui n’a rien d’extraordinaire pour la vic- l’orthographe, de la grammaire et de l’imagerie. Les défenseurs doivent protéger l’entreprise, mais
time. Une fois que la victime a transféré l’argent sur ils ont également le devoir de maintenir le flux des
le nouveau compte, les auteurs le retirent et il peut Les hameçonneurs s’appuient de plus en plus sur des activités, et les attaquants s’appuient sur ce fait pour
Le type de BEC le plus courant observé par Microsoft
être difficile de le récupérer. Les entreprises peuvent infrastructures légitimes, mais ce schéma ne représente se frayer un chemin. Au cours d’année écoulée, les
au cours de l’année écoulée est l’escroquerie aux
contribuer à éviter ce type d’escroquerie en veillant à encore qu’une minorité des attaques de hameçonnage chercheurs en sécurité de Microsoft ont observé que
cartes-cadeaux. Dans le cadre de ces escroqueries,
ce que les politiques financières exigent une vérifica- détectées. Microsoft SmartScreen a détecté plus d’un les attaquants utilisaient de nombreuses techniques
les attaquants créent généralement une multitude
tion pour tout changement de compte. Les collab- million de domaines uniques utilisés dans des attaques dans plusieurs campagnes d’e-mails malveillants afin de
de comptes de messagerie gratuits, en changeant le
orateurs du service financier doivent vérifier par un de hameçonnage en ligne l’année dernière, dont les donner aux e-mails une apparence plus légitime, tant
nom d’affichage en fonction de la cible, bien que les
moyen autre que l’e-mail, par exemple à partir d’un domaines compromis représentaient un peu plus de pour les utilisateurs finaux que pour les technologies de
attaquants aient également enregistré leurs propres
numéro de téléphone connu et fiable du destinataire, 5 %. Ces 5 % de domaines hébergent généralement des protection.
domaines pour ces attaques ou aient créé des comptes
de messagerie gratuits spécifiques à la cible. Ils se avant d’effectuer des changements de numéro de attaques de hameçonnage sur des sites web légitimes
font ensuite passer pour une personne avec laquelle compte demandés par e-mail. De plus, l’utilisation des sans perturber le trafic légitime, afin que leur attaque
le destinataire travaille (généralement son patron fonctions de protection contre l’usurpation d’identité reste cachée le plus longtemps possible.
ou un cadre de son entreprise) et lui demandent dans les produits de sécurité de l’e-mail peut con-
d’acheter des cartes-cadeaux (souvent avec les fonds tribuer à empêcher les attaquants de mener à bien ce
de l’entreprise). Ces e-mails suggèrent souvent que type d’escroquerie.
l’expéditeur souhaite se les procurer comme cadeau
d’anniversaire pour un membre de sa famille ou
10
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf; https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/ Rapport sur la défense numérique de Microsoft | Octobre 2021 23
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Quelques techniques courantes observées au cours de l’année écoulée : UTILISATION ABUSIVE D’UNE INFRASTRUCTURE LÉGITIME
EXPÉDITEURS COMPROMIS > SERVICES COMPROMIS Les défenseurs ont souvent demandé à leurs utilisateurs finaux de vérifier la légitimité de certains aspects d’un e-mail
Depuis des années, les attaquants utilisent des expéditeurs compromis pour perpétuer les chaînes d’e-mails de avant d’interagir avec celui-ci, comme l’expéditeur et les liens qu’il contient. Ce conseil est toujours valable, mais
hameçonnage, en utilisant le compte de messagerie de la victime pour envoyer d’autres e-mails de hameçonnage. Bien parfois les liens et les expéditeurs peuvent sembler légitimes alors qu’ils contiennent des contenus malveillants. Les
que cette méthode soit encore extrêmement répandue, de nombreuses entreprises ont commencé à utiliser la MFA, ce attaquants utilisent désormais des infrastructures légitimes pour masquer le contenu malveillant de leurs e-mails. Pour
qui en réduit l’efficacité. Les attaquants adaptent donc leurs méthodes pour commencer à compromettre des services les adresses d’expéditeur, les attaquants peuvent enregistrer des locataires à l’essai pour des services tels qu’Office
de messagerie entiers, comme lorsque NOBELIUM a eu accès à une solution de marketing par e-mail qui a permis à 365, ce qui donne à leur e-mail une apparence beaucoup plus légitime. En outre, les attaquants utilisent des moyens
l’attaquant d’envoyer des messages en utilisant plusieurs adresses légitimes.11 pour masquer le domaine malveillant dans un e-mail, soit en utilisant des redirections ouvertes à partir de domaines
légitimes, soit en trompant des plateformes d’hébergement légitimes telles que Google Drive ou OneDrive. Dans ces
E-mail de hameçonnage utilisant un service compromis au nom d’entreprises légitimes cas, il peut être difficile pour les utilisateurs de savoir si un e-mail est légitime ou malveillant.
11
https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/ Rapport sur la défense numérique de Microsoft | Octobre 2021 25
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Hameçonneurs secrets : Cette stratification du monde de la cybercriminalité hameçonneurs prêts à l’emploi ont été largement
constitue une menace accrue pour l’infrastructure des considérés comme des codeurs de bas niveau par
l’économie cachée des kits de entreprises, car les auteurs de kits de hameçonnage rapport à l’auteur du kit de hameçonnage, beaucoup
hameçonnage sophistiqués sont plus compétents techniquement que les plus sophistiqué, et au cerveau de l’opération globale.
hameçonneurs et ont une portée beaucoup plus large
Les milieux de la recherche et des affaires pensent
par ordre de grandeur. L’anonymat du dark web permet
depuis longtemps que les informations d’identification
cette technique. Le hameçonnage est généralement
des victimes sont transmises à la personne (ou au
connu comme un stratagème dans le cadre duquel
groupe) qui mène les campagnes de hameçonnage.
un hameçonneur (ou un groupe de hameçonneurs)
Les chercheurs de la communauté de la sécurité12 ont
achète un kit sur le marché du dark web, obtient des
commencé à identifier des kits plus sophistiqués dans
composants d’infrastructure comme un serveur, un
lesquels non seulement les informations d’identification
domaine pour héberger le site d’imitation et un compte
de la victime sont envoyées aux hameçonneurs qui
de messagerie ou un autre point de terminaison
mènent une campagne de hameçonnage, mais elles
pour recevoir les informations de la victime. Une fois
sont également susceptibles d’être transmises à
l’infrastructure assemblée, ils n’ont plus qu’à attendre.
l’auteur du kit ou à un intermédiaire sophistiqué qui a
L’ensemble du processus est conçu pour être aussi
modifié le kit avec un compte de collecte caché avant
simple que possible par les auteurs et les distributeurs
de redistribuer le kit. La Digital Crimes Unit (DCU) de
de kits. Bien qu’il soit important de ne pas trop
Microsoft a vu plusieurs variantes de cette technique.
généraliser, ces
12
https://www.wmcglobal.com/blog/phishing-kit-exfiltration-methods Rapport sur la défense numérique de Microsoft | Octobre 2021 28
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Heureusement, nous nous étions préparés avec une base efficace de contrôles de protection pour réduire le nombre de tentatives
de hameçonnage réussies. De plus, conscients de l’évolution du paysage des menaces, nous avions étendu nos contrôles pour
couvrir d’autres vecteurs susceptibles d’être exploités (au-delà des e-mails, comme les formulaires et Teams).
Quel que soit le nombre de contrôles de protection que nous avons mis en place, l’atténuation reste un élément Au-delà de la détection et de la protection, il est impératif de cultiver une culture de la sécurité, de doter nos
crucial pour lutter contre les attaques de hameçonnage qui passent à travers nos défenses, car les auteurs des collaborateurs (notre dernière ligne de défense) des compétences nécessaires pour identifier un hameçonnage
menaces augmentent leur niveau de sophistication. Notre centre d’opérations de sécurité est équipé des outils et de et de fournir un mécanisme de signalement simple et cohérent sur toutes les plateformes. Le signalement par les
l’automatisation de Microsoft Defender for Office 365 pour détecter rapidement les e-mails malveillants, enquêter sur collaborateurs est essentiel, mais il est tout aussi important de refermer la boucle de commentaires en validant le
eux et y remédier efficacement. Dans notre cas, les fonctions de réponse automatisée aux incidents ont été essentielles signalement.
pour permettre à notre équipe d’agir rapidement, car le temps est compté.
Notre approche de la sensibilisation des collaborateurs au hameçonnage comprend une formation de base annuelle, nouveaux collaborateurs, les cadres et leur personnel de support. Les résultats de nos exercices de simulation sont
des exercices de simulation et un renforcement positif. Les simulations exploitant le simulateur d’attaque et la également exploités pour identifier les possibilités offertes par le produit afin d’aider les collaborateurs à identifier les
formation de Microsoft Defender pour Office 365 s’appuient sur des données relatives aux incidents. Cela nous hameçonnages (par exemple, les conseils de sécurité).
permet d’exposer nos collaborateurs à des hameçonnages qui correspondent au niveau de sophistication que nous
pouvons observer dans notre environnement. Les collaborateurs qui sont susceptibles de faire l’objet de simulations En savoir plus :
répétées sont hameçonnés plus fréquemment afin d’augmenter leurs chances d’apprendre par l’expérience et les
conseils préventifs. Nous menons également des campagnes ciblées sur les groupes à haut risque, comme les Tri automatique des soumissions de hameçonnage dans Microsoft Defender pour Office 365 (09/09/2021)
5. Examiner les règles de flux de messagerie pour de contourner votre sécurité, par exemple en
vous assurer que les règles générales n’autorisent autorisant le référencement des expéditeurs, des
malveillants.
13
Microsoft Defender for Office 365 – Office 365 | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 33
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
malveillants
de sécurité, notons l’utilisation de commandes de
reconnaissance spécifiques, l’ajout de processus aux
dossiers de démarrage, l’altération des tâches planifiées
ou du registre, et l’exécution de processus malveillants
Ce que nous pouvons constater par abus de documents Office. Ces comportements se
Si le hameçonnage a pris de l’ampleur au cours de l’année distinguent par leur utilisation répandue parmi tous
écoulée, les logiciels malveillants et l’infrastructure les logiciels malveillants, quel que soit leur degré de
cybercriminelle qui soutient les attaques ont également sophistication, bien que Microsoft ait également observé
continué à évoluer. Il existe des domaines clés de logiciels des tactiques plus spécifiques qui sont plus difficiles à
malveillants dans lesquels Microsoft 365 Defender Threat atténuer pour les entreprises.
Intelligence a observé des tendances changeantes ces
dernières années, beaucoup nécessitant à parts égales Logiciels malveillants sans fichier et comportement évasif
des stratégies défensives innovantes et des mesures Les logiciels malveillants « sans fichier » sont des logiciels
d’atténuation historiquement résistantes, comme malveillants qui tirent la plupart de leurs composants de
l’authentification multifacteur et des pratiques de sécurité processus système ou d’outils légitimes déjà présents
des applications solides. sur un appareil, ce qui peut les rendre plus difficiles à
supprimer et à détecter, car il est nécessaire de supprimer
Techniques et actions individualisées contre les plusieurs fichiers. Les stratégies de persistance peuvent
logiciels malveillants comprendre la persistance du registre, des tâches
Parmi les types de logiciels malveillants et les méthodes planifiées et du dossier de démarrage afin d’éviter que les
de diffusion les plus populaires analysés l’année dernière, logiciels malveillants ne demeurent un élément statique
Microsoft a observé de nombreuses tendances dans du système de fichiers. Les chevaux de Troie d’accès à
les tactiques individuelles utilisées pendant l’infection. distance (RAT) gratuits ou facilement accessibles, les
Malgré le large éventail de résultats comme l’obtention chevaux de Troie bancaires et les boîtes à outils offensives
d’une rançon, la perte de données, le vol d’informations comme Cobalt Strike ont régulièrement recours à
d’identification et l’espionnage, la plupart des logiciels l’injection de processus et à l’exécution en mémoire. Il
malveillants s’appuient sur des stratégies similaires pour s’agit de méthodes d’abus de privilèges administratifs
s’implanter dans un réseau. Le lancement de Windows volés pour déplacer le code malveillant dans des
PowerShell par des processus malveillants avec des processus bénins en cours d’exécution plutôt que dans
commandes suspectes ou des valeurs codées est le des fichiers statiques, afin d’éviter une suppression
comportement le plus courant que Microsoft a observé facile. Pour lutter contre ce type de comportement, il
chez les logiciels malveillants au cours des derniers mois. est impératif que les équipes de sécurité des entreprises
Viennent ensuite les tentatives des logiciels malveillants revoient leurs processus de réponse aux incidents et de
de renommer les charges utiles pour imiter les processus suppression des logiciels malveillants afin d’y inclure
système ou les remplacer entièrement, et l’utilisation de des analyses légales suffisantes pour vérifier que les
logiciels malveillants pour recueillir des données comme mécanismes de persistance des logiciels malveillants
les informations d’identification à partir du cache des courants ont été entièrement éliminés après leur
Rapport sur la défense numérique de Microsoft | Octobre 2021 34
navigateurs. nettoyage par une solution antivirus.
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Utilisation abusive de services légitimes dans les Rencontres d’Emotet times d’optimisation des moteurs de recherche ainsi que
communications réseau des infections existantes pour installer des extensions de
Une autre tactique utilisée dans de nombreuses navigateur afin de modifier les résultats de recherche et
campagnes de logiciels malveillants au cours de la de faire apparaître des contenus illicites d’attaquants.
dernière année a consisté à se servir de sites légitimes à
presque toutes les étapes de ces logiciels malveillants : Ce fut le cas en 2020 avec le malware Adrozek16, une
livraison, reconnaissance, commandement et contrôle, extension de navigateur utilisée pour forcer les appareils
exfiltration, publicité malveillante et extraction de infectés à remplacer les résultats de recherche légitimes
cryptomonnaies. Les services cloud comme Google Drive, par des liens vers des logiciels malveillants se faisant
Microsoft OneDrive, Adobe Spark, Dropbox et d’autres passer pour des produits Microsoft et d’autres logiciels
sont toujours très populaires pour la diffusion initiale de légitimes. Les exploitants de Gootkit, une infection par
logiciels malveillants, tandis que les sites de « collage» logiciel malveillant pouvant conduire à un rançongiciel,
de contenu comme Pastebin.com, Archive.org et Stikked. ont utilisé une technique légèrement différente pour
ch sont de plus en plus populaires pour une utilisation utiliser de façon abusive des moteurs de recherche en
secrète dans les logiciels malveillants à plusieurs parties achetant de la publicité en 2020 pour faire remonter
et sans fichier. Dans le dernier cas, le code utilisé dans les liens vers les sites compromis hébergeant le logiciel
le logiciel malveillant est extrait directement du site de malveillant. D’autres logiciels malveillants voleurs
collage et exécuté immédiatement en mémoire, ce qui d’informations, tels que Jupyter ou SolarMarker, ont
évite d’avoir à télécharger le logiciel malveillant sous la utilisé une autre méthode pour apparaître dans les
En janvier 2021, les forces de l’ordre ont procédé à un démantèlement, ce qui a entraîné la disparition de
forme d’un fichier unique. résultats de recherche en utilisant des documents
la famille de logiciels malveillants Emotet et une diminution considérable des rencontres d’Emotet.14
hébergés sur des services tels que AWS, Google et le
Les grandes tendances en matière de propagation et réseau de diffusion de contenu Strikingly pour conduire
de comportement des logiciels malveillants composants secondaires plus critiques à des vitesses plus émergents, emploie plus de 10 méthodes d’infection les utilisateurs recherchant des termes communs via les
RÉNOVATIONS DE BOTNETS rapides. En janvier 2021, les forces de l’ordre ont procédé distinctes dans les environnements Windows et Linux. résultats de recherche vers des pages PDF qui finissaient
Le terme « botnet » a lui aussi évolué. Historiquement, à un démantèlement, ce qui a entraîné la disparition de la Les nouveaux botnets sont également prompts à utiliser par établir une persistance sur leur appareil.
il était utilisé pour désigner un réseau d’ordinateurs famille de logiciels malveillants Emotet et une diminution de nouvelles vulnérabilités pour infecter les serveurs.
effectuant des tâches pour un opérateur. Cependant, considérable des rencontres d’Emotet. Les botnets Malgré cela, la plupart des méthodes s’appuient toujours Le vol d’informations, l’exfiltration de données et
aujourd’hui, la plupart des familles de logiciels comme Phorpiex15 ont progressivement augmenté sur des applications périphériques non corrigées, des d’autres domaines de la livraison de logiciels malveillants
malveillants peuvent être classées comme ayant des le nombre d’hôtes de base infectés et ont fourni de mouvements latéraux à l’aide de disques connectés et peuvent de plus en plus tirer parti des modifications
composants ou des comportements de botnet. nombreux rançongiciels et composants de logiciels des informations d’identification faibles sur les services du navigateur et des résultats de recherche pour
malveillants secondaires pour monnayer davantage leur disponibles. atteindre leurs objectifs. Cela continue à consolider une
Les infrastructures de botnets de logiciels malveillants comportement, notamment le rançongiciel Avaddon. catégorie de logiciels malveillants utilisant le navigateur
historiquement répandus, comme Trickbot et Emotet, Les botnets comme Lemon Duck, Purple Fox et Sysrv- RÉFÉRENCEMENT ET PUBLICITÉ MALVEILLANTE pour la diffusion et l’exploitation dans les secteurs des
ayant été interrompues, d’autres familles de logiciels Hello ont connu une forte croissance l’année dernière, Les résultats et la publicité des moteurs de recherche consommateurs et des entreprises.
malveillants les ont remplacées. À leur place, des intégrant de nouveaux langages de programmation, sont également un moyen de plus en plus efficace de
botnets plus anciens, ainsi qu’une nouvelle catégorie de de nouvelles infrastructures et de nouvelles méthodes transmettre des logiciels malveillants aux utilisateurs
logiciels malveillants évasifs, ont commencé à fournir des d’infection. Lemon Duck, comme la plupart des botnets finaux, en utilisant de façon abusive des stratégies légi-
14
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action 15 https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-
botnet-persists-and-thrives-in-the-current-threat-environment/ 16 https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/ Rapport sur la défense numérique de Microsoft | Octobre 2021 35
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Manipulation des résultats de recherche des navigateurs opérateurs de rançongiciel. bruit habituel des attaques Internet constantes font
que le trafic ciblé sur un serveur web peut se fondre
CHUTE VERTIGINEUSE DES COQUILLES WEB dans la masse, ce qui rend la détection des coquilles
Les coquilles web restent populaires auprès des acteurs web beaucoup plus difficile et requiert des détections
avancés de menaces persistantes (APT) de tous types, avancées basées sur le comportement.
y compris les groupes d’activité des États-nations
NOBELIUM17 et HAFNIUM18. Comme DART et l’équipe de En février 2020, nous avons signalé une augmentation
recherche Microsoft 365 Defender l’ont signalé en 2020 19
constante de l’utilisation des coquilles web dans les
et en 2021,20 l’utilisation de la coquille web continue attaques à travers le monde. Les dernières données de
d’augmenter auprès des groupes d’États-nations et des Microsoft 365 Defender montrent que cette tendance
organisations criminelles. La coquille web est un élément s’est non seulement poursuivie, mais qu’elle s’est
de code malveillant, souvent écrit dans des langages de également accélérée. Tous les mois, d’août 2020 à
programmation types du développement web (tels que janvier 2021, nous avons enregistré une moyenne de
l’ASP, le PHP ou le JSP), que les attaquants implantent 140 000 rencontres de ces menaces sur les serveurs, soit
sur les serveurs web pour fournir un accès à distance près du double de la moyenne mensuelle de 77 000.
et une exécution de code aux fonctions du serveur. Les
coquilles web permettent aux adversaires d’exécuter Tout au long de l’année 2021, nous avons constaté
des commandes et de voler des données à partir d’un une augmentation encore plus importante, avec une
serveur web ou d’utiliser ce dernier comme rampe de moyenne de 180 000 rencontres par mois. En mars 2021,
lancement pour d’autres attaques contre l’entreprise nous avons constaté un énorme pic de rencontres
ciblée. de coquilles web, que nous avons attribué au groupe
d’activité d’État-nation HAFNIUM ciblant les serveurs
La prévalence croissante des coquilles web peut être Exchange avec des failles 0 jour.
Comparaison des pages de résultats de recherche sur une machine non affectée et une autre avec attribuée à leur simplicité et à leur efficacité pour
Adrozek en cours d’exécution. les attaquants. Une fois installées sur un serveur, les En mars et avril 2021, lorsque le code d’exploitation
coquilles web constituent un des moyens les plus de la faille est devenu disponible pour les serveurs
OUTILS DE LOGICIELS MALVEILLANTS découverte du système et du réseau, et se déplacer efficaces de persistance dans une entreprise. Nous Exchange sur site orientés vers le web, nous avons
Les logiciels malveillants ont évolué pour tirer parti latéralement dans un réseau. Cobalt Strike est voyons fréquemment des cas où les coquilles web sont constaté un pic important dans les taux de détection
des outils disponibles et, dans certains cas, ne sont pas spécialement conçu pour échapper aux méthodes de utilisées uniquement comme mécanisme de persistance. des coquilles web. Cette situation est due à l’utilisation
intrinsèquement malveillants. L’utilisation de Cobalt détection traditionnelles et offre à l’opérateur une série Les coquilles web garantissent l’existence d’une porte par de nombreux acteurs de la menace d’une approche
Strike, un outil commercial de test de pénétration, d’options pour obscurcir les commandes d’attaque. dérobée dans un réseau compromis, car un attaquant consistant à « compromettre d’abord, monnayer
en est un excellent exemple. Bien que Cobalt Strike Ces techniques d’obscurcissement peuvent toutefois laisse un implant malveillant après être entré sur un ensuite » en tirant parti des retards de mise à jour des
soit un test de pénétration, il a été utilisé de plus devenir un signal, et l’identification de Cobalt Strike est serveur. Si elles ne sont pas détectées, les coquilles web clients. Les auteurs sautent sur les occasions dès qu’elles
en plus fréquemment dans diverses attaques, des devenue plus essentielle que jamais, car l’économie permettent aux attaquants de continuer à recueillir se présentent.
rançongiciels gérés par les États-nations à ceux cybercriminelle conduit à des logiciels malveillants qui des données et à monnayer les réseaux auxquels ils
gérés par l’homme, pour effectuer des actions de plantent Cobalt Strike rapidement, passant le relais aux ont accès. De plus, le volume du trafic réseau et le
17
https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ Fév. 2021 18 https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ 19 https://www.microsoft.com/security/
blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/ 20
https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ Rapport sur la défense numérique de Microsoft | Octobre 2021 36
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Pour réduire les risques, les organisations doivent accélérer le déploiement des mises à jour de sécurité, en particulier Résumé des recommandations pour la prévention des logiciels
pour les systèmes connectés à Internet. Pour réduire les risques, les organisations doivent accélérer le déploiement des
mises à jour de sécurité, en particulier pour les systèmes connectés à Internet.
malveillants
1. Installer rapidement les mises à jour de sécurité sur toutes les applications et tous les systèmes d’exploitation.
2. Activer la protection en temps réel à l’aide d’une solution contre les logiciels malveillants, comme Microsoft
Rencontres de coquilles web, signaux de Defender (septembre 2020-juin 2021)
Defender.
3. Atténuer les grands vecteurs d’attaque comme l’utilisation abusive de macros, les services périphériques exposés,
les configurations par défaut non sécurisées, l’authentification ancienne, les types de scripts non signés et les
exécutions suspectes à partir de certains types de fichiers transmis par e-mail. Microsoft offre certaines de ces
atténuations plus importantes via l’utilisation de règles de réduction de la surface d’attaque21 pour empêcher
l’infection par des logiciels malveillants. Les utilisateurs d’Azure Active Directory peuvent également profiter des
valeurs de sécurité par défaut22 pour établir une sécurité d’authentification de base pour les environnements cloud.
4. Activer la fonctionnalité de détection et de réponse des points terminaux pour analyser les menaces et y répondre
en fonction des comportements et des techniques individuels de manière proactive.
5. Activer les protections basées sur le domaine et l’IP sur les hôtes ainsi qu’au niveau des passerelles réseau, si
possible, afin de garantir une couverture complète de l’infrastructure.
6. Activer la protection contre les applications potentiellement indésirables (PUA). De nombreuses solutions anti-
logiciels malveillants peuvent qualifier de PUA les menaces d’accès initial telles que les logiciels publicitaires,
les téléchargeurs de torrents, les RAT et les services de gestion à distance (RMS). Parfois, ces types de logiciels
peuvent être désactivés par défaut pour éviter tout impact sur l’environnement.
7. Déterminer où les comptes hautement privilégiés se connectent et exposent leurs informations d’identification.
Surveiller et étudier les événements d’ouverture de session pour les attributs de type ouverture de session. Les
comptes à haut niveau de privilège ne devraient pas être présents sur les postes de travail.
8. Pratiquer le principe du moindre privilège et préserver l’hygiène des justificatifs d’identité. Éviter d’utiliser des
En savoir plus : comptes de service de niveau administrateur à l’échelle du domaine. La restriction des privilèges administratifs
locaux peut contribuer à limiter l’installation de RAT et d’autres applications indésirables.
HAFNIUM targeting Exchange Servers with 0-day exploits (HAFNIUM ciblant les serveurs Exchange avec des attaques
9. Sensibiliser les utilisateurs aux menaces que représentent les logiciels malveillants, tels que les RAT, qui peuvent se
0 jour) | Blog de Microsoft dédié à la sécurité (02/03/2021)
propager par les e-mails, ainsi que des téléchargements sur le web et des moteurs de recherche.
Les attaques de type coquille web continuent d’augmenter – Sécurité Microsoft (11/02/2021)
Le fantôme dans la coquille : enquêter sur les attaques par coquille web – Sécurité Microsoft (04/02/2021) En savoir plus :
Use attack surface reduction rules to prevent malware infection (Utiliser des règles de réduction de la surface d’attaque
pour empêcher l’infection par des logiciels malveillants) | Microsoft Docs (23/06/2021)
Block potentially unwanted applications with Microsoft Defender Antivirus (Bloquer les applications potentiellement
indésirables avec Microsoft Defender Antivirus) | Microsoft Docs (02/06/2021)
21
Use attack surface reduction rules to prevent malware infection (Utiliser des règles de réduction de la surface d’attaque pour empêcher l’infection par des logiciels malveillants) | Microsoft Docs 22 Azure Active Directory security defaults
(Valeurs par défaut de la sécurité d’Azure Active Directory) | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 37
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
malveillants
Les cybercriminels ajoutent maintenant régulièrement
Le nombre de domaines disponibles sur Internet a Un domaine malveillant est souvent utilisé comme des algorithmes de génération de domaines (DGA) à
explosé au cours des dernières années. Cela comprend destination vers laquelle les victimes de logiciels leurs logiciels malveillants, fournissant un mécanisme
Tout domaine utilisé à des fins de cybercriminalité les domaines de premier niveau de code pays (cTLD) malveillants sont dirigées. De cette façon, le domaine de secours lorsque des domaines malveillants codés
peut être considéré comme malveillant. Les domaines comme .uk, .ca et .cn ; les domaines de premier niveau lance l’établissement d’un canal de communication avec en dur sont saisis par les forces de l’ordre, par exemple.
malveillants peuvent être des sites légitimes qui ont été génériques (gTLD) comme .com, .net et .org ; et plus la victime et révèle l’emplacement de la victime infectée. Pour utiliser les DGA, les logiciels malveillants incluent
compromis pour permettre aux criminels d’héberger du de 1 200 nouveaux gTLD qui ont été introduits dans le Il est important de connaître l’emplacement d’une un code permettant de générer des listes de domaines
contenu malveillant sur des sous-domaines, ou bien des système de noms de domaine (DNS) en 2013. En raison victime, car les cybercriminels utilisent une myriade construites à l’aide de caractères ou de chaînes de
infrastructures entièrement frauduleuses mises en place du nombre considérable de domaines de premier niveau de méthodes pour diffuser leurs logiciels malveillants, caractères aléatoires qui changent en fonction du
pour commettre un crime. Les cybercriminels utilisent les et de l’écosystème croissant des registres de noms de mais ils sont incapables de prévoir où ils seront jour, de l’heure et de l’année. Par exemple, le vendredi
domaines malveillants pour trois fonctions principales : domaine, des bureaux d’enregistrement de domaines finalement téléchargés avec succès. C’est pourquoi les 4 juin 2022, le DGA pourrait générer trois domaines,
la transmission d’informations, l’obscurcissement de et des fournisseurs de services d’enregistrement de cybercriminels conçoivent leurs logiciels malveillants comme ahu3rrfsirraqrty.com, hyrssgu5oqr4cetc.com et
l’emplacement et le renforcement de la résilience contre domaines, l’atténuation des cybermenaces provenant de manière à ce qu’ils « téléphonent à la maison » vers wkcclsoqqpcaty.com, et le logiciel malveillant tenterait
ceux qui cherchent à interférer avec leurs activités de domaines malveillants est devenue plus complexe. un domaine malveillant. Les ordinateurs nouvellement de contacter ces domaines dans cet ordre. Le recours
criminelles. L’uniformité de l’atténuation des cybermenaces infectés se connectent immédiatement à ces domaines, aux DGA augmente le coût et la complexité de la
dans l’ensemble de l’écosystème est essentielle. On ce qui leur permet « d’annoncer » leur emplacement via perturbation de l’infrastructure de communication des
Les domaines sont utilisés pour l’exfiltration de données, constate un mouvement dans cette direction, comme les adresses IP. Les domaines sont utilisés à ces fins de cybercriminels, car les perturbateurs doivent surveiller
le contrôle de la communication des rançongiciels, en témoigne le langage récemment incorporé dans deux manières principales dans les logiciels malveillants : des centaines de milliers de domaines potentiellement
l’hébergement de pages de hameçonnage et le contrôle les accords conclus entre l’Internet Corporation for malveillants, alors que le cybercriminel n’a besoin que
des logiciels malveillants. Ils sont également utilisés Assigned Names and Numbers (ICANN) et les registres, Les domaines permettent d’obscurcir et de dissimuler d’un seul d’entre eux.
comme domaines d’e-mail pour créer des alias d’e- qui comprend des conditions d’utilisation définissant et la localisation et l’identité des cybercriminels.
mails imposteurs visuellement identiques à des fins de interdisant les activités illégales, ainsi que l’obligation Les domaines directement ajoutés aux logiciels
tromperie. Les domaines frauduleux peuvent utiliser pour les registres de développer leur propre politique malveillants (ou domaines « codés en dur ») et intégrés
les marques pour tromper les clients ou fournir une anti-abus et de surveiller et traiter les activités abusives. à l’infrastructure de communication peuvent dissimuler
plateforme pour la fraude, comme les sites frauduleux efficacement la véritable localisation du cybercriminel. Le
d’assistance technique. cybercriminel configure un domaine en tant que proxy,
ou « stepping-stone », qui redirige les communications
avec une victime vers un autre domaine ou une autre
adresse IP. Ce processus peut comprendre plusieurs
domaines couvrant des « sauts » associés à des
domaines de premier niveau du monde entier. Il est
fréquent que les cybercriminels se servent de noms,
adresses e-mail et adresses physiques fictifs, et paient
les domaines avec des cartes bancaires volées ou de la
monnaie numérique non traçable.
