Rapport Sur La Défense Numérique de Microsoft

Rapport sur la défense
numérique de Microsoft OCTOBRE 2021

TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES DES ÉTATS-NATIONS SÉCURITÉ DE LA CHAÎNE D’APPROVISIONNEMENT, DE L’IOT ET DE L’OT
SÉCURITÉ DE LA MAIN-D’ŒUVRE HYBRIDE DÉSINFORMATION INFORMATIONS EXPLOITABLES ÉQUIPES
CHAPITRE 1 CHAPITRE 4 100 Réseau

104 Infrastructure
Introduction Sécurité de la chaîne 105 Données
3 Introduction d’approvisionnement, 106 Personnes
5 Nos domaines d’intérêt pour 2021 de l’IOT et de l’OT

CHAPITRE 6
CHAPITRE 2 71 Introduction Désinformation

72 Défis liés à la gestion des risques associés à
L’état de la cybercriminalité l’écosystème des fournisseurs 110 Introduction
73 L’avis de Microsoft sur la chaîne 111 La désinformation comme une menace émergente
8 Introduction d’approvisionnement 113 Atténuation grâce à l’initiation aux médias
8 L’économie et les services liés à la cybercriminalité 76 Paysage des menaces de l’IoT et de l’OT 114 La désinformation perturbe les entreprises
10 Rançongiciels et extorsion 81 Les 7 propriétés des appareils hautement sécurisés 117 Sécurité des campagnes et intégrité électorale
20 E-mails de hameçonnage et autres e-mails 82 Application d’une approche de Confiance Zéro aux
malveillants solutions IoT
34 Logiciels malveillants 83 L’IoT à l’intersection de la cybersécurité et du CHAPITRE 7
38 Domaines malveillants
42 Machine learning adverse
développement durable Informations exploitables
84 Considérations en matière de stratégie de sécurité
de l’IoT 122 Introduction
CHAPITRE 3 123 Résumé des enseignements tirés des rapports
128 Conclusion
Menaces des États-nations CHAPITRE 5
129 Les équipes impliquées chez Microsoft
Sécurité de la main-d’œuvre
48 Introduction
49 Suivi des menaces des États-nations hybride
52 Ce que nous voyons
57 Analyse de l’activité des États-nations cette année 89 Introduction
69 Acteurs offensifs du secteur privé 91 Une approche Confiance Zéro pour sécuriser le
69 Protections complètes requises travail hybride
93 Identités
98 Appareils/points de terminaison
99 Applications
Rapport sur la défense numérique de Microsoft | Octobre 2021 2

Introduction Nos domaines d’intérêt pour 2021
Introduction
TOM BURT, VICE - PRÉSIDENT, SÉCURITÉ ET CONFIANCE DES CLIENTS
Au cours de l’année écoulée, le monde a été témoin de l’économie florissante de la cybercriminalité et de la LE RAPPORT SUR LA
croissance rapide des services de cybercriminalité. Nous avons vu ce marché mondial croître à la fois en termes
de complexité et de ferveur. Nous avons vu le paysage des cyberattaques devenir de plus en plus sophistiqué
DÉFENSE NUMÉRIQUE
à mesure que les cybercriminels poursuivent, voire développent, leur activité en temps de crise. De nouveaux DE MICROSOFT
niveaux d’attaques de la chaîne d’approvisionnement et de rançongiciels ont été un rappel puissant que nous
S’APPUIE SUR DES
devons tous travailler ensemble, différemment, pour protéger la cybersécurité de la planète.
INFORMATIONS,
Nous considérons que la transparence et le partage défense de l’écosystème numérique et nous inclurons des défenseurs de Microsoft s’efforce d’identifier
d’informations sont essentiels à la protection de des enseignements exploitables que les entreprises, les menaces et d’informer nos clients, les mauvais DES DONNÉES
l’écosystème. Les connaissances apportent la puissance les gouvernements et les consommateurs peuvent acteurs sont qualifiés et implacables. En partageant
et, à cet effet, les professionnels de la sécurité ont utiliser pour sécuriser davantage les individus et les continuellement les enseignements tirés de notre ET DES SIGNAUX
besoin d’informations diverses et rapides sur les environnements. travail, et de celui d’autres acteurs du secteur, nous
menaces auxquelles ils doivent faire face. espérons permettre à chacun de renforcer la défense de PROVENANT DE
Le Rapport sur la défense numérique de Microsoft son écosystème en ligne.
Microsoft sert des milliards de clients dans le monde s’appuie sur des informations, des données et des TOUS LES PRODUITS
entier. Nous sommes donc en mesure de réunir signaux provenant de tous les produits Microsoft, Microsoft a réalisé des investissements importants
les données de sécurité issues d’un large éventail y compris le cloud, les points de terminaison et et continus pour augmenter et améliorer les MICROSOFT, Y
d’entreprises, d’organisations et de consommateurs. la périphérie intelligente.1 Des milliers d’experts connaissances que nous tirons de nos signaux
Informée par plus de 24 000 milliards de signaux en sécurité Microsoft dans 77 pays interprètent et de menaces. Ces investissements fournissent les COMPRIS LE CLOUD,
de sécurité par jour, notre position privilégiée nous contribuent aux informations tirées de nos signaux informations très synthétisées et intégrées que nous
permet d’établir une vision précise de l’état actuel d’ingénierie avancée et de menaces. Nos experts en partageons ici. Notre objectif consiste à regrouper ces LES POINTS DE
de la cybersécurité, y compris des indicateurs qui sécurité incluent des analystes, des chercheurs, des apprentissages pour aider les entreprises à comprendre
nous aident à prédire les prochaines attaques. Avec intervenants, des ingénieurs et des data scientists. Nous comment les cybercriminels changent continuellement
TERMINAISON ET
la création du Rapport sur la défense numérique de partageons également les enseignements tirés de la de mode d’attaque, et à déterminer les meilleurs
Microsoft, notre objectif est de rassembler des données
et des informations intégrées provenant de plus
transition des clients vers une main-d’œuvre hybride et
des témoignages de nos intervenants en cas d’incident.
moyens de lutter contre ces attaques. Nous rédigeons
et partageons ce rapport afin de permettre à la
LA PÉRIPHÉRIE
d’équipes, dans plus de domaines gérés par Microsoft
que jamais. Nous partagerons ce que nous voyons
Il va sans dire que certaines activités malveillantes
passent inaperçues, certaines étant signalées par
communauté mondiale de tirer parti des informations,
des observations et de la transparence générées par
INTELLIGENTE.
pour aider la communauté mondiale à renforcer la d’autres acteurs du secteur. Même si la communauté notre mission et notre point de vue uniques.
1
La collecte de ces signaux est axée sur la confidentialité des clients. Les données que nous recueillons dépendent du contexte de vos interactions avec Microsoft et de vos choix, notamment vos paramètres de confidentialité et les produits et fonctions Rapport sur la défense numérique de Microsoft | Octobre 2021 3
que vous utilisez.
Signaux de sécurité Microsoft

Volume et diversité des signaux traités par Microsoft

Nos domaines d’intérêt pour 2021

2021 nous a durement rappelé que pour protéger
L’état de la cybercriminalité Menaces des États-nations Sécurité de la chaîne
l’avenir, nous devions comprendre les menaces
du présent. Cela exige que nous partagions Dans ce chapitre, nous aborderons les nouveaux Ce chapitre propose des informations à jour sur d’approvisionnement, de l’IoT
continuellement des données et des informations développements dans l’économie de la cybercriminalité ce que nous voyons dans l’activité antagoniste des
et de l’OT
différemment. Certains types d’attaques ont augmenté et le marché en pleine croissance des services de États-nations. Nous partageons des rapports sur sept
cybercriminalité. Nous fournissons des mises à jour et groupes d’activités que nous n’avions pas mentionnés Les événements très médiatisés de l’année dernière
à mesure que les cybercriminels ont changé de
des analyses de ce que nous voyons dans le domaine auparavant publiquement. Nous fournissons une ont clairement établi que la sécurisation et la gestion
tactique, en tirant parti des événements actuels pour
des rançongiciels et de l’extorsion, des e-mails de analyse des menaces en constante évolution au des risques associés aux écosystèmes des fournisseurs
profiter des cibles vulnérables et exercer leurs activités
hameçonnage et d’autres e-mails malveillants, des cours de cette année décisive, en mettant plus revêtent une importance cruciale. Ce chapitre aborde
à travers de nouveaux canaux. Le changement offre
programmes malveillants et de l’utilisation des particulièrement l’accent sur les serveurs sur site les défis actuels que cela entraîne dans l’écosystème
des possibilités, tant pour les attaquants que pour les
domaines par les cybercriminels, en présentant des et l’exposition des vulnérabilités généralisées de la des fournisseurs et présente comment Microsoft
défenseurs, et ce rapport se concentre sur les menaces
recommandations pour atténuer les risques dans chaîne d’approvisionnement. Nous concluons par une aborde la sécurité de la chaîne d’approvisionnement
les plus innovantes et les plus importantes pour la
ces situations. Enfin, nous partageons ce que nous discussion sur les acteurs offensifs du secteur privé et end-to-end dans neuf domaines d’investissement.
communauté dans les mois qui viennent.
constatons dans le domaine du machine learning nos conseils pour des protections complètes. Ensuite, nous discuterons de ce que nous voyons dans
adverse et ce que nous faisons pour garder une le paysage des menaces de l’Internet des objets (IoT) et
En examinant le paysage des menaces, ainsi que les
longueur d’avance sur les cybercriminels dans ce de la technologie opérationnelle (OT), avec des conseils
données et les signaux des équipes interentreprises,
domaine. sur les propriétés d’appareils hautement sécurisés. Nous
nous avons mis en évidences cinq domaines qui
incluons des cas d’utilisation spécialisés de l’IoT et nous
devaient impérativement être abordés dans ce rapport :
présentons de nouvelles recherches qui informent les
l’état de la cybercriminalité ; les menaces des États-
considérations stratégiques de l’IoT.
nations ; la sécurité des écosystèmes de fournisseurs,
de l’Internet des objets (IoT) et de la technologie
opérationnelle (OT) ; la main-d’œuvre hybride ; et la
désinformation. Pour que vous puissiez bénéficier
au maximum de ce rapport, nous avons également
extrait nos recommandations et nos enseignements
exploitables, afin de les présenter tout au long du
rapport et dans notre chapitre final.

Sécurité de la main-d’œuvre Désinformation Informations exploitables

hybride Ce chapitre aborde les campagnes de désinformation Nous ouvrons le chapitre final de cette année avec une
sans précédent et les opérations cybernétiques discussion sur cinq changements de paradigme qui
Ce chapitre concerne notre plus grand atout, notre
associées menées par les acteurs étatiques et non organiseront l’évolution du travail autour de l’inclusivité
personnel. Dans la mesure où nous sommes passés à
étatiques. Elles ont un impact sur la sensibilisation et les des personnes et des données. Ce chapitre se termine
une main-d’œuvre hybride au cours de l’année écoulée,
connaissances du public, ainsi que sur les opérations par une vue d’ensemble des points clés à retenir issus
nous avons observé des développements dans le
d’entreprise. Nous étudions certains parallèles dans la de tous les chapitres précédents de ce rapport : pour
paysage des menaces qui soulignent l’importance de
cybersécurité et discutons des mesures d’atténuation minimiser l’impact des attaques, nous devons vraiment
l’adoption d’une approche Zero Trust. Nous incluons
grâce à l’initiation aux médias. Nous incluons pratiquer une bonne hygiène informatique, mettre
des signaux de menaces et d’autres données dans
une discussion sur la désinformation en tant que en œuvre des architectures qui prennent en charge
les six piliers de Zero Trust (identités, points de
perturbateur d’entreprise, en proposant un plan en les principes Zero Trust et garantir l’intégration de la
terminaison, applications, réseau, infrastructure et
quatre points pour les cadres d’entreprise. Le chapitre gestion des risques cybernétiques dans tous les aspects
données) et nous fournissons des conseils basés sur ce
se termine par une exploration approfondie de la de l’entreprise.
que nous voyons. Nous concluons par des discussions
sécurité des campagnes politiques et de l’intégrité des
sur les menaces internes dans les environnements de
élections, deux domaines qui ont été ciblés par des
travail hybrides et un impératif d’empathie pour gérer
campagnes de désinformation.
les nouveaux défis importants rencontrés par la main-
d’œuvre d’aujourd’hui.

CHAPITRE 2
L’état de la cybercriminalité
Introduction
L’économie et les services de la cybercriminalité
Rançongiciels et extorsion
E-mails de hameçonnage et autres e-mails malveillants
Logiciels malveillants
Domaines malveillants
Machine learning adverse

Introduction L’économie et les services de la cybercriminalité Rançongiciels et extorsion E-mails de hameçonnage et autres e-mails malveillants Logiciels malveillants Domaines malveillants Machine learning adverse
INTRODUCTION : La menace croissante de la cybercriminalité