Perturbation de l’infrastructure Perturbation des domaines hébergés par des tiers La recherche du recours approprié est un élément La prochaine grande menace :
par le biais d’actions en justice. essentiel d’une action en justice réellement
des domaines malveillants Étant donné que les cybercriminels déploient de plus perturbatrice. Une injonction bien formulée qui s’appuie
les domaines « Forever »
Perturbation des domaines sur les services hébergés en plus d’infrastructures techniques privées, y compris sur le large pouvoir équitable des tribunaux fédéraux (blockchain)
par Microsoft des domaines malveillants, pour mener à bien un large permet aux plaignants d’obtenir des ordonnances
Les domaines de type blockchain constituent
Les cybercriminels exploitent de plus en plus les clouds éventail de cybercrimes, il incombe aux entreprises judiciaires souples leur donnant la possibilité d’exercer
une menace émergente qui échappe à toute
de Microsoft et de tiers, ainsi que les services que les et aux particuliers de mettre en place les capacités un contrôle sur l’infrastructure cybercriminelle. Pour
réglementation. Au cours des deux dernières années,
collaborateurs de l’information et les consommateurs juridiques et techniques nécessaires pour perturber ces obtenir ce type de réparation, les plaignants invoquent
l’adaptation de la technologie de blockchain est montée
utilisent pour la collaboration quotidienne (comme infrastructures par des actions en justice. souvent les lois qui autorisent la saisie d’appareils,
en flèche dans de nombreux domaines verticaux. Les
la messagerie électronique). Microsoft prend de d’ordinateurs et de serveurs physiques utilisés à des
applications réelles de la technologie de blockchain
nombreuses mesures pour réduire les abus en matière Ces dernières années, le secteur privé a fait appel fins criminelles. Les domaines malveillants engagés
vont de la gestion de la chaîne d’approvisionnement
d’hébergement dans le cloud. Nous détectons de à différentes théories juridiques pour poursuivre la dans des activités criminelles peuvent également faire
à la gestion des identités, en passant par les contrats
manière proactive les utilisations malveillantes du perturbation par des actions civiles devant les tribunaux l’objet d’une saisie en vertu de diverses lois fédérales
immobiliers et les infrastructures de domaine. Ces
cloud Microsoft à la source d’hébergement et nous fédéraux. Les lois pénales visant le piratage et l’accès et de théories équitables. Dans plusieurs affaires
dernières années, nous avons observé des domaines
les neutralisons avant que les attaques commencent illicite prévoient souvent une cause d’action civile pour civiles, les tribunaux fédéraux ont accordé ce type
de blockchain intégrés dans les infrastructures et les
ou s’étendent. Nous agissons sur les détections dans cibler les infrastructures malveillantes. En particulier, d’injonction pour des infractions à la CFAA, à la loi sur
opérations cybercriminelles. Nous avons observé ce
nos services (comme dans la messagerie Office 365) la Computer Fraud and Abuse Act (CFAA), la Wiretap la confidentialité des communications électroniques, à
phénomène à grande échelle pour la première fois lors
et transmettons ces connaissances aux services Act et la Stored Communications Act sont des théories la loi Lanham et à la common law. Ces revendications
de l’enquête sur le botnet Necurs qui a fait régner la
internes qui peuvent neutraliser la menace. Nous juridiques fréquemment invoquées. Très souvent, des juridiques soutiennent également les ordonnances
terreur dans le monde entier pendant des années grâce
agissons sur les signalements des clients et des tiers, théories de marque au titre de la loi Lanham23 sont judiciaires qui ordonnent le transfert ou la désactivation
à sa capacité d’envoi de spams malveillants, souvent
et nous informons les partenaires industriels tiers des invoquées lorsque des cybercriminels exploitent des de domaines ou d’adresses IP. Dans ce scénario, les
accompagnés de charges utiles de type rançongiciel.
utilisations malveillantes dans leur cloud, détectées en marques de confiance pour tromper leurs victimes. tribunaux accordent le transfert ou la mise hors service
Necurs contenait un système de sauvegarde robuste,
utilisant nos services de sécurité, afin qu’ils puissent Dans de nombreux cas, les domaines en infraction d’une infrastructure malveillante sous le contrôle d’un
qui incorporait un DGA. Dans l’une de ses versions
agir pour les neutraliser à leur source d’hébergement. constituent la partie essentielle de l’infrastructure plaignant privé, et hors du contrôle des défendeurs, ce
DGA, Necurs a produit 2 048 nouveaux domaines à
Au cours du trimestre mai-juillet 2021, nous avons technique malveillante et comprennent souvent la qui perturbe effectivement la capacité technique des
partir de 43 TLD différents environ tous les 30 jours, y
désactivé environ 15 850 sites de hameçonnage contrefaçon groupée de contenus légitimes afin de cybercriminels à lancer des attaques et à infliger des
compris le TLD de domaine blockchain « .bit ».
hébergés sur Azure. Nous surveillons de près les semer la confusion chez les victimes et de faire avancer dommages.
utilisations malveillantes et évaluons de nouvelles les projets criminels.
méthodes pour détecter et neutraliser l’hébergement
de sites malveillants.
Les domaines de type blockchain
FPO constituent une menace émergente qui
échappe à toute réglementation.
23
15 U.S.C. §§ 1125(a)-(c) Rapport sur la défense numérique de Microsoft | Octobre 2021 39
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Contrairement aux domaines traditionnels qui sont Les domaines de blockchain fonctionnent différemment Les grandes menaces qui utilisent les domaines Enquêter sur les domaines de blockchain constitue un
achetés par l’intermédiaire de bureaux d’enregistrement et posent des défis tant du point de vue de l’utilisation de blockchain défi particulier, car il n’existe pas de base de données
Internet opérant via le système DNS réglementé par que des perturbations. Les domaines de blockchain Le paysage de la menace des infrastructures crimi- centrale d’enregistrement WHOIS permettant de savoir
l’ICANN, les domaines de blockchain ne sont régis par fonctionnent soit par l’entremise d’un logiciel ou nelles évolue constamment pour éviter la détection et qui a enregistré le domaine et quand. Heureusement,
aucun organisme centralisé, ce qui limite les possibilités d’un plug-in de navigateur, soit via des services de la perturbation. Au cours de l’année écoulée, certains certains fournisseurs de blockchain DNS, comme
de signalement des utilisations abusives et des résolution par proxy. Le défi pour les cybercriminels en des plus grands acteurs de la menace sur Internet Emercoin, ont donné accès à un outil d’exploration de
perturbations de l’application de la loi. ce qui concerne les domaines de blockchain consiste à ont commencé à utiliser des domaines de blockchain blocs25, qui permet de rechercher des noms de do-
transmettre l’adresse IP la plus à jour de la blockchain dans le cadre de leur infrastructure. Trickbot, le célèbre maine, des hachages de transactions et d’autres valeurs
Traditionnellement, les achats de domaines de à l’ordinateur qui tente de résoudre le domaine de la cheval de Troie bancaire qui a fait évoluer son modèle susceptibles d’être stockées dans la blockchain. La
blockchain sont effectués au moyen d’un portefeuille blockchain vers une adresse IP. Comme les domaines de économique en donnant accès à des cibles de grande blockchain Emercoin est pseudo-anonyme, mais peut
cryptographique avec des cryptomonnaies d’un la blockchain fonctionnent en dehors des canaux DNS valeur dans le domaine des rançongiciels, a com- révéler des informations intéressantes sur un domaine
fournisseur de DNS de blockchain. Les portefeuilles normaux, les auteurs de logiciels malveillants doivent mencé à utiliser des domaines « .bazar » fournis par la de blockchain, comme les adresses IP et les dates de
cryptographiques utilisent le chiffrement asymétrique, inclure des instructions de résolution supplémentaires blockchain DNS Emercoin. La menace la plus récente, transaction.
qui implique à la fois une clé privée et une clé publique pour les victimes infectées. Ces instructions sont Bazarloader, qui a des liens avec Trickbot, a commencé
pour la transaction de blockchain. Après l’exécution généralement codées en dur dans le logiciel malveillant à déployer une version unique de son DGA qui utilise
de la transaction, le nom de domaine, l’adresse IP et dirigent le système infecté vers une IP de service de des domaines « .bazar ». Cette tendance des menac-
du domaine et le hachage de la transaction sont résolution de la blockchain. es qui exploitent les domaines de blockchain en tant
enregistrés dans la blockchain. À l’avenir, la seule entité qu’infrastructure avec les moyens de créer un réseau
qui pourra apporter des modifications à l’adresse Au fil des ans, plusieurs projets ont vu le jour sur criminel incontestable doit être prise au sérieux.
IP enregistrée sur la blockchain sera la personne Internet pour exploiter des DNS libres non réglementés
possédant le portefeuille et la clé privée qui aura et prendre en charge la résolution des domaines de
effectué la transaction initiale pour acheter le domaine. blockchain. Plus récemment, le projet OpenNic, dont
la mission est de garantir la neutralité du DNS et de
fournir un accès non censuré au DNS, s’est chargé de
la résolution des domaines cryptographiques « .bit ».
Plusieurs années après le début du projet, en raison
de l’utilisation malveillante généralisée des domaines
« .bit », le projet OpenNic a décidé d’arrêter de
résoudre les domaines « .bit ».24
24
https://www.namecoin.org/2019/07/30/opennic-does-right-thing-shuts-down-centralized-inproxy.html 25 https://explorer1.emercoin.com/nvs Rapport sur la défense numérique de Microsoft | Octobre 2021 40
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Contrer les domaines de blockchain est peut-être Les domaines de blockchain sont devenus un choix privilégié pour les infrastructures de cybercriminalité
plus simple que vous ne le pensez
La faiblesse des domaines de blockchain réside dans
la nécessité de recourir à des services de proxy tiers
ou à des plug-ins de navigateur pour résoudre les
domaines de blockchain vers une IP. La désactivation
ou le blocage des services de résolution par proxy
de la blockchain et la désactivation des plug-ins de
navigateur désactiveront la possibilité de résolution
du domaine de blockchain. De nombreux fournisseurs
de renseignements sur les menaces fournissent
des flux d’URL malveillants, qui incluent parfois des
proxys de résolution de blockchain ou le domaine de
blockchain lui-même.
26
https://docs.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning Rapport sur la défense numérique de Microsoft | Octobre 2021 42
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Évasions de l’attaquant Des attaques sophistiquées d’évasion de type boîte Empoisonnement de modèle/de Comme nous l’avons vu avec la recherche sur les
noire contre des modèles de ML ont été effectuées à vulnérabilités passées du point de vue de la sécurité27,
Une attaque par évasion est une attaque exploratoire
plusieurs reprises par des chercheurs au chapeau blanc
données de ML une hausse marquée des publications de recherche est
contre un modèle de ML afin de provoquer une
à l’aide d’algorithmes qui déterminent de façon itérative Nous assistons à un changement de tendance dans la bientôt suivie d’une exploitation active. En prévision
violation de l’intégrité. Du point de vue de la sécurité
quelle entrée entraînera une violation d’intégrité. recherche sur la sécurité du ML adverse. Au cours des d’un tel changement de concentration sur les attaques
d’un système, il est instructif d’envisager des attaques
Aujourd’hui, toutefois, les acteurs des menaces livrés dernières années, on a mis l’accent sur les attaques par empoisonnement de données, Microsoft continue
de contournement de type boîte noire, dans lesquelles
à eux-mêmes peuvent également tenter d’esquiver de modèles très visibles, où la fragilité de certains de se focaliser sur la conception des détections de
un attaquant peut n’avoir aucune connaissance
les systèmes de ML dans certains domaines, mais modèles de ML pouvait être facilement démontrée, menaces et des mesures d’atténuation afin de protéger
spécifique du fonctionnement interne du modèle de
ils le font généralement à l’aide de moyens manuels mais aujourd’hui les chercheurs en sécurité élargissent les modèles de ML et leurs ensembles de données
ML, mais effectuer des changements en soumettant
plutôt qu’algorithmiques et ne se concentrent pas leurs analyses de façon à inclure des attaques moins contre ces menaces. Les mesures d’atténuation dans
des entrées et en observant la sortie correspondante
nécessairement exclusivement sur le ML comme cible perceptibles. Par exemple, dans les attaques par cet espace peuvent également être bénéfiques pour
du système. Ce modèle de menace est commun à de
d’évasion. Par exemple, les filtres de modération de empoisonnement de données, la cible est les données détecter la dérive des données d’entraînement non
nombreux systèmes d’IA hébergés en tant que service
contenu sont ignorés par les utilisateurs malveillants d’entraînement sur lesquelles les modèles de ML malveillante, ce qui donne aux data scientists un
cloud ou sur un appareil grand public, par exemple,
ou les utilisateurs motivés par l’aspect économique sont créés. À mesure que les nouvelles données meilleur aperçu de la qualité de leurs données au fil
et est une préoccupation pour les modèles dans les
en occultant le contenu de la charge utile de manière sont regroupées et intégrées dans un ensemble de du temps et met en évidence les anomalies à des fins
secteurs de la finance, de la santé, de la défense, de la
créative. Les produits de sécurité qui incluent des données pour l’entraînement, il devient de plus en d’enquête.
fraude et de la sécurité.
modèles anti-logiciel malveillant ou anti-hameçonnage plus important de vérifier que les nouvelles données
sont éludés par les adversaires à l’aide de plusieurs d’entraînement n’ont pas été compromises. Nous
techniques d’obscurcissement. Le fait que ces systèmes avons la preuve de la compromission d’un modèle
cibles s’appuient sur le ML n’est pas nécessairement pris de ML client résultant de la contamination adverse
en compte dans le cadre de ces attaques pratiques par des données d’entraînement qui, lorsqu’elle n’est pas
évasion manuelle. détectée, devient un élément considéré comme aussi
fiable que les ensembles de données d’entraînement
Qu’un adversaire soit ou non présent dans votre existants. Sans mesure d’automatisation pour la
domaine d’activité, le risque qu’il échappe un modèle dérive statistique dans les ensembles de données en
de ML existe dans tous les domaines. Un modèle de croissance, ces types d’attaques ne sont généralement
ML est un résumé imparfait d’un ensemble de données pas détectés jusqu’à ce qu’un modèle de ML ait un
et, en tant que tel, il a des modes d’échec intrinsèques, échec critique. Le risque de voir les adversaires
échapper un modèle de ML existe
même lorsqu’il est entraîné sur un ensemble de
données idéal. Il est généralement reconnu que la
faisabilité de l’évasion est une propriété de tous les dans tous les domaines.
modèles de ML, plutôt qu’un mode de défaillance
auquel seuls quelques-uns sont vulnérables. Ces
violations de l’intégrité peuvent être rencontrées
rarement lors de l’utilisation nominale du modèle de
ML, mais peuvent être facilement découvertes par un
adversaire qui optimise explicitement les conditions les
plus pessimistes nécessaires pour les entraîner.
27
par exemple MD5, SHA1, SSLv2/3 et TLS 1.0 Rapport sur la défense numérique de Microsoft | Octobre 2021 44
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Mesures prises pour garder une Basé sur les enseignements tirés des engagements Gestion des risques de l’IA
internes et externes, Counterfit est conçu pour être
longueur d’avance flexible de trois façons clés :
Il n’est pas facile d’effectuer des évaluations de sécurité 1. Indépendant de l’environnement : il peut aider
des systèmes d’intelligence artificielle de production. à évaluer les modèles d’intelligence artificielle
Microsoft a interrogé 28 organisations choisies parmi
28
hébergés dans n’importe quel environnement
les entreprises du Fortune 500, des gouvernements, cloud, sur site ou en périphérie.
des organismes à but non lucratif et des petites et 2. Indépendant du modèle : l’outil résume
moyennes entreprises, pour comprendre les processus le fonctionnement interne des modèles
mis en place afin de sécuriser les systèmes d’IA. Nous d’intelligence artificielle afin que les
avons constaté que 25 entreprises sur 28 avaient professionnels de la sécurité puissent se
indiqué qu’elles ne disposaient pas des bons outils pour concentrer sur l’évaluation de la sécurité.
sécuriser leurs systèmes d’intelligence artificielle et 3. S’efforce d’être indépendant des données :
que les professionnels de la sécurité recherchaient des il fonctionne sur des modèles d’intelligence
conseils spécifiques dans ce domaine. artificielle à l’aide de texte, d’images ou d’entrées
tabulaires, et nous continuons d’ajouter des types
Pour répondre aux besoins croissants du ML adverse, de données.
Microsoft a publié Counterfit, un outil open source
pour aider à évaluer les risques en permettant aux En savoir plus :
utilisateurs d’attaquer leur propre IA/ML. Cet outil a été
Notre approche de l’intelligence artificielle responsable
développé à partir de notre propre besoin d’évaluer La sécurité est l’un des aspects les plus importants d’un marché
chez Microsoft en plein essor appelé « gestion des risques de l’IA » et comprend
les systèmes d’intelligence artificielle de Microsoft
pour les vulnérabilités et les services d’IA sécurisés GitHub – Azure/Counterfit : une interface de ligne de les « opérations modèles », en veillant à ce que votre système
de manière proactive, conformément à nos principes commande qui fournit une couche d’automatisation d’intelligence artificielle soit fiable, précis et disponible. Cet aspect
d’IA responsables29 et à l’initiative responsable de la générique pour évaluer la sécurité des modèles de ML comprend également l’intelligence artificielle responsable, avec
stratégie d’intelligence artificielle en ingénierie (RAISE). l’équité, l’éthique, la transparence et toutes les ramifications légales
AI security risk assessment using Counterfit (Évaluation d’un comportement responsables des systèmes d’IA. Cet élément de
Counterfit a commencé comme un corpus de scripts
d’attaque écrits spécifiquement pour cibler les modèles des risques de sécurité de l’IA à l’aide de Counterfit) | « sécurité » mérite également votre attention et constitue une partie
d’intelligence artificielle individuels, puis est devenu Blog de Microsoft dédié à la sécurité (03/05/2021) importante pour compléter une situation de gestion des risques.
un outil d’automatisation générique pour attaquer Machine learning adverse – Perspectives sectorielles
plusieurs systèmes d’IA à grande échelle. Aujourd’hui,
(19/03/2021)
nous utilisons régulièrement Counterfit dans le cadre
des opérations de l’équipe spéciale chargée de
l’intelligence artificielle.
28
2002.05646.pdf (arxiv.org) (Mars 2021) 29 Principes de l’IA responsable de Microsoft Rapport sur la défense numérique de Microsoft | Octobre 2021 45
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
Normes de gestion de la sécurité L’IA et le ML sont de plus en plus intégrés dans tous La sécurité de l’IA ne peut pas être prise en compte En savoir plus :
les types de systèmes, y compris les infrastructures séparément des bases existantes de sécurité, de
des systèmes d’IA critiques et de sécurité, ce qui entraîne de nouvelles confidentialité et de gouvernance basées sur les
Principes d’IA responsables de Microsoft
L’utilisation courante de l’IA et du ML dans les secteurs menaces de sécurité spécifiques à l’utilisation des risques, qui peuvent gérer de nombreuses menaces Threat Modeling AI/ML Systems and Dependencies –
industriels, un paysage réglementaire émergent et une systèmes d’IA et des conséquences hautement liées à l’utilisation des systèmes d’intelligence Security documentation (Systèmes et dépendances d’IA/
méfiance généralisée ou une mauvaise compréhension indésirables à la suite des attaques. Ces conséquences artificielle. Par exemple, l’utilisation de normes telles de ML modélisant les menaces – Documentation sur la
de l’utilisation de ces technologies ont conduit à peuvent inclure les performances néfastes d’un que celles d’un système de gestion de la sécurité sécurité) | Microsoft Docs, (11/11/2019)
un besoin accru de normes pour définir les bonnes chatbot, le déni des services essentiels, le vol de la des informations (ISO/IEC 27001) et d’un système
propriété intellectuelle ou même un danger physique de gestion des informations de confidentialité (ISO/ AI/ML Pivots to the Security Development Lifecycle Bug
pratiques et fournir des conseils afin de renforcer la
confiance et l’adoption sur le marché. L’Organisation pour les humains. Dans certains cas, les attaques de IEC 27701) peut aider une organisation à mettre en Bar – Security documentation (L’IA/le ML se tourne vers
internationale de normalisation (ISO) et la Commission sécurité contre les systèmes d’IA ont déjà entraîné des œuvre des processus et des contrôles afin de gérer les la barre de bogues du cycle de vie du développement de
électrotechnique internationale (IEC) élaborent des problèmes importants. risques de sécurité et de confidentialité associés à ses la sécurité – Documentation sur la sécurité) | Microsoft
normes d’IA, notamment en définissant la terminologie objectifs et ses activités, notamment les menaces qui Docs (11/11/2019)
et les concepts clés pour l’IA et le ML, la gestion des pèsent sur la sécurité des systèmes d’IA. En plus de ces
Failure Modes in Machine Learning – Security
risques, les implications de gouvernance, la qualité pratiques existantes, ce paysage de menaces évolué
documentation (Modes d’échec dans le machine learning
des données et divers sujets liés à la fiabilité. Une nécessitera de nouvelles directives, de bonnes pratiques
– Documentation sur la sécurité) | Microsoft Docs
norme de système de gestion certifiable pour l’IA est et des mesures organisationnelles et techniques pour
(11/11/2019)
également en cours de développement. Elle guidera les aider les entreprises à protéger leurs systèmes d’IA. Les
organisations afin de les aider à adopter une approche mesures de sécurité efficaces constituent un élément
basée sur les risques pour l’utilisation responsable et essentiel du développement et du déploiement
le développement des systèmes d’IA, ainsi que pour responsables des systèmes d’IA. Microsoft s’engage
démontrer la responsabilisation et leur devoir de soins dans de nouveaux travaux de normalisation qui ont été
envers les parties prenantes. mis en place afin de fournir des conseils pour répondre
aux menaces de sécurité et aux échecs de l’IA et du ML.
CHAPITRE 3
La dernière année a été marquée par d’importants événements géopolitiques historiques et des défis imprévus qui ACTEURS DES
ont changé la façon dont les entreprises abordent leurs activités quotidiennes. Pendant ce temps, les États-nations
ÉTATS-NATIONS
ont largement maintenu leurs activités à un rythme constant, tout en créant de nouvelles tactiques et techniques
pour échapper à la détection et accroître l’ampleur de leurs attaques. SEMBLE
Des événements majeurs en matière de cybersécurité, intergouvernementales (OIG), les organisations non Ces attaquants sophistiqués continuent de se concentrer
AUGMENTER
comme les attaques de NOBELIUM contre SolarWinds
et de HAFNIUM contre les serveurs Exchange sur site,
gouvernementales (ONG) et les groupes de réflexion
pour des objectifs traditionnels d’espionnage ou
sur des techniques efficaces qui les aident à rester furtifs
et à accéder aux réseaux. Nous avons constaté des
L’AMPLEUR ET
ainsi que les attaques de nombreux autres acteurs, ont
attiré notre attention collective sur la sécurisation de nos
de surveillance. Les victimes d’attaques disposent
souvent d’informations pertinentes pour les besoins
attaques continues contre les éléments traditionnels
de l’hygiène de la sécurité, ainsi qu’une concentration
LE VOLUME DES
chaînes d’approvisionnement. Les acteurs des États-
nations et de nombreuses activités de cybercriminalité
de renseignement d’un gouvernement adverse, ce qui
explique le nombre élevé d’agences gouvernementales
sur le développement et le perfectionnement de
nouvelles attaques révolutionnaires visant l’écosystème
ATTAQUES POUR
ont concentré leurs efforts sur l’exposition des failles
de sécurité chez leurs fournisseurs ou sur la découverte
et de groupes de réflexion attaqués. Cependant, le rôle
du secteur privé dans le soutien aux collaborateurs
des fournisseurs afin d’attaquer les clients en aval.
Les campagnes bien établies de hameçonnage et de
ÉCHAPPER À LA
DÉTECTION.
de systèmes non sécurisés sur lesquels les entreprises à distance, l’augmentation des services de santé, pulvérisation de mots de passe menées par des acteurs
comptaient pour assurer la continuité de leurs activités la recherche sur le vaccin contre la COVID-19 et la des États-nations continuent de porter leurs fruits
au cours de cette année inhabituelle. Ces événements distribution de celui-ci en ont également fait des cibles contre les organisations qui n’ont pas encore mis en
récents ont démontré l’importance croissante d’appliquer plus fréquentes pour ces acteurs sophistiqués qui place l’authentification multifacteur (AMF) ou d’autres
les dernières mises à jour de sécurité dans tous les recherchent des informations pour la sécurité nationale de protections contre cette tactique courante. Toutefois,
systèmes déployés, ce qui constitue la protection la plus leur gouvernement ou à des fins de renseignement. Notre à mesure que les organisations investissent dans la
efficace contre des menaces qui évoluent rapidement. dépendance accrue envers l’infrastructure mondiale des sécurisation de leurs comptes, le taux de réussite de
télécommunications et l’infrastructure des réseaux privés ces techniques diminue et la détection des attaques
Le Microsoft Threat Intelligence Center (MSTIC) et virtuels (VPN)/serveurs privés virtuels (VPS) pour les augmente. En retour, les acteurs des États-nations
l’Unité de sécurité numérique (DSU) ont observé que collaborateurs à distance a donné aux acteurs malveillants semblent augmenter l’ampleur et le volume de ces
la plupart des États-nations participants continuaient de nouveaux vecteurs d’accès à des réseaux privés ciblés attaques afin d’échapper à la détection et d’améliorer
de concentrer leurs activités et leurs attaques sur qui s’efforçaient d’accompagner de nouvelles façons de les chances de réussite sur des cibles multiples. Cette
les agences gouvernementales, les organisations faire des affaires. approche axée sur le volume des
La compromission des informations d’identification acteurs des États-nations continuent à affiner leurs et sont généralement uniques, ce qui nécessite une Notifications d’État-nation
demeurera une technique utile si des comptes mal techniques en tirant parti de nouveaux exploits contre analyse plus approfondie et la création de détections
sécurisés sont disponibles comme cibles. Les attaques les faiblesses de sécurité et les systèmes non corrigés personnalisées. La compréhension de ces TTP aide
Lorsqu’un client, qu’il s’agisse d’une entreprise ou d’un
contre des logiciels tiers ou des infrastructures sur des fournisseurs de la chaîne d’approvisionnement également Microsoft à mieux comprendre les acteurs
détenteur de compte individuel, est visé ou compromis
site non protégés deviendront probablement plus commune, afin d’accéder aux clients en aval et de en aval, comme les cybercriminels et les États-nations
par les activités des États-nations suivies par Microsoft,
répandues et seront plus facilement exploitées par les recueillir des informations auprès d’eux. Le harponnage de plus petite taille, qui copient ou réutilisent souvent
nous envoyons une notification d’État-nation (NSN) au
acteurs des États-nations et ceux de la cybercriminalité. et les attaques par pulvérisation de mots de passe ne ces méthodes. La DSU se concentre sur les victimes
client. Microsoft a émis plus de 20 500 NSN au cours
Le report de l’installation des mises à jour de sécurité montrent aucun signe de ralentissement en tant que identifiées par le MSTIC, en reliant les victimes de
des trois dernières années. Les tableaux et graphiques
ou la connaissance incomplète des systèmes déployés méthode courante de reconnaissance et d’infiltration, l’attaque aux objectifs politiques et aux buts déclarés
de ce chapitre sont issus du processus de NSN de
et de l’état de leurs correctifs rendra les entreprises ce qui accroît l’importance de la mise en œuvre d’une des gouvernements en matière de renseignement, afin
Microsoft.
vulnérables à des attaques soudaines et de grande MFA end-to-end sur les comptes. Les informations d’aider Microsoft à fournir au monde un contexte plus
envergure, car elles devront s’efforcer de déterminer fournies par Microsoft dans ce chapitre rendent compte complet sur les raisons de ces attaques par les États-
quels sont les actifs touchés et de rétablir la situation. d’une grande partie de l’activité qui a visé nos clients nations. Lutte contre l’activité des
L’exploitation de réseaux avec des logiciels non pris dans le monde entier au cours de la dernière année États-nations
en charge ou des logiciels qui ne sont plus mis à jour et des tendances que les acteurs des États-nations Nous nous concentrons sur les activités des États-
Les acteurs des États-nations sont généralement des
augmente le risque de manière exponentielle. Les continueront probablement à utiliser au cours de nations, quelle que soit la plateforme, la victime ciblée
adversaires bien dotés en ressources et compétents.
entreprises doivent tenir un inventaire complet de leurs l’année à venir. Nous vous recommandons de vous ou la région géographique. Nous maintenons par
Comme nous l’avons vu plus haut, ils cherchent
actifs, être au fait de l’état des correctifs et des plans appuyer sur ces informations pour comprendre les ailleurs la visibilité et nos initiatives de lutte contre
souvent à collecter de renseignements sur des cibles
de sauvegarde et de confinement approfondis pour tactiques et les techniques que ces acteurs sophistiqués les menaces dans le monde entier afin d’écrire de
qui intéressent leurs gouvernements. Notre poursuite
résister aux attaques sophistiquées. Les adversaires peuvent déployer pour cibler vos entreprises afin que meilleures détections pour nos clients. Nous analysons
acharnée de ces adversaires et notre développement
continueront de mettre au point de nouvelles vous puissiez mettre en œuvre une défense proactive également les raisons pour lesquelles les acteurs des
continu de nouvelles capacités de détection et de
techniques pour cibler et compromettre les ressources plus efficace. États-nations poursuivent des victimes, des secteurs ou
dissuasion d’activités malveillantes nous permettent
de l’entreprise, ce qui nécessite une approche globale des régions en particulier. En résumé, les informations
des États-nations
à comprendre les acteurs des États-nations et leurs
à un ensemble global de principes de sécurité Zero important de noter que même si un secteur industriel
victimes afin d’apporter un meilleur contexte et une
Trust. L’application d’un modèle de sécurité Zero Trust32 ou une région géographique particulière n’est pas
meilleure compréhension à nos clients.
deviendra de plus en plus importante pour protéger les représenté dans les informations suivantes, l’activité
identités, les dispositifs, les applications, les données, des États-nations s’étend à presque tous les secteurs
Microsoft suit les activités des États-nations pour
les réseaux et les infrastructures des entreprises contre industriels et toutes les régions géographiques. En
protéger ses clients, ainsi que ses plateformes et
les menaces sophistiquées. d’autres termes, les protections contre ces tactiques
services. Nous utilisons une variété de mesures et des
techniques d’intégration de données sophistiquées sont essentielles pour chaque organisation et chaque
À l’avenir, nous savons que les gouvernements pour mieux comprendre le ciblage, les motivations individu. Nos renseignements sont également
adverses poursuivront leurs objectifs de collecte de et l’impact sur les clients. MSTIC se concentre influencés par le degré d’utilisation de nos produits et
renseignements et exploreront les limites politiques sur les activités des acteurs des États-nations, car plateformes dans une région ou un secteur particulier.
d’un comportement acceptable dans le cyberespace. ces tactiques, techniques et procédures (TTP) ont
Par conséquent, nous nous attendons à ce que les souvent d’importantes répercussions sur nos clients
32
Modèle et cadre de sécurité Zero Trust | Sécurité Microsoft Rapport sur la défense numérique de Microsoft | Octobre 2021 49
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
Notre approche 2. Tirer parti des technologies 4. Digital Crimes Unit Guide sur les acteurs des États-
Les connaissances cumulées de Microsoft sur le L’une des ressources uniques de Microsoft dans
Microsoft utilise une approche en cinq volets pour
paysage des menaces mondiales permettent à nos la lutte contre les acteurs des États-nations est la
nations mentionnés dans ce
perturber les acteurs des États-nations : fournir
produits et services de créer et de mettre à jour en Digital Crimes Unit (DCU). La DCU est parvenue à rapport
des notifications directes aux clients, exploiter la
permanence des détections de nouveaux produits de saisir des domaines et des ressources utilisés par
technologie pour détecter et défendre, prendre des Tout au long de ce chapitre, nous citons des exemples
sécurité, ce qui contribue à protéger et à défendre les acteurs des États-nations contre les clients de
mesures techniques contre les opérations malveillantes, d’acteurs des États-nations en vue d’offrir une vision
nos clients contre les activités des États-nations à Microsoft en recourant à la justice. Elle a donc joué
engager des poursuites judiciaires et participer au plus approfondie des cibles d’attaque, des techniques
grande échelle. Ces défenses collectives représentent un rôle déterminant dans la fermeture de ces vecteurs
discours de politique publique. Chacun de ces volets et des analyses des motivations. Microsoft identifie les
la méthode la plus efficace pour contrer les menaces d’attaque. Ces affaires ont conduit au démantèlement
joue un rôle important dans notre engagement activités des États-nations avec des noms d’éléments
des États-nations, car elles sont informées par les de centaines de domaines et à la protection de
à protéger nos clients et l’écosystème dans son chimiques, dont certains sont affichés sur le tableau
vastes ressources de renseignements sur les menaces milliers de clients, et Microsoft reste l’une des seules
ensemble. suivant, avec les pays où les acteurs opèrent. Ce petit
intégrées à chaque produit et activées par une entreprises disposées à engager des poursuites
échantillon de l’ensemble des acteurs des États-nations
ingénierie de renommée mondiale. judiciaires contre des acteurs étatiques afin de saisir
suivis par Microsoft est constitué de ceux qui ont été
1. Donner le contrôle aux clients des infrastructures et d’interrompre des attaques. Les
les plus actifs au cours de l’année dernière et qui ont
Microsoft s’appuie sur son processus de NSN pour enseignements tirés de ces cas sont partagés avec les
3. Prendre des mesures techniques contre les utilisé les tactiques mentionnées dans ce chapitre avec
informer ses clients du ciblage ou de la compromission équipes d’ingénierie de Microsoft en vue d’améliorer
activités malveillantes le plus grand brio.
par les acteurs des États-nations que nous suivons, nos capacités opérationnelles et techniques de
De temps à autre, Microsoft dispose de suffisamment
fournissant ainsi des informations exploitables perturbation.
d’informations pour justifier une suppression ou Microsoft suit et étudie également de nombreuses
permettant aux clients de réagir rapidement et de se
une fermeture ponctuelle de l’infrastructure ou des activités malveillantes dont l’origine est soit nouvelle,
protéger. Microsoft transmet également des alertes aux
ressources associées à un attaquant d’État-nation. 5. Informer le public du discours et de la politique soit inconnue, afin de bien comprendre les tactiques,
secteurs de l’industrie et aux segments de clientèle afin
Grâce aux mesures proactives contre les infrastructures Microsoft utilise sa voix pour sensibiliser les gens aux les techniques et les objectifs.
de les sensibiliser aux activités malveillantes et de leur
malveillantes, l’acteur perd de la visibilité, des capacités activités des États-nations, en soulignant le contexte
donner des conseils sur la manière d’agir.
et des accès sur toute une série de ressources et les répercussions des incidents, et en partageant le
auparavant sous son contrôle. Il est par conséquent contexte des attaques et la raison pour laquelle elles
obligé de tout reconstruire. sont importantes pour le monde. La voie est ainsi
ouverte à une large discussion sur ce qu’il est possible
de faire pour lutter contre les activités malveillantes des
États-nations au sein des agences gouvernementales,
Lorsque nous appliquons des mesures proactives des ONG, des entreprises, des universités et du public.