AMY HOGAN - BURNEY, DIRECTRICE GÉNÉRALE, UNITÉ DE LA CRIMINALITÉ NUMÉRIQUE ( DCU )
La cybercriminalité, qu’elle soit parrainée ou autorisée par un État-nation, constitue une menace pour la sécurité nationale. SANS
Les cybercriminels ciblent et attaquent tous les secteurs des infrastructures critiques, notamment les soins de santé et la santé
publique, les technologies de l’information, les services financiers et les secteurs de l’énergie. Les attaques par rançongiciel
CONNAISSANCES
connaissent un succès croissant, paralysant les gouvernements et les entreprises, et les bénéfices liés à ces attaques montent en TECHNIQUES
flèche.
SUR LA MANIÈRE
La chaîne d’approvisionnement de la cybercriminalité, souvent créée par des syndicats du crime, continue de se développer, DE MENER
permettant à quiconque d’acheter les services nécessaires pour mener des activités malveillantes à des fins financières ou UNE ATTAQUE
autres. Des cybercriminels sophistiqués travaillent également toujours pour des gouvernements en faisant de l’espionnage et en
s’entraînant sur le nouveau champ de bataille.
CYBERCRIMINELLE,
UN ACTEUR DE LA
L’économie et les
La situation n’est pas désespérée et nous avons pu observer économie de services spécialisés est apparue et les acteurs
récemment deux tendances positives. Premièrement, les de la menace augmentent l’automatisation pour réduire leurs MENACE AMATEUR
services liés à la
gouvernements et les entreprises sont plus nombreux à se coûts et augmenter leur échelle. Par exemple, nous constatons
manifester lorsqu’ils sont victimes. Cette transparence est utile une offre croissante de proxies de rétroconnexions (proxys qui PEUT ACHETER
cybercriminalité
à plusieurs égards. Elle a fait comprendre aux gouvernements tournent entre les systèmes mobiles, résidentiels et les centres
du monde entier que la cybercriminalité était une menace de données) en plus du protocole de bureau à distance (RDP), UNE GAMME DE
pour la sécurité. Les récits des victimes humanisent et du Secure Shell (SSH), du réseau privé virtuel (VPN), du serveur
rendent claires les conséquences de ces attaques, attirant Grâce à nos enquêtes sur les réseaux de criminalité organisée privé virtuel (VPS), des coquilles web, des cPanels (tableau de SERVICES POUR
l’attention sur le problème et permettant un engagement en ligne, aux enquêtes de première ligne sur les attaques bord de gestion d’hébergement web) et d’autres systèmes
accru des intervenants en cas d’incident et des forces de des clients, à la recherche sur la sécurité et les attaques, au d’anonymisation. MENER SES
l’ordre. Deuxièmement, maintenant que les gouvernements suivi des menaces des États-nations et au développement
du monde entier reconnaissent que la cybercriminalité
constitue une menace pour la sécurité nationale, ils ont
d’outils de sécurité, nous continuons à voir la chaîne D’autres exemples incluent la vente d’informations d’identifi- ATTAQUES EN
d’approvisionnement de la cybercriminalité se consolider et cation compromises qui peuvent avoir été obtenues à partir
fait de la lutte contre ce phénomène une priorité. Dans le
monde entier, les gouvernements adoptent de nouvelles
mûrir. Autrefois, les cybercriminels devaient développer toutes du hameçonnage, du grattage des journaux de botnet ou UN CLIC.
les technologies nécessaires à leurs attaques. Aujourd’hui, ils d’autres techniques de collecte d’informations d’identification,
lois en matière de notification, créent des groupes de travail s’appuient sur une chaîne d’approvisionnement mature, où des des noms de domaine d’imposteur, du hameçonnage en tant
intergouvernementaux, allouent des ressources et sollicitent spécialistes créent des kits et des services de cybercriminalité que service, de la génération de prospects personnalisée (par
l’aide du secteur privé. que d’autres acteurs achètent et intègrent à leurs campagnes. exemple, des victimes par pays, secteur ou rôle),
Avec l’augmentation de la demande de ces services, une
des charges (logiciel malveillant utilisé pour mettre Il existe parfois des groupes géographiques d’acteurs
Prix moyens des services de cybercriminalité
à jour les logiciels malveillants sur un ordinateur qui peuvent offrir certains services, mais la plupart
infecté), le déni de service (DoS), etc. À titre d’exemple, de ces marchés de la cybercriminalité sont de nature
sur certains marchés, les informations d’identification mondiale. Un acheteur au Brésil peut obtenir des kits
compromises sont proposées par différents ven- de hameçonnage auprès d’un vendeur au Pakistan,
deurs pour un montant allant de 1 USD à 50 USD, en des domaines aux États-Unis, des pistes de victimes au
fonction de diverses variables, notamment la valeur Nigeria et des proxys en Roumanie.
perçue de l’entreprise ciblée. Le nombre de sites pro-
posant des services a considérablement augmenté au Ces prix sont restés assez stables au cours des dernières
cours des 12 derniers mois, de même que le volume années, mais comme sur tout autre marché, ils varient
des informations d’identification et la variété des kits en fonction des changements de l’offre, de la demande
de hameçonnage. et de facteurs externes tels que la politique.
Parmi les services disponibles, y compris pour les INFORMATIONS À RETENIR :

acteurs amateurs de la menace, se trouvent les services
• Les attaques d’identité et de mot de passe/
d’entiercement de cryptomonnaie (s’assurer que les
hameçonnage sont bon marché et en vogue.
services sont rendus tel que promis) que nous voyons
Pourquoi un attaquant entrerait-il par effraction
souvent dans les campagnes de rachat de produits
alors qu’il peut se connecter ?
où les modèles d’affiliation sont devenus solidement
établis. Les cybercriminels non techniques s’inscrivent • Les attaques par déni de service distribué
auprès d’une société affiliée au rançongiciel et, pour (DDoS) sont bon marché pour les sites non
30 % des revenus, le réseau affilié fournit les services protégés, soit environ 300 USD/mois.
de rachat, de récupération et de paiement. L’attaquant • Les kits de rançongiciel font partie des nombreux
achète ensuite des « charges » sur un marché et fait types de kits d’attaque conçus pour permettre aux
passer les rançons dans les charges qu’il a achetées. attaquants peu qualifiés d’effectuer des attaques
Il ne lui reste plus qu’à percevoir ses revenus plus sophistiquées.
tranquillement.
Les organisations doivent désormais faire face à une économie d’attaquants industrialisée, avec une
spécialisation des compétences et un commerce de produits illicites. Comme le montre cet instantané
Toutes les attaques ne fonctionnent pas. Il est des prix moyens, de nombreuses marchandises qui peuvent être achetées sur les marchés noirs sont
essentiel que nous continuions à améliorer nos très bon marché, ce qui réduit le coût des attaques et facilite leur mise en œuvre (tout en augmentant
également le volume des attaques).
défenses pour augmenter le taux d’échec des
attaques et le coût associé pour les attaquants.