Parler publiquement des attaques des États-nations est
contre les infrastructures malveillantes, l’acteur perd un élément important de la dissuasion.
voyons
produites dans un contexte politique où les deux pays gain financier. La Corée du Nord cible les entreprises de l’année, l’Iran et la Corée du Nord ont également
s’échangent des coups à la limite des frappes militaires, qui font le commerce des cryptomonnaies ou qui utilisé des tactiques similaires de ciblage des
y compris des attaques sur les cargos de l’autre. Les participent aux recherches connexes, cherchant fournisseurs informatiques pour trouver des moyens
tensions étant déjà très fortes, la décision d’utiliser probablement à voler des cryptomonnaies ou de la créatifs d’exploiter leurs véritables cibles. Par exemple,
Cibles des États-nations la cybernétique pour des attaques destructrices était propriété intellectuelle. L’économie de la Corée du Nord l’acteur nord-coréen ZINC a créé des personnages en
Dans le rapport sur la défense numérique de moins un saut stratégique pour l’Iran qu’elle ne l’aurait n’a jamais été forte, mais la pandémie de COVID-19, ligne d’experts apparents en cybersécurité, y compris
Microsoft de 2020, nous avons identifié les objectifs été pour la Corée du Nord, la Russie ou la Chine. Si qui survient après des années de sanctions de l’ONU, a des sites web et des pages de réseaux sociaux, et a
communs (espionnage, perturbation/destruction) et les nations autres que l’Iran se sont pour la plupart laissé le pays dans une situation dégradée qu’il n’avait utilisé ces personnages pour approcher des experts en
les techniques communes (reconnaissance, collecte abstenues d’attaques destructrices, elles ont continué à pas connu depuis une génération, l’obligeant à chercher vulnérabilités de cybersécurité dans le but d’amener les
de données d’identification, logiciels malveillants et compromettre des victimes qui seraient des candidats à trouver de l’argent par tous les moyens. Bien que les chercheurs avec lesquels ils correspondaient à ouvrir
exploits de réseaux privés virtuels (VPN)) qui prévalent de choix pour des attaques destructrices si les tensions acteurs de l’État-nation iranien ait fréquemment eu des contenus qui auraient téléchargé des attaques
chez les principaux cyberacteurs des États-nations. augmentaient au point de voir les gouvernements recours aux attaques par rançongiciel, Microsoft estime sur leurs machines. S’il ne s’agissait pas d’une attaque
Ces objectifs et techniques étaient aussi répandus prendre la décision stratégique d’intensifier la que ces dernières ont été davantage employées pour directe contre une société informatique comme
cette année que l’année précédente. Les méthodes cyberguerre. couvrir les traces des attaquants que pour réaliser des SolarWinds, elle représentait une tentative de trouver
éprouvées, comme les campagnes de harponnage profits. indirectement des moyens de compromettre les cibles
à grande échelle, restent des outils précieux pour Le tableau des « Secteurs les plus ciblés » dans cette réelles de la Corée du Nord en passant par les experts
les pirates informatiques. Cependant, les attaquants section du chapitre montre que près de 80 % des Le ciblage des entreprises informatiques est la chargés de trouver des moyens de les protéger.
du monde entier, qu’ils soient affiliés directement personnes ciblées faisaient partie de gouvernements, grande nouveauté de l’année dernière
à des gouvernements ou qu’ils aient des liens plus d’ONG ou de groupes de réflexion. Les groupes de Un changement plus révolutionnaire, commun à tous Pour plus d’informations sur la sécurité de la chaîne
lâches, continuent à effectuer des recherches contre réflexion servent souvent d’incubateurs et d’exécutants les programmes informatiques des quatre grands pays, d’approvisionnement, voir le chapitre Sécurité de la
des cibles afin d’être plus convaincants lors d’une des politiques, et entretiennent des liens étroits avec a été la décision de cibler les fournisseurs de services chaîne d’approvisionnement, de l’IoT et de l’OT du
attaque, de développer de nouvelles techniques qui les fonctionnaires et les programmes gouvernementaux informatiques afin de mieux exploiter en aval les présent rapport.
n’ont jamais été vues auparavant, ou même d’imiter actuels et anciens. Les acteurs de la menace peuvent victimes qui reçoivent des services de ces prestataires.
un comportement criminel dans le but de brouiller exploiter, et exploitent véritablement, les liens entre Les exemples les plus flagrants de l’utilisation de ce
les intentions et les objectifs. Microsoft répond en la communauté plus traditionnelle des ONG et les type de stratégie au cours de l’année dernière sont
s’efforçant également d’améliorer notre capacité à organisations gouvernementales pour se positionner les attaques russes de SolarWinds et l’exploitation
suivre les changements. afin de mieux connaître les plans et les intentions chinoise d’une vulnérabilité dans les serveurs Microsoft
politiques nationales. Comme nous l’avons indiqué, Exchange sur site. Ces attaques sont toutes deux
L’espionnage est plus répandu que les attaques ce sont les groupes de réflexion qui ont des idées traitées en détail dans les sections consacrées à la
destructrices pertinentes pour la politique gouvernementale ou les Russie et à la Chine.
Les deux principaux objectifs des acteurs des États- objectifs politiques actuels ou futurs qui placent ces
nations n’ont pas changé non plus. Au cours de organisations dans la ligne de mire des opérations
l’année écoulée, l’espionnage, et plus particulièrement de renseignement. Lorsque les ONG traditionnelles
la collecte de renseignements, a été un objectif bien disposent d’informations similaires, nous les
plus courant que les attaques destructrices. L’Iran considérons également comme un objectif pour les
est le seul acteur des États-nations prêt à s’engager acteurs des États-nations.
Pays les plus ciblés (juillet 2020-juin 2021) Secteurs les plus ciblés (juillet 2020-juin 2021) Objectifs pour les consommateurs et les entreprises
(juillet 2020-juin 2021)
Les organisations situées aux États-Unis sont restées la cible de la plupart Tous les acteurs de la menace que nous avons suivis cette année ont Il est probable que les acteurs des menaces aient pensé que les comptes
des activités observées cette année. Nous avons également noté des ciblé des entités du secteur public. NOBELIUM, NICKEL, THALLIUM et de messagerie des consommateurs pouvaient être un moyen plus facile
augmentations de ciblage cohérentes avec les tensions géopolitiques PHOSPHORUS ont été les plus actifs contre ce secteur et sont issus des d’accéder à des réseaux ciblés lors de l’adoption du télétravail dans le monde
croissantes entre les nations. La société NOBELIUM, basée en Russie, a fait pays instigateurs de menaces faisant partie du « Big Four ». Le ciblage entier. Indépendamment des cibles d’entreprises et des secteurs qu’ils
passer le nombre de clients ukrainiens touchés de six au cours de l’exercice du secteur gouvernemental s’est principalement concentré sur les représentaient, les comptes de consommateurs ont reçu le deuxième plus
précédent à plus de 1 200 cette année, en ciblant fortement les intérêts ministères des Affaires étrangères et d’autres entités gouvernementales grand nombre de notifications cette année. THALLIUM et PHOSPHORUS
du gouvernement ukrainien qui s’efforce de rallier le soutien contre le mondiales impliquées dans les affaires internationales. (Ce graphique ont investi massivement dans des campagnes de harponnage ciblant ces
renforcement des troupes russes à la frontière de l’Ukraine. Cette année, exclut les comptes de consommateurs et ne représente que les secteurs comptes.
le nombre d’entités israéliennes ciblées a presque quadruplé, un résultat correspondants aux cibles d’entreprises).
exclusivement dû aux acteurs iraniens, qui se sont concentrés sur Israël alors
que les tensions s’intensifiaient fortement entre les adversaires.
Infrastructures critiques et infrastructures non critiques et les auteurs de menaces basés en Russie les moins intéressés par le ciblage ciblage d’une infrastructure essentielle en vue de mener des opérations de
De juillet 2020 à juin 2021, les infrastructures critiques n’étaient pas au des entités du secteur des infrastructures essentielles. Les cyberactivités du perturbation potentielle.
centre des préoccupations selon les informations NSN qui ont été suivies. groupe russe NOBELIUM sont un parfait exemple de l’intérêt de la Russie
Les auteurs de menaces basés en Chine se sont montrés les plus intéressés pour des opérations d’accès et de collecte de renseignements plutôt que de
Ciblage des infrastructures essentielles par la Russie Ciblage des infrastructures essentielles par la Chine Ciblage des infrastructures essentielles par l’Iran
Ciblage des infrastructures essentielles par la Corée du Nord Combinaison du ciblage des infrastructures essentielles par la
Chine, l’Iran, la Corée du Nord et la Russie
Taux de réussite de compromission par rapport à la cible Origines de l’activité Groupes d’activité des États-nations les plus actifs
Les taux de réussite varient considérablement d’un groupe de menace à Comme dans la section « compromis par rapport à ciblé » ci-dessus, les
La section suivante décrit la fréquence des attaques par pays d’origine,
l’autre. Certains groupes, comme le nord-coréen THALLIUM, ont eu un faible données de cette section sont fortement affectées par les tactiques choisies
mesurée en nombre de NSN générées par les attaques de chaque acteur. Les
taux de réussite, car il a employé des stratégies telles que des campagnes de par les attaquants. Si un groupe tente une attaque par pulvérisation de
menaces d’origine russe ont dominé cette année, grâce au ciblage à grande
harponnage à grande échelle qui reposent davantage sur l’utilisation d’un mots de passe sur une centaine de cibles et réussit à en compromettre
échelle de NOBELIUM. Les acteurs basés en Corée du Nord ont également
large filet que sur une frappe chirurgicale. Les pulvérisations de mots de une, alors qu’un autre groupe se concentre chirurgicalement sur une
utilisé une stratégie de ciblage omniprésent qui a valu à la Corée du Nord le
passe sont un autre exemple de tactique dont le taux de réussite est faible, seule victime qu’il compromet, ils ont tous deux eu le même nombre de
deuxième pourcentage le plus élevé de notifications.
mais où les attaquants comprennent que le taux de réussite sera faible. réussites. Cependant, le premier groupe apparaîtra comme le groupe le
D’autres groupes utilisent des attaques très ciblées qui réussissent beaucoup plus « actif », car il a attaqué cent cibles. Les trois premiers groupes de cette
plus souvent. HAFNIUM, par exemple, a réussi 43 % de ses attaques. NICKEL Pays d’origine des activités liste utilisent tous des tactiques à taux d’échec élevé. NOBELIUM, en plus
a réussi à un taux étonnant de plus de 90 %. Les données ci-dessous NOBELIUM, et son ciblage agressif des fournisseurs de services des attaques axées sur un taux de réussite élevé, utilise aussi fréquemment
représentent une moyenne de différentes tactiques qui sont conçues pour informatiques et des institutions gouvernementales occidentales, a des pulvérisations de mots de passe à faible taux de réussite, tandis que
réussir à des taux différents. Le premier trimestre a été extrêmement actif, catapulté la Russie en tête des pays où les attaques ont pris naissance cette THALLIUM et PHOSPHORUS envoient des e-mails de harponnage à des
pas nécessairement parce que les acteurs ont eu plus de succès, mais parce année. Ce groupe est à l’origine de 92 % des notifications adressées aux groupes importants. Ce tableau ne correspond donc pas nécessairement aux
que Microsoft a noté moins d’activité découlant d’attaques à faible taux de clients concernant des menaces d’origine russe. La proportion démesurée groupes les plus dangereux, mais il donne une idée de leurs niveaux relatifs
réussite. d’attaques provenant de la Corée du Nord est le résultat de la stratégie de persistance et d’ubiquité.
adoptée par les acteurs de menaces THALLIUM et CERIUM. Ces groupes
Taux de compromission (juillet 2020-juin 2021) s’appuient sur de grandes quantités d’attaques. Bien que ces attaques aient Groupes d’activité des États-nations les plus actifs
un faible pourcentage de réussite, en raison du nombre élevé de tentatives,
(juillet 2020-juin 2021)
les groupes parviennent tout de même à infecter certaines victimes.
Outils d’attaque des États-nations Il est fréquent que les acteurs des États-nations Vecteurs d’attaque exploités par les acteurs malveillants des États-nations
Les outils employés par les États-nations pour développent et perfectionnent de nouvelles techniques
compromettre les réseaux des victimes sont le plus d’attaque et que les criminels les adoptent et les
souvent les mêmes que ceux employés par d’autres perfectionnent au fil du temps. Microsoft s’attend à
acteurs malveillants. Pour atteindre leurs objectifs, les ce que les outils conçus pour cibler et compromettre
acteurs des États-nations peuvent créer ou exploiter les chaînes d’approvisionnement informatiques se
des logiciels malveillants sur mesure, construire une généralisent et deviennent plus courants, faisant
infrastructure novatrice de pulvérisation de mots des concepts tels que l’architecture Zero Trust une
de passe ou élaborer des campagnes uniques de priorité du développement des logiciels jusqu’à leur
Les États-nations sont suffisamment avancés pour effectuer une reconnaissance de leurs victimes et
hameçonnage ou d’ingénierie sociale. Cependant, déploiement et leur mise à jour. Les acteurs des États-
choisir la méthode d’attaque qui convient le mieux à chaque objectif ou résultat escompté.
des acteurs comme GADOLINIUM se tournent aussi nations bien financés continueront à créer des outils
de plus en plus vers l’utilisation d’outils open-source uniques pour atteindre leurs objectifs, mais comme
33
ou de logiciels malveillants courants pour affecter toute autre organisation rationalisée, ils sont tout aussi
une chaîne d’approvisionnement, tenter une attaque susceptibles d’utiliser des outils courants là où ils le
de type man-in-the-middle ou lancer une attaque par peuvent pour améliorer l’efficacité.
déni de service. Ces méthodes permettent aux acteurs
malveillants de masquer leurs actions en se cachant au En savoir plus :
grand jour.
Protecting customers from a private-sector offensive
actor using 0-day exploits and DevilsTongue malware
L’utilisation accrue d’outils open source offre certains
(Protection des clients contre un acteur offensif du
avantages aux professionnels de la sécurité chargés
secteur privé utilisant des attaques 0 jour et des logiciels
de détecter ces attaques et de s’en défendre. Il est
malveillants de type « DevilsTongue ») | Blog Microsoft
de plus en plus fréquent que les routines de sécurité
dédié à la sécurité (15/07/2021)
et d’hygiène informatique qui protègent contre
les menaces ordinaires permettent également de
se protéger contre les États-nations. Former les
collaborateurs à faire preuve de scepticisme peut
grandement contribuer à stopper les attaques de
harponnage et à déjouer les méthodes courantes
que Microsoft observe aux premiers stades d’une
compromission.
33
GADOLINIUM threat actors use cloud services and open source tools in cyberattacks (Les acteurs de la menace GADOLINIUM se servent de services cloud et d’outils open source pour les cyberattaques) – Blog Securezoo Rapport sur la défense numérique de Microsoft | Octobre 2021 56
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
l’activité des
Au cours de la dernière année, les groupes d’activité
au début de 2021 et de la compromission du logiciel changement par rapport aux opérations prédominantes
basés en Russie ont consolidé leur position de menaces
de gestion de réseau SolarWinds par NOBELIUM à la fin de type « le cloud d’abord, le cloud exclusivement »
États-nations
aiguës pour l’écosystème numérique mondial en faisant
de 2020 ont attiré l’attention du monde entier, bien que pour lesquelles le groupe était connu en 2019
preuve d’adaptabilité, de persistance, d’une volonté
la menace des États-nations s’étende au-delà de ces et 2020. De multiples acteurs iraniens ont également
cette année
d’exploiter des relations techniques de confiance et
incidents immédiats. D’une part, le fait que NOBELIUM, probablement mené des opérations de chaîne
d’une facilité à utiliser des outils d’anonymisation et
basé en Russie, et HAFNIUM, basé en Chine, aient d’approvisionnement, dont une au début de 2020
de code open source qui les rendent de plus en plus
ciblé des ressources sur site et se soient débarrassés qui consistait vraisemblablement à se procurer des
difficiles à détecter et à attribuer. Ils ont également fait
L’évolution des menaces de cybersécurité initiées par des données d’identification dans le cadre de ces renseignements auprès d’agences gouvernementales
preuve d’une grande tolérance pour les dommages
les États-nations a donné lieu à une année charnière, opérations leur aurait donné la possibilité de s’emparer indirectement par l’entremise de sociétés de services
collatéraux, ce qui rend vulnérable à un ciblage
avec un intérêt accru pour les serveurs sur site et des informations d’identification pour accéder aux informatiques et d’ingénierie qui soutiennent la défense
opportuniste toute personne ayant des liens avec des
l’exposition de vulnérabilités généralisées dans la chaîne ressources basées sur le cloud. STRONTIUM, lié à la et les agences de renseignement américaines.
cibles intéressantes.
d’approvisionnement, notamment dans les logiciels. La Russie, a également développé des capacités propres
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Russie
STRONTIUM APT28, Fancy Bear Russie Gouvernement, entités diplomatiques et de défense, groupes de réflexion,
ONG, enseignement supérieur, entreprises de défense, logiciels et services
informatiques.
BROME Energetic Bear Russie Gouvernement, énergie, aviation civile, base industrielle de défense
Utilisation abusive de la chaîne d’approvisionnement NOBELIUM jusqu’en juin 2021 met en évidence les de passe/forçage brut qui a parcouru plus d’un millier Objectifs de NOBELIUM par secteur/domaine vertical
et d’autres relations techniques fiables changements tactiques et l’approche multi-vecteurs d’IP Tor anonymisées38, facilitant ainsi une application (décembre 2020-janvier 2021)
Le groupe NOBELIUM, basé en Russie, a prouvé à quel que le groupe de menaces utilise pour accéder aux à grande échelle et compliquant la détection et
point les attaques de la chaîne d’approvisionnement systèmes souhaités. Le premier graphique montre les l’attribution. L’outil a été déployé à plusieurs reprises
des logiciels pouvaient être insidieuses et dévastatrices victimes qui ont été exploitées par des acteurs de la contre plus de 40 organisations politiques et groupes
en compromettant la mise à jour du logiciel SolarWinds menace qui, dans certains cas, ont tiré parti de l’accès à de pression basés aux États-Unis et au Royaume-Uni
Orion. Bien que le groupe ait limité l’exploitation de la porte dérobée de la chaîne d’approvisionnement. Le dans la période précédant et suivant immédiatement
suivi à une centaine d’entreprises, sa porte dérobée deuxième graphique reflète les campagnes massives de l’élection présidentielle américaine.
malveillante a été transmise à environ 18 000 harponnage et de pulvérisation de mots de passe que
entités dans le monde, laissant les clients concernés l’acteur a utilisées contre les entreprises ciblées au cours Atteindre des taux de compromission plus élevés et
vulnérables à de nouvelles attaques. du premier semestre 2021. Nous pouvons constater cibler davantage d’organisations gouvernementales.
que NOBELIUM a constamment ciblé les secteurs des Au cours de la dernière année, les groupes basés en
Les techniques opérationnelles de NOBELIUM étaient gouvernements, des ONG, des services informatiques Russie ont amélioré leurs taux de compromission
beaucoup plus variées que la simple porte dérobée et des services professionnels (inclus dans la catégorie réussie et ont de plus en plus visé des cibles
malveillante et allaient de la pulvérisation de mots « Autres » dans le dernier graphique), mais le volume gouvernementales, un rassemblement de tendances qui
de passe et du hameçonnage à la compromission de des tentatives de compromission a fluctué en fonction pourrait laisser présager davantage de compromissions
fournisseurs tiers pour faciliter de futures attaques. des changements tactiques. à fort impact dans l’année à venir. Les comparaisons Objectifs de NOBELIUM par secteur/domaine vertical
L’acteur a ciblé les fournisseurs de solutions cloud (CSP) d’une année sur l’autre des données de NSN montrent (janvier-juin 2021)
et a utilisé la porte dérobée pour voler une clé privée Utilisation d’une série de techniques pour échapper une augmentation marquée des compromissions
Mimecast. NOBELIUM a ensuite ciblé les clients en aval à la détection et à l’attribution. réussies, passant de 21 % de réussite entre juillet 2019
en se faisant passer pour ces CSP et pour l’application Les acteurs russes ont fait preuve de divers degrés et juin 2020 à 32 % depuis juillet 2020. Le pourcentage
légitime Mimecast.34 En mai, le groupe a compromis d’adaptabilité et de conscience de la sécurité, ce qui d’organisations gouvernementales parmi les cibles
le compte d’une agence gouvernementale américaine les a aidés à échapper à l’attribution et aux défenses russes a explosé, passant d’environ 3 % au cours de la
sur un service populaire de marketing par e-mail, de réseau. NOBELIUM a fait preuve d’une connaissance dernière période à 53 % depuis juillet 2020.
dissimulant des composants malveillants derrière approfondie des outils logiciels courants, des systèmes Les auteurs de menaces russes suivront leurs cibles
l’adresse électronique légitime du service pour envoyer de sécurité des réseaux et des technologies de où qu’elles se trouvent, que ce soit dans le cloud ou
un e-mail de hameçonnage à plus de 150 entreprises cloud, ainsi que des méthodes de correction utilisées sur site. L’année dernière, STRONTIUM est passé à un
de diplomatie, de développement international et à par les équipes de réponse aux incidents. De plus, ciblage plus axé sur le local, développant des capacités
but non lucratif, principalement aux États-Unis et en ils ont modifié leurs opérations en conséquence spécifiques à la cible par rapport à l’infrastructure
Europe.35 pour maintenir la persistance.36 La surveillance des locale de la politique étrangère et des entités liées à la
répondeurs était une tactique employée par un autre défense en Europe. Cette stratégie était un changement
La comparaison de la répartition des victimes de groupe de menace russe, YTTRIUM, dans le passé. 37
par rapport
NOBELIUM : la diversité des cibles reflète la diversité
NOBELIUM identifiées au cours des premiers mois
des tactiques.
suivant la découverte de la compromission de Au cours de l’été et de l’automne 2020, STRONTIUM a
SolarWinds et de l’image du ciblage de l’activité de déployé un outil automatisé de pulvérisation de mots
34
https://www.usnews.com/news/technology/articles/2020-12-24/solarwinds-releases-update-to-flagship-software-after-hack ; https://www.msn.com/en-us/news/technology/mimecast-reveals-source-code-theft-in-solarwinds-hack/ar-BB1eInqC
35
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/ 36
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/ 37
https://www.youtube.com/
watch?v=Ldzr0bfGtHc 38 https://www.microsoft.com/security/blog/2020/09/10/strontium-detecting-new-patters-credential-harvesting/ Rapport sur la défense numérique de Microsoft | Octobre 2021 58
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
aux opérations essentiellement cloud-first et cloud-only les autorités aériennes et portuaires. Le secteur de la continents au cours de cette période, mais ils se sont Les observations de Microsoft sur l’activité des menaces
pour lesquelles le groupe s’est fait connaître tout au santé a été le troisième secteur le plus ciblé au cours surtout concentrés sur les entreprises basées aux États- russes au cours de l’année écoulée suggèrent que
long de 2019 et en 2020. de cette période, alimenté par les tentatives de collecte Unis, suivies de celles situées en Ukraine, au Royaume- la collecte de renseignements était une motivation
d’informations d’identification de STRONTIUM contre Uni, ainsi que sur le territoire des alliés et États membres principale, car nous avons constaté une exfiltration
Pour la première fois depuis août 2018, les organisations des organisations développant et testant des vaccins de l’OTAN en Europe. Le 14 mai, le gouvernement russe de données mais peu de preuves d’une activité
gouvernementales ont été le secteur le plus ciblé par et des traitements contre la COVID-19 aux États-Unis,
40
a officiellement désigné les États-Unis et la République perturbatrice ou destructrice de la part des groupes que
les acteurs de la menace russe observés par Microsoft, en Australie, au Canada, en Israël, en Inde et au Japon tchèque comme des pays « hostiles », tandis que la nous suivons. Obtenir des informations sur les plans
suivies des groupes de réflexion. Les organisations jusqu’à l’été 2020. Pologne, la Lituanie, la Lettonie, l’Estonie, le Royaume- politiques et les intentions de ceux qui sont perçus
gouvernementales étaient fortement impliquées dans Uni, le Canada, l’Ukraine et l’Australie figuraient sur comme des adversaires serait une obligation standard
la politique étrangère et la sécurité ou la défense Recherche de renseignements sur les États-Unis et une liste préliminaire divulguée en avril. Les trois pays
41
en matière de renseignements pour les agences
nationale, bien que l’auteur de la menace BROMINE ait l’Europe les plus touchés par la cyberactivité russe au cours de gouvernementales russes auxquelles le gouvernement
concentré ses efforts sur les administrations des États, Les acteurs russes de la menace ont tenté d’accéder l’année écoulée (États-Unis, Ukraine et Royaume-Uni) américain attribue une grande partie de cette activité.42
des comtés et des villes des États-Unis, ainsi que sur à des comptes d’organisations sur presque tous les figuraient quant à eux sur la liste des « pays hostiles ».
39
Top Biden cyber official: SolarWinds breach could turn from spying to destruction ’in a moment’ (yahoo.com) 40 https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 41 https://tass.com/
politics/1289825 ; https://www.newsweek.com/russia-puts-us-top-unfriendly-countries-list-1586749 42 https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2573391/russian-foreign-intelligence-service-exploiting-five-publicly-known-
vulnerabili/ ; https://media.defense.gov/2021/Apr/15/2002621240/-1/-1/0/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF (en anglais) ; https://home.treasury.gov/news/press-releases/jy0127 Rapport sur la défense numérique de Microsoft | Octobre 2021 59
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
Chine Les graphiques suivants illustrent l’activité des groupes parrainé par l’État et opérant depuis la Chine, selon la HAFNIUM exfiltre généralement les données vers des
de menaces basés en Chine entre juillet 2020 et victimologie, les tactiques et les procédures observées, sites de partage de fichiers comme MEGA. Dans des
Au cours de l’année écoulée, Microsoft a observé
juin 2021, selon les NSN transmises aux clients. Ces cible principalement des entités aux États-Unis dans un campagnes non liées à ces vulnérabilités, Microsoft a
que les auteurs des menaces d’État-nation en Chine
graphiques ne représentent qu’une partie des activités certain nombre de secteurs, notamment des chercheurs observé que HAFNIUM interagissait avec des locataires
ciblaient le paysage politique américain pour se faire
des auteurs de menaces observées. en maladies infectieuses, des cabinets d’avocats, Office 365 victimes. Bien que le groupe ne parvienne
une idée des changements de politique et visaient les
des établissements d’enseignement supérieur, des généralement pas à compromettre les comptes des
entités gouvernementales qui mettent en œuvre des
HAFNIUM et les vulnérabilités d’Exchange entreprises de défense, des groupes de réflexion clients, cette activité de reconnaissance aide l’adversaire
politiques étrangères en Europe et en Amérique latine,
Début mars 2021, Microsoft a parlé pour la première politique et des ONG. HAFNIUM a déjà compromis à se renseigner davantage sur les environnements de
probablement à des fins de collecte de renseignements.
fois de HAFNIUM sur son blog, en rapport avec la des victimes en exploitant des vulnérabilités dans des ses cibles. HAFNIUM opère principalement à partir de
Pour accomplir leur mission, plusieurs acteurs de la
détection de plusieurs attaques de 0 jour utilisées serveurs Internet et a utilisé des cadres en code source serveurs privés virtuels loués aux États-Unis.
menace basés en Chine ont exploité une série de
pour cibler des versions sur site de Microsoft Exchange légitimes, comme Covenant, pour le contrôle. Une fois
vulnérabilités non identifiées auparavant pour différents
Server.43HAFNIUM, un groupe vraisemblablement qu’il est parvenu à accéder au réseau d’une victime,
services et composants de réseau.
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Chine
MANGANESE APT5, Keyhole Panda Chine Infrastructure de communication, base industrielle de la défense, logiciels/
technologies
HAFNIUM ––– Chine Enseignement supérieur, base industrielle de la défense, groupes de réflexion,
ONG, cabinets d’avocats, recherche médicale.
NICKEL APT15, Vixen Panda Chine Agences et services gouvernementaux, organisations diplomatiques
43
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Rapport sur la défense numérique de Microsoft | Octobre 2021 60
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
Chine : cinq industries/secteurs les plus Chine : tentatives de ciblage et compromission HAFNIUM : secteurs/verticaux les plus ciblés (Avant
ciblés (juillet 2020-juin 2021) réussie (juillet 2020-juin 2021) l’augmentation de l’exploitation d’Exchange Server)
Les cibles les plus fréquentes des menaces d’origine Les acteurs des menaces d’État-nation situés en Chine
chinoise sont les entités gouvernementales du monde ont réussi à compromettre les victimes dans 44 % des
entier. Le ciblage des entités gouvernementales de trois cas. Toutefois, comme il s’agit d’une menace persistante
pays a représenté la moitié des NSN émises et 23 pays avancée, si elle doit cibler une entité pour la collecte de
ont représenté l’autre moitié. renseignements, elle trouvera une autre vulnérabilité à
exploiter pour y accéder.
HAFNIUM a utilisé ces vulnérabilités pour accéder aux le serveur compromis. Les coquilles web permettent
serveurs Exchange locaux, ce qui a permis d’accéder potentiellement aux attaquants de voler des données CVE Description
aux comptes de messagerie et d’installer des logiciels et d’effectuer des actions malveillantes supplémentaires
malveillants supplémentaires pour faciliter l’accès à qui entraînent une plus grande compromission.
CVE-2021-26855 Vulnérabilité SSRF (Server-side request forgery) dans Exchange, qui permettait à
l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que
long terme aux environnements des victimes. Le MSTIC Troisièmement, ils se sont servis de cet accès à distance,
serveur Exchange.
attribue cette campagne avec une grande confiance à qui était généralement exécuté à partir de serveurs
HAFNIUM. Les vulnérabilités exploitées étaient CVE- privés basés aux États-Unis, pour exfiltrer des données
CVE-2021-26857 Une vulnérabilité de désérialisation non sécurisée dans le service de messagerie
2021-26855, CVE-2021-26857, CVE-2021-26858 et du réseau d’une entreprise. Microsoft estime que unifiée.
CVE-2021-27065. HAFNIUM a été associé à l’activité initiale des attaques
0 jour. Toutefois, après l’annonce de la vulnérabilité, CVE-2021-26858 Une vulnérabilité d’écriture de fichier arbitraire après authentification dans
Les attaques comprenaient trois étapes. Tout d’abord, plusieurs acteurs et groupes criminels des États- Exchange.
HAFNIUM a pu accéder à un serveur Exchange nations ont rapidement manœuvré pour tirer profit des
grâce à des mots de passe volés ou en exploitant les vulnérabilités. CVE-2021-27065 Une vulnérabilité d’écriture de fichier arbitraire après authentification dans
vulnérabilités susmentionnées pour obtenir un accès Exchange.
initial. Ensuite, ils ont déployé des coquilles web sur
Le 19 juillet 2021, le gouvernement américain, avec En avril 2021, FireEye a publié un billet de blog et a Une opération mondiale de collecte ses cyberopérations, l’activité de NICKEL a également
ses alliés et partenaires, a pris position contre le reconnu MSTIC pour sa contribution à l’identification de renseignements visé les ministères des affaires étrangères des pays
gouvernement chinois et a publié une déclaration d’une faille Pulse Secure VPN 0 jour qui a été exploitée Après le billet de blog de Microsoft du mois de d’Amérique centrale et du Sud, et de certains pays
selon laquelle la cyberopération malveillante de la par des acteurs de la menace de l’État-nation septembre 2020 sur plusieurs acteurs de menaces européens. Alors que l’influence de la Chine continue
Chine constituait une menace majeure pour la sécurité chinois.46 Microsoft attribue une partie de l’activité à d’États-nations ciblant des renseignements sur les d’évoluer dans la région et avec les pays partenaires de
économique et nationale des États-Unis et de leurs MANGANESE et NICKEL. L’Agence de cybersécurité et élections américaines, ZIRCONIUM n’a pas arrêté ses son initiative « Belt and Road », nous estimons que les
alliés.44 Bien qu’avare de détails techniques, la même de sécurité des infrastructures (CISA) du département activités de collecte.48 À l’approche du jour de l’élection acteurs de la menace chinoise continueront de cibler
déclaration a relié HAFNIUM, avec un haut niveau de la Sécurité intérieure a publié une alerte sur la présidentielle américaine, ZIRCONIUM a continué à des entités pour obtenir des renseignements sur les
de confiance, à des cyberacteurs affiliés à l’agence même activité 0 jour, indiquant qu’elle avait affecté les utiliser des e-mails truqués sur le web, ciblant des investissements, les négociations et l’influence.
de renseignement civil de la Chine, le ministère de la agences gouvernementales américaines, les entités personnes ayant accès à des connaissances sur les
Sécurité d’État. Ces acteurs ont compromis des dizaines d’infrastructures critiques et d’autres entreprises du changements potentiels de la politique américaine.
de milliers d’ordinateurs et de réseaux dans le monde secteur privé, probablement à partir de juin 2020.47 Le 19 juillet 2021, le National Cyber Security Centre
entier dans le cadre d’une campagne massive de La CISA a déclaré qu’après l’exploitation réussie de la du Royaume-Uni a publié une déclaration attribuant
cyberespionnage qui a surtout touché des victimes du faille, l’auteur de la menace s’était servi de son accès APT31, qui est globalement suivi sous le nom de
secteur privé. pour placer des coquilles web sur l’appareil Pulse ZIRCONIUM par Microsoft, au ministère de la Sécurité
Connect Secure pour un accès et une persistance d’État, l’agence de renseignement civil de la Chine.49
Davantage de codes 0 jour et d’autres exploitations supplémentaires.
des vulnérabilités Les cyberopérations de l’État-nation chinois n’ont pas
En juillet, SolarWinds a publié un avis de sécurité pour Outre MANGANESE, MSTIC a remarqué que négligé leurs voisins. Depuis juillet 2020, les activités
CVE-2021-35211, attribuant la notification à Microsoft.45 ZIRCONIUM et deux autres auteurs de la menace liées à CHROMIUM ont ciblé des entités en Inde, en
Microsoft a détecté l’utilisation de code à distance avaient exploité une faille sur des routeurs de petits Malaisie, en Mongolie, au Pakistan et en Thaïlande,
de 0 jour pour exploiter une faille du logiciel FTP bureaux ou de bureaux à domicile dans le monde ainsi que les questions sociales, économiques et
SolarWinds Serv-U dans des entités du secteur de la entier. Ces auteurs de la menace compromettent politiques sensibles concernant Hong Kong et Taïwan.
base industrielle de défense américaine et des sociétés probablement les routeurs afin de les utiliser comme Du point de vue de Microsoft, l’activité de CHROMIUM
de logiciels. Cette activité est attribuée à un groupe infrastructure pour leurs opérations de réseau a été la plus active contre les universités de Hong Kong
opérant depuis la Chine, sur la base de la victimologie, informatique. Ces routeurs compromis se trouvent et de Taïwan, suivie par les entités gouvernementales
des tactiques et des procédures observées. probablement dans la même zone géographique que la et les fournisseurs de télécommunications dans les
cible visée, afin de masquer la surveillance de l’activité autres pays. Outre le fait de cibler les pays voisins, la
associée. collecte de renseignements contre les pays d’Amérique
latine et d’Europe s’est poursuivie à un rythme soutenu.
Outre l’exploitation des dispositifs VPN dans le cadre de
44
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/19/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-
of-china/ ; https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking 45 Avis de sécurité du SolarWinds Trust Center | CVE-2021-35211 46 https://www.fireeye.com/blog/threat-
research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html 47 https://us-cert.cisa.gov/ncas/alerts/aa21-110a 48 https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-
elections-trump-biden/ 49 https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking Rapport sur la défense numérique de Microsoft | Octobre 2021 62
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
Iran L’accent est mis sur Israël avec de nouveaux outils accrue de la part d’un nombre croissant de groupes Une approche attentiste à l’égard des États-Unis
d’attaque dans un contexte d’escalade plus large. iraniens ciblant des entités israéliennes, et cette répond probablement à deux objectifs
L’Iran a poursuivi sa série de cyberattaques
Alors que la guerre secrète entre l’Iran et Israël attention s’est accompagnée d’une série d’attaques Malgré l’approche moins agressive de Téhéran à l’égard
destructrices contre ses adversaires régionaux, tout en
s’intensifiait, les cyberacteurs offensifs iraniens ont par rançongiciel. Un acteur de la menace lié à l’Iran, des États-Unis, par rapport à ses adversaires régionaux,
adoptant une approche attentiste à l’égard des États-
porté leur attention sur Israël et ont apporté avec eux que nous suivons sous le nom de RUBIDIUM; a les entités américaines sont restées la principale cible
Unis, dans la perspective d’un allègement des sanctions
le nouvel outil de prédilection de l’Iran, le rançongiciel. probablement mené les campagnes de rançongiciel des acteurs de la menace iranienne, représentant près
dans le cadre des négociations nucléaires après les
L’Iran a également mené des attaques par rançongiciel Pay2Key et N3tw0rm qui ont presque exclusivement de la moitié des NSN que nous avons livrées aux clients
élections américaines.
contre au moins un adversaire des États du Golfe.50 ciblé Israël à la fin de 2020 et au début de 2021, des services cloud. Les cyberopérations iraniennes
Bien qu’il ne soit pas sûr que les acteurs iraniens respectivement. Un des points communs des visant des cibles américaines étaient composées de
utilisent les rançongiciels à des fins financières, dans campagnes de rançongiciel de RUBIDIUM était de cibler deux volets : acquérir des renseignements stratégiques
au moins un cas, ils les ont utilisés comme couverture des entreprises de logistique israéliennes impliquées susceptibles d’éclairer les opinions et la planification de
pour une attaque destructrice en déployant un logiciel dans le transport maritime. Ces cibles indiquent un lien la politique américaine et prendre pied sur des réseaux
malveillant de type suppression des données sur le avec l’objectif plus large de Téhéran de riposter à la susceptibles de fournir à Téhéran des options de
réseau d’une entreprise, tout en exigeant une rançon. 51
pression israélienne. 52
secours au cas où les États-Unis ne parviendraient pas à
Depuis novembre, Microsoft a détecté une attention alléger suffisamment les sanctions.
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Iran
PHOSPHORUS Charming Kitten Iran Communautés diplomatiques et de politique nucléaire, universitaires et
journalistes
CURIUM Houseblend Tortoise Shell Iran Sous-traitants de l’armée et de la défense américaine, services informatiques et
gouvernements du Moyen-Orient.
RUBIDIUM Fox Kitten Parasite Iran Entreprises israéliennes de logistique, services informatiques et de défense
50
https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius ; https://unit42.paloaltonetworks.com/thanos-ransomware/ 51 https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius ; https://www.clearskysec.
com/wp-content/uploads/2020/12/Pay2Kitten.pdf ; https://www.flashpoint-intel.com/blog/second-iranian-ransomware-operation-project-signal-emerges/ 52 https://www.aljazeera.com/news/2021/4/25/top-iranian-commander-hints-at-future-
response-to-isreal ; https://www.timesofisrael.com/eye-for-an-eye-iran-editorial-urges-retaliatory-attack-on-dimona-reactor/ ; https://www.al-monitor.com/originals/2021/04/iranian-military-leader-threatens-israel-following-missile-strike-syria Rapport sur la défense numérique de Microsoft | Octobre 2021 63
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
À la fin de l’année 2020, PHOSPHORUS a commencé à Auparavant, en 2020, PHOSPHORUS s’était fait passer Iran : pays les plus ciblés (juillet 2020-juin 2021)
cibler des experts en politique nucléaire dans les pays pour des organisateurs de conférences internationales
signataires du Plan d’action global conjoint de 2015, de haut niveau, comme nous l’avons détaillé dans
très probablement pour les renseignements, afin ce blog.54 Chez Microsoft, nous avons détecté que
d’obtenir un avantage dans les discussions anticipées PHOSPHORUS avait envoyé des invitations par
sur l’accord après l’élection du président Biden. e-mail falsifiées avec des liens vers des sites de
PHOSPHORUS a mené une campagne de hameçonnage collecte d’informations d’identification à plus de
d’informations d’identification en se faisant passer 100 experts politiques qui étaient des participants
pour des experts en politique étrangère et nucléaire potentiels, plusieurs d’entre eux ayant été compromis.
et en envoyant des liens vers des articles sur le thème La campagne de hameçonnage d’informations
du nucléaire qui dirigeaient les victimes vers un site d’identification du groupe visait probablement à
de collecte d’informations d’identification. Ils ont acquérir des renseignements pour mieux se positionner
ciblé moins de 25 cadres supérieurs d’organismes de dans l’engagement international.
recherche médicale, comme l’indique Proofpoint , 53
Depuis avril 2021, certains acteurs iraniens ont
mais la grande majorité de la centaine de cibles que également ciblé des entreprises américaines du secteur
nous avons détectées étaient des experts en politique de l’agriculture et des médias, qui sont des cibles peu
nucléaire ou en résolution de conflits, ce qui correspond probables pour Téhéran en matière de renseignement.55
au thème des e-mails de hameçonnage, aux États-Unis, Ces mêmes opérateurs ont employé des rançongiciels
au Royaume-Uni, en France et en Russie. PHOSPHORUS sur d’autres entreprises, ce qui suggère un objectif
a affiné son ciblage sur cette communauté lorsque les potentiel de prévoir des plans d’urgence au cas où les
négociations nucléaires ont débuté à Vienne en avril, en négociations sur le nucléaire ne répondraient pas aux
ciblant notamment les participants diplomates. attentes de Téhéran.
53
https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential 54 https://blogs.microsoft.com/on-the-issues/2020/10/28/cyberattacks-phosphorus-t20-munich-
security-conference/ 55 DEV-0270 a compromis Agrinos le 30 mai. https://spectre.microsoft.com/#/entry/19f1e6f3fe899dc1f315a9c432c597a3d4518115604afd63c169948ba7bc95cf?nonce=72c1a4aa8705; DEV-0270 a compromis
Cox Media Group le 17 mai. https://spectre.microsoft.com/#/entry/201936a4ffcde2e1eff5d21b43834c7e38631e47e1f66b9ab3bc1e1a135f074f?nonce=2b351540141b Rapport sur la défense numérique de Microsoft | Octobre 2021 64
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
Corée du Nord Alimenter un vaste appétit pour les renseignements se trouvaient dans trois pays : la Corée du Sud, les essentielles auxquelles elle cherche à répondre :
La grande majorité des cibles nord-coréennes États-Unis et le Japon. Cependant, les acteurs nord- la communauté internationale continuera-t-elle à
Au cours de l’année écoulée, les acteurs de la menace
constatées par Microsoft visaient des comptes coréens ont également ciblé des universitaires et appliquer strictement les sanctions contre la Corée
nord-coréenne ont été extrêmement actifs par rapport
de consommateurs. La plupart de ces cibles ont des responsables de groupes de réflexion en Europe du Nord ? Quelle est l’influence de la COVID-19 sur
à la taille et aux ressources du pays, ainsi qu’en
probablement été sélectionnées en fonction de la et même en Chine et en Russie, pays généralement la dynamique internationale ? Quelle sera la politique
comparaison avec les autres grands États attaquants.
probabilité qu’elles puissent aider la Corée du Nord considérés comme amis de la Corée du Nord. de la nouvelle administration américaine à l’égard de
Par exemple, au cours du dernier trimestre de 2020, un
à obtenir des renseignements diplomatiques ou la Corée du Nord et comment le partenariat tripartite
peu plus de la moitié des NSN émises par Microsoft
géopolitiques non accessibles au public. Les groupes L’accent mis sur le renseignement diplomatique États-Unis/Corée du Sud/Japon poursuivra-t-il cette
concernaient des acteurs étatiques nord-coréens,
nord-coréens THALLIUM et ZINC ont continué à créer ou géopolitique a probablement été motivé par politique ?
alors que la Corée du Nord est le plus petit des
une grande partie du ciblage observé par Microsoft, l’anxiété de Pyongyang à l’égard des informations
quatre acteurs étatiques les plus prolifiques suivis par
mais ils ont été rejoints par d’autres groupes, comme dans une situation internationale volatile. Le ciblage
Microsoft.
OSMIUM et CERIUM. Ensemble, ces groupes se sont diplomatique a été particulièrement important pendant
concentrés sur les fonctionnaires diplomatiques, les et juste après l’élection américaine. Le fort intérêt de
universitaires et les membres de groupes de réflexion la Corée du Nord pour la collecte de renseignements
du monde entier. La plupart des personnes visées s’explique probablement par plusieurs questions
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Corée du Nord
ZINC Labyrinthe de Lazare Corée du Nord Services publics, entreprises privées, groupes de réflexion, chercheurs en
Chollima sécurité
THALLIUM Kimsuky Velvet Chollima Corée du Nord Groupes de réflexion, fonctionnaires diplomatiques, universitaires
CERIUM Kimsuky Corée du Nord Groupes de réflexion, responsables diplomatiques, universitaires, défense et
aérospatiale.
La pandémie mondiale crée un nouveau type de Le seul État-nation au monde connu pour voler Un de ces groupes suivis par Microsoft, que nous Une campagne d’ingénierie sociale sophistiquée
cyberattaque des Bitcoins n’avons pas nommé, ciblait souvent les sociétés de visant les chercheurs en sécurité
La COVID-19 est également à l’origine d’une autre Seule parmi les acteurs des États-nations, la Corée du recherche sur les cryptomonnaies ou les blockchains Enfin, la Corée du Nord a également utilisé l’ingénierie
priorité nord-coréenne de l’année dernière : le ciblage Nord a continué l’année dernière à cibler des sociétés avec des campagnes de harponnage, tout en se sociale de manière inédite. Comme l’a rapporté le
des entreprises pharmaceutiques. Comme Microsoft l’a financières dans le but de voler des cryptomonnaies et présentant comme des start-ups en cryptomonnaie ou MSTIC de concert avec Google en janvier57, ZINC a
signalé en novembre 2020 , ZINC et CÉRIUM ont ciblé
56
de la propriété intellectuelle. L’économie de la Corée du en blockchain. ciblé les chercheurs en sécurité avec une campagne
des entreprises pharmaceutiques et des chercheurs Nord, déjà mise à rude épreuve par les sanctions, a été d’ingénierie sociale assez sophistiquée. La campagne
en vaccins dans plusieurs pays, probablement pour soumise à un stress encore plus grand lorsque le pays a consisté à créer pendant des mois de faux profils
accélérer leurs propres recherches sur les vaccins a fermé ses frontières au commerce après l’apparition ressemblant à de véritables entreprises et chercheurs
ou pour obtenir des renseignements sur l’état de la de la COVID-19. Le vol cybernétique lui a offert une en sécurité, avec des sites web et des plateformes
recherche dans le reste du monde. occasion de rattraper les pertes de revenu. de réseaux sociaux pour soutenir ces personnages.
Ce ciblage visait des effets à long terme, au-delà de
l’attaque immédiate. Il a également montré que la
Corée du Nord était plus que capable de comprendre le
Corée du Nord : les 5 secteurs les plus Corée du Nord : tentatives ratées et attaques paysage sécuritaire occidental suffisamment bien pour
visés (juillet 2020-juin 2021) réussies (juillet 2020-juin 2021) s’y fondre.
56
https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 57 https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/ Rapport sur la défense numérique de Microsoft | Octobre 2021 67
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
Vietnam Comme le rapportait le MSTIC en novembre 202058, BISMUTH a soigneusement planifié les attaques, effectuant une
reconnaissance avant de créer des e-mails de harponnage de conception unique pour chaque individu. Parfois, les
Le groupe de menace vietnamien BISMUTH a utilisé des mineurs de cryptomonnaies pour cibler le secteur privé et
acteurs de BISMUTH, semblables aux opérateurs de PHOSPHORUS, correspondaient avec les cibles pour établir une
les institutions gouvernementales en France et au Vietnam. Les mineurs de cryptomonnaies ayant tendance à être
relation avant d’envoyer l’e-mail contenant une pièce jointe malveillante. Après avoir compromis les réseaux, BISMUTH
considérés comme des menaces moins prioritaires par les systèmes de sécurité, BISMUTH a pu profiter du profil
a cherché à obtenir une surveillance continue. Ses cibles comprenaient des organismes de défense des droits de la
d’alerte plus réduit causé par son logiciel malveillant pour se glisser dans les systèmes sans être remarqué.
personne et des droits civils.
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Vietnam
BISMUTH APT32 OceanLotus Vietnam Droits de la personne et organisations civiles
Turquie
SILICON cherche à collecter des renseignements pour les intérêts stratégiques turcs dans une variété de pays,
principalement au Moyen-Orient et dans les Balkans. Sa reconnaissance indique que le groupe se concentre surtout
sur les pays présentant un intérêt stratégique pour la Turquie, notamment l’Arménie, Chypre, la Grèce, l’Irak et la Syrie.
Ce groupe s’en prend régulièrement aux entreprises de télécommunications et d’informatique, probablement pour
s’implanter en amont de la cible visée, et cherche souvent à y accéder en balayant l’infrastructure à la recherche de
vulnérabilités de codes à distance.
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Turquie
SILICONE Sea Turtle UNC1326 Turquie Entreprises de télécommunications au Moyen-Orient et dans les Balkans
58
https://www.microsoft.com/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/ Rapport sur la défense numérique de Microsoft | Octobre 2021 68
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
offensifs du complètes
Microsoft appelle SOURGUM, et que Citizen Lab a États-nations doivent permettre aux collaborateurs
identifiée comme Candiru.60 SOURGUM a créé des de comprendre comment éviter de devenir une cible.
et de protéger ses clients et l’écosystème numérique pour les attaquants, améliorant ainsi la capacité de
mémoire encourageait le tribunal à rejeter la position
mondial contre les attaques à l’aveugle causées par la votre organisation à détecter les activités anormales
de NSO Group selon laquelle il n’était pas responsable
technologie PSOA et recherchera d’autres méthodes dans l’environnement.
de l’utilisation de ses produits de surveillance et
pour perturber cette menace croissante pour nos
d’espionnage par les gouvernements. Microsoft a
clients.
également travaillé avec Citizen Lab, à la Munk School
59
Mémoire d’amicus curiae 20-12-2020 (microsoft.com) 60 Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus - The Citizen Lab 61 CVE-2021-31979 - Security Update Guide - Microsoft - Windows Kernel
Elevation of Privilege Vulnerability 62 CVE-2021-33771 - Security Update Guide - Microsoft - Windows Kernel Elevation of Privilege Vulnerability 63 Fighting cyberweapons built by private businesses - Microsoft On the Issues Rapport sur la défense numérique de Microsoft | Octobre 2021 69
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
CHAPITRE 4
Au cours de l’année écoulée, nous avons observé une multitude d’incidents entraînant des perturbations physiques L’ADOPTION
et numériques des opérations de nombreuses organisations. Ces incidents se sont produits parfois sur le domaine
DE L’INTERNET
physique, comme la perturbation des lignes de production et des sous-stations d’énergie, et dans d’autres cas, ils
ont entièrement ciblés le domaine numérique, notamment via une campagne de ransomware. DES OBJETS ET
L’ACCÉLÉRATION
L’examen des surfaces d’attaque exploitées offre prenantes. Aujourd’hui, les cybercriminels considèrent Sécurité OT
des points de vue supplémentaires : qu’il s’agisse de
l’équipement de la technologie opérationnelle héritée
ces systèmes comme des cibles à exploiter, comme en
témoignent récemment les attaques hautement visibles
Les appareils OT, tels que le contrôle industriel, la CONSIDÉRABLE
surveillance hospitalière ou les systèmes de gestion
(OT), des nouveaux appareils de l’Internet des objets
(IoT), des projets apparemment ordinaires de migration
et percutantes de SolarWinds et de Kaseya. Bien que
les menaces et les attaques continuent à s’intensifier, la
de l’eau, représentent l’infrastructure publique dont de DES SERVICES À
nombreuses sociétés dépendent depuis des décennies.
DISTANCE, TANT À
vers le cloud, des initiatives 5G associées à l’IoT, de la complexité de la chaîne d’approvisionnement augmente
Beaucoup tardent à adopter et à exploiter les normes
chaîne d’approvisionnement physique ou de la chaîne les coûts de la défense et la probabilité qu’une exposition
de sécurité modernes. Comme en témoignent les
DOMICILE QUE SUR
d’approvisionnement numérique. Tous ces éléments puisse engendrer des résultats significatifs pour les
récentes attaques contre les services publics de l’eau,
constituent de plus en plus des surfaces d’attaque cybercriminels.
des transports et de l’énergie, les perturbations dans ces
propices. Voici tous les sujets que nous allons aborder
dans ce chapitre.
Sécurité IoT
domaines ont un impact profond et conséquent LE LIEU DE TRAVAIL,
Intégrité de la chaîne
La sécurité de l’Internet des objets est une frontière en Le chapitre aborde les discussions sur la façon dont AUGMENTE LA
pleine croissance géométrique, avec des opportunités les entreprises peuvent comprendre et améliorer leurs
d’approvisionnement axées sur l’innovation et un paysage d’attaques de plus conditions de sécurité au niveau de l’IoT, de l’OT et de
PROBABILITÉ DE
en plus important. L’adoption de l’Internet des objets et la chaîne d’approvisionnement. Nous partageons ces
Les chaînes d’approvisionnement, physiques et
numériques, sont explicitement tributaires de la confiance,
l’accélération considérable des services à distance, tant
à domicile que sur le lieu de travail depuis le début de
discussions sur nos perspectives axées sur les données
liées au paysage des menaces de l’IoT et de l’OT, les
CONCRÉTISATION
et les cybercriminels en ont bien conscience. Au cours de
la dernière décennie, les entreprises prospères ont été en
la pandémie de COVID-19, augmente la probabilité de
concrétisation des risques. Il s’agit d’une tendance qui se
conclusions des recherches de l’équipe Azure Defender
for IoT, des initiatives mondiales telles que la Global Cyber
DES RISQUES.
mesure de répondre aux exigences d’échelle, d’efficacité
poursuivra à mesure que les technologies comme la 5G et Alliance, etc.
et de rapidité en concevant de vastes écosystèmes,
les applications IoT innovantes se généralisent.
souvent complexes, pour offrir de la valeur aux parties
d’approvisionnement
Les équipes informatiques apprécient l’afflux de budget et de ressources suite aux violations de SolarWinds Voici un cadre pour évaluer efficacement votre écosystème
et Colonial Pipeline. Cette appréciation s’accompagne d’une appréhension tout aussi importante. Ces de chaîne d’approvisionnement en tenant compte de la
violations ont démontré que les stratégies qu’elles mettent en œuvre ne les protégeraient probablement pas façon dont vous pouvez aborder la protection de celle-
contre une attaque similaire et que des évaluations continues, ainsi que des mesures correctives appliquées La chaîne d’approvisionnement end-to-end et l’écosystème ci. Nous regroupons nos investissements en neuf flux
aux différents niveaux de fournisseurs sont nécessaires. des fournisseurs sont complexes et opaques, allant du de travail de chaîne d’approvisionnement sécurisé afin
développement à la construction, des puces aux progiciels, d’évaluer méthodiquement les risques d’exposition et de les
4. Le gestion des fournisseurs exige essentiellement une plus grande visibilité et des solutions des pilotes, du système d’exploitation, des applications atténuer dans chaque domaine.
uniques. tierces, de la fabrication/de l’usine, jusqu’à la sécurisation
Au sein des quatre piliers clés des domaines numériques (les personnes, les applications, les infrastructures des mises à jour. Les administrations et les fournisseurs 1. Systèmes d’ingénierie internes dédiés au matériel et
et les appareils), le personnel des fournisseurs constitue la principale préoccupation. Dans cette hiérarchie d’infrastructures critiques recherchent une meilleure aux logiciels
des risques, les entreprises attendent des fournisseurs qu’ils proposent : assurance pour la sécurité et la continuité de la chaîne Les entreprises de développement logiciel importantes
• Une plus grande visibilité sur la sécurité et les personnes qui accèdent aux données de l’organisation. d’approvisionnement. Il est important qu’un processus ne sont pas les seules à effectuer des travaux d’ingénierie.
répétable continue à évoluer à mesure que les entreprises Même les petits ateliers informatiques sont susceptibles de
• Des solutions personnalisées qui démontrent une connaissance pratique du secteur et des besoins
poursuivent leur innovation. La rigueur de la sécurité de la réaliser des investissements de développement minimes et
spécifiques de l’entreprise.
chaîne d’approvisionnement est fondée sur la façon dont les organisations qui utilisent une infrastructure existante
une organisation doit travailler et est attendue par les ont des équipes chargées de rédiger du code.
partenaires et les clients qui interagissent avec les produits
et services d’une entreprise.
Modèle de sécurité Confiance Zéro pour les risques liés à l’écosystème Neuf domaines d’investissement garantissant une chaîne d’approvisionnement sécurisée end-to-end
de fournisseurs
Il est impératif de disposer de solutions personnalisées pour la gestion des risques liés aux fournisseurs, et d’avoir une
plus grande visibilité sur les personnes ayant finalement accès aux données et aux ressources d’une organisation dans
ces domaines. Bien que le parcours de Confiance Zéro puisse commencer de différentes façons, du point de vue de la
gestion de l’écosystème de fournisseurs et des risques, l’instauration de l’authentification multifacteur (MFA) doit être
une priorité.
Pour en savoir plus sur la stratégie Confiance Zéro, consultez le chapitre Sécurité de la main-d’œuvre hybride de
ce rapport.
Pour produire des logiciels ou du matériel sécurisé, Build : sans protections appropriées, le pipeline 3. Sécurité physique UTILISER LE MACHINE LEARNING POUR
les entreprises doivent s’assurer que le système de build présente des risques de compromis Les organisations doivent définir, mettre en œuvre SURVEILLER EN CONTINU LA SÉCURITÉ DES
d’ingénierie interne est protégé contre les différents de produits susceptibles d’être très efficaces et et gérer les contrôles de sécurité appropriés afin de
FOURNISSEURS
vecteurs de menace susceptibles d’être exploités par les difficiles à tracer. Bien que le contrôle de code garantir la sécurité
Microsoft exploite le Machine Learning (ML) pour
cybercriminels. source dispose généralement d’une certaine
analyser les contrats des fournisseurs actifs. Ce
forme de gestion du changement, en l’absence de 4. Sécurité de l’industrie modèle est formé pour reconnaître les clauses de
Environnement de développement : contrôles appropriés dans un système de build, Les normes industrielles doivent être définies sécurité communément négociées et déterminer si
l’environnement de développement comprend il peut être difficile d’identifier ce qui peut être et appliquées pour permettre la détection des elles répondent à l’objectif de l’exigence initiale. Les
les outils et les plateformes sur lesquels les injecté au cours du processus de création. cyberattaques, la protection contre celles-ci et la résultats de cette analyse continue sont exploités pour
développeurs créent du code, tels que les récupération. Les entreprises doivent également conseiller les tiers opérant dans nos environnements et
systèmes d’exploitation, les éditeurs de code, les Mise en production : procéder à la mise en s’assurer que les échantillons ou les prototypes sont s’assurer que leurs attentes et leurs responsabilités sont
outils de recherche (par exemple, les navigateurs production prévue est l’objectif ultime d’une manipulés et stockés en toute sécurité, et qu’une clairement définies.
et les sites Web associés), les outils de création chaîne d’approvisionnement logicielle sécurisée. surveillance adéquate est instaurée pour suivre et
locaux et d’autres outils de création de code. L’énumération des entrées et la vérification du maintenir la chaîne de surveillance pour tous les
La cible la plus convoitée est l’identité du produit final nécessitent une compréhension éléments propriétaires ou les produits finis.
développeur. Des solutions doivent être mises en globale de systèmes complexes et constituent
Surveillance continue de la sécurité à l’aide du
place pour atténuer ce risque. une phase finale essentielle, grâce auxquelles les Machine Learning
5. Sécurité logistique
organisations savent ce qu’elles publient. Les fonctions logistiques doivent être sauvegardées
Code source : le risque de code malveillant peut pour éviter toute altération, perte ou vol des produits
survenir lorsque les développeurs prennent du 2. Sécurité des firmwares et des pilotes pendant le transport et le stockage. Les équipes
code source et des binaires à partir de diverses Le firmware et les pilotes constituent la base de la chargées du matériel et des appareils doivent appliquer
sources, notamment des sources internes, des plupart des appareils matériels. S’ils sont piratées et des contrôles opérationnels et d’infrastructures
logiciels open source (OSS) ou auprès d’une autre intégrés à un logiciel malveillant, ils présentent un appropriés auprès des fournisseurs afin de garantir la
organisation. Chaque source doit présenter un risque énorme pour l’appareil matériel et l’organisation sécurité et la conformité aux normes de l’entreprise de
niveau de confiance garanti et connu pour avoir qui en dépend, en créant un accès non autorisé, et la réception, de l’expédition, du stockage et d’autres
sécurisé correctement les contrôles de chaîne en le rendant inutilisable ou même impossible à nœuds de gestion logistique.
d’approvisionnement. Dans la plupart des cas démarrer. Les organisations doivent s’assurer que tous
de logiciel malveillant OSS signalés, le logiciel les firmwares et les pilotes installés sur des serveurs 6. Sécurité des fournisseurs
malveillant est conçu pour voler les informations ou des équipements à la disposition des utilisateurs Lorsqu’elles s’engagent auprès des fournisseurs, les
d’identification du développeur et créer des respectent les exigences de sécurité requises et entreprises doivent s’assurer que ceux-ci respectent les
variables d’environnement, en les exfiltrant vers disposent de la documentation nécessaire pour prouver exigences bien définies de sécurité et de confidentialité
un serveur contrôlé par un cybercriminel distant. leur conformité. tout au long de leur partenariat.
En savoir plus :
7. Validations et garanties de sécurité 9. Surveillance et détections Décret des États-Unis divulgation des vulnérabilités et à d’autres pratiques.
La nature active des cybercriminels nécessite une Chacun des domaines d’intérêt de la chaîne Pour les utilisateurs de logiciels de l’agence fédérale
évaluation continue des conditions de sécurité de la d’approvisionnement susmentionné nécessite
et sécurité de la chaîne bénéficiant d’un accès privilégié ou d’autres attributs
chaîne d’approvisionnement end-to-end pour identifier des mesures de surveillance, de détection et de d’approvisionnement qui les rendent particulièrement critique, l’EO impose
et hiérarchiser les investissements en matière de suivi lorsqu’une activité douteuse est identifiée. La Publié le 12 mai 2021, le décret (EO) sur l’amélioration des mesures de sécurité, publiées par le National
sécurité. Un mélange d’audits internes, d’enseignements surveillance, la détection et la réponse initiale sont de de la cybersécurité du pays (EO 14028) décrit de Institute of Standards and Technology (NIST) en juillet,
tirés des récents événements et de tests de pénétration plus en plus automatisées dans les opérations cloud nouvelles étapes importantes pour les agences pour gérer les risques opérationnels. Microsoft a
garantit que les contrôles appropriés sont établis pour hyperévolutives d’aujourd’hui. Ces actions couvrent des fédérales américaines et leurs fournisseurs de longtemps investi dans le développement de bonnes
détecter, prévenir et/ou atténuer ces attaques. Les cas courants, mais peuvent également être adaptées technologies, afin de renforcer la modernisation pratiques pour le développement logiciel sécurisé, les
résultats de ces engagements permettent d’identifier la pour traiter des scénarios nouveaux ou insoupçonnés. de l’IT, d’améliorer la réponse aux incidents et de tests logiciels et les programmes de divulgation et de
prochaine série d’exigences à aborder. renforcer la sécurité de la chaîne d’approvisionnement gestion des vulnérabilités. Nous avons contribué aux
En savoir plus : logicielle. 66
La section 4 se concentre sur la sécurité efforts visant à définir des pratiques et des normes
8. Gouvernance et résilience de la chaîne de de la chaîne d’approvisionnement logicielle, en consensuelles au sein du secteur, notamment via
Sécurité des firmwares - Azure Security | Microsoft Docs
confiance énumérant les domaines d’exigences à développer SAFECode,68 ISO, 69et NIST.70 Avec GitHub, Microsoft a
(6/24/2021)
Les clients font confiance à leurs fournisseurs pour pour les fournisseurs de logiciels et les utilisateurs de également contribué aux efforts déployés pour élaborer
Sécurité des logiciels open source de Microsoft les bonnes pratiques et les spécifications pour définir
les protéger à mesure qu’ils utilisent leurs produits logiciels de l’agence fédérale. Pour les fournisseurs de
et services. Les chaînes de confiance internes Présentation de la sécurité des datacenters - Microsoft logiciels, l’EO impose des exigences visant à améliorer les cas d’utilisation et faciliter la livraison de SBOM, qui
fournissent l’identité, l’intégrité et la non-répudiation Service Assurance | Microsoft Docs (8/23/2021) la capacité à résister à la falsification ou aux attaques identifient la composition des logiciels et permettent
de la plateforme, des produits et des services de Sécurité physique des datacenters Azure - Microsoft et à favoriser une plus grande transparence des aux fournisseurs de logiciels d’associer des informations
l’organisation. Les principaux éléments des chaînes azure | Microsoft Docs (7/10/2020) composants, notamment grâce à des pratiques et des à des composants. Microsoft et GitHub appuient la
de confiance sont l’infrastructure à clé publique, les environnements de développement logiciel sécurisés, fourniture de SBOM pour procéder aux contrôles de
Sécurité de la chaîne d’approvisionnement - Microsoft
algorithmes de chiffrement, le matériel, ainsi que les à l’utilisation d’outils ou de processus dédiés à la vulnérabilité et d’intégrité. Nous nous engageons à tirer
Research
équipes et les installations associées. Une gouvernance vérification logicielle et aux contrôles de vulnérabilité, parti des SBOM afin de stocker davantage de preuves
Microsoft Security Development Lifecycle de l’intégrité de la chaîne d’approvisionnement end-to-
efficace des chaînes de confiance tierces est essentielle. à la fourniture d’informations sur la nomenclature
logicielle, à la participation à un programme de end.