Rançongiciels et criminelles plus larges a permis de maximiser l’impact

de ces attaques et d’en tirer des profits à des niveaux
publié un plan de projet avec des liens vers des conseils
techniques pour aider les organisations à mieux se
désengager des négociations et augmente les coûts
pour la réputation de la victime qui ne paie pas la
extorsion
difficilement imaginables il y a quelques années. préparer et répondre à ces attaques, et contribue à
rançon, car les attaquants risquent non seulement
Pour mettre les choses en perspective, les bénéfices une publication du National Institute of Standards
de laisser les données de la victime chiffrées, mais
Notions de base et taxonomie publiquement déclarés des attaques par rançongiciel
et extorsion donnent à ces attaquants un budget
and Technology (NIST) contenant un profil de cadre
de cybersécurité pour la gestion des risques liés aux
aussi de divulguer des informations sensibles.
des rançongiciels qui rivaliserait probablement avec les budgets des rançongiciels.3
organisations d’attaque des États-nations (sans même Une série d’activités criminelles a lieu bien avant
Les rançongiciels et l’extorsion sont des activités très
compter les bénéfices des attaques qui n’ont jamais fait que le rançongiciel ne soit finalement déployé sur
lucratives et peu coûteuses qui ont un impact débilitant Une attaque par rançongiciel et extorsion implique
les grands titres). les systèmes informatiques d’une organisation. Par
sur les organisations ciblées, la sécurité nationale, la qu’un acteur de la menace déploie un logiciel mal- conséquent, nous avons créé une taxonomie qui se
sécurité économique, la santé et la sécurité publiques.
veillant qui chiffre et exfiltre des données, puis con- concentre sur la relation entre les entités au sein de
Ce qui n’était au départ qu’un simple rançongiciel Pour lutter contre les rançongiciels, une collaboration
serve ces données contre une rançon, en exigeant l’écosystème des rançongiciels, car chaque entité peut
pour un seul PC s’est développé de façon à inclure une mondiale entre le secteur privé, les forces de l’ordre et
souvent un paiement en cryptomonnaie. Au lieu de jouer un rôle différent à un moment donné.
variété de techniques d’extorsion rendues possibles les pouvoirs publics est nécessaire afin de réduire la
par l’intelligence humaine et cela affecte aujourd’hui rentabilité de ce délit, de compliquer l’accès au marché se contenter de chiffrer les fichiers d’une victime et
les réseaux de tous types d’organisations à travers le des rançongiciels et de fournir aux victimes des outils de demander une rançon en échange de la clé de Les attaques par rançongiciel ont évolué vers des
monde. efficaces de prévention et de correction. Microsoft a rançongiciels à commande humaine, également
déchiffrement, les attaquants exfiltrent également
contribué au rapport de la Ransomware Task Force, un appelés « rançongiciels de gros gibier ».
des données sensibles avant de déployer le rançon-
Cette combinaison de renseignements en temps cadre complet conçu pour prendre des mesures dans
giciel. Cette pratique empêche les victimes de se
réel et de tactiques, techniques et procédures (TTP) la lutte contre les rançongiciels.2 Microsoft a également
Taxonomie des rançongiciels
Rôle principal Description
Développe Écrit le logiciel malveillant
Déploie Envoie des e-mails de hameçonnage, déploie des rançongiciels
Fournit l’accès Un logiciel malveillant qui charge d’autres logiciels malveillants ou un groupe qui vend
l’accès en tant que service.
Gère/exploite Direction d’un groupe (comme l’appartenance au cartel MAZE) et/ou fonction qui assure la
coordination (comme la gestion ou l’exploitation d’un site central de fuites d’extorsion)
Connexion signalée Une connexion publique existe

publiquement
2
https://securityandtechnology.org/ransomwaretaskforce/report/ 3
https://aka.ms/humanoperated Rapport sur la défense numérique de Microsoft | Octobre 2021 10
Par exemple, comme le montre l’image de droite, un fournira souvent à la victime un rapport comprenant la Analyse des rôles et des relations entre les entités au sein de l’écosystème des rançongiciels.
acteur de la menace peut développer et déployer un cause profonde, le mouvement des acteurs criminels
logiciel malveillant qui donne à un acteur de la menace dans le réseau de la victime, l’exposition et l’exfiltration
l’accès à une certaine catégorie de victimes, tandis des données, ainsi que des recommandations de
qu’un autre acteur de la menace peut simplement correction.
déployer un logiciel malveillant.
En fonction de la juridiction dont dépend la victime,
Réaction post-violation cette dernière peut être obligée de divulguer

le piratage des données. Un cabinet d’avocats
Tout comme l’entreprise criminelle qui déploie évaluera souvent la vulnérabilité de la victime à la
un rançongiciel implique généralement plusieurs responsabilité et l’aidera à s’acquitter de ses obligations
parties prenantes ayant chacune une responsabilité réglementaires. Il est important de noter que le cabinet
particulière, la réaction aux rançongiciels implique d’avocats assurera la communication avec les services
également plusieurs parties prenantes clés. policiers concernés, le cas échéant. Enfin, si la victime
est incapable de reprendre ses activités, une entreprise
Si la victime d’une attaque par rançongiciel a souscrit spécialisée dans la négociation avec les syndicats
une cyberassurance, cet assureur fera appel à certains criminels de rançongiciel s’efforcera d’obtenir la clé de
prestataires de services, notamment une société déchiffrement au nom de la victime.
d’intervention, un cabinet d’avocats et une entreprise
spécialisée dans la négociation de rançons. Même si
une victime n’a pas de police de cyberassurance, ces
intervenants sont courants pour trouver une solution à
la rançon.
Une fois qu’une bande organisée de rançongiciel a

verrouillé le réseau d’une victime, exfiltré des données
et demandé une rançon pour le réseau et les données,
une équipe d’intervention en cas d’incident recherche
la cause profonde de l’attaque et apporte des correctifs
en fonction du niveau de préparation de la victime
avant l’attaque. Si la victime dispose de sauvegardes
suffisantes de ses données ou si celles-ci n’ont pas été
volées, l’équipe d’intervention s’efforcera souvent de
retirer l’acteur de la menace du système de la victime,
Les syndicats et les affiliés de rançongiciel travaillent tous ensemble à ces menaces interconnectées.
de rétablir les opérations commerciales et d’appliquer
Plutôt qu’un individu unique à l’origine d’une attaque par rançongiciel, il existe plusieurs groupes
des correctifs préventifs. L’équipe d’intervention
d’individus, à l’instar d’un modèle d’entreprise partagé.

Les parties prenantes et les rôles impliqués dans la réponse post-violation

L’économie criminelle : un Chat de négociation de rançongiciel
modèle économique en
mutation
Le modèle économique des rançongiciels
s’est efficacement transformé en opération de L’ENTREPRISE DE
renseignement. Les acteurs criminels effectuent des
recherches sur leur victime cible afin d’établir une RANÇONGICIEL
demande de rançon optimale. Une fois qu’un acteur
criminel a infiltré un réseau, il peut exfiltrer et étudier
des documents financiers et des polices d’assurance. Il
A ÉVOLUÉ VERS
peut également comprendre les sanctions associées aux
lois locales sur les infractions. Les acteurs extorqueront
UN SERVICE DE
ensuite de l’argent à leurs victimes, non seulement pour
débloquer leurs systèmes, mais aussi pour empêcher
RANÇONGICIEL
la divulgation au public de leurs données. Après avoir
recueilli et analysé ces renseignements, l’acteur criminel
BASÉ SUR LES
RENSEIGNEMENTS
détermine le montant« approprié » de la rançon.
Le chat de négociation, à droite, avec un district scolaire

public pour extorquer de l’argent en échange d’une
HUMAINS ET LA
RECHERCHE.
clé de déchiffrement permettant de débloquer le
rançongiciel Conti déployé sur son réseau, démontre
les recherches effectuées par le criminel avant la
négociation. Ici, le criminel explique « nous avons
examiné tous les documents financiers, les relevés
bancaires de la dernière année, les assurances. Et nous
sommes arrivés à la conclusion que vous exagérez au
sujet de votre mauvaise situation financière [sic]. Nous
avons également calculé vos pertes éventuelles en cas
de procès intenté par votre personnel et vos étudiants
pour la fuite de leurs données personnelles. Ces
amendes dépasseront les 30 millions USD. Et nous ne
parlons pas de la perte de réputation, qui, à notre avis,
coûte plus cher. »

Il y a peu de barrières à l’entrée de cette entreprise Quel que soit l’endroit où le rançongiciel est déployé, ENCADRÉ : PAYER OU NE PAS PAYER ? la recherche et le développement (R&D), afin
criminelle. Un cybercriminel n’a pas besoin les auteurs de la menace demandent généralement un À la suite d’une attaque par rançongiciel, les entreprises d’améliorer leurs outils et leur capacité à acheter
de compétences spécialisées en matière de paiement en cryptomonnaie via des portefeuilles de sont souvent complètement déconnectées : leurs l’accès aux failles des organisations victimes
développement de code pour tirer profit de ce délit. cryptomonnaie. Bien que la technologie de blockchain systèmes de sécurité sont altérés, leurs systèmes potentielles. Certaines équipes de rançongiciel
L’entreprise de rançongiciel a évolué vers un service de sous-jacente facilite la transparence des flux de de sauvegarde sont supprimés, leurs données sont disposent de fonds importants pour la R&D et
rançongiciel basé sur les renseignements humains et cryptomonnaies, les propriétaires des portefeuilles chiffrées et leurs utilisateurs ne peuvent pas se l’achat de jours 0 haut de gamme. Par exemple,
la recherche. Elle n’est plus uniquement l’apanage des restent pseudonymisés. Néanmoins, ils doivent encore connecter. Lorsque les opérations sont hors ligne et que certaines équipes de rançongiciels disposent
développeurs de logiciels malveillants, mais implique trouver des entrées et des sorties dans l’écosystème les pertes s’accumulent, il est important de se rappeler d’un budget leur permettant de dépenser
une structure commerciale plutôt modulaire. Les des cryptomonnaies. À la base, l’acteur criminel doit que le paiement des demandes de rançon ne garantit jusqu’à 1 million USD, voire plus, par jour 0.
développeurs de logiciels malveillants recrutent des ajouter la blockchain à une transaction et finalement pas le rétablissement des opérations et ne prévient pas Alors que certaines équipes spécialisées dans
pirates ayant accès aux réseaux en leur promettant une trouver un moyen d’encaisser le paiement. Il existe les attaques futures. les rançongiciels haut de gamme achètent des
« part » des bénéfices. Les criminels peuvent acheter plusieurs parties prenantes au sein de l’écosystème jours 0, d’autres se concentrent sur les moyens
des logiciels malveillants et un accès à des réseaux des cryptomonnaies qui facilitent les transactions et les De plus, nous sommes face à la « tragédie du bien traditionnels d’accéder à distance aux réseaux des
spécifiques, et cibler des secteurs particuliers. Il s’agit paiements liés aux rançons. Ces intermédiaires existent commun » . Bien qu’il puisse être logique pour les
4 victimes.
en fait d’un syndicat du crime où chaque membre est souvent dans des États où les gouvernements sont victimes individuelles de payer pour leur propre • Les outils de rançongiciel deviennent plus
payé pour une expertise particulière. historiquement peu disposés à coopérer avec les États- bénéfice (restaurer des opérations commerciales automatisés et plus efficaces, ce qui permet aux
Unis et d’autres pays. Ce sont ces intermédiaires qui critiques), le paiement contribue également à la mauvais acteurs d’étendre et d’accélérer leurs
Dans l’exemple ci-dessous, en suivant les flux de facilitent le flux des gains mal acquis par l’intermédiaire croissance de ce modèle nuisible pour tout le monde. attaques, avec plus de sophistication et moins
cryptomonnaie, on peut voir qu’une entreprise des rançongiciels. Le secteur privé, par l’entremise Le paiement de rançons peut contribuer au maintien du d’efforts.
criminelle a réparti ses « gains » en bitcoins de de litiges civils, et le gouvernement, par l’entremise cycle, comme décrit ci-dessous :
telle sorte qu’environ 15 % des gains sont allés au de poursuites judiciaires, de l’application de la
• Le modèle économique des extorqueurs est
développeur/responsable et 75 % à l’attaquant. réglementation et de la collaboration internationale,
renforcé, ce qui attire également d’autres mauvais
peuvent prendre des mesures coordonnées contre
acteurs dans la stratégie de monétisation.
les intermédiaires afin de perturber le processus de
Des revenus substantiels sont obtenus par les
paiement.
acteurs qui en utilisent ensuite une partie pour
Hachage des transactions et adresses des portefeuilles
Le portefeuille de rançon de la victime est montré à l’extrême gauche. Les