En savoir plus :
Apprenez à connaître vos fournisseurs Microsoft et NIST collaborent sur EO pour faciliter l’adoption de la Confiance Zéro | Blog Microsoft dédié à la sécurité
(8/17/2021)
et comprenez leurs chaînes CYBER EO | Microsoft Federal
d’approvisionnement. Microsoft - Executive Order - NIST workshop position paper 4- Testing software source code Microsoft Corporation.pdf
Microsoft - Executive Order - NIST workshop position paper 5- Software integrity chains Microsoft Corporation.pdf
Approche de Microsoft envers la divulgation de vulnérabilités coordonnée
NTIA_RFC_SBOM_Minimum_Elements_MSFT_Response_061721.docx.pdf
66
Décret sur l’amélioration de la cybersécurité du pays | La Maison Blanche 67Mesures de sécurité pour l’utilisation de logiciels essentiels à l’EO | NIST
68
Pratiques fondamentales pour le développement logiciel sécurisé, troisième édition - SAFECode 69 ISO-ISO/IEC 27034-1:2011 - technologies de l’information
— Techniques de sécurité — Sécurité des applications — partie 1 : présentation et concepts 70 Cadre de développement logiciel sécurisé | CCRS (nist.gov) Rapport sur la défense numérique de Microsoft | Octobre 2021 75
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
Paysage des a entraîné une situation dangereuse, dans laquelle Évolution des cybermenaces
71
menaces de l’IoT
Les entreprises doivent faire face à l’évolution des
et ont utilisé le logiciel du système SCADA pour
cybermenaces et des logiciels malveillants innovants.
augmenter la concentration d’hydroxyde de sodium,
et de l’OT
Ces problèmes concernent les attaques de la
un produit chimique caustique, dans l’eau. Le piratage
chaîne d’approvisionnement, telles que HAVEX73 et
d’un fournisseur de caméras de sécurité72 a exposé des
SolarWinds,74 les logiciels malveillants ciblant les
images sensibles provenant d’hôpitaux, de services de
systèmes de commande industriels (ICS) 0 jours tels
De nos jours, les solutions efficaces dépendent souvent police et de nombreuses autres entreprises.
que Triton75 et Industroyer,76 les logiciels malveillants
de la convergence de nombreux composants, y compris
sans fichier,77 et les tactiques qui « exploitent les
le matériel, les logiciels et les services cloud, qui sont Tous ces développements soulignent la nécessité pour
ressources » à l’aide d’outils d’administration standard,78
souvent réunis dans une solution IoT. L’Internet des les organisations de sécuriser leurs empreintes IoT et
qui sont plus difficiles à repérer car ils se fondent dans
objets va plus loin que des appareils connectés, il OT. Les organisations sont plus interconnectées que
les activités quotidiennes légitimes. La fréquence et la
englobe les données collectées par ces appareils et les jamais, en exposant davantage les appareils et les
gravité de ces attaques ont également augmenté au
informations puissantes et immédiates qui peuvent environnements OT hérités, y compris ceux qui étaient
cours de l’année écoulée.
être tirées de ces données. Par conséquent, l’Internet relativement isolés. D’autre part, les nouveaux appareils
des objets et d’autres systèmes intégrés et OT sont IoT (tels que les téléviseurs intelligents et les capteurs
Du point de vue technique, l’attaque Triton contre les
devenus des sujets critiques pour les entreprises, les intelligents) résident dans des environnements OT
contrôleurs de sécurité d’une installation pétrochimique
opérations et la sécurité. Plus que jamais, la sécurité et IT. Tous ces éléments réunis, en plus du contexte
au Moyen-Orient visait à causer des dommages
de l’IoT et de l’OT sont des sujets abordés dans les supplémentaire de préoccupations en matière de
structurels importants à l’installation et des pertes
salles de réunion d’entreprise et les discussions de l’État confidentialité et de conformité réglementaire, souligne
éventuelles en vies humaines. Les pirates ont obtenu
et de la législature fédérale. Elle constitue un enjeu la nécessité d’une approche holistique qui garantit une
leur point d’ancrage initial dans le réseau informatique
prioritaire, en partie en raison de la fréquence et de la sécurité et une gouvernance optimales sur tous les
et ont ensuite utilisé des tactiques qui « exploitent les
gravité croissantes des attaques au cours de l’année appareils OT et IoT.
ressources » pour accéder à distance au réseau OT, où
écoulée. Cette prolifération des attaques a également
ils ont déployé leurs logiciels malveillants spécialement
entraîné une prise de conscience accrue de la mesure En savoir plus :
conçus à cet effet.
dans laquelle les cyberattaques ciblant le domaine
Piratage SCADA : les attaques SCADA/ICS les plus
numérique peuvent avoir un impact sur le domaine
importantes de l’histoire (hackers-arise.com) (4/12/2021)
physique : l’attaque de Colonial Pipeline a conduit
directement à l’arrêt du plus grand conduit d’essence
aux États-Unis. Le compromis de la station d’eau
potable d’Oldsmar
71
Lessons Learned from Oldsmar Water Plant Hack – Security Today 72 Hackers breach Verkada’s giant trove of security-camera data collection | Fortune 73 https://en.wikipedia.org/wiki/Havex 74
https://msrc-blog.microsoft.com/2020/12/13/
customer-guidance-on-recent-nation-state-cyber-attacks/ 75
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html 76
https://www.zdnet.com/article/industroyer-an-in-depth-look-at-the-
culprit-behind-ukraines-power-grid-blackout/ 77
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats 78
PowerShell, Windows Management Instrumentation Rapport sur la défense numérique de Microsoft | Octobre 2021 76
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
Distribution des services de commande et de contrôle de l’IoT par pays Distribution de l’architecture CPU des logiciels malveillants de l’IoT (juillet 2020 – juin 2011)
(juillet 2020 – juin 2021)
Résultats : vulnérabilités IoT et Nos recherches ont montré que les mises en œuvre Voici un exemple de BadAlloc :
d’allocation de mémoire écrites au fil des ans dans
OT au sein du secteur le cadre des appareils de l’Internet des objets et des
L’équipe Microsoft Defender for IoT effectue des logiciels intégrés ne présentaient pas les validations
recherches sur différents types d’équipements, d’entrée appropriées. Sans ces validations d’entrée,
allant des contrôleurs de systèmes de commande un pirate pourrait exploiter la fonction d’allocation
industriels hérités aux capteurs IoT de pointe. Lors de de mémoire pour effectuer un débordement de tas,
la découverte d’une vulnérabilité, les résultats sont entraînant l’exécution de code malveillant sur un
partagés avec les fournisseurs appropriés grâce à appareil cible.
un processus de divulgation responsable mené par
Microsoft Security Response Center et le Département Les vulnérabilités d’allocation de mémoire peuvent
de la sécurité intérieure des États-Unis (DHS), en vue de être appelées en appelant la fonction d’allocation de
permettre à ces fournisseurs d’enquêter et de remédier mémoire, telle que malloc (VALUE), avec le paramètre
à cette vulnérabilité. VALUE dérivé de manière dynamique à partir d’une
entrée externe, en étant suffisamment important pour
En avril 2021, nous avons découvert une série de déclencher un dépassement d’entier ou un wraparound.
vulnérabilités d’allocation de mémoire critiques Le concept est le suivant : lors de l’envoi de cette
au niveau d’appareils IoT et OT susceptibles d’être valeur, le résultat renvoyé est une mémoire tampon
exploitées par les cybercriminels pour contourner les récemment allouée. Bien que la taille de la mémoire
contrôles de sécurité et exécuter du code malveillant allouée reste faible en raison du wraparound, la charge
ou provoquer un crash du système. Le groupe utile associée à l’allocation de mémoire dépasse la
de vulnérabilités a été surnommé BadAlloc. Ces mémoire tampon allouée réelle, en provoquant un
vulnérabilités d’exécution de code à distance affectaient débordement de tas. Ce débordement de tas permet à
un large éventail d’industries et de marchés verticaux, un pirate d’exécuter du code malveillant sur l’appareil
notamment l’IoT de consommation et médical, cible.
l’IoT industriel, l’OT et les systèmes de commande
industriels. Plus de 25 vulnérabilités et expositions BadAlloc est un cas qui illustre l’impact considérable
courantes (CVE) ont été découvertes. Dans le contexte de ces vulnérabilités, car le risque existe au niveau des
des environnements informatiques, l’exploitation de appareils IoT et OT dans tous les principaux secteurs
La protection des appareils IoT et OT contre l’exposition de garantir que les environnements numériques
ces vulnérabilités peut compromettre la confidentialité. d’activité. Cet exemple illustre l’un des plus grands défis
aux risques informatiques devient plus importante à modernes ne sont pas freinés par les menaces
Dans le contexte des environnements OT, elle peut être en matière d’atténuation des risques informatiques,
mesure qu’ils convergent. Trop souvent, ces risques provenant de la technologie héritée connectée aux
utilisée pour perturber les opérations. IoT et OT : ils partagent les surfaces d’attaque, et les
sont abordés isolément avec une approche rigide et systèmes OT. L’atténuation nécessite une approche
cybercriminels examinent l’ensemble de l’écosystème.
cloisonnée. Pour réussir à contrer les attaques, les intégrée qui s’étend à l’ensemble de l’entreprise. Les
Les vulnérabilités proviennent de l’utilisation de
risques doivent être traités de manière holistique tout organisations doivent rechercher des opportunités de
fonctions de mémoire vulnérables, telles que malloc,
en conciliant l’expertise du domaine dans chaque renforcer, corriger ou segmenter les systèmes afin de
calloc, realloc, memalign, valloc, pvalloc et d’autres.
domaine. Il est également essentiel réduire la surface d’attaque.
Matrice d’impact de BadAlloc Atténuer les vulnérabilités IoT et OT telles que Segmenter. La segmentation du réseau est importante
BadAlloc pour la Confiance Zéro, car elle limite la capacité
de l’attaquant à se déplacer latéralement et à
Nous recommandons les stratégies d’atténuation
compromettre les ressources après l’intrusion initiale.
suivantes aux organisations utilisant des appareils IoT
Les appareils IoT et les réseaux OT doivent être isolés
et OT :
des réseaux informatiques de l’entreprise à l’aide de
Correctif, correctif, correctif. Suivez les instructions du pare-feu.
fournisseur pour appliquer des correctifs aux produits
concernés. En savoir plus :
Si vous n’appliquez pas de correctif, surveillez-les. Éliminer les vulnérabilités de l’internet des objets à l’aide
de tests de performance CIS et d’Azure Defender for IoT –
Étant donné que la plupart des appareils IoT et OT
Communauté technique Microsoft (8/8/2021)
hérités ne prennent pas en charge les agents, utilisez
une solution de détection et de réponse aux menaces
du réseau (NDR) compatible avec l’IoT et l’OT79 et une
solution SIEM/SOAR80 pour découvrir automatiquement
et surveiller en permanence les comportements
anormaux ou non autorisés sur les appareils, comme
la communication avec des hôtes locaux ou distants
BadAlloc est un exemple de vulnérabilités IoT/OT qui présente un risque dans tous les secteurs d’activité.
inconnus. Ces éléments sont essentiels à la mise en
L’étendue et la nature du risque dépendent du contexte spécifique de l’utilisation de l’appareil. BadAlloc
œuvre d’une stratégie Confiance Zéro pour l’IoT/OT.
ne doit pas être considérée comme un problème OT ou IT. Les organisations doivent adopter une
approche holistique pour atténuer les risques.
Réduire la surface d’attaque. Éliminez les connexions
Internet inutiles aux systèmes de contrôle OT et mettez
en œuvre un accès de réseau privé virtuel (VPN) avec la
MFA lorsque l’accès à distance est nécessaire. Le DHS
des États-Unis avertit que les appareils VPN peuvent
également présenter des vulnérabilités et doivent être
mis à jour à la version la plus récente.
79
https://azure.microsoft.com/en-us/services/azure-defender-for-iot/ 80 https://azure.microsoft.com/en-us/services/azure-sentinel/ Rapport sur la défense numérique de Microsoft | Octobre 2021 80
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
des appareils
canal auxiliaire.
fiable L’appareil dispose-t-il d’une identité unique et infalsifiable, indissociable du matériel ? L’intégrité du logiciel de
hautement
l’appareil est-il sécurisé par le matériel ?
Plusieurs mesures d’atténuation appliquées contre les menaces. Les contre-mesures atténuent les conséquences d’une attaque
sécurisés
Défense en réussie sur un seul vecteur.
profondeur L’appareil reste-t-il sécurisé même en cas de violation d’un mécanisme de sécurité ?
d’une approche
Confiance Zéro spécifiques appliquées aux solutions de Utilisez une solution de gestion de la conformité et
l’Internet des objets : de configuration centralisée, ainsi qu’un mécanisme
de Confiance
de mise à jour robuste pour garantir la mise à jour et
l’intégrité des appareils.
Zéro aux
Identité forte pour authentifier les appareils
Enregistrez les appareils, émettez des informations
Surveillance de la sécurité et réponse pour détecter
solutions IoT
d’identification renouvelables, utilisez une
et remédier aux menaces émergentes
authentification sans mot de passe et utilisez une racine
Utilisez une surveillance proactive pour identifier
matérielle de confiance afin de pouvoir faire confiance
rapidement les appareils non autorisés ou compromis.
à son identité avant de prendre des décisions.
La sécurisation des solutions IoT avec un modèle
de sécurité Confiance Zéro81 commence par des En savoir plus :
Accès de privilège minimum pour atténuer la zoner
exigences spécifiques non liées à l’IoT, en veillant d’impact Azure Defender for IoT | Microsoft Azure
spécifiquement à la mise en œuvre des bases pour Mettez en œuvre le contrôle d’accès aux appareils et
Azure Sentinel – solution SIEM native du cloud | Microsoft
sécuriser les identités et leurs appareils et limiter leur aux charges de travail pour limiter toute zone d’impact Azure
accès. Ces exigences incluent la vérification explicite potentielle des identités authentifiées qui ont pu être
des utilisateurs, la visibilité sur les appareils qu’ils https://aka.ms/7properties
compromises ou exécuter des charges de travail non
intègrent au réseau et la capacité à prendre des approuvées. Dix-neuf bonnes pratiques de cybersécurité ont été
décisions d’accès dynamique à l’aide de détections utilisées pour mettre en œuvre les sept propriétés des
de risques en temps réel. C’est en répondant à ces appareils hautement sécurisés dans Azure Sphere
Intégrité des appareils pour accorder l’accès ou
exigences que vous pourrez limiter la zone d’impact (microsoft.com) ( juillet 2020)
signaler les appareils nécessitant une correction
potentielle des utilisateurs qui obtiennent un accès Cybersécurité Confiance Zéro pour l’Internet des objets
Vérifiez la configuration de la sécurité, évaluez les
non autorisé aux services et aux données de l’IoT dans (4/30/2021)
vulnérabilités et les mots de passe non sécurisés,
le cloud ou sur site. Sinon, vous pourriez faire face à
et surveillez les menaces actives et les alertes
une divulgation d’informations importante (comme la
comportementales anormales pour créer des profils de
divulgation des données de production d’une usine) et
risque continus.
à l’élévation potentielle de privilèges des commandes
et des contrôles de systèmes cyber-physiques (comme
l’interruption d’une ligne de production d’usine).
81
Modèle et cadre de sécurité Confiance Zéro | Microsoft Security Rapport sur la défense numérique de Microsoft | Octobre 2021 82
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
l’intersection de
gouvernementales,le développement durable deviendra permettre aux pirates d’accéder aux systèmes OT, et chimiques dans l’approvisionnement en eau.85 En
un moteur principal du déploiement opérationnel de l’inverse est également possible. Dans un exemple, outre, il est essentiel de comprendre les conditions
la cybersécurité et
l’Internet des objets. Pour améliorer considérablement les attaquants ont utilisé un système d’aquarium pour de sécurité des systèmes d’approvisionnement qui ne
leur empreinte environnementale, les entreprises accéder aux bases de données des high-rollers des sont pas sur le réseau IT/OT de l’organisation, mais
du développement
doivent évaluer et surveiller leur comportement, puis casinos,84 démontrant que tout appareil doté d’une qui affectent néanmoins les opérations. De même
utiliser des méthodes de contrôle automatisé ou à connectivité peut offrir une ouverture à un pirate qu’une entreprise cherche à améliorer son efficacité
durable
distance pour l’optimiser. motivé. et sa durabilité, ses fournisseurs le font aussi. Ces
systèmes d’approvisionnement peuvent être connectés
Le défi consiste à déterminer comment mesurer, Bien que de nombreuses organisations évoluent à l’extérieur du réseau (cellulaire, par exemple) pour
surveiller et automatiser ces systèmes en toute dans leur approche de sécurité IT (en délaissant les mesurer et surveiller le fonctionnement de l’appareil,
Les entreprises déploient généralement l’Internet des
sécurité. Ces systèmes peuvent contenir des données modèles de sécurité basé sur le périmètre au profit réduire les déplacements en véhicule utilitaire et
objets pour améliorer le chiffre d’affaires : une meilleure
sensibles, se connecter aux systèmes d’entreprise au d’un modèle de Confiance Zéro), l’Internet des objets accroître le temps de disponibilité. Les compromis des
qualité, une productivité accrue/un temps d’arrêt réduit,
sein de votre organisation et influer de plus en plus est souvent négligé et à la traîne. Par exemple, les composants d’infrastructure gérés de manière externe
l’optimisation de la production et la réduction des coûts
sur les opérations physiques de votre entreprise. Des entreprises savent chiffrer les données sensibles des peuvent affecter directement les entreprises en aval.
d’exploitation et/ou l’augmentation de la production
attaques telles que Triton82ou Crash override83 qui applications, mais nombre d’entre elles n’ont pas Par exemple, si vous éteignez les refroidisseurs dans un
de manière non linéaire. L’amélioration de l’activité
ciblent spécifiquement les systèmes OT démontrent réalisé que leurs systèmes de contrôle s’appuient sur le immeuble, vous risquez d’interrompre les opérations
de cette manière permet également de réduire les
que ces systèmes sont des cibles attractives pour les protocole Modbus, qui, par conception, est dépourvu et de gâter les stocks, les capteurs de qualité de l’air
déchets : utilisation réduite des ressources pour une
États-nations et les cybercriminels, et qu’ils ont le d’authentification et envoie les données à découvert. risquent de ne pas alerter les travailleurs contre les
production identique ou supérieure, une disponibilité
potentiel de perturber les opérations commerciales Bien que les PC soient systématiquement tenus de conditions dangereuses, etc.
plus élevée, une réduction des mises au rebut, etc.
et d’engendrer potentiellement des dommages disposer de certificats à jour, les appareils IoT sont
Bien que l’investissement IoT dans le domaine du
environnementaux. souvent déployés avec des mots de passe définis en Même si l’Internet des objets peut et permettra de
développement durable soit moins commun, le
développement durable en tant qu’initiative n’est plus usine. meilleures pratiques environnementales, il est essentiel
considérée comme un effort à somme nulle en conflit Il est essentiel d’évaluer la sécurité des systèmes OT que tous les systèmes connectés, susceptibles d’avoir
avec la valeur commerciale. avec les mêmes rigueur et exhaustivité que celles Les compromis dans ces systèmes OT peuvent été installés depuis une décennie ou plus, soient
appliquées aux systèmes informatiques. Comme nous perturber les opérations, même si les pirates se conçus, évalués et exploités de manière sécurisée.
À mesure que les entreprises subissent une pression l’avons observé, les cybercriminels choisiront des concentrent également sur les interactions entre À mesure que le monde s’adapte aux nouvelles
croissante pour améliorer leur empreinte « cibles vulnérables » comme point d’entrée. l’IoT et l’OT. Les systèmes de commande industriels priorités qui sont apparues au cours de la pandémie,
sont souvent mis à jour ou modernisés à l’aide les entreprises cherchent à relever les défis croissants
de fonctionnalités distantes, en introduisant de liés au développement durable. L’Internet des objets
Il est essentiel d’évaluer la sécurité des systèmes OT nouveaux vecteurs d’attaque qui permettent aux sécurisé jouera un rôle essentiel pour permettre aux
entreprises d’utiliser durablement les ressources et
attaques virtuelles de causer des dommages dans
avec les mêmes rigueur et exhaustivité que celles des scénarios physiques. Plus tôt cette année, une les services publics vitaux tout en les protégeant
appliquées aux systèmes informatiques. usine de traitement d’eau en Floride a été victime d’un aujourd’hui et à l’avenir.
82
Hackers use Triton malware to shut down plant, industrial systems | ZDNet 83 Crash Override Malware Took Down Ukraine’s Power Grid Last December | WIRED 84 A smart fish tank left a casino vulnerable to hackers (cnn.com)
85
FBI, Secret Service investigating cyberattack on Florida water treatment plant - TechRepublic Rapport sur la défense numérique de Microsoft | Octobre 2021 83
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
Adoption de l’IoT dédié au développement durable l’intégrité globale de la cybersécurité. Ces normes grand public, qui peut également faire référence à la
visent à fournir aux fabricants, aux développeurs et aux norme NISTIR 8259A, tout en étant compatible avec
utilisateurs des conseils pour identifier et adopter les les normes ETSI ou ISO. Parmi les autres exemples,
bonnes pratiques appliquées à la sécurité des appareils. mentionnons les exigences de sécurité obligatoires
Parmi les exemples éminents de normes internationales, proposées pour les appareils intelligents grand public
Ceux qui adoptent citons la norme de l’Institut européen des normes de au Royaume-Uni,88 et les programmes d’étiquetage
l’IoT en faveur du télécommunications (ETSI) pour la sécurité de l’IoT volontaire des appareils à Singapour et en Finlande,
développement grand public, publiée en juin 2020, ETSI EN 303 645. tous basés sur la norme ETSI EN 303 645. En tirant parti
durable sont plus La norme ETSI est désormais un ensemble public de des normes internationales et des bonnes pratiques
susceptibles d’être ressources que les administrations et les entreprises du largement utilisées, les décideurs peuvent également
dans la phase de monde entier peuvent utiliser pour améliorer la sécurité garantir la cohérence et la reconnaissance mutuelle
mise en œuvre des appareils IoT. Elle inclut des recommandations sur la des exigences obligatoires dans toutes les régions afin
de leur stratégie gouvernance et la technologie. Elle a été établie à l’aide d’éviter toute fragmentation qui irait à l’encontre de
d’IA que ceux qui d’un processus multipartite rigoureux et collaboratif l’innovation, de l’interopérabilité et de la sécurité de
adoptent l’Internet impliquant des experts du secteur, du secteur public et l’IoT.
des objets pour du milieu universitaire. De même, après un processus
d’autres raisons.86 de consultation publique itératif, en mai 2020, le NIST
Projet de la Global Cyber
Considérations
a publié NISTIR 8259A, qui détaille un ensemble de
physique et l’Internet compliquent le développement base des capacités nécessaires aux appareils pour les Alliance : comment les stratégies
d’une stratégie de cybersécurité efficace et adaptée.
et les normes améliorent la
en matière de
contrôles de cybersécurité courants. L’Organisation
Pour faire face au paysage des menaces de l’Internet
des objets, la communauté mondiale des fabricants
internationale de normalisation (ISO) et la Commission
sécurité de l’Internet des objets
électrotechnique internationale (IEC) établissent
stratégie de
IoT et des experts en cybersécurité a développé des également une ligne de base minimale de sécurité . Les normes, les lois et les exigences proposées pour
ensembles de normes de bonnes pratiques appliquées les bases de référence de sécurité des appareils IoT
sécurité de l’IoT
à la cybersécurité des appareils IoT. Ces normes ont partagent de nombreux contrôles communément
La politique peut aider les fabricants à adopter des
démontré leur efficacité face aux attaques courantes. recommandés ou requis. Les trois premières
normes internationales de manière cohérente afin
Les secteurs d’activité et les décideurs peuvent les dispositions de la norme ETSI pour la sécurité de l’IoT
d’améliorer la sécurité dans toute une gamme de
Dans le monde entier, les décideurs reconnaissent exploiter pour apporter des améliorations immédiates grand public, ETSI EN 303 645, sont les plus fortement
produits de consommation et de promouvoir un état
les implications profondes de la sécurité de l’IoT à l’état mondial de la sécurité des appareils IoT pour les recommandées par l’ETSI et figurent dans plusieurs
de sécurité avancé dans les applications critiques.
pour la confidentialité, la sécurité, la protection des clients, les entreprises et les administrations publiques. politiques au niveau national. Voici ces dispositions :
Aux États-Unis, les initiatives stratégiques basées
infrastructures critiques et la transformation numérique 1. Aucun mot de passe par défaut
sur les normes incluent la Loi sur l’amélioration de
en général. Les approches envers les stratégies de Bases de référence de sécurité la cybersécurité de 2020,87 qui fait référence à la
2. Mettre en œuvre une stratégie de divulgation des
sécurité de l’IoT vont des programmes volontaires vulnérabilités
Les normes relatives aux lignes de base de sécurité de norme NISTIR 8259A dédiée à la gestion des risques
aux exigences de sécurité obligatoires. La gamme des 3. Maintenir les logiciels à jour
l’IoT fournissent un début prometteur pour améliorer associés à l’utilisation des appareils IoT par l’Agence
types d’appareils IoT, le nombre croissant d’appareils et fédérale des États-Unis, et la norme EO 14028, qui
le volume d’interactions entre les appareils, le monde propose un programme d’étiquetage des appareils IoT
86
Rapport Microsoft IOT Signals, dont la publication est prévue en novembre 2021 87 texte des RH 1668 (116th): IoT Cybersecurity Improvement Act of 2020
(Passed Congress version) - GovTrack.us 88 New cyber security laws to protect smart devices amid pandemic sales surge – GOV.UK (www.gov.uk) Rapport sur la défense numérique de Microsoft | Octobre 2021 84
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
Les lois de l’État de Californie et d’Oregon interdisent à comprendre l’avantage des approches fondées sur grande échelle, afin de comprendre les tendances et les SYNTHÈSE ET CONCLUSIONS GCA
les mots de passe par défaut sur les appareils IoT. les bonnes pratiques de sécurité des appareils IoT, et changements des méthodologies d’attaque IoT. L’analyse des données sur les attaques réelles de la
De même, des recommandations ou des exigences comme élément probant pour convaincre les fabricants GCA montre que les mots de passe définis en usine
relatives à la mise à jour des logiciels et à l’utilisation de d’adopter les normes et d’adhérer aux stratégies. La recherche a testé trois contrôles communément par les fabricants d’appareils et qui ne sont jamais
protocoles de communication sécurisés comme HTTPS référencés dans les normes et les stratégies de sécurité modifiés par les utilisateurs, ainsi que les mots de
apparaissent également fréquemment dans les normes À l’aide de la technologie de leurre développée en IoT : passe faibles définis par les utilisateurs, représentent
et les stratégies du monde entier. interne, le GCA a créé une cible attrayante et accessible la faille de sécurité la plus exploitée pour les appareils
• Contrôle d’accès sécurisé (« aucun mot de passe
pour les cybercriminels potentiels afin d’en apprendre le IoT. Les cadres stratégiques et réglementaires peuvent
par défaut »)
Microsoft a appuyé une étude menée par la Global plus possible sur l’existence, la source et la prévalence faciliter l’adoption et harmoniser la mise en œuvre des
Cyber Alliance (GCA) pour démontrer l’efficacité
89
des attaques. La ville a exploité une grande miellerie • Capacité de l’appareil à mettre à jour les logiciels exigences des normes de sécurité des appareils IoT,
des contrôles communément recommandés pour comprenant plusieurs centaines d’appareils IoT émulés et les recommandations pour maintenir les telles que la NISTIR 8259, l’ETSI EN 303 645 et l’ISO/
prévenir les attaques. L’analyse peut être utilisée répartis dans le monde entier afin de fournir des logiciels à jour IEC 27402, afin de promouvoir les bonnes pratiques de
pour aider les décideurs et les dirigeants du secteur données sur les attaques à long terme, réelles et à • Protection des données en transit contrôle d’accès sécurisé et de gérer ce risque.
Trafic par protocole du cybercriminel attaquant la miellerie GCA Les attaques de la miellerie GCA avec l’activité (commandes et téléchargements) par protocole
L’analyse du trafic du cybercriminel est à peu près égale pour les ports ouverts qui ont permis de lancer Telnet est le protocole de choix évident pour l’exploitation des attaques lancées sur des appareils IoT.
les attaques.
89
https://www.globalcyberalliance.org/ Rapport sur la défense numérique de Microsoft | Octobre 2021 85
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
La recherche a également montré une prévalence Les données et les signaux de Lorsque nous examinons les attaques contre ces deux ports, elles sont tout sauf statiques. Différents acteurs vont
généralisée des tentatives d’exploiter des failles de et viennent, dans de nombreux cas en réaffectant les bots présentant un code source volé, tel que MIRAI. Souvent,
sécurité dans les piles logicielles des appareils IoT. Cette
menaces de Microsoft étayent ces attaques répliquent des méthodes de travail existantes. Nous avons toutefois commencé à observer des cas
conclusion offre une prise en charge de l’efficacité de la ces constatations d’utilisation plus avancés où les bots tirent parti de nouvelles exploitations.90 Il est intéressant de noter que bon
mise à jour des logiciels et de l’utilisation de protocoles Les conclusions du projet GCA correspondent nombre de ces attaques continuent à utiliser des mots de passe faibles pour se déplacer latéralement entre les hôtes
de communication sécurisés pour prévenir les tentatives aux observations de Microsoft sur son réseau de infectés.
de compromettre les failles de sécurité. capteurs IoT. L’analyse et le scraping HTTP génériques
constituent la majeure partie des demandes que nous Le réseau de capteurs de Microsoft nous fournit des données brutes sur ces types d’attaques et les mots de passe
La prévalence des tentatives d’attaque observées sur recevons, suivies de Secure Shell (SSH) et de Telnet, utilisés. Nous avons examiné plus de 280 000 attaques et analysé les données de mot de passe que nous avons
les failles de sécurité dans les logiciels des appareils respectivement. Les deux protocoles sont fréquemment collectées. Sans surprise, nous avons constaté que 96 % des attaques utilisaient un mot de passe avec moins de
IoT est également compatible avec la notion selon observés sur les appareils IoT/OT, et Telnet est le favori 10 caractères, 92 % en contenaient moins de 8, et un peu plus choquant, 72 % de toutes les attaques nécessitaient
laquelle les contrôles non techniques communément des botnets comme MIRAI et d’autres basés sur celui-ci. seulement de deviner un mot de passe de 6 caractères ou moins. Parmi ces tentatives de saisie de mot de passe,
recommandés compromettraient la réussite des Les deux protocoles sont également communément seulement 2 % incluaient un caractère spécial et 72 % ne contenaient même pas de chiffre.
attaques. En particulier, les exigences pour les fabricants associés aux attaques de mots de passe par force brute,
de mettre en œuvre une stratégie de divulgation et de et lorsqu’ils sont regroupés, ils deviennent le type Les attaques que nous observons dans la nature s’alignent sur les données GCA et d’autres rapports. Les mots de
gestion des vulnérabilités et de communiquer l’état du d’attaque le plus répandu sur les appareils IoT/OT. passe par défaut, qui sont généralement un seul mot court en anglais, facilitent considérablement la tâche des
support de sécurité de leurs produits fourniraient des cybercriminels, qui accèdent alors aisément à l’infrastructure d’une entreprise. S’il est impossible de gérer les identités
informations précieuses aux consommateurs.
Distribution des attaques contre les protocoles
des appareils IoT d’une entreprise en toute sécurité, les mots de passe plus longs, notamment ceux qui comportent
IoT/OT populaires (juillet 2020 - juin 2021) des caractères spéciaux, sont fortement conseillés.