Hachages transactionnels Adresses des portefeuilles Bitcoin
fonds sont répartis sur deux portefeuilles différents à l’extrême droite.
Texte intentionnellement flouté pour la publication
4
Tragédie des biens communs – Wikipédia Rapport sur la défense numérique de Microsoft | Octobre 2021 14
Détails importants à connaître avant de prendre la Le paiement d’une rançon alimente les EXEMPLE : LE RANÇONGICIEL CONTI
décision de payer ou non des rançons : syndicats de rançongiciel Le rançongiciel Conti est apparu vers juillet 2020 et a adopté le modèle économique de la double extorsion. Dans
le cadre de ce modèle de double extorsion, une victime est d’abord extorquée en échange d’une rançon et pour
• En moyenne, les entreprises qui ont payé la rançon
éviter la publication éventuelle de ses données volées. Conti est également un rançongiciel en tant que service
n’ont récupéré que 65 % de leurs données, 29 %
(RaaS), c’est-à-dire un service par abonnement permettant aux affiliés du service d’accéder facilement à des outils de
n’en récupérant pas plus de la moitié.5
création de rançongiciel et à des versions. Les affiliés du service s’accordent sur des paiements en pourcentage de
• Les décrypteurs de rançon sont bogués et la rançon entre le développeur du rançongiciel et l’auteur de la menace qui a effectué l’exploitation. Habituellement,
échouent régulièrement à déchiffrer les fichiers de Conti accède au réseau de la victime en passant par d’autres menaces comme Trickbot, IcedID ou Zloader. Une
données les plus volumineux et les plus importants fois à l’intérieur du réseau de la victime, Conti dispose d’un module de reconnaissance configurable qui lui permet
(fichiers de 4 Go et plus). de balayer les réseaux internes à la recherche de partages de réseaux et d’autres cibles de grande valeur. Une fois
• Le déchiffrement des fichiers de données est un déployé, Conti commence à chiffrer les données et les bases de données modifiables par l’utilisateur en fonction de
processus lent et laborieux, la plupart des clients listes d’extensions de fichiers ciblées. Une fois le chiffrement terminé, une note de rançon est laissée dans chaque
ne déchiffrent que leurs fichiers de données les Le paiement d’une rançon donne aux criminels répertoire de fichiers avec des instructions sur la façon de contacter les auteurs du rançongiciel :
plus critiques et restaurent le reste à partir d’une davantage de ressources pour étendre leurs Note de rançon
sauvegarde. opérations, ce qui les aide à devenir plus
• La restauration des données n’annule pas les organisés et spécialisés. Avec davantage de
manipulations effectuées par les attaquants. fonds disponibles, les groupes peuvent améliorer
leurs outils et leur code, ce qui permet aux
• La restauration des données ne permet pas de
rançongiciels de se propager dans les réseaux
sécuriser les systèmes pour prévenir les attaques.
sans être détectés par les logiciels antivirus.
• Les organisations doivent comprendre la légalité
des paiements effectués dans leur pays. Les
gouvernements du monde entier imposent des
obligations de déclaration des paiements de
rançongiciels, peuvent pénaliser les paiements
effectués à des parties sanctionnées et envisagent
d’adopter des lois qui pourraient rendre les
paiements de rançongiciels illégaux.
5
The State of Ransomware 2021 (L’état des rançongiciels) – Sophos News Rapport sur la défense numérique de Microsoft | Octobre 2021 15
L’utilisateur doit maintenant télécharger le fichier texte de la note de rançon vers le site de récupération indiqué dans Une fois que la note de rançon a été chargée, une session de chat est lancée.
cette note. La note sert de preuve de chiffrement et d’identification de la victime pour les auteurs du rançongiciel.
Site de récupération de rançon Session de chat après le chargement de la note de rançon
Site Conti News

La phase de négociation commence avec l’auteur de la menace, qui prouve qu’il peut déchiffrer tous les fichiers fournis
par la victime. Une fois le prix final de la rançon négocié, l’auteur du rançongiciel fournit une adresse de portefeuille de
Bitcoin à la victime pour qu’elle envoie le paiement. Les auteurs du rançongiciel Conti gèrent des sites de récupération
et d’informations sur des domaines de premier niveau ordinaires (comme sur le web ouvert) ainsi que sur le dark web
ou Tor (également connu sous le nom de The Onion Router).
Dans le cadre du modèle commercial de la double extorsion, les acteurs derrière Conti gèrent un site d’actualités, qui
sert de site de publication pour prouver que si la rançon n’est pas payée, les informations privées de la victime seront
publiées et pourraient être vendues sur le marché noir. Le site Conti News répertorie actuellement des centaines de
victimes avec divers exemples de leurs données privées.
Les victimes de Conti se trouvent principalement aux États-Unis et en Europe, et comprennent des écoles publiques,
des prestataires de soins de santé, des entreprises de fabrication, des administrations municipales américaines et
même des fournisseurs de services publics.
Ce que nous voyons dans les données et les signaux des rançongiciels
SIGNAUX DE DÉFENSE
Taux de rencontre des rançongiciels (nombre de machines) : clients d’entreprise Taux de rencontre des rançongiciels (nombre de machines) : tous les clients
Ces graphiques montrent l’augmentation globale des rencontres de rançongiciels, avec une poussée notable des rencontres par les consommateurs et les
entreprises à la fin de 2019,6 lorsque le RaaS a commencé à se développer, et les premiers mois de 2020 au début de la pandémie de COVID-19.7
6
https://www.microsoft.com/security/blog/2019/12/16/ransomware-response-to-pay-or-not-to-pay/ 7
https://www.microsoft.com/security/blog/2020/03/20/protecting-against-coronavirus-themed-phishing-attacks/ Rapport sur la défense numérique de Microsoft | Octobre 2021 17
Nombre de machines rançongiciels par pays (juillet 2020-juin 2021) DONNÉES DART

Alors que l’attaque par rançongiciel de Colonial Pipeline en mai 2021 a attiré l’attention du public, les données sur
l’engagement de notre équipe de détection et d’intervention (DART) en matière de rançongiciels montrent que les trois
secteurs les plus ciblés étaient les consommateurs, la finance et l’industrie. Malgré les promesses répétées des acteurs
des rançongiciels de ne pas attaquer les hôpitaux ou les entreprises de soins de santé pendant une pandémie, le
secteur des soins de santé reste parmi les cinq premiers secteurs victimes de rançongiciels à commande humaine.
Engagements de DART en matière de rançongiciels par secteur (juillet 2020-juin 2021)
Les enjeux ont changé. Les rançongiciels et

l’extorsion connaissent une croissance massive.

RÉSUMÉ DES RECOMMANDATIONS Utilisez les phases comme un plan de départ pour savoir ce qu’il faut faire en premier, ensuite et plus tard, afin
Les enjeux ont changé. Les rançongiciels et l’extorsion connaissent une croissance massive. Pour aider à protéger votre d’obtenir les éléments ayant le plus d’impact en premier. Ces recommandations ont été classées par ordre de priorité
entreprise contre les rançongiciels, nous vous recommandons de : selon le principe Zero Trust, qui consiste à réduire au minimum le risque commercial en supposant que les attaquants
peuvent réussir à accéder à votre environnement par une ou plusieurs méthodes.
Déployer la protection contre les rançongiciels

Microsoft soutient les conseils présentés dans le Ransomware Playbook du Cyber Readiness Institute.8
En savoir plus :
3 steps to prevent and recover from ransomware (3 étapes pour prévenir et récupérer des rançongiciels) | Blog de
Microsoft dédié à la sécurité (07/09/2021)
Rapidly protect against ransomware and extortion (Se protéger rapidement contre les rançongiciels et l’extorsion) |
Microsoft Docs (24/08/2021)
Azure Sentinel Fusion Detection for Ransomware (Détection d’Azure Sentinel Fusion pour les rançongiciels) (microsoft.
com) (09/08/2021)
The growing threat of ransomware (La menace croissante des rançongiciels) – Microsoft On the Issues (20/07/2021)
Préparer un plan de récupération en rendant plus difficile l’accès aux systèmes et la perturbation de ceux-ci, ce qui
minimise les incitations monétaires pour les attaquants par rançongiciel et facilite la récupération après une attaque Human-operated ransomware (Rançongiciels exécutés par l’homme) | Microsoft Docs (27/05//2021)
sans payer la rançon.
Ransom mafia analysis of the world’s first ransomware cartel (Analyse de la mafia des rançongiciels du premier cartel de
rançongiciels au monde) (document PDF) (analyst1.com) (07/04/2021)
Limiter l’ampleur des dommages en forçant les attaquants à travailler davantage pour accéder à plusieurs systèmes
critiques pour l’entreprise. Mettez en place un accès de moindre privilège et adoptez les principes Zero Trust. Ces Ransomware Playbook (Manuel des rançongiciels) – Cyber Readiness Institute
mesures font qu’il est plus difficile pour un attaquant qui s’introduit dans un réseau de se déplacer sur le réseau pour
trouver des données précieuses à verrouiller. De plus, chiffrez les données au repos et adoptez une bonne hygiène
de sauvegarde et de restauration. Ainsi, même si des données sont volées, elles seront chiffrées et peu utiles pour les
attaquants. Si, par malheur, l’attaquant parvient à chiffrer vos données, vous disposerez d’une bonne sauvegarde à
partir de laquelle vous pourrez restaurer vos données pour assurer la continuité de vos activités.
Rendre l’entrée plus difficile en suivant des étapes d’hygiène de cybersécurité de base qui compliquent l’accès au
réseau par les attaquants. La plus importante de ces étapes est l’utilisation de l’authentification multifacteur (MFA),
qui est importante pour augmenter la friction à l’entrée, mais qui sera longue à mettre en œuvre dans le cadre d’un
parcours de sécurité plus large. D’autres mesures, comme la mise à jour des correctifs et la configuration correcte,
peuvent être prises pour identifier et fermer les points d’entrée vulnérables.
8
Ransomware Playbook (Manuel des rançongiciels) – Cyber Readiness Institute Rapport sur la défense numérique de Microsoft | Octobre 2021 19
E-mails de Dans le cadre de nos enquêtes sur les réseaux criminels

organisés en ligne impliqués dans la compromission
L’identité est également menacée par l’usurpation
d’identité, comme on peut le voir dans les attaques
hameçonnage et
des adresses e-mail professionnelles (BEC), nous avons BEC, où l’une des parties d’une transaction financière
constaté une grande diversification des méthodes est usurpée pour détourner les paiements vers un
autres e-mails
d’obtention, de vérification et d’utilisation ultérieure destinataire non autorisé. Nos enquêtes ont révélé que
des données d’identification, ce qui pourrait expliquer les acteurs de la menace surveillaient les messages à
malveillants
l’augmentation de la menace. Les auteurs de la menace caractère financier pour trouver une identité à usurper,
augmentent leur automatisation et achètent des outils puis enregistraient des domaines homoglyphes/
pour accroître la valeur de leurs activités criminelles. Les imposteurs pour ressembler à l’adresse électronique
informations d’identification appartenant à des victimes de la personne usurpée. Dans ce cas, la personne dont
Menace contre l’identité sans méfiance peuvent être obtenues sur des sites web les informations d’identification ont été volées ferait en
En 2020, le rapport IC39 du FBI a identifié le de hameçonnage qui se font passer pour une myriade sorte qu’une autre personne devienne une victime.
hameçonnage comme le principal type de délit de services en ligne, en exploitant et en analysant
rapporté par des victimes. Le nombre de signalements automatiquement les journaux des appareils infectés
a doublé par rapport à l’année précédente. Le qui enregistrent les touches tapées sur les claviers pour
hameçonnage constitue une menace importante pour deviner où les informations d’identification d’un service
les entreprises et les particuliers, et le hameçonnage en ligne violé ont été réutilisées sur un autre.
d’informations d’identification a été utilisé dans la
plupart des attaques les plus dommageables de l’année Pour chaque information d’identification, il existe des
dernière. services qui enrichissent les informations sur l’identité
avec des détails supplémentaires sur l’identité de la
personne, notamment son nom, l’entreprise pour
laquelle elle travaille, son rôle, son ancienneté dans
l’entreprise et le secteur associé à l’entreprise. Avec ces
informations, l’identité pourrait être utilisée dans des
attaques BEC, pour envoyer des messages non sollicités
(spam), pour collecter des informations sensibles ou
pour héberger des sites web de hameçonnage sur
des comptes en ligne connexes. Même lors d’une
attaque, les comptes peuvent être revendus après que
des systèmes automatisés ont vérifié qu’ils restaient
compromis.
9
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf Rapport sur la défense numérique de Microsoft | Octobre 2021 20
E-mails identifiés comme des tentatives de hameçonnage Ce que nous voyons page de connexion d’Office 365, sans qu’il se soit rendu
compte que des acteurs avaient obtenu ses informations
Types d’e-mails malveillants
d’identification. Pendant ce temps, les informations
Que leur objectif soit d’obtenir des informations
d’identification entrées sont stockées ou envoyées à
d’identification, de rediriger un virement bancaire vers leur
l’attaquant pour être utilisées ou vendues plus tard.
propre compte ou de télécharger un logiciel malveillant
sur un appareil, les attaquants sont les plus susceptibles
Les attaquants utilisent également le hameçonnage par
d’utiliser les e-mails comme vecteur initial d’une campagne.
consentement pour envoyer aux utilisateurs des liens
Si on accorde beaucoup d’attention au hameçonnage
qui, lorsqu’une personne clique dessus, leur accordent
d’informations d’identification, les e-mails malveillants sont
l’accès aux applications et les autorisations liées à celles-
utilisés dans de nombreux types de cyberincidents. Les
ci, par exemple au moyen du protocole d’autorisation
chercheurs en sécurité de Microsoft ont observé les trois
OAuth 2.0. Dans ces cas, les utilisateurs peuvent, sans le
types d’e-mails malveillants les plus courants suivants :
vouloir, accorder aux attaquants des autorisations pour des
applications qui leur permettent d’accéder à une multitude
HAMEÇONNAGE
d’informations sensibles.
Le hameçonnage est le type d’e-mail malveillant le plus
courant observé dans nos signaux de menace. Ces e-mails
Le nombre d’e-mails de hameçonnage observés dans
sont conçus de manière à inciter une personne à partager
le flux de messagerie mondial de Microsoft Exchange
des informations sensibles, comme des noms d’utilisateur
a augmenté au cours de la période de juin 2020 à
Palmarès des dix domaines verticaux les plus touchés par le hameçonnage et des mots de passe, avec un attaquant. Pour ce faire, les
juin 2021. Nous avons constaté une forte augmentation
(Defender detections, juin 2021) attaquants rédigent des e-mails en utilisant divers thèmes,
en novembre, potentiellement liée au hameçonnage sur le
comme des outils de productivité, des réinitialisations
thème des Fêtes, et une diminution ultérieure pendant les
de mot de passe ou d’autres notifications en ajoutant un
vacances d’hiver aux États-Unis, ce qui pourrait indiquer
sentiment d’urgence pour inciter l’utilisateur à cliquer sur
que les attaquants envoient moins de messages lorsqu’un
un lien.
grand nombre de personnes ne travaillent pas.
Les pages web de hameçonnage utilisées dans ces attaques