En savoir plus :
Attaques contre les ports Telnet et SSH
Global Cyber Alliance : rapport sur les stratégies et les
attaques de l’IoT
90
Comment se défendre de manière proactive contre le botnet IoT Mozi | Blog Microsoft dédié à la sécurité Rapport sur la défense numérique de Microsoft | Octobre 2021 86
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
> 20 millions
NOMBRE DE FOIS
QUE NOUS AVONS
OBSERVÉ LE MOT DE
PASSE « ADMIN »
UTILISÉ DANS LES
APPAREILS IOT SUR
UNE PÉRIODE DE
45 JOURS.
CHAPITRE 5
Identités
Appareils/points de terminaison
Applications
Réseau
Infrastructure
Données
Personnes
Nous avons continué à remettre en question nos modes de vie cette année. La plupart des industries ont adopté le LES
travail à distance en raison de la pandémie, en créant de nouvelles surfaces d’attaque exploitées par les cybercriminels,
ORGANISATIONS
notamment les appareils domestiques utilisés à des fins professionnelles. Au cours du premier semestre 2021, trois
attaques importantes ont eu lieu : NOBELIUM (l’attaque de la chaîne d’approvisionnement de SolarWinds), HAFNIUM QUI N’APPLIQUENT
(une attaque de serveur Exchange sur site) et Colonial Pipeline (une attaque de ransomware). PAS OU NE
De nombreux enseignements peuvent être tirés de ces Si les organisations compromises avaient appliqué des Recommandations pour démarrer MAINTIENNENT
attaques. Tout d’abord, les attaques d’e-mails frauduleux mesures d’hygiène élémentaire en matière de sécurité,
constitue un vecteur de menaces continu. En effet, le notamment l’utilisation de correctifs, l’application des mises
avec la stratégie Confiance Zéro : PAS CES PRATIQUES
hameçonnage est responsable de près de 70 % des à jour ou l’activation de l’authentification multifacteur (MFA), • Les identités sont validées et sécurisées avec la MFA
violations de données.91Deuxièmement, les cybercriminels elles auraient pu échapper aux attaques ou être moins en tout lieu. L’utilisation de la MFA élimine la nécessité D’HYGIÈNE
utilisent des logiciels malveillants qui sont considérés touchées. En effet, il est choquant que moins de 20 % de d’utiliser des mots de passe. L’utilisation supplémentaire
comment une mise à jour logicielle légitime pour cibler des nos clients utilisent une authentification forte telle que la de la biométrie (telles que les balayages oculaires ÉLÉMENTAIRES
collaborateurs peu méfiants. Troisièmement, les attaquants MFA93 (qui est gratuite pour nos clients et peut être activée ou les empreintes digitales) garantit également une
de ransomware ont soulevé l’enjeu en se concentrant non
seulement sur les tactiques d’extorsion double ou triple en
par défaut). Les organisations qui n’appliquent pas ou ne
maintiennent pas ces pratiques d’hygiène élémentaires
authentification forte de l’identité d’un utilisateur. SERONT
DAVANTAGE
• Les appareils sont gérés et validés comme étant
termes de paiement, mais proposent également des services seront davantage confrontées aux attaques.
sains. En tant que condition d’accès à toute ressource
de ransomware en tant que service (RaaS), qui utilisent un
de l’entreprise, tous les types d’appareils et systèmes
réseau de partenaires pour lancer une attaque. Il est donc
difficile d’identifier le cybercriminel à l’origine de l’attaque.
Outre les principes de base de la sécurité, Microsoft s’appuie
sur une approche appelée Confiance Zéro,94 qui suppose
d’exploitation doivent être tenus de respecter un état de CONFRONTÉES AUX
santé minimum avant d’être validés.
Enfin, les adversaires ciblent les systèmes sur site. Les
organisations doivent donc transférer l’infrastructure vers le
une violation du réseau. En vertu du principe Confiance
Zéro, nous ne supposons pas de la sécurité d’une identité • La surveillance et les signaux de menace sont
ATTAQUES.
cloud, où la sécurité est plus élevée.92 ou d’un appareil sur notre réseau, nous les vérifions en omniprésents. Veillez à collecter l’ensemble des
permanence. Le principe Confiance Zéro nous aide à trouver journaux, données et signaux disponibles pour
Bien que ces incidents nous aient enseigné des leçons un équilibre en veillant à ce que les collaborateurs puissent comprendre l’état de sécurité actuel, afin que vous
difficiles, il en ressort clairement que les bases sont être productifs, sécurisés et sains au-delà du réseau de puissiez identifier les lacunes en matière de couverture,
importantes. Les portes déverrouillées constituent une l’entreprise, depuis leur domicile, leur bureau ou n’importe détecter les anomalies et améliorer l’expérience des
aubaine pour les cybercriminels. où entre les deux. collaborateurs.
91
Les e-mails frauduleux augmentent en flèche, selon l’entreprise de cyberdéfense Barracuda. Le hameçonnage était responsable de près de 70 % des violations de données.
https://blog.barracuda.com/2020/03/26/threat-spotlight-coronavirus-related-phishing/
92
Jusqu’en 2024, les charges de travail qui tirent parti de la programmabilité de l’infrastructure cloud pour améliorer la sécurité démontreront une meilleure conformité et une réduction minimale de 60 % des incidents de sécurité que ceux observés
dans les datacenters traditionnels. (Comment rendre le cloud plus sûr que votre propre datacenter, Neil MacDonald, Tom Croll [29 avril 2021]) 93Selon la télémétrie de protection Azure Active Directory à partir d’août 2021. 94Modèle et cadre de Rapport sur la défense numérique de Microsoft | Octobre 2021 89
sécurité Confiance Zéro | Microsoft Security
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Ce rapport vise à partager des informations issues de nous autorisons sur un lieu de travail et les services qui Travail sur site mondial avant l’épidémie de COVID et migration rapide vers le travail à distance,
nos propres équipes internes qui font ce travail chaque sont disponibles. Une fois qu’un emplacement rouvre suivi d’un retour progressif
jour, pour informer et permettre à d’autres d’améliorer entièrement, nous revenons à des opérations quelque
leurs techniques de cyberdéfense afin de protéger leurs peu normales et des services qui étaient proposés
collaborateurs, leurs entreprises et notre écosystème en avant la pandémie. À mesure que les bureaux de
ligne. Microsoft accueillent à nouveau un nombre croissant
de collaborateurs, nous observons une augmentation
Et sachez que vous ne pourrez pas sécuriser le travail à progressive de l’utilisation de badges par les
l’avenir si vous ne l’avez pas fait auparavant. collaborateurs (qui scannent leurs badges pour entrer
dans un bâtiment) chaque semaine. Ce nombre devrait
La migration vers une main- continuer à croître au fil des réouvertures complètes
des sites. Nous pensons toutefois que ces chiffres
d’œuvre hybride chez Microsoft n’atteindront pas les niveaux de fréquentation avant la
Personne ne sait comment ou quand la pandémie de pandémie. Grâce à notre approche de travail flexible,
COVID-19 prendra fin, même si à un moment donné, nous prévoyons que la plupart des collaborateurs
elle ne constituera plus un fardeau important pour travaillent une partie de leur temps à domicile, même
nos communautés et se présentera davantage comme dans les régions où la COVID-19 ne constitue plus une
un virus endémique, tel que la grippe. Les situations menace importante. Scans de badges uniques hebdomadaires à l’échelle mondiale (janvier-août 2021)
sanitaires locales et les conseils des administrations
locales déterminent le nombre de collaborateurs que
En savoir plus :
Sécuriser un nouveau monde du travail hybride : les connaissances et les actions requises - Microsoft Security (5/12/2021)
Indice des tendances du travail: les dernières recherches de Microsoft sur nos méthodes de travail.
Le travail hybride représente le prochain bouleversement : est-ce que nous sommes prêts ? (microsoft.com)
Sécuriser le réseau de Microsoft grâce à un modèle Confiance Zéro axé sur Internet (4/16/2021)
Confiance Zéro
même celles des utilisateurs de confiance, sont Vérifiez le chiffrement end-to-end et utilisez l’analyse services ou des appareils IoT. Lorsqu’une identité tente
susceptibles d’être une tentative de violation. Les de données pour obtenir de la visibilité, gérer les d’accéder à une ressource, vérifiez cette dernière à
pour sécuriser le
signaux dans l’ensemble du secteur révèlent que risques internes, renforcer la détection des menaces et l’aide d’une authentification forte et proposez un accès
chaque entreprise doit instaurer une culture de sécurité améliorer les défenses. conforme et adapté à cette identité. Suivez les principes
travail hybride
et moderniser son approche pour garantir sa sécurité. d’accès de privilège minimum.
modèle Confiance Zéro est devenu une priorité des l’intégralité des points de données disponibles,
responsables de la sécurité d’entreprise dans le monde notamment l’identité de l’utilisateur, son emplacement,
attaques de cybersécurité de plus en plus sophistiquées Limiter l’accès utilisateur avec des droits d’accès
et expansives. Cette réalité, associée au travail qui strictement nécessaire et juste-à-temps (JIT/JEA),
entame sa prochaine grande perturbation, le passage des stratégies adaptées aux risques potentiels et
aux environnements hybrides, a permis à toutes les des mesures visant à protéger les données et la
productivité.
95
Rapport sur l’adoption de la Confiance Zéro 2021 Selon les réponses de plus de 900 décisionnaires de la sécurité familiarisés avec la Confiance Zéro, travaillant dans différents secteurs. Les personnes interrogées résident aux États-
Unis, en Allemagne, au Japon, en Australie et en Nouvelle-Zélande. Rapport sur la défense numérique de Microsoft | Octobre 2021 92
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Mise en œuvre actuelle de la stratégie Confiance Zéro – Domaines présentant un risque de sécurité
Identités des conditions de sécurité (la sécurité par défaut,
l’adoption de la MFA, la protection des mots de passe,
le blocage de l’authentification de l’héritage), ainsi
Dans Azure Active Directory, nous observons que nos investissements dans la détection (adresse IP
50 millions d’attaques de mots de passe par jour, malveillante, détection de la pulvérisation de mots de
mais seulement 20 % des utilisateurs et 30 % des passe), ont permis de réduire les attaques par force
administrateurs généraux utilisent des authentifications brute de mots de passe qui utilisent des protocoles
fortes telles que la MFA.96 Les attaques basées sur d’authentification hérités, tels qu’IMAP ou SMTP. Le
les mots de passe demeurent la principale source de volume d’attaques que nous attribuons à la violation
compromission d’identités. Toutefois, d’autres types de la relecture et de la pulvérisation de mots de passe
d’attaques émergent, notamment le hameçonnage de a considérablement diminué, tandis que nous assistons
consentement et les attaques contre les identités non à une forte augmentation des attaques attribuées
humaines. au hameçonnage ou à d’autres techniques plus
sophistiquées, telles que la collecte des informations
d’identification à l’aide de logiciels malveillants. Les
Attaques basées sur les mots données montrent que les cybercriminels ont adapté
de passe leurs tactiques pour continuer à compromettre les
comptes.
Azure AD est la porte d’entrée de tous les services
Il n’existe pas d’approche unique pour la mise en œuvre de la stratégie Confiance Zéro, ce qui permet de cloud de Microsoft. Notre service de connexion
Bien que le blocage de l’authentification héritée et
commencer n’importe où. enregistre 90 milliards de demandes d’authentification
l’activation de la MFA demeurent les défenses les plus
par jour. Nous disposons ainsi d’une grande visibilité
importantes pour toute organisation, la protection
sur les attaques d’identité qui se produisent sur
En savoir plus : contre le hameçonnage est plus importante que
l’ensemble de nos clouds. Les attaques de mots de
jamais. Même si la MFA est activée, les informations
passe sur les identités des utilisateurs demeurent le
Rapport sur l’adoption de la Confiance Zéro (7/27/2021) d’identification des utilisateurs sont toujours exposées
vecteur le plus répandu de compromission d’identités.
au hameçonnage par des outils d’hameçonnage
Ressources pour accélérer votre parcours vers la Confiance Zéro -Microsoft Security (5/24/2021) Même si la pulvérisation de mots de passe et le
intercepteurs en temps réel, qui répliquent la page de
bourrage d’informations d’identification constituaient
Modèle et cadre de sécurité Confiance Zéro | Microsoft Security connexion et relance l’invite de la MFA pour collecter
les plus grands vecteurs de compromission d’identités,
le mot de passe unique envoyé à l’utilisateur. Pour
l’année dernière, nous avons observé un changement
se protéger de ce type d’attaque, les clients peuvent
important des tactiques des cybercriminels. Au cours
adopter des informations d’identification basées sur
des dernières années, mais surtout durant la pandémie,
L’identité est plus importante Microsoft et nos clients ont considérablement
Fido2 (basées sur une paire de clés cryptographiques
de clés publiques), telles que des clés de sécurité ou
investi dans la réduction de la surface d’attaque des
que jamais. cybercriminels qui cherchaient à compromettre les
Windows Hello Entreprise.97
96
Basé sur la télémétrie de protection Azure Active Directory à partir d’août 2021.97Toutes vos informations d’identification nous appartiennent ! - Communauté technique Microsoft Rapport sur la défense numérique de Microsoft | Octobre 2021 93
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Compromissions d’utilisateurs mensuelles par catégorie d’attaque (juin 2020 – juin 2021) Augmentation des e-mails de hameçonnage à l’aide des URL de requête OAuth
Géo-distribution des adresses IP émettant Nouvelles tendances en matière En effet, les jetons d’accès ne nécessitent pas de Microsoft recommande de limiter le consentement
des attaques de mots de passe par force connaître le mot de passe de l’utilisateur, et le mot de l’utilisateur afin de n’autoriser que le contenu de
d’attaques de passe de l’utilisateur n’est jamais partagé avec le l’utilisateur sur les applications provenant d’éditeurs
brute en juillet 2021
Hameçonnage de consentement OAuth pirate. Plus important encore, étant donné qu’il ne vérifiés.
Dans le cas d’un hameçonnage typique, le s’agit pas d’une attaque basée sur les informations
cybercriminel cherchant à voler des informations d’identification, les exigences d’authentification fortes Microsoft a déployé plusieurs défenses pour contrer
d’identification rédige un e-mail convaincant, telles que la MFA n’empêchent pas les attaques qui cette tendance, notamment les détections spécifiques
héberge une fausse page de destination et attend utilisent cette technique. basées sur le Machine Learning pour identifier, isoler
que l’utilisateur tombe dans le piège. Lors d’une et désactiver les applications malveillantes. Les
tentative de hameçonnage réussie, les informations Au cours des six derniers mois, la moyenne mensuelle stratégies qui peuvent prévenir ce type d’attaques
d’identification de l’utilisateur sont transmises au pirate des e-mails de hameçonnage utilisant les URL OAuth sont notamment les stratégies de consentement des
informatique. Le hameçonnage de consentement est a presque doublé. Ces e-mails de hameçonnage utilisateurs granulaires, le blocage des e-mails de
un peu différent. Cette méthode tente de tromper ciblent une variété de services cloud légitimes, tels que hameçonnage relatif au consentement, la détection
les utilisateurs en octroyant des autorisations à une Microsoft, Google et Facebook. Nous observons une des anomalies et la formation de sensibilisation des
application malveillante appartenant au cybercriminel tendance à la hausse du nombre d’e-mails uniques utilisateurs.
et utilise les jetons d’accès obtenus pour récupérer contenant des liens de hameçonnage OAuth.
les données de compte des utilisateurs. Il s’agit d’une
attaque très sophistiquée.
Attaques ciblant des comptes non humains Le défi des informations d’identification dans le
Nous avons constaté une augmentation importante code n’est pas nouveau. Bien que la plupart des
du volume d’attaques contre les identités d’appli- principaux fournisseurs, notamment Azure DevOps
cations et de principal de service.98Contrairement et GitHub, offrent des mesures de protection pour
aux utilisateurs, ces identités sont souvent plus signaler ces informations d’identification à des fins
vulnérables car les organisations n’appliquent pas sys- de suppression, la pratique persiste. Ces informations
tématiquement les mesures de protection typiques, d’identification fournissent aux pirates un accès
telles que l’authentification forte, la gestion rigou- direct à l’environnement des entreprises tout en
reuse du cycle de vie et la surveillance de la sécurité à passant inaperçues dans les journaux d’audit Azure
cette catégorie de comptes. Ainsi, les pirates exploit- AD. Microsoft recommande aux clients d’auditer leurs
ent des identités d’application qui disposent déjà d’un artefacts d’ingénierie, y compris les référentiels de code
rôle privilégié ou qui bénéficient d’un large ensemble pour les informations d’identification.
d’autorisations. Contrairement à la chaîne d’attaque
typique « Accès initial -> escalade des privilèges », ce
Adoption des conditions de
vecteur d’attaque obtient un accès initial grâce à un
utilisateur compromis ou des informations d’identifi- sécurité
cation d’application volées. Adoption de l’authentification forte
Pour les identités, la vérification signifie explicitement
Certains pirates qui obtiennent un accès initial grâce que les identités utilisent l’authentification forte lors
à un utilisateur compromis utilisent leur privilège de l’accès aux ressources. Les recherches de Microsoft
élevé pour effectuer une reconnaissance en vue démontrent que l’exigence d’une authentification
d’identifier les applications avec des autorisations forte offre une protection de 99,9 % des attaques
À la suite de ces contre-mesures, les applications Pour en savoir plus sur les tendances en matière de
existantes, d’ajouter un nouvel ensemble d’informations d’identité car la majorité des attaques sont associées
désactivées ont augmenté de 89 % entre janvier hameçonnage et les mesures d’atténuation, consultez le
d’identification d’application si nécessaire, et même aux mots de passe. Bien que l’augmentation des mots
et juin 2021, comparé à la période entre juillet et chapitre L’état de la cybercriminalité de ce rapport.
attribuer des rôles privilégiés à l’application. Ainsi, de passe permet de se prémunir contre ces attaques,
décembre 2020. Lors d’une enquête détaillée, nous
l’application se comporte normalement dans l’élimination des mots de passe au même titre que les
avons constaté que les principaux vecteurs malveillants En savoir plus :
l’environnement tout en étant exploitée par le méthodes d’authentification sans mot de passe peuvent
sont passé d’une attaque de hameçonnage multi-
Microsoft offre une solution complète pour lutter contre cybercriminel. Les clients doivent examiner les rôles fournir l’expérience d’authentification la plus utilisable
locataire à un type d’attaque abusif.
la hausse des e-mails de hameçonnage de consentement et les autorisations des applications afin de respecter et la plus sécurisée.
| Blog Microsoft dédié à la sécurité (7/14/2021) le principe du privilège minimum et surveiller leurs
journaux d’audit Azure AD pour détecter une activité À mesure que les entreprises adaptent les conditions
Les pirates ne inhabituelle sur les applications et les principaux de
service.
de sécurité appliquées au travail à distance et à
la main-d’œuvre hybride, nous avons constaté
s’introduisent pas, ils se une augmentation de 220 % de l’utilisation de
98
Applications et principaux de service dans Azure AD - plateforme d’identité de Microsoft | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 95
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Utilisation de l’authentification forte dans Azure AD Croissance de l’utilisation de la stratégie d’accès Confiance Zéro
L’accès conditionnel Azure AD est un moteur de stratégie de sécurité qui procède à une vérification explicite et accorde
un accès de privilège minimum. Au cours de l’année écoulée, le nombre de stratégies d’accès conditionnel déployées
a plus que doublé. En effet, les organisations ont redéfini leurs conditions de sécurité pour les adapter au travail à
distance.
Lorsqu’un utilisateur accède à une application, les administrateurs peuvent utiliser l’accès conditionnel pour configurer
des exigences supplémentaires qui sont appliquées pour accorder l’accès. À mesure que les organisations adoptent
des principes de sécurité Confiance zéro, nous avons constaté une adoption accrue au niveau des appareils gérés et
des exigences d’applications gérées, en plus de la MFA.
Les contrôles d’accès les plus fréquemment requis dans Azure AD (juillet 2020 – juin 2021)
Microsoft active la sécurité par défaut de sécurité pour tous les nouveaux clients afin que chacun dispose d’au moins
un niveau de protection basique, notamment des contrôles comme la MFA pour les administrateurs.99
99
Sécurité par défaut d’Azure Active Directory | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 96
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Taux de compromis de comptes selon le protocole d’authentification (juillet 2020 – juin 2021) Pourcentage d’authentification héritée parmi les utilisateurs actifs mensuels d’Azure Active Directory
Au cours de l’année écoulée, le pourcentage d’utilisateurs utilisant des clients d’authentification hérités
ont diminué de plus de 30 %, dont près de 10 % sont des utilisateurs Azure AD.
100
Préparation de votre entreprise à l’élimination des mots de passe (microsoft.com) Rapport sur la défense numérique de Microsoft | Octobre 2021 97
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Qu’est-ce que l’accès conditionnel dans Azure Active Directory ? | Microsoft Docs (27/01/2021)
Gestion des appareils mobiles (données Intune)
Augmentation importante de la croissance de la gestion des appareils mobiles à mesure que les
travailleurs ont adoptés le modèle BYOD et les PC à domicile
ET LES SERVICES
À mesure que nous passons d’un modèle de sécurité
axé sur le réseau d’entreprise à une approche basée Dans une architecture centrée sur le cloud, nous
sur les identités, des milliers d’applications et de traitons nos applications et nos données différemment.
services présentant des conditions de sécurité internes En raison de l’augmentation des modèles de MODERNISÉS
restent fortement tributaires des pare-feu réseau conception utilisateur, les techniciens ne sont plus
et des VPN pour isoler et restreindre l’accès. Ils ont les seuls développeurs au sein des organisations. Les EXIGENT
été conçus autour de mécanismes d’authentification utilisateurs tirent parti des plateformes et des outils qui
hérités, et demeurent ancrés dans les réseaux proposent des méthodes de développement sans code L’AUTHENTIFICATION
d’entreprise. Ces architectures traditionnelles conçues ou low-code pour créer des solutions professionnelles.
pour les applications héritées ont été conçues Les organisations doivent investir dans la création de DES UTILISATEURS
pour la connectivité latérale plutôt que pour la garde-fous appropriés pour ces nouveaux paradigmes.
micro-segmentation. Elles enfreignent le principe Le suivi des ressources cloud et l’application de
stratégies et de modèles corrects garantissent que
AVANT D’ACCORDER
fondamental de l’accès de privilège minimum et
sont plus vulnérables aux mouvements latéraux d’un les solutions modernes utilisent immédiatement les
contrôles appropriés.
L’ACCÈS.
cybercriminel sur le réseau, en risquant d’exposer
Comment modernisez-vous les applications ? Déployez l’une des trois solutions répertoriées ici :
Attaques DDoS une augmentation des attaques DDoS contre le Durée des attaques Vecteurs d’attaque, applications et régions
protocole IPv6 cette année. Ainsi, à mesure que le L’équipe de Protection DDoS de Microsoft continue de impliquées
Dans notre rétrospective DDoS 2020,101 nous avons mis constater que la plupart des attaques sont de courte Plus de 35 % du volume d’attaque ciblait le protocole
protocole IPv6 est adopté dans les réseaux d’entreprise,
en évidence les changements dans le paysage très actif durée, dont 75,35 % sont inférieures à 30 minutes ou HTTPS et 10 % le protocole HTTP. Les attaques UDP
le risque d’attaques DDoS sur IPv6 continuera à
des cybermenaces. Avec la pandémie de COVID-19 et moins et 87,60 % durent une heure ou moins. Cette représentaient 43 % des vecteurs d’attaque globaux,
augmenter.
l’augmentation du trafic Internet, les attaques DDoS tendance est similaire à ce que nous avons observé en les attaques d’amplification représentant 11 % des
sur des points de terminaison accessibles via Internet 2020. attaques. Outre les attaques par réflexion DNS et NTP,
Attaques quotidiennes et volumes
ont considérablement augmenté. Nous continuons les attaques par réflexion ciblant les protocoles de
Par rapport à la fin de 2020, le nombre quotidien
à observer des tendances similaires dans le premier bureau à distance (RDP) et la sécurité de la couche
moyen d’atténuations d’attaques au cours du premier
semestre 2021. La tendance est caractérisée par de transport en datagrammes ont considérablement
semestre de 2021 a augmenté de 25 %, tandis que la
nombreuses attaques TCP, principalement des floods augmenté.
bande passante moyenne d’attaques par IP publique a
SYN, SYN ACK et ACK et des attaques par réflexion
augmenté de 30 %. La protection Azure DDoS a atténué
de protocole de datagramme utilisateur (UDP). Les
1 200 à 1 400 attaques DDoS uniques chaque jour dans
jeux en ligne et la verticalité des jeux continuent
le premier semestre de 2021. À partir de juillet 2021,
d’être une cible très prisée par les attaques DDoS. La
la taille moyenne des attaques en 2021 (325 Gbps)
plupart des attaques sur la verticalité des jeux ont été
était supérieure de 25 % comparé à celle de 2020
des mutations des botnets MIRAI et des attaques de
(250 Gbps).
protocole UDP à faible volume. On constate également
Atténuation des attaques DDoS Durée de l’attaque (juillet 2020 – juin 2021) Type d’attaque DDoS (juillet 2020 - juin 2021)
101
Protection Azure DDoS — 2020 Year in Review | Blog et mises à jour Azure | Microsoft Azure Rapport sur la défense numérique de Microsoft | Octobre 2021 101
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
La taille moyenne des paquets de TCP Flood a été En savoir plus : Les 10 principales régions ciblées par les attaques DDoS
beaucoup plus faible par rapport aux paquets d’attaque
Services de protection et d’atténuation DDoS | Microsoft
UDP. Les attaques du fragment UDP présentaient une
moyenne de 1 145 octets par paquet, tandis que TCP Azure
invalid syn présentait en moyenne 512 octets. Les Documentation standard sur la protection DDoS Azure |
vecteurs d’attaque TCP tels que SYN ACK, TCP Zero Seq, Microsoft Docs
FIN-ACK et RST Floods étaient en moyenne inférieurs à
100 octets par paquet.
Services DDoS de cybercriminel de logiciels de publicité et de stratégies de DDoS a reculé pour atteindre l’équilibre observé En savoir plus :
monétisation de vol bancaire. jusqu’en novembre 2020. Ce changement a
Entre novembre 2020 et mai 2021, le prix moyen d’une Explication de la façon dont Microsoft sécurise désormais
probablement été causé par deux facteurs. L’un d’entre
attaque DDoS a augmenté de plus de 500 %. Les • Certains produits antivirus utilisent des attaques son réseau grâce à un modèle Confiance Zéro - Blog sur
eux est l’augmentation récente de l’offre de charges
raisons de cette augmentation sont multiples : DDoS sortantes pour détecter les logiciels
récentes disponibles à l’achat auprès des services DDoS. les tendances internes (4/22/2021)
malveillants. Par conséquent, le cycle de vie des
Le deuxième est la diminution des publicités pour les Mise en réseau Confiance Zéro : partage des
bots utilisés dans les attaques DDoS est plus court
La hausse du coût des marchandises vendues pour les services DDoS Premium. Les marges des services DDoS
qu’auparavant, ce qui oblige le service DDoS à enseignements destiné aux leaders (microsoft.com)
services DDoS les a rendus plus coûteux et a entraîné étaient compressées par l’augmentation des coûts et
acheter continuellement de nouvelles charges (1/5/2021)
une diminution de l’offre par rapport à la demande. l’absence de demande de services DDoS coûteux. Ainsi,
pour préserver ses capacités.
certains des services DDoS Premium ont évolué d’un Enseignements tirés de l’ingénierie de la mise en réseau
• Le prix des charges qui sont transformées en bots
• Il est plus difficile de mener des attaques de « service accessible au public » dans les forums de Confiance Zéro (microsoft.com) (1/5/2021)
DDoS a augmenté à mesure que la demande de
qualité en raison de l’amélioration des stratégies cybercriminels vers des services privés qui ne font pas
charges pour toutes les stratégies de monétisation
d’atténuation DDoS. l’objet de publicité.
ont dépassé l’offre. (Les charges sont des appareils
récemment infectés qui sont vendus à des tiers,
qui installent leurs logiciels malveillants sur Les cybercriminels qui souhaitent mener des attaques
l’appareil.) Les attaquants ont trouvé des stratégies DDoS utilisent plus couramment ces services DDoS.
plus efficaces pour monétiser les charges qui Ainsi, nombreux sont les pirates qui n’ont plus les
génèrent plus de valeur qu’elles ne le feraient s’ils compétences ou l’infrastructure nécessaires pour mener
les utilisaient pour les attaques DDoS. Il s’agit leurs propres attaques DDoS. En d’autres termes, les
notamment d’acheter des charges pour élaborer coûts augmentent en raison du manque d’alternatives.
des stratégies de ransomware, de logiciels espions, À partir de la fin juin, le coût annoncé des services
menace critique.
Matrice des menaces ciblant les services de stockage -
Microsoft Security (4/8/2021)
102
Matrice des menaces ciblant les services de stockage - Blog Microsoft dédié à la sécurité Rapport sur la défense numérique de Microsoft | Octobre 2021 104
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
La baisse du graphique est corrélée à la diminution de l’utilisation lors des grandes fêtes
103
Comment l’intensité technologique accélère la valeur commerciale – Microsoft Industry Blogs 104 Mettre en œuvre la
gouvernance des données et de l’analyse de données en 5 étapes pragmatiques. Publié le 6 juillet 2020 – ID G00729295 – par
La gouvernance des données peut optimiser la valeur commerciale des données tout en réduisant les
Guido de Simoni, Saul Judah risques de sécurité et de conformité de ces données. Rapport sur la défense numérique de Microsoft | Octobre 2021 105
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Les attaques malveillantes en interne partagent plusieurs facteurs et modèles communs, qui peuvent être décrits dans une approche de chemin
critique. L’identification des indicateurs entre les différentes phases du chemin critique peut contribuer à une détection plus proactive.
105
Adapté d’Eric Shaw et de Laura Sellers, Application de la méthode de chemin critique pour évaluer les risques internes, études de renseignement, 59, 2. 2021 Rapport sur la défense numérique de Microsoft | Octobre 2021 106
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
Le programme de risques internes exploite une variété Considérations clés pour détecter les menaces internes
de détections axées sur l’intelligence artificielle (IA) et
le Machine Learning (ML), ou basées sur la signature
L’IA et le ML ne Les détections basées sur les règles et la signature conviennent mieux à
ou les règles, notamment celles de notre solution
permettent pas de certains cas d’utilisation
Gestion des risques internes, pour atteindre les objectifs
tout résoudre
de détection. Même si l’IA et le ML sont des outils
incroyables qui permettent de diminuer une partie du Les données sont la Une solution d’IA ou de ML efficace nécessite la compréhension et l’acquisition
bruit associé aux alertes traditionnelles basées sur des clé des données pour développer, former et enrichir la solution, tout en suivant les
règles, il est essentiel que l’organisation dispose de mesures de performance
personnes compétentes, munies des « connaissances
tribales » du comportement acceptable en entreprise Les interventions L’examen humain des alertes et l’identification des opportunités de
dans les rôles appropriés pour créer des modèles humaines sont encore paramétrage sont essentiels : continuer à « décaler à gauche »
d’IA et de ML dignes de confiance. Cette intervention nécessaires
humaine améliore le Machine Learning standard
supervisé ou non supervisé, qui est alors plus à même Le pool d’experts en Bien que les experts en sécurité demeurent importants, les data scientists
cybersécurité évolue apportent également des compétences précieuses
de prédire les alertes qui sont les plus exploitables
pour les équipes de réponse aux incidents. L’absence
de ces connaissances peut créer un pool d’alertes
bruyantes avec une marge de manœuvre limitée pour
les enquêtes.
L’impératif de l’empathie Pour soutenir le bien-être de vos collaborateurs, il est En savoir plus :
important de créer des canaux et des mécanismes
Le travail flexible perdurera et avec lui, plusieurs défis Pour prospérer dans le travail hybride, il faut proposer
dédiés à l’écoute de leurs préoccupations, afin de
et facteurs de stress. Les équipes sont devenues plus des styles de travail flexible (microsoft.com) (9/9/2021)
leur donner l’occasion d’apporter et de recevoir des
cloisonnées cette année, et l’épuisement numérique
commentaires, tout en facilitant la collaboration. Risques internes : protéger les données de l’entreprise en
est une menace réelle et insoutenable. Une personne
Adopter une approche holistique et intégrée capable instaurant un climat de bonne volonté — Quartz (qz.
interrogée sur 5 lors d’une enquête mondiale a déclaré
de réunir les signaux en une vue cohérente au sein com) ( juin 2021)
que son employeur ne se souciait pas de son équilibre
d’une organisation permet de mieux comprendre les
vie-travail. 106
54 % se sentent surchargés par le travail. Sécurité des données : élimination des risques internes
tendances pertinentes pour l’organisation et de mieux
39 % se sentent épuisés. Et des milliards de signaux de dans le milieu de travail hybride — Quartz (qz.com)
réduire les risques. C’est pourquoi les entreprises
productivité provenant de Microsoft 365 quantifient
se tournent vers le ML pour découvrir les signaux En savoir plus sur la gestion des risques internes -
l’épuisement numérique précis que les travailleurs
cachés des risques sur le lieu de travail, tels que des Conformité Microsoft 365 | Microsoft Docs (3/17/2021)
ressentent.
communications inappropriées, des comportements
menaçants ou les actions susceptibles d’affecter Réduction des risques liés au code de conduite et aux
Une culture d’entreprise positive atténue les risques négativement les collaborateurs et l’entreprise. En violations de la conformité réglementaire - Communauté
Une étude récente réalisée par CyLab, l’Institut de identifiant les modèles et les violations, la technologie technique Microsoft (5/12/2021)
sécurité et de confidentialité de l’Université Carnegie peut signaler les risques alors qu’il est encore possible Favoriser la communication sécurisée au travail - The
Mellon, a révélé que les mesures de dissuasion d’intervenir, tout en préservant notre engagement
Washington Post (11/17/2020)
négatives, telles que les contraintes, la surveillance et envers la confidentialité des utilisateurs.
la punition des collaborateurs ne permettaient pas de Témoignage client Microsoft : Avanade adopte une
réduire les risques internes. 107
Quelle solution : mettre approche plus légère et la Gestion des risques internes de
l’accent sur l’engagement, la relation et le bien-être des Microsoft, afin de réduire les risques internes (3/24/2021)
collaborateurs.
106
Indice des tendances du travail : les dernières recherches de Microsoft sur les méthodes de travail 107 Comment une culture de travail hybride positive permet d’atténuer les
risques internes - Microsoft Security (5/17/2021) Rapport sur la défense numérique de Microsoft | Octobre 2021 108
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
CHAPITRE 6
Désinformation
Introduction
La désinformation désigne l’utilisation délibérée de fausses informations dans le but d’influencer l’opinion publique. Les CES MÉTHODES
efforts visant à élaborer des mensonges dans le but de manipuler les masses ne datent pas d’hier. Toutefois, de nouvelles
INJECTENT
formes de désinformation ont pris de l’importance au cours de la dernière décennie, grâce aux progrès des méthodes et de
l’infrastructure informatiques qui ont transformé la puissance, la portée et l’efficacité des campagnes de désinformation. UNE NOUVELLE
FORCE DE
Les plateformes et les services de consommation largement utilisés, tels que les réseaux sociaux, les plateformes de
créateurs, les moteurs de recherche et les services de messagerie, fournissent désormais aux acteurs étatiques et PERSUASION AUX
non étatiques des canaux puissants pour répandre la désinformation. Au-delà des canaux, ces services offrent aux CAMPAGNES DE
cybercriminels des outils prêts à l’emploi pour expérimenter, surveiller, itérer et optimiser l’impact des campagnes de
DÉSINFORMATION.
désinformation.
Les plateformes commerciales en ligne ont été exploitées par dans des initiatives de désinformation, en causant souvent individus et des groupes et pour générer des programmes
ces acteurs qui en ont fait des moteurs de désinformation des effets dramatiques. Toutefois, les technologies de personnalisés de désinformation visant à influencer les
pour alimenter des programmes de messagerie axés sur génération de deepfakes fournissent aux acteurs malveillants croyances, les opinions et les actions.
l’influence politique, la polarisation et le chaos. Les stratégies des palettes puissantes et génériques pour fabriquer des
de désinformation sont de plus en plus sophistiquées, et comportements et des événements. Ces méthodes injectent La réaffectation de l’infrastructure informatique de
impliquent désormais l’utilisation concertée de plusieurs une nouvelle force de persuasion aux campagnes de consommation, l’utilisation d’outils pour générer des
services108 pour diffuser les messages sur toutes les désinformation. médias synthétiques et l’exploitation de l’intelligence
plateformes. artificielle pour orienter les opérations psychologiques sont
Les méthodes d’intelligence artificielle (IA) soulèvent préoccupantes, qu’elles soient employées séparément et en
Par ailleurs, les progrès en matière de Machine Learning (ML) un troisième sujet de préoccupation, car elles peuvent synergie. Ensemble, elles suralimentent la désinformation,
et de graphisme ont donné naissance à des outils largement être utilisées par les acteurs étatiques et non étatiques avec de graves implications pour la santé et la vitalité des
disponibles pour concevoir des contenus audiovisuels à pour formuler et générer des opérations psychologiques démocraties qui dépendent essentiellement de citoyens
haute fidélité, appelés médias synthétiques et deepfakes. puissantes qui tirent parti des informations et des données instruits et sensibilisés.
Pendant des décennies, les photos et les commentaires des sur la cognition humaine. Le Machine Learning et le
dirigeants politiques ont été manipulés ou mis hors contexte raisonnement peuvent être utilisés pour établir le profil des
108
Caractérisation du trafic de moteur de recherche vers les propriétés Web de l’Internet Research Agency | Actes de la conférence Web de 2020 (acm.org) Rapport sur la défense numérique de Microsoft | Octobre 2021 110
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
Que peut-on faire face à cette évolution ? réseau peuvent viser à identifier les emplacements
principaux et les sources organisationnelles La désinformation Le motif général de la propagation de la désinformation
est de nuire à la réputation d’une entité, d’induire les
comme une
Nous devons gérer de manière critique la sophistication de désinformation. Enfin, des développements consommateurs en erreur, ou d’influencer le résultat
croissante et la portée de la désinformation, et nous prometteurs de technologies utilisent un ensemble d’un événement proscrit. Il s’agit de l’une des plus
menace
engager sur plusieurs fronts. Tout d’abord, nous de méthodes, notamment des technologies de grandes menaces à la démocratie, au débat ouvert et à
devons investir profondément dans l’initiation aux cryptographie, de sécurité et de base de données dans la société libre et moderne.
émergente
médias modernes, pour éduquer les masses sur la les outils et les pipelines de production qui servent
façon de comprendre, d’anticiper et de reconnaître la à certifier l’origine et l’historique des modifications Le cloud Computing de base, la recherche open
désinformation. Le travail sur l’initiation aux médias va apportées au contenu des médias en ligne, appelée la source, les outils et les algorithmes d’intelligence
au-delà de l’éducation et implique des initiatives pour provenance109 du contenu. Des progrès intéressants sont La désinformation est une méthode de guerre de artificielle, ainsi que la vitesse et l’échelle des réseaux
fournir de nouveaux types d’outils qui permettent aux réalisés au niveau de la provenance et de l’authenticité l’information en constante évolution, la plus reconnue sociaux ont créé un scénario parfait pour l’essor de la
masses de remettre en question la source et la véracité des médias grâce à de solides collaborations aux États-Unis après l’élection de 2016, mais bien désinformation et des médias synthétiques malveillants
des actualités et des informations. Deuxièmement, interorganisationnelles. connue dans le monde depuis la guerre froide. Cette communément appelés deepfakes.110 Les techniques
nous devons soutenir le journalisme de haute qualité, approche est un enjeu important et efficace pour créer d’intelligence artificielle visant à créer une falsification
y compris les organismes de presse de confiance. Il Nous faisons face à des campagnes de désinformation une discorde sociale, augmenter la polarisation et, numérique hyper réaliste, également connue sous le
est essentiel que des journalistes engagés soient sur sans précédent et à des opérations cybernétiques dans certains cas, influencer le résultat des élections. nom de deepfakes, incluent la manipulation de l’audio,
le terrain pour voir, entendre et signaler avec clarté les associées qui sont l’œuvre d’acteurs étatiques et Les acteurs de l’État-nation qui ont des aspirations de la vidéo, des images et du texte, qui compromet
événements et les incidents. Nous devons également non étatiques. Ces campagnes visent à sensibiliser géopolitiques, les partisans d’idéologies radicales, les sérieusement notre capacité à discerner la vérité du
garantir l’intégrité et le dynamisme du journalisme et à informer le public à l’aide de la désinformation, extrémistes violents et les entreprises motivées par des mensonge. Dans ce rapport, nous utilisons le terme
local. tandis que d’autres ciblent les opérations d’entreprise raisons économiques peuvent manipuler des récits en « deepfakes » pour désigner les médias manipulés par
et la confiance. Il est important de tenir compte des ligne avec une portée et une ampleur sans précédent, l’IA, à des fins malveillantes.
Sur le plan technique, l’application des technologies de développements et de se réunir pour relever les en créant un impact sociétal significatif.
reconnaissance des modèles d’IA pourrait permettre défis liés à la sensibilisation, aux technologies et aux
Mappage du problème
de détecter les modes de communication et le contenu stratégies. Pour relever les défis nouveaux et évolutifs,
qui révèlent une intention trompeuse. Ces travaux nous devrons réaliser des investissements, poursuivre
comprennent des initiatives visant à identifier les l’innovation et agir sur plusieurs fronts. Ce chapitre
médias audiovisuels et textuels fabriqués. Par ailleurs, important examine certains de ces défis et indique
les efforts en matière de technologies de mise en comment procéder pour les relever.
109
Un pas en avant prometteur sur la désinformation – Microsoft On the Issues 110 Malgré son utilisation populaire, ce terme se réfère techniquement à
un type spécifique de Machine Learning (un processus par lequel l’exposition à de nombreuses et diverses quantités de données permet à un ordinateur
d’améliorer ses propres performances) qui utilise des réseaux neuronaux en couches (les processeurs informatiques connectés d’une manière qui imite
la circulation des informations dans le cerveau humain) pour améliorer la précision des algorithmes de Machine Learning. Les deepfakes utilise deux
algorithmes : le premier algorithme crée une vidéo, et le second tente de déterminer si la vidéo est réelle ou non. Si le second algorithme peut détecter
que la vidéo est factice, le premier algorithme réessaie, jusqu’à ce que l’image obtenue soit suffisamment crédible. Rapport sur la défense numérique de Microsoft | Octobre 2021 111
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
Dans l’économie de l’attention, les sites Web et les Parallèles dans la cybersécurité la polarisation, influencer les résultats électoraux, Deepfakes
plateformes gagnent des revenus grâce au temps que perturber les principes démocratiques, favoriser la
Les cyberattaques compromettent la confidentialité, Les Deepfakes sont des photos, des vidéos ou des
leur consacrent les utilisateurs. Ce modèle commercial fraude financière et menacer la vie et les biens.
l’intégrité et la disponibilité des systèmes numériques. fichiers audio manipulés par l’IA et difficiles à détecter.
basé sur la publicité récompense les moteurs de
La différence entre une attaque de désinformation L’utilisation des deepfakes comme arme peut affecter
recommandation et les échéanciers organisés avec des La désinformation et les cyberattaques sont utilisées
et une cyberattaque est la cible ; la désinformation considérablement l’économie et la sécurité nationale.
titres de clickbait et des informations scandaleuses, par un adversaire pour créer des perturbations. Une
est également une attaque et un compromis de En érodant la confiance du public dans les médias,
des opinions et des mensonges. Les algorithmes de campagne de désinformation bien coordonnée peut
notre être cognitif. Tandis que les cyberattaques sont les deepfakes sapent la crédibilité du journalisme. À
conservation de la chronologie permettent de créer des envahir les canaux de diffusion et de réseaux sociaux
des exploitations de l’infrastructure informatique mesure que cette crédibilité est érodée, les deepfakes
chambres d’écho, des bulles de filtre et un tribalisme de fausses informations et de bruits, en créant des
pour créer des perturbations, la désinformation donnent également naissance au phénomène du
involontaire. En raison des chambres d’écho et des récits qui jouent avec les émotions et noient le
exploite l’infrastructure humaine (nos biais cognitifs « dividende du menteur ». Dans un environnement
bulles de filtre, les utilisateurs voient principalement véritable récit. Cette manœuvre est similaire à une
inhérents, les erreurs logiques et les vulnérabilités où il difficile de distinguer le faux du vrai, il devient
le contenu qui correspond à leurs croyances, leurs attaque distribuée de déni de service (DDoS) qui
psychologiques), et l’attaque compromet la pensée plus facile de décrédibiliser n’importe quelle vérité
préjugés et leurs désirs, renforçant ainsi leur biais de inonde les services et les réseaux cibles de demandes
logique, analytique et critique. incommode ou impopulaire. Les deepfakes pourraient
confirmation et en filtrant les points de vue opposés. superflues pour se connecter et surcharger le système
permettre à une personnalité publique de prétendre
Les acteurs malveillants détournent l’économie de afin d’éviter que les demandes légitimes ne soient
Nous pouvons donc assimiler la menace posée par la que ses véritables actions ne sont que factices.
l’attention et tirent parti du modèle commercial traitées. La désinformation peut également être utilisée
publicitaire pour manipuler les récits des réseaux désinformation et la propagande automatisée à un
pour les menaces sur une échelle de masse. Comme
sociaux, créer des divisions et semer la discorde. piratage cognitif. Un piratage cognitif tente de modifier La prolifération de la technologie de deepfake peut
les attaques d’hameçonnage pour compromettre
les pensées et les actions du public cible à l’aide de nuire directement aux individus. La pornographie
les systèmes informatiques afin d’extraire des
la désinformation pour manipuler la manière dont il Deepfake a été utilisée pour objectiver et victimiser
données, les campagnes de désinformation jouent
« Bulles de filtre » et « chambre d’écho » perçoit la réalité. Les acteurs malveillants effectuent les personnes sans consentement, en particulier les
sur les émotions, en permettant facilement aux
des piratages cognitifs à l’aide de diverses techniques, femmes ou celles qui s’identifient en tant que femmes.
cybercriminels d’escroquer leurs cibles. Les vidéos et
notamment la manipulation, la mise en contexte Cette pornographie de vengeance est devenu un
RÉSEAUX SOCIAUX
ACTUALITÉS
sociale, exacerber
ACTUALITÉS
RÉSULTATS DE LA RECHERCHE
ACTUALITÉS ACTUALITÉS
ACTUALITÉS
RÉSULTATS DE LA RECHERCHE
ACTUALITÉS RÉSEAUX SOCIAUX ACTUALITÉS
RÉSULTATS DE LA RECHERCHE
ACTUALITÉS
ACTUALITÉS
ACTUALITÉS
ACTUALITÉS
RÉSEAUX SOCIAUX
RÉSEAUX SOCIAUX
RÉSULTATS DE LA RECHERCHE
Dans l’économie de l’attention, les utilisateurs sont de plus en plus exposés uniquement à
des informations qui correspondent à leurs préférences (zones bleues dans le graphique).
Les bulles de filtre représentent des algorithmes qui choisissent le contenu en fonction des
historiques de recherche précédents de l’utilisateur et d’autres activités en ligne.
grâce à
endommagée par une seule vidéo deepfake publiée sur d’initiation aux médias, qui incluent des ressources réflexion critique en tant que composant principale
les réseaux sociaux. telles que l’étiquetage, la contextualisation, la fourniture d’un programme national.117
l’initiation aux
Les criminels peuvent et vont tirer parti de l’IA et des de lectures ou de ressources supplémentaires, et même
deepfakes pour augmenter l’efficacité des escroqueries des outils ludiques, tels que des questionnaires en Le programme d’initiation aux médias devrait aider
médias
et d’autres activités néfastes. Nous avons vu des ligne. les individus à comprendre les informations qu’ils
exemples récents de fraude commerciale 112 et de rencontrent, à évaluer la plausibilité, à vérifier la source
stratagèmes de rencontre113 à l’aide de deepfakes L’amélioration de l’initiation aux médias est essentielle et à rechercher d’autres sources fiables sur le sujet,
audio. Même après avoir effectivement démystifier le Le Pew Center Research indique que les gens sont de pour lutter contre la désinformation. Les interventions et à interpréter le contexte. Dans le monde en ligne
deepfake, les dommages demeurent. Les deepfakes plus en plus préoccupés par leur capacité à discerner doivent être contextuelles et adaptées au public, dès d’aujourd’hui, inondé d’informations, ces compétences
présentent également des menaces directes pour des informations fausses et à passer au crible le le plus jeune âge avec un programme de citoyenneté peuvent ne pas être intuitives. Elles peuvent toutefois
la société. Les acteurs de l’État-nation malveillants volume d’informations qu’ils rencontrent dans leur numérique responsable intégré à l’éducation civique être acquises et aiguisées au fil du temps. En outre,
travaillent en permanence pour diffuser des campagnes vie quotidienne. 114
L’initiation aux médias est l’un des standard. Certains États américains, notamment la l’éducation à l’initiation aux médias ne doit pas
de désinformation, qui incluent de plus en plus de outils les plus efficaces pour améliorer la résilience Floride et l’Ohio, ont déjà commencé à piloter et à pour autant être confinée à la salle de classe : ces
deepfakes, pour créer des conflits idéologiques dans individuelle à la désinformation. En aidant les gens à développer des programmes d’initiation aux médias compétences sont universellement importantes, en
les démocraties du monde entier. Ils ont effectivement comprendre les corrections rédactionnelles mineures, dans les salles de classe.116 En Finlande, lorsque le pays particulier pour les non-natifs du numérique, ou toute
utilisé la désinformation et permis à des acteurs à éviter que les fausses informations gagnent en a été ciblé par des opérations d’influence étrangères et personne qui consomme régulièrement des actualités
nationaux de perturber les élections et de saper les popularité et à réduire la probabilité que les influences des campagnes de désinformation provenant de Russie et des informations en ligne.
efforts visant à contenir la pandémie de COVID-19. Les étrangères nuisent à une élection, l’initiation aux
innovations technologiques comme le remplacement Approches pour lutter contre la désinformation
médias protège les individus en leur permettant de
des codecs vidéo par des réseaux neuronaux profonds réfléchir de manière critique aux informations qu’ils
facilitent la création de deepfakes dans les appels vidéo rencontrent.
en direct.
111
The State of Deepfakes: 2019 Landscape, Threats, and Impact (L’État des deepfakes : paysage, menaces et impact en 2019)| Sensity AI 112 Thieves are now using AI deepfakes to trick companies into sending them money (Les criminels utilisent
désormais les deepfakes basés sur l’IA pour tromper les entreprises et leur extorquer de l’argent) – The Verge 113 Un fraudeur utilise les deepfakes pour se faire passer pour un amiral de la Marine et voler près de 300 00 USD à une veuve (msn.com)
114
Many Americans Believe Fake News Is Sowing Confusion (De nombreux américains pensent que les fausses informations sèment la confusion) | Pew Research Center ( journalism.org) 115 A digital media literacy intervention increases discernment
between mainstream and false news in the United States and India (Une intervention d’initiation aux médias améliore le discernement entre la presse grand public et les fausses actualités aux États-Unis et en Inde). (2020) 116 Media Literacy
Around the States (Initiation aux médias à travers les États) | Media Literacy Now 117https://www.theguardian.com/world/2020/jan/28/fact-from-fiction-finlands-new-lessons-in-combating-fake-news Rapport sur la défense numérique de Microsoft | Octobre 2021 113
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
désinformation
consommateurs à discerner les informations. Avant confusion commerciale et de semer le doute dans sujets à des perturbations, à la corruption ou
les élections américaines 2020, nous avons publié l’esprit des collaborateurs, des clients et des marchés. à des modifications nuancées. Pour remédier
perturbe les
deux questionnaires en ligne, « Spot the Deepfake » Les trois domaines suivants couvrent certaines des à cette menace croissante, les décisionnaires
(Identifiez le deepfake) et « Know My News »
118
considérations plus courantes que les entreprises d’entreprise doivent évaluer les processus de
entreprises
(Connaître les actualités),119 afin de sensibiliser les doivent prioriser pour se préparer à atténuer l’effet collecte et de distribution d’informations critiques
individus à la technologie des médias synthétiques disruptif de la désinformation. de l’entreprise susceptibles de bénéficier de
et de leur permettre de comprendre les sources pratiques plus résilientes. Quels sont les points
1. Parallèlement à son effet sur les réseaux
d’informations. Un « questionnaire VaxFacts » 120
a La désinformation traverse une chaîne de diffusion d’inflexion ou les points où les informations sont
sociaux, la désinformation a fait son entrée
également été publié pour sensibiliser les individus à sociale composée d’agents intentionnels et non interchangées ou interprétées, qui nécessitent
dans les charges de travail d’entreprise
la désinformation relative à la COVID-19, à mesure que méfiants. Les acteurs intentionnels sont notamment davantage de rigueur, de contrôles ou d’autres
qui dépendent des pratiques de collecte,
les vaccins étaient proposés au grand public. Microsoft les pirates, les perturbateurs et d’autres agents qui formes de vérifications et de contrepoids ?
d’agrégation et de distribution de données.
a également développé un programme de formation génèrent ou propagent la désinformation. Ces agents Sur la base de cette analyse, des contrôles et
Ces charges de travail et les pratiques de données
sur les menaces hybrides qui met en évidence pourraient inclure des États-nations ciblant une société, même des recoupements et des validations hors
peuvent être automatisés ou manuelles, et
comment les cyberattaquants utilisent de plus en plus un secteur ou un domaine social. Ils peuvent également bande doivent être introduits afin d’atténuer la
des pratiques encore plus avancées, telles que
la cybersécurité et les attaques de désinformation en inclure des agents impliqués dans des activités de menace d’informations polluées ou erronées
celles qui tirent parti des capacités d’intelligence
tandem pour atteindre leurs objectifs. Ces modules de contre-espionnage d’entreprise ou des perturbations susceptible de corrompre le flux de données et
artificielle, sont exposées aux violations. Des
formation ont été personnalisés pour la communauté anticoncurrentielles. Les agents involontaires peuvent les renseignements ultérieurs qui découlent des
algorithmes d’intelligence artificielle sophistiqués
politique, notamment les campagnes politiques, les inclure du personnel, des fournisseurs et d’autres données.
peuvent être trompés, ou leurs modèles sous-
partis et les entités gouvernementales, ainsi que pour partenaires et parties prenantes, des clients et même jacents sont submergés par une désinformation 2. Les signaux et les données de l’entreprise
les journalistes et les organisations de défense des des concurrents qui participent à la propagation de la excessive et d’autres types d’attaques visant pourraient être compromis par des failles
droits de la personne. désinformation, souvent sans s’en rendre compte. Ils l’information, en entraînant des informations de sécurité ou des attaques et exposés à la
deviennent simultanément des victimes et des agents ou des résultats erronés ou anormaux. En désinformation. Les signaux d’instrumentation et
En savoir plus : de désinformation insoupçonnés. Grâce à ces agents général, les pratiques automatisées sont sujettes de menace pour les performances de la résilience
Une mise à jour sur nos efforts pour préserver et protéger et à d’autres moyens de diffusion de l’information, aux menaces de violation et de corruption en d’entreprise sont souvent relayés au second
une vague parallèle et simultanée de désinformation l’absence d’une détection adéquate, d’une plan, sans bénéficier du niveau de surveillance
le journalisme – Microsoft On the Issues (6/16/2021)
traverse ou enveloppe l’entreprise. Cette vague notification en temps opportun, d’un isolement attribué aux services ou aux applications de base
peut être simple et anticipée, comme la montée et d’une expulsion, ainsi que de défenses en ou primaires. La collecte des données et des
d’une marée, ou elle peut avoir l’effet d’un tsunami profondeur. En revanche, les pratiques manuelles, signaux sont parfois reléguées à des applications
imprévisible sur le point de dévaster un village côtier telles que le copier/coller, le fauteuil pivotant et à des systèmes qui sont verrouillés en tant
innocent. Dans ce cas, le village côtier représente la (saisie des données dans un système, puis saisie qu’environnements auxiliaires. Les cybercriminels
communauté d’information d’entreprise. À l’instar des mêmes données dans un autre système), le et les perturbateurs le savent et frappent là où
de son effet de perturbation sur le discours social, screen-scraping et l’agrégation des informations ils ont identifié des vulnérabilités. Les principaux
118
https://www.spotdeepfakes.org/en-US (en partenariat avec l’University of Washington Center for Informed Public) 119 https://www.knowmynews.com/en-us (en partenariat avec NewsGuard) 120
Do you know the Facts about the COVID-19 Vax? (Connaissez-vous le vaccin contre la COVID-19 ?) – NewsGuard (newsguardtech.com) Rapport sur la défense numérique de Microsoft | Octobre 2021 114
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
domaines de reconnaissance incluent les 3. L’intelligence situationnelle pourrait être les commandes et le traitement constitue une
systèmes de sécurité et de contrôle opérationnels, supplantée par la désinformation ou nuancée menace pour la chaîne d’approvisionnement et
parallèlement à la découverte des failles de de manière à générer des biais ou à semer la confiance dans la disponibilité des produits
code et de configuration, en particulier dans les le doute dans l’esprit des décisionnaires ou et des ressources. L’impact d’une baisse de la
systèmes secondaires ou de support. Les attaques du personnel de première ligne. L’intelligence confiance pourrait augmenter les prix et les coûts
réussies pourraient perturber les signaux de situationnelle inclut les renseignements sur de production. Le doute quant à la capacité de
menace, ou intégrer des données trompeuses, les menaces, les renseignements de crise, les l’entreprise à maintenir une maîtrise des prix, des
si elles parviennent à contourner la détection données sur les catastrophes et d’autres types approvisionnements et des fournisseurs pourrait
d’intrusion. Les décisionnaires d’entreprise d’informations qui améliorent la compréhension exacerber les perturbations et imposer des délais
doivent réévaluer l’étendue et la sécurité de leurs d’une entreprise d’un environnement accélérés ou induire des décisions imprécises
ressources protégées, ainsi que les instruments opérationnel ou concurrentiel. L’une des ou incorrectes. Il peut également introduire
et les signaux associés, et s’assurer que les principales stratégies des perturbateurs consiste une latence ou un doute dans les décisions,
périmètres de détection des intrusions autour à remplacer l’intelligence situationnelle par la telles que la récupération, le basculement ou
des ressources de base ou critiques ont été désinformation. Cette stratégie est souvent les solutions de secours. Les perturbateurs
définis pour englober ces domaines également. déployée dans des environnements considérés pourraient également tenter de diminuer la
Cet examen comprend l’évaluation des contrôles comme hors bande ou au-delà du contrôle et confiance des travailleurs en première ligne
qui mesurent l’efficacité de la segmentation de la portée de l’entreprise. Il peut s’agir des vis-à-vis du leadership en érodant la confiance
du réseau, la validation du respect du schéma plateformes de médias sociaux et autres, des ou en présentant des informations fausses ou
de classification des données et des signaux, sites et des portails publics, ainsi que d’autres inexactes, ainsi que des indicateurs précurseurs
les fonctions et les modèles de trafic entrants types de campagnes susceptibles de cibler ou tardifs. Les entreprises qui dépendent de
et sortants, la classification des données et l’entreprise ou ses chaînes d’approvisionnement sources externes de renseignements pour
des dépendances, ainsi que l’instrumentation complexes et innombrables. Les perturbateurs les fonctions critiques doivent être vigilantes
qui garantit l’intégrité des données circulant à génèrent parfois tellement de désinformation quant aux informations qu’elles ingèrent ou
travers les systèmes, au repos et en sauvegarde. hors bande qu’ils débordent des faits et des consomment. Les collecteurs d’informations et
L’instrumentation et les signaux qui évaluent données autrement fiables. Leurs tactiques de les décisionnaires doivent valider les sources
et indiquent les performances des systèmes perturbation vont au-delà de l’entreprise et de et contre-vérifier les renseignements. Des
critiques doivent être catalogués et soumis à ses informations directes, en s’étendant souvent systèmes et des schémas de cotation doivent
un examen de sécurité et opérationnel pour aux fournisseurs et aux filiales tierces. Leur être utilisés, et la véracité et la provenance des
identifier les vulnérabilités et les causes possibles objectif est de semer le doute dans l’esprit des renseignements doivent être confirmées de
de compromis et d’injection de désinformation. décisionnaires et/ou du personnel de première manière indépendante.
ligne. La désinformation susceptible de perturber
les fournisseurs, la logistique, les livraisons,
Recommandations : plan en • Catégoriser et enregistrer le contenu qui a été 3. Quantifier les conséquences des perturbations. d’accès concurrentiel. Les perturbateurs d’informations
manipulé ou introduit afin d’identifier ou de En examinant les cartes de dépendance du flux et les pirates recherchent de manière agressive des
quatre points destiné aux cadres détecter des modèles. de données, l’analyse et les points sur lesquels installations de sauvegarde, des magasins de données
d’entreprise • Déterminer les moyens de propagation et de
les humains et les systèmes ont été touchés, les inactifs ou des services de données et des données
À mesure que les entreprises développent et dirigeants d’entreprise peuvent estimer ou calculer les non surveillés qui sont censés être obsolètes. Quand
diffusion au sein de l’entreprise.
perfectionnent leur capacité à répondre aux conséquences et les dommages collatéraux causés par ils trouvent une faille dans les contrôles de sécurité,
• Identifier les caractéristiques des acteurs et des la désinformation et les perturbations. L’objectif d’un ils risquent non seulement de violer les données,
perturbations de l’information et à la désinformation,
agents à la meilleure capacité disponible à ce tel examen est de quantifier la zone d’impact de toute mais leurs actions peuvent également déclencher
de nouveaux impératifs émergent dans les domaines
moment-là. perturbation potentielle et d’évaluer sa gravité sur les des incidents potentiellement importants au sujet
des contrôles de sécurité, de la classification des
menaces et de l’analyse. Pour soutenir et améliorer la • Effectuer une identification franche et objective opérations, les fonctions et la réputation de l’entreprise. de la confidentialité. Les équipes chargées de la
capacité des entreprises à améliorer leur réponse, à des fonctions, des processus et des systèmes de La probabilité et l’impact d’une telle perturbation confidentialité et de la sécurité de l’entreprise doivent
hiérarchiser les mesures d’atténuation pour remédier l’entreprise qui ont consommé ou ont été touchés doivent être utilisés pour informer les investissements examiner de plus près les contrôles, notamment les
aux plus hauts risques et à réaliser des investissements par la désinformation. dans les mesures d’atténuation et de contrôle, tout en mesures de sécurité, le chiffrement au repos et en
qui propulsent ou accélèrent leurs objectifs, les permettant de hiérarchiser les mesures de protection transit, les sources de données primaires et toutes
L’impact net de la perturbation ou de l’infiltration
pratiques suivantes peuvent être utilisées comme point qui doivent être mises en œuvre pour munir l’entreprise les sauvegardes ou autres magasins de données.
d’informations doit être évalué et finalement
de départ pour établir des mesures d’atténuation et de la défense la plus appropriée contre les impacts des Les lacunes dans ces environnements et contrôles
pris en compte dans les considérations de
apporter des améliorations durables afin de contrer perturbations et de la désinformation. doivent être signalées à la direction de l’entreprise et
responsabilité de l’entreprise.
les effets de la perturbation de l’information et de la hiérarchisées pour être traitées en temps opportun.
désinformation. 4. Évaluer les conséquences des perturbations sur
2. Évaluer l’impact de la manipulation de
la confidentialité.Les campagnes de désinformation
l’information ou de la désinformation.
1. Répertorier les expositions des entreprises et de perturbation de l’information attaquent ou
La gestion des entreprises et les ressources humaines
à la perturbation, à la manipulation et à la menacent parfois les clients et d’autres données
doivent traiter un domaine émergent : effectuer
désinformation. protégées, en compromettant sérieusement la
des analyses d’impact sur les perturbations et la
Les entreprises doivent commencer par la tâche protection de la vie privée assurée par les entreprises.
désinformation. Les responsables et les services des
ardue de répertorier ou de suivre les attaques de Les sources ou les magasins principaux de ces données
ressources humaines doivent étudier le comportement
désinformation sur leurs systèmes d’information et sont des cibles difficiles car ils sont maintenus au
des collaborateurs, des partenaires et des clients de
leurs données. Ce catalogue doit s’ajouter au catalogue cœur du réseau défensif des contrôles, de la détection
l’entreprise lorsqu’ils réagissent à des perturbations ou
des menaces et des attaques qui font partie des des intrusions et des couches d’authentification et
à la désinformation. Les équipes chargées de la sécurité
contrôles de sécurité des entreprises. d’autorisation. Les contrôles d’entreprise modernes
et de la science des données doivent exécuter des
incluent des approches Confiance Zéro et un accès
• Inclure une classification de la manipulation de tests A/B sur l’intelligence artificielle et les algorithmes
étroitement contrôlé ou restreint aux données
l’information et de la désinformation avec des formés pour vérifier qu’ils n’ont pas été corrompus ou
assujetties à des réglementations, des contrôles et des
indicateurs clairs des résultats ciblés et de l’impact que leurs modèles n’ont pas été falsifiés. Les équipes
directives en matière de confidentialité. Des règles
des attaques. financières et les économistes peuvent étudier les coûts
et des obligations souveraines peuvent également
des perturbations, y compris les coûts d’opportunité,
• Noter les sources des attaques ou des s’appliquer. C’est sous ces contraintes et ces restrictions
et les passifs associés aux répercussions sur la
informations afin d’identifier leur origine et leur que les entreprises sont censées garantir la résilience
confiance des marchés, la croissance des revenus et les
motivation, si elles sont connues. des données, y compris les sauvegardes à chaud et à
augmentations des coûts opérationnels associés à la
froid, ou les modèles actifs-actifs de redondance ou
désinformation.
Rapport sur la défense numérique de Microsoft | Octobre 2021 116
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
campagnes
de cybersécurité et aux bonnes pratiques au sein des également offert des fonctions de protection d’identité
Des défis de cybersécurité campagnes politiques. Pour y parvenir, il suffit d’établir améliorées et des examens de résilience aux clients
et intégrité
des canaux de communication solides entre le personnel impliqués dans l’élection. Les entreprises qui ont profité
uniques dans la sécurité des de la campagne et le secteur privé pour leur fournir un de ces ressources ont constaté une augmentation
électorale
campagnes politiques point de contact si des problèmes surviennent. Il est moyenne de 18 % par rapport à leur service Degré de
La structure et le cycle de vie des campagnes également impératif que les candidats instaurent une sécurisation Microsoft. En plus des clients politiques,
politiques présentent des défis uniques en matière culture de cybersécurité au sein des leurs campagnes, le service est mis à la disposition d’autres groupes à
Les menaces qui pèsent sur les processus démocratiques de cybersécurité. Les organisations de campagne non seulement parmi le personnel informatique, mais haut risque, notamment les organisations des droits
provenant des interférences liées à la cybercriminalité composées d’un mélange de personnel, de bénévoles aussi auprès de tous ceux qui interagissent avec la de la personne, les journalistes et les organisations
constituent une préoccupation majeure. Microsoft a et de consultants sont souvent créées et développées campagne. Des actions relativement simples, telles que médiatiques, ainsi que les organismes de soins de santé.
fermé des douzaines de sites Web largement attribués rapidement une fois qu’une personne a déclaré sa l’activation de l’authentification multifacteur (MFA),
l’utilisation d’un gestionnaire de mots de passe pour des
Distribution d’AccountGuard
aux acteurs de l’État-nation qui ont été utilisés pour candidature. Par conséquent, les membres de l’équipe
cibler les élus et les candidats, les associations de sont souvent invités à utiliser leurs propres appareils mots de passe forts et uniques, et l’utilisation de canaux
défense de la démocratie, les activistes et la presse. personnels, notamment les téléphones portables ou de communication sécurisés pour les communications
Nous avons également observé des tentatives des États- les ordinateurs portables, tout au long de la campagne. de campagne permettront d’optimiser considérablement
nations de cibler et d’exploiter les principaux éléments En outre, en raison des budgets et de l’expertise la résilience de l’ensemble de l’organisation.
constitutifs des systèmes démocratiques, y compris informatique limités, les décisions concernant le
les systèmes de vote et les campagnes politiques. fournisseur de messagerie et de partage de fichiers sont Microsoft a conçu un service pour relever les défis
Nous avons également subi la manipulation calculée plus susceptibles d’être associées à des préférences associés au personnel de la campagne à l’aide
des plateformes de réseaux sociaux dans le cadre personnelles qu’à des évaluations de sécurité et d’appareils personnels et de comptes pour les activités
d’initiatives visant à propager la désinformation. de risques étendues. Étant donné que les individus de campagne. Microsoft AccountGuard121 est un
rejoignent et quittent régulièrement une campagne et service de sécurité qui unifie la détection des menaces
Le programme de défense de la démocratie de utilisent une variété d’appareils personnels pour mener et la notification sur tous les comptes, et est proposé
Microsoft a été créé pour faire progresser la technologie, des activités de campagne, il devient difficile de gérer gratuitement pour les campagnes utilisant les produits
renforcer la cyber-résilience et interagir avec les et de mettre en œuvre des pratiques de cybersécurité Microsoft 365. Lorsqu’une campagne s’inscrit dans AccountGuard est actuellement disponible dans
gouvernements, les campagnes et les parties prenantes efficaces. AccountGuard, la couverture peut également s’étendre 32 démocraties dans le monde entier.
démocratiques afin de lutter contre les menaces ciblant à tous ceux qui interagissent avec la campagne, y
les processus démocratiques liées aux interférences Ces réalités exposent les campagnes politiques à des compris le personnel, les bénévoles, les stagiaires, les
associées à la cybercriminalité. En partenariat avec menaces de cybersécurité importantes, aggravées par consultants, etc. Le service fournit ensuite des conseils En savoir plus :
le reste de la communauté de sécurité Microsoft, l’avantage asymétrique que les acteurs malveillants en matière de notification et de correction en cas de
menace ou de compromission de l’État-nation sur Élargissement des protections AccountGuard pour les
l’équipe de défense de la démocratie a contribué à maintiennent en termes de sophistication, de
les comptes liés à la campagne. Le service protège clients à haut risque dans 31 démocraties – Microsoft On
protéger deux grandes élections américaines et des ressources et de capacités. Les campagnes politiques the Issues (3/9/2021)
douzaines d’élections nationales dans le monde entier. sont des cibles très visibles à forte valeur ajoutée, actuellement plus de 40 000 comptes pour les clients
Ce problème unique et important soulève un ensemble et la cybersécurité est parfois assurée par une seule politiques, notamment les campagnes politiques, les
intéressant d’informations, de défis et de solutions sur la personne. partis politiques, les fournisseurs de technologie et les
services électoraux.
121
https://www.microsoftaccountguard.com/en-us/ Rapport sur la défense numérique de Microsoft | Octobre 2021 117
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
Menaces à l’infrastructure contre les cyberattaquants à distance. Même si une les élections. Cet événement a permis de rappeler
122
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472 Rapport sur la défense numérique de Microsoft | Octobre 2021 118
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
PETITES ÉQUIPES ET PETITS BUDGETS Intégrité des élections • Garantit que le système enregistre correctement DÉLAISSER LA THÉORIE ET MISE EN PRATIQUE
Dans certains pays, y compris aux États-Unis, les les votes sans les modifier. LORS D’ÉLECTIONS RÉELLES
Pour répondre aux préoccupations croissantes
élections ne sont pas gérées par le gouvernement • Permet aux organisations de surveillance ElectionGuard a effectué sa première élection pilote
relatives à la confiance des électeurs envers les
fédéral ; chaque municipalité est responsable de tierces intéressées de vérifier que le comptage dans le monde réel à Fulton, dans le Wisconsin en
systèmes électoraux, et pour promouvoir les principes
l’exécution et de la gestion de sa propre infrastructure a été correctement effectué et que le système février 2020, date à laquelle il a été ajouté à l’écran
de l’indépendance logicielle, de la vérifiabilité des
électorale. La menace asymétrique des cybercriminels fonctionne sans erreur. tactile des appareils de marquage de bulletins de
élections, de la sécurité et de la cryptographie,
avancés ciblant les bureaux électoraux locaux, limités vote de VotingWorks lors d’une élection municipale
Microsoft a développé et lancé un projet appelé
par le temps et les ressources est très préoccupante. dans le comté de Rock. Des centaines de citoyens ont
ElectionGuard. Microsoft ElectionGuard est un kit En savoir plus :
Comme nous l’avons vu précédemment dans ce voté pour la première fois sur des appareils exécutant
gratuit de développement logiciel open source conçu LinkedIn post : en quoi consiste ElectionGuard ?
rapport, les acteurs de la menace persistante avancée ElectionGuard. Une fois les votes exprimés, chaque
pour renforcer la sécurité, l’efficacité et la vérifiabilité (Microsoft on the Issues) (3/27/2020)
ont des connaissances informatiques et des ressources électeur a reçu un code de vérification qu’il pouvait
des systèmes de vote. Pour ce faire, la solution applique
monétaires qui dépassent les budgets annuels des ramener à domicile pour vérifier en ligne que son vote
les principes de la vérifiabilité end-to-end et répond à
municipalités locales. Par conséquent, les secteurs privé unique avait été inclus dans le décompte de l’élection
la question suivante : Comment puis-je faire confiance à
et public doivent prendre des mesures pour concentrer finale.
l’exactitude d’un résultat électoral si je doute du logiciel,
les talents et les ressources de la cybersécurité
du matériel, de l’infrastructure de transmission ou du
de manière à contrebalancer et à équilibrer cette ElectionGuard est un logiciel gratuit, open source
personnel responsable de la tenue de l’élection ?
asymétrie. et sans redevance, et tout le code source est visible
publiquement sur GitHub.123 Microsoft estime que la
Contrairement au logiciel bancaire ou à d’autres
Pour aider les organisations électorales à répondre sécurité des élections
secteurs de haute sécurité, les élections au scrutin
à ces préoccupations, l’équipe de défense de la
secret exigent que les données d’un individu (les votes)
démocratie se concentre fortement sur la sécurisation
soient secrètes pour toutes les parties, et que l’identité
et la prise en charge des clients utilisant les services
d’une personne et son vote ne soient pas directement
cloud pour soutenir leurs élections, dans les secteurs
liés, à l’exception du fait qu’un électeur ait exercé son
public et privé. Notre souhaitons utiliser l’expertise
droit de vote.
en cybersécurité de Microsoft pour compenser les
menaces asymétriques auxquelles sont confrontées les
ElectionGuard met en œuvre ces fonctions vérifiables
élections locales ou les élections de petite envergure.
end-to-end :
123
https://github.com/microsoft/electionguard Rapport sur la défense numérique de Microsoft | Octobre 2021 119
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
ne doit pas exister dans le vide, et les chercheurs en Formations en tant que mesure Contre-mesures nécessaires Les contre-mesures techniques ne sont pas simples.
sécurité indépendants doivent être en mesure de Le développement technologique des médias
confirmer l’intégrité du logiciel. Pour ce faire, nous
d’atténuation Pour garantir l’accès à des informations crédibles et
synthétiques continue à dépasser ce qui est possible
À ce jour, Microsoft a formé plus de 1 500 participants préserver la liberté d’expression, nous devons adopter
avons mis en œuvre un programme bounty bug où grâce à des algorithmes et à d’autres technologies.
issus des secteurs politique, de la société civile, une approche multipartite et multimodale. L’objectif
Microsoft récompensera la communauté de sécurité Les solutions techniques pour les deepfakes sont
des médias et des droits de la personne sur des principal de toute contre-mesure est d’atténuer l’impact
pour la recherche de vulnérabilités dans le logiciel réparties dans deux catégories : (1) la détection et
sujets couvrant la cybersécurité et les menaces de sociétal négatif de la désinformation.
ElectionGuard. Depuis son lancement en octobre 2019, l’authentification et (2) la provenance. La détection des
le programme a accordé des dizaines de milliers désinformation. Ces formations ont été adaptées aux deepfakes et de la désinformation sont difficiles. La
de dollars en primes à des chercheurs répartis sur audiences du monde entier, y compris le personnel des L’approche doit être double, notamment lorsqu’il s’agit collaboration entre l’homme et l’intelligence artificielle
plusieurs continents. Ainsi, des problèmes de sécurité campagnes politiques, les partis politiques et d’autres de médias synthétiques malveillants : (1) pour réduire peut aider, mais le contexte, les différences culturelles
ont été découverts et signalés de manière responsable entités gouvernementales dans les pays démocratiques. l’exposition à des deepfakes malveillants, et (2) pour et l’intention complexifient le déchiffrement objectif
par la communauté, tous les correctifs ont été émis Avant les élections américaines en 2020, Microsoft minimiser les dommages qu’ils peuvent infliger. de la désinformation. À long terme, les solutions de
dans les 90 jours suivant le signalement, et le code s’est associé au Brennan Center for Justice de provenance seront utiles. L’authentification des médias,
potentiellement vulnérable n’a jamais été utilisé par les l’université de New York et à la CISA pour former plus Les initiatives d’initiation aux médias peuvent être le contenu faisant autorité et les normes analogues à
électeurs dans les systèmes électoraux en production. de 400 responsables électoraux américains sur divers améliorées pour cultiver un public éclairé. Les SSL/HTTPS pour le trafic Web doivent être développés
La confiance du public dans les élections dépend en sujets, tels que les ransomwares, les préparatifs liés à deepfakes auront un impact négatif limité si les pour les médias. La technologie qui peut aider à
partie de la vérifiabilité indépendante des systèmes la pandémie, les renseignements sur les menaces et consommateurs de médias démontrent une pensée « signer » les médias pour trouver l’éditeur de médias,
et des processus qui soutiennent nos élections. Nous un exercice de simulation d’une journée électorale. En logique et du bon sens pour faire la différence entre les empreintes digitales lisibles par machine et la
continuons d’accueillir le point de vue avisé des outre, Microsoft a collaboré avec PolitiFact au Poynter la fiction et la réalité. Les deepfakes ont un impact technologie de réalisation de filigranes dans les médias
chercheurs en sécurité dans le monde entier pour Institute pour développer un programme de formation potentiellement dévastateur car de nombreuses inviolables pourraient réduire la manipulation des
suggérer des améliorations du service et pour tester de sur les menaces hybrides explorant l’intersection de personnes présument qu’une vidéo, une photo ou un médias pour lutter efficacement contre la propagation
manière indépendante la sécurité et la cryptographie la cybersécurité et de la désinformation. En effet, enregistrement audio est réel(le) si son contenu reflète des deepfakes.
d’ElectionGuard. ces vecteurs de menace se chevauchent de plus en ses préjugés et ses biais. De même, les individus croient
plus, notamment au niveau des attaques contre les souvent que le contenu a été inventé de toute pièce s’il
En savoir plus : organisations politiques et médiatiques. contredit leurs croyances.
Nous n’insinuons pas
Hart et Microsoft annoncent un partenariat pour
renforcer la sécurité et la vérifiabilité des élections -
En savoir plus : Nous avons besoin de réglementations pertinentes et
de lois appropriées pour gouverner la désinformation
qu’ElectionGuard permet
d’éliminer complètement le
Microsoft On the Issues (6/3/2021) Programme de défense de la démocratie – On the Issues
et les deepfakes, afin que les auteurs des crimes soient
Microsoft souhaite renforcer la fiabilité des votes. Son (microsoft.com)
piratage des machines à voter ;
à tout le moins tenus responsables. En l’absence de
partenariat avec Hart Intercivic y contribuera – CNN
législation et de recours légaux, les individus sont
(6/3/2021)
Microsoft espère que cette technologie permettra
vulnérables aux campagnes de désinformation et à la nous affirmons que grâce à
pornographie de vengeance basée sur les deepfakes,
d’organiser les élections américaines (cnn.com) à la fraude et à d’autres méfaits. Bien sûr, la législation ElectionGuard, il est inutile de
(2/22/2020)
doit adopter une approche équilibrée en matière de
liberté d’expression et de discours.
pirater les machines à voter.
CHAPITRE 7
Informations exploitables
Introduction
Conclusion
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Résumé des enseignements tirés des rapports Conclusion
En collaborant avec des organisations du monde entier, nous reconnaissons la nécessité de permettre aux NOUS SAVONS
collaborateurs de travailler de façon productive et sécurisée, à partir de divers emplacements non traditionnels et sur
différents appareils. Grâce à ces interactions, nous avons beaucoup appris sur le rôle que joue la cybersécurité pour
QUE LA CYBER-
garantir la continuité de service à mesure que les entreprises s’adaptent au monde du travail hybride. Ainsi, nous RÉSILIENCE
prévoyons cinq changements de paradigme de la cybersécurité qui soutiendront l’évolution du travail d’une manière
DOIT ÊTRE
qui se concentre sur l’inclusivité des personnes et des données.
INTÉGRÉE DANS
1. L’essor de l’empathie numérique
Lorsque nous envisageons de renforcer la sécurité
diversifiées et de leurs capacités variées. Par
exemple, plutôt que d’obliger les individus à faire
2. Le parcours vers la Confiance Zéro est de plus en
plus important
UNE APPROCHE
dans l’expérience de la productivité, on peut avoir
tendance à privilégier la sécurité du point de vue
des choses non naturelles pour interagir avec la
sécurité, et également d’augmenter le risque qu’ils
La Confiance Zéro est une condition de sécurité
basée sur les failles potentielles124 qui traite
GLOBALE DE
purement technologique. Toutefois, en période de
perturbation et de changement constants, lorsque
se laissent distraire lorsqu’ils sont occupés, la prise
en compte de l’empathie numérique conduit à
chaque étape sur le réseau et chaque demande
d’accès aux ressources comme un risque unique
LA RÉSILIENCE
les personnes sont susceptibles de présenter
davantage de réactions au stress, l’importance
l’inclusion de professionnels de la sécurité avec un
éventail plus large de capacités, de compétences
à évaluer et à vérifier. Ce modèle commence par
une authentification forte des identités en tout
OPÉRATIONNELLE.
de l’empathie numérique croît considérablement. et de perspectives, pour accroître la diversité et lieu. L’authentification multifacteur (MFA), qui, nous
L’empathie numérique consiste à réfléchir à la façon l’efficacité des solutions de cybersécurité. Il s’agit le savons, empêche 99 % du vol d’informations
dont les gens se comportent et interagissent avec la également de développer une technologie capable d’identification125 et d’autres méthodes
technologie. De cette manière, les considérations de de pardonner les erreurs. d’authentification intelligentes 126 facilitent et
sociologie et de sciences humaines sont essentielles sécurisent l’accès aux applications comparé aux
L’empathie numérique sera essentielle à la façon
à l’évolution de la technologie et de la cybersécurité. mots de passe traditionnels.
dont notre secteur progresse. Qu’il s’agisse d’une
L’empathie n’est pas réservée aux interactions en organisation, ou d’une personne, notre capacité à Au-delà de la pandémie, à un moment où la
personne. En appliquant l’empathie aux solutions faire preuve d’empathie nous aidera à comprendre main-d’œuvre et les budgets rebondissent, la
numériques, nous pouvons rendre ces solutions et à nous adapter au cours de périodes de Confiance Zéro deviendra le plus grand domaine
plus inclusives. Dans le domaine de la cybersécurité, changement constant. d’investissement pour la cybersécurité. Cela signifie
cela implique de créer des outils qui répondent qu’à l’heure actuelle, chacun d’entre nous a entamé
à une plus grande diversité de personnes et à son parcours vers la Confiance Zéro, que nous le
l’évolution de leur situation, de leurs perspectives sachions ou non.
124
Modèle et cadre de sécurité Confiance Zéro | Microsoft Security 125 Une action simple que vous pouvez entreprendre pour éviter 99,9 % des attaques sur vos comptes (microsoft.com) 126 Connexion sans mot de passe Azure Active Directory
| Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 122
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Résumé des enseignements tirés des rapports Conclusion
127
Exploitation d’une crise : le comportement des cybercriminels lors de l’épidémie – Microsoft Security 128 Résilience opérationnelle dans le monde du travail à distance (microsoft.com) Rapport sur la défense numérique de Microsoft | Octobre 2021 123
TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
Introduction Résumé des enseignements tirés des rapports Conclusion
Hygiène informatique Appliquer l’accès de privilège minimum et Sécuriser et gérer les appareils (maintenir à jour) sécurisés. Dans les systèmes où cela n’est pas possible,
sécuriser les informations d’identification les plus Un élément essentiel d’une bonne hygiène l’environnement doit alors être protégé des autres
C’est en prenant des précautions de sécurité de base
informatique consiste à maintenir les appareils à jour et systèmes et surveillé pour détecter tout trafic inattendu
que votre organisation pourra se préparer et atténuer sensibles et les plus privilégiées
correctement configurés. Utilisez le logiciel de gestion ou tentative de compromettre les systèmes.
l’écrasante majorité des cyber-menaces modernes, tout Lorsque les attaquants compromettent une
organisation, ils recherchent des informations de points de terminaison pour appliquer des stratégies
en s’adaptant à l’évolution des menaces à mesure que
d’identification privilégiées leur permettant d’accéder garantissant que les paramètres de configuration Utilisez des outils anti-logiciels malveillants et de
la technologie progresse. La « courbe en cloche de la
à des informations et à des systèmes sensibles. En appropriés sont déployés et que les systèmes exécutent
cybersécurité » indique les activités qui auront le plus protection des charges de travail
plus d’utiliser la MFA pour protéger la connexion à le dernier logiciel. Chaque fois que cela est possible,
d’impact sur la réduction des menaces. Certaines de ces Les technologies anti-logiciels malveillants, de détec-
une identité et s’assurer qu’ils disposent des privilèges adoptez une approche durable pour vous assurer que
actions, leur impact et les recommandations de mise en tion et de réponse doivent être déployées dans l’en-
minimum pour accéder aux systèmes, les informations tous les appareils exécutent constamment la dernière
œuvre sont décrits ici. semble de l’écosystème pour prévenir les attaques et
d’identification qui prennent en charge cette identité version du logiciel. Il s’agit notamment de garantir la
signaler les éventuelles anomalies ou menaces suscep-
et fournissent un accès doivent être sécurisées. Cela mise à jour de chaque logiciel ou application afin qu’il
tibles de tenter de compromettre l’environnement. Cela
Activer l’authentification multifacteur n’y ait pas de dépendances qui vous empêchent de
permettra, entre autres, de minimiser l’impact et inclut les environnements OT et IoT. Pour les systèmes
Il s’agit d’une recommandation qui est toujours aussi mettre en œuvre les mises à jour et les correctifs les
l’ampleur des attaques de type « Pass The Hash » dans cloud, la protection des charges de travail doit être
importante que l’année dernière. La MFA peut arrêter plus récents. Interdisez aux appareils qui ne disposent
l’éventualité où le code malveillant s’exécute déjà sur déployée sur tous les systèmes, des machines virtuelles
les attaques basées sur les informations d’identification pas des correctifs critiques d’accéder aux ressources
une machine ou un réseau local. Il faut donc sécuriser et des conteneurs aux algorithmes de Machine Learn-
avant qu’elles ne surviennent. Sans accès au facteur sensibles.
le matériel de la même manière qu’avec un module ing (ML), aux bases de données et aux applications.
supplémentaire, l’attaquant ne peut pas accéder au
de plateforme de confiance ou un module de sécurité
compte, ni à la ressource protégée. L’introduction de la La même approche doit être adoptée pour les
matérielle ou utiliser des services d’authentification
technologie et des architectures sans mot de passe faci- Protéger les données
cloud qui protègent les informations d’identification. services cloud, à l’aide de la gestion des mesures de
lite l’utilisation des collaborateurs et des clients, tout en Une bonne hygiène informatique, telle que décrite
sécurité dans le cloud pour garantir la configuration
offrant une sécurité accrue par rapport aux approches dans les quatre étapes précédentes, peut protéger
Des comptes distincts doivent être utilisés pour l’accès appropriée des systèmes. Il est plus facile de maintenir
textuelles (SMS) ou vocales traditionnelles. La MFA les données, mais il est également important que les
privilégié, et non pas l’accès à l’Internet général et les logiciels et les systèmes à jour dans le cloud, car
doit être activée sur tous les comptes qui la prennent organisations identifient les données sensibles qu’elles
aux e-mails. Les postes de travail dédiés et sécurisés les domaines de mise à jour permettent la migration
en charge, de manière à ce que tous les utilisateurs détiennent, en s’assurant qu’elles ont mis en œuvre les
doivent être utilisés pour les comptes privilégiés et vers une infrastructure mise à jour pour effectuer les
puissent facilement l’utiliser. Il est également important mesures appropriées pour les protéger. Il est fréquent
pour effectuer des tâches privilégiées afin d’éviter les tests en ayant la possibilité d’annuler facilement les
de s’assurer que les individus comprennent qu’ils ne qu’une obligation réglementaire exige de le faire.
risques d’infection via l’activité générale sur Internet et modifications si des problèmes surviennent.
doivent pas approuver une requête MFA, à moins qu’ils Le règlement général sur la protection des données
le courrier électronique. L’utilisation des systèmes JIT/ (RGPD), exige par exemple une approche basée sur
ne tentent de se connecter ou d’accéder à un système,
JEA garantit qu’ils n’obtiendront que les droits requis Pour les systèmes, tels que l’OT, où la mise à jour
de nombreuses personnes cliquent automatiquement les risques pour protéger les données des résidents
pour effectuer une tâche, et seulement aussi longtemps des logiciels n’est pas aussi facile, il est nécessaire
pour approuver les fenêtres contextuelles qu’elles de l’espace économique européen (EEE). Pour adopter
que nécessaire pour l’entreprendre. Cela doit être d’effectuer un inventaire efficace des systèmes
reçoivent. L’empathie numérique peut être utile pour une approche basée sur les risques, il est important
associé à des stratégies adaptatives basées sur les pour identifier les équipements existants et leur
comprendre ce comportement et inciter les individus à de connaître vos données, d’identifier les informations
risques qui refusent l’accès aux ressources si l’hygiène vulnérabilité à certaines attaques. Intégrez des modules
prendre des décisions moins risquées. sensibles et celles qui sont susceptibles d’être soumises
du compte ou de l’appareil est douteuse. complémentaires ou remplacez le matériel pour vous
à des exigences réglementaires. Bien qu’il existe des
assurer qu’il présente les sept propriétés des appareils
normes en matière de gouvernance et de protection Isoler les systèmes hérités Intégrer la cybersécurité à la et la responsabilité des risques réside dans la fonction
des données depuis plus de 30 ans, de nombreuses d’entreprise. Comme le montrent les chapitres de ce
organisations parviennent difficilement à les appliquer.
Tous les systèmes ne sont pas capables d’exécuter les prise de décision commerciale rapport, pour remédier aux menaces auxquelles nous
outils compatibles avec la Confiance Zéro. Par exemple,
À mesure que nous évoluons dans un monde où la Maintenant que la technologie est un élément essentiel sommes confrontés, nous avons besoin d’un ensemble
de nombreux systèmes de technologie opérationnelle
collaboration et le partage de données prennent des opérations commerciales, un processus qui n’a été de technologies, de stratégies et de compétences, tout
(OT) présentent un long cycle de vie technologique et
de l’ampleur, nous devons absolument identifier accéléré que depuis 18 mois, la cybersécurité doit être ce qui est également nécessaire à la prise de décisions
peuvent exécuter des systèmes d’exploitation et des
les données en notre possession, les classer avec un facteur dans la prise de décisions commerciales commerciales.
logiciels qui ne peuvent pas être mis à jour.
précision et appliquer les étiquettes de confidentialité globale, sans être cantonnée au service de la
si nécessaire. Cette pratique nous permettra d’utiliser technologie. Chaque leader de l’organisation doit réfléchir à la
les technologies de protection des informations et de Le réseau doit être segmenté pour restreindre l’accès façon dont il propose aux collaborateurs et aux clients
prévention contre la perte des données pour protéger à ces systèmes. En procédant ainsi, la technologie
les données en toute confiance. opérationnelle n’est pas exposée aux risques liés au Traiter l’informatique comme une meilleure expérience numérique, tout en tenant
compte de ce qui est nécessaire pour atténuer les
travail hybride, et les appareils et les capteurs de un risque commercial risques associés. Il doit notamment consulter l’équipe
l’Internet des objets n’ont accès et ne sont connectés de cybersécurité pour savoir comment gérer les risques
En cas de violation, ces pratiques permettent aux La cybersécurité ne doit plus être considérée comme un
qu’aux écosystèmes intelligents qu’ils prennent en qui surviennent lors de la transformation numérique.
équipes de sécurité de localiser les données les plus risque spécialisé qui ne relève que de la compétence du
charge. Comme le montre ce rapport, il existe des risques
sensibles et de savoir si elles ont été exposées aux service informatique. L’expertise technologique réside
pirates. au sein du service IT, tout comme l’expertise en matière inhérents dans toutes les nouvelles technologies et
Cela signifie que, plutôt que d’essayer d’exécuter les de gestion des risques financiers réside généralement pratiques commerciales que nous adoptons. Ces
éléments modernes et hérités les uns avec les autres,
Adopter les principes de nous pouvons isoler ces systèmes de l’exposition aux
au sein du service financier, mais la responsabilité risques doivent tenir compte de toutes les décisions
concernant les technologies, les stratégies ou les
ultime
Confiance Zéro risques qui proviennent d’une infrastructure connectée pratiques commerciales.
moderne et éviter que cette technologie héritée
Ce rapport a mis en évidence la sophistication et Le rôle de la cybersécurité dans la transformation numérique
ne limite les architectures modernes. Cela permet
la complexité de la plupart des attaques que nous
également de surveiller l’environnement qui héberge
observons et la raison pour laquelle il est de plus en
les technologies opérationnelles et les appareils
plus difficile de se préparer à contrer ces attaques.
de l’Internet des objets (IoT), afin de se concentrer
La Confiance Zéro est importante pour réduire
fortement sur la détection et la réponse à une activité
l’exposition des données sensibles en limitant la
inhabituelle dans un environnement où il peut ne pas
confiance inhérente au sein d’une organisation qu’un
être possible d’installer un logiciel sur le système.
cybercriminel pourrait exploiter, en particulier lorsque
des personnes se connectent en tout lieu, et qu’elles
ne proviennent pas nécessairement d’un emplacement
« de confiance ». C’est pourquoi l’adoption d’une
approche Confiance Zéro est devenue une priorité
absolue pour la plupart des organisations. Dans un
monde où il est plus difficile de prédire ou d’empêcher
les attaques, il est important de supposer qu’elles se
produiront et de limiter leur impact.
Les décisionnaires de la sécurité doivent véritablement Créer un programme de Utiliser l’empathie numérique que la formation explique les risques dans le contexte
adopter une mentalité de gestion des risques lorsqu’ils du travail des collaborateurs, et fournit le contexte
déterminent les mesures visant à protéger l’entreprise, risque tiers pour mettre en œuvre des et les outils dont ils ont besoin pour déterminer le
tout en contribuant à la réalisation des objectifs Les partenaires, les fournisseurs et les sous-traitants contrôles de sécurité comportement approprié, reconnaître les attaques et
opérationnels. interagissent tout le temps avec les données et les signaler une activité inhabituelle. Une culture fondée
À mesure que nous connectons de plus en plus de
applications connectées à notre environnement sur l’autonomisation, la confiance et l’engagement
systèmes, la sécurité peut devenir plus complexe,
La cybersécurité est intégrée à d’entreprise. Les cybercriminels ciblent de plus en plus
les fournisseurs tiers pour accéder à leurs systèmes et
mais nous devons veiller à valoriser la diversité des
permettra d’améliorer considérablement les rapports et
le déclenchement d’alertes plus rapidement.
la résilience réseaux en vue d’accéder à leurs clients.
compétences, les domaines d’expertise, les modes
de travail et d’apprentissage et le contexte, entre
Dans le monde connecté d’aujourd’hui, la résilience autres choses. N’attendez pas ou n’exigez pas de Intégrer la sécurité à la productivité.
doit être considérée comme un facteur clé de réussite Vérifiez que l’entreprise dispose d’un solide processus tous les collaborateurs qu’ils soient des experts de Lorsque vous mettez en œuvre des contrôles de
dans tout ce que nous entreprenons. La transformation d’assurance de chaîne d’approvisionnement, fondé sur la technologie, au sens traditionnel du terme, pour sécurité, réfléchissez à l’impact sur l’expérience de ceux
numérique apporte une complexité croissante à nos la compréhension de l’exposition de vos fournisseurs leur demander de s’impliquer dans la sécurité de ces qui les utilisent, qu’il s’agisse de collaborateurs ou de
solutions de sécurité, notamment une collaboration aux cyberattaques, sur la façon dont ils configurent systèmes. clients. Quels sont leurs antécédents, leur expertise
accrue avec des tiers et l’espoir que les systèmes seront leurs systèmes pour se protéger et sur les mesures et leur expérience culturelle ? Tous les contrôles
disponibles 24 h/24 et 7 j/7. Les plateformes que nous qu’ils prennent pour protéger les informations que vous que vous mettez en œuvre doivent tenir compte de
Lorsque vous mettez en œuvre des contrôles de
concevons pour soutenir les entreprises doivent être partagez avec eux. Vérifiez que gérez vos risques tiers l’expérience de ceux qui n’ont pas bénéficié d’une
sécurité, appliquez l’empathie numérique pour vous
entièrement résilientes contre les attaques. à l’aide d’accords de niveau de service, d’attestations formation en technologie. Sont-ils intuitifs, peuvent-
assurer que les contrôles mis en œuvre tiennent
La cybersécurité et la résilience doivent être et d’évaluations partagées robustes, comme ils être compris et s’intègrent-ils dans leur charge de
compte de l’environnement dans lequel les personnes
examinées ensemble. La planification de la résilience SSAE 18 SOC 1 et SOC 2, PCI-DSS, RGPD et ISO 20001. travail le plus naturellement possible ? Si les contrôles
qui utilisent le système travaillent, en leur permettant
opérationnelle doit inclure la compréhension des d’interagir facilement avec l’environnement. Voici un compromettent trop les activités, sans que les
menaces de cybersécurité pour le système et les L’accès de tiers aux systèmes doit également suivre les exemple : collaborateurs comprennent la raison de leur mise en
investissements appropriés pour garantir la réussite principes de la Confiance Zéro que vous appliquez à œuvre, ils seront tentés de contourner la technologie
continue. votre propre organisation pour limiter l’exposition aux ou d’ignorer les processus pour effectuer leur travail.
Investissez dans les formations des utilisateurs,
attaques provenant d’un compromis de leurs systèmes.
afin de les éduquer et de les informer.
Même s’il est essentiel de mettre en œuvre des Si, en plus de former les collaborateurs, nous veillons
Mettez en œuvre une formation de sécurité qui aide
solutions de sauvegarde et de récupération solides, il à intégrer la sécurité à leurs pratiques de travail plutôt
les collaborateurs à comprendre les risques auxquels
est tout aussi important que les organisations planifient qu’à celles d’un professionnel de la technologie ou
ils sont confrontés, en leur inculquant la meilleure
la façon dont les décisions opérationnelles seront prises de la cybersécurité, nous augmentons les chances
façon de contribuer à la protection de l’entreprise.
en cas de cyberattaque, en appliquant leur processus qu’ils comprennent les risques et prennent les
Cette formation doit être continue et conçue de
de gestion de crise et d’intervention, ainsi que leur mesures appropriées. Dans la mesure du possible, la
manière à favoriser l’engagement. La formation
réponse technique aux incidents. cybersécurité doit être invisible pour les utilisateurs,
des utilisateurs n’est pas seulement une activité de
sauf si elle peut les inciter à prendre les mesures
conformité. Elle fait partie intégrante de la détection
appropriées pour gérer les risques.
précoce et de la réponse à une attaque. Assurez-vous