Si tous les secteurs reçoivent des e-mails de hameçonnage,
peuvent utiliser des domaines malveillants, tels que ceux
certains domaines verticaux au sein de ces secteurs
achetés et exploités par l’attaquant, ou des domaines
ont tendance à être la cible d’un plus grand nombre de
compromis, où l’attaquant abuse d’une vulnérabilité d’un
campagnes de hameçonnage que d’autres. Les domaines
site web légitime pour héberger un contenu malveillant.
verticaux les plus touchés par le hameçonnage peuvent
Les sites de hameçonnage copient fréquemment des
changer d’un mois à l’autre en fonction de plusieurs
pages de connexion légitimes et bien connues, comme
facteurs, notamment les objectifs des attaquants, la
Office 365 ou Google, pour inciter les utilisateurs à
disponibilité des adresses électroniques divulguées ou les
saisir leurs informations d’identification. Une fois que
événements actuels concernant des secteurs particuliers.
l’utilisateur a entré ses informations d’identification, il est
souvent redirigé vers un site final légitime, tel que la vraie

E-mails comportant un logiciel malveillant par semaine DIFFUSION DE LOGICIELS MALVEILLANTS l’e-mail pour permettre au destinataire d’ouvrir les fichiers
La diffusion de logiciels malveillants est un autre exemple et de télécharger le logiciel malveillant. En utilisant ces
de la façon dont les acteurs des menaces utilisent les fichiers d’archive pour héberger le document malveillant
e-mails pour atteindre leurs objectifs. Diverses variantes (souvent un fichier Excel ou Word), les attaquants peuvent
de logiciels malveillants, comme Agent Tesla, IcedID, utiliser un fichier d’archive unique pour chaque destinataire,
Trickbot et Qakbot, se servent des e-mails comme ce qui complique la tâche des défenseurs lorsqu’il s’agit
principale méthode de distribution. Ces e-mails utilisent d’évaluer pleinement une campagne.
des liens ou des pièces jointes pour diffuser des logiciels
malveillants et utilisent souvent des techniques similaires Fait intéressant, entre juillet 2020 et juin 2021, nous avons
à celles des e-mails de hameçonnage. Par exemple, les observé une tendance générale à la baisse du nombre d’e-
e-mails de diffusion de logiciels malveillants et les e-mails mails contenant des logiciels malveillants, ce qui indique
de hameçonnage peuvent utiliser des liens qui renvoient que les attaquants utilisent peut-être d’autres moyens
à un test CAPTCHA pour échapper à la détection des d’entrée. De plus, quelques démantèlements notables de
technologies de sécurité. logiciels malveillants, à savoir Trickbot et Emotet, ont pu
contribuer à cette baisse globale. Un pic important en
Étant donné que les logiciels malveillants ne dépendent pas octobre est associé à la distribution de ces variantes de
On constate une tendance générale à la baisse du nombre d’e-mails comportant des logiciels malveillants.
de l’interaction avec l’utilisateur comme le hameçonnage, logiciels malveillants, et la diminution rapide qui suit le
les attaquants peuvent concevoir leur diffusion de manière pic correspond au moment où Trickbot a été retiré par
Palmarès des 15 plus importantes détections par Defender (juin 2021)
à ce qu’elle soit moins visible par l’utilisateur. Par exemple, Microsoft.
lorsqu’ils utilisent des pièces jointes comme méthode de
diffusion, les attaquants peuvent utiliser un document Les logiciels malveillants que les attaquants distribuent
leurre avec des macros qui, lorsqu’elles sont activées par le par e-mail changent régulièrement pour diverses raisons,
destinataire, téléchargent le logiciel malveillant en arrière- notamment les démantèlements de logiciels malveillants et
plan à l’insu de l’utilisateur. L’utilisateur peut alors penser les objectifs des attaquants. Comme le montre le graphique
que le document est défectueux ou qu’il ne lui est pas sur les détections de Defender pour le mois de juin 2021, le
destiné, et il peut ignorer complètement qu’un logiciel logiciel malveillant le plus prolifique observé par Microsoft
malveillant est exécuté sur son appareil. était Agent Tesla, un logiciel espion voleur d’informations
d’identification. Le deuxième logiciel malveillant le plus
Une des méthodes les plus courantes de diffusion de observé, Tisifi, qui identifie les pièges de l’ingénierie
logiciels malveillants observées l’année dernière est le sociale, n’a été vu qu’un tiers du temps par rapport à Agent
recours à des fichiers d’archives protégés par un mot de Tesla. EncDoc et CVE-2017-11882, qui arrivent en troisième
passe. Ces e-mails contiennent des fichiers d’archives, et cinquième positions, indiquent que les attaquants
comme des pièces jointes ZIP, qui sont protégés par mot privilégient toujours les documents malveillants comme
de passe, afin d’empêcher les technologies de sécurité de méthode courante de diffusion de diverses menaces. La
les faire exploser et de les analyser. Cependant, les mots de quatrième détection principale,
Les logiciels espions conçus pour voler des informations d’identification ont été le type de logiciel passe de ces fichiers sont souvent inclus dans le corps de
malveillant le plus couramment observé dans les e-mails et ils ont été détectés trois fois plus souvent
que le deuxième type de détection le plus fréquent.
HTML/Hameçonnage n’inclut que les e-mails de comme récompense pour ses collaborateurs. Le Détection du hameçonnage en ligne Les domaines créés spécifiquement pour des attaques
hameçonnage qui utilisent une pièce jointe HTML. Ces destinataire est généralement invité à envoyer les L’année dernière, les attaques de hameçonnage en ont tendance à être actifs pendant des périodes
types de hameçonnage prennent souvent la forme de cartes-cadeaux numériques à l’attaquant une fois ligne ont continué à devenir plus sophistiquées. Les kits plus courtes, et avec moins d’adresses électroniques
faux messages de hameçonnage sur les boîtes vocales. qu’elles ont été achetées, mais nous avons également de hameçonnage utilisés dans le cadre des attaques malveillantes, que les attaques qui utilisent une
vu des attaquants demander à l’utilisateur d’acheter par hameçonnage en ligne utilisent généralement des infrastructure légitime. Au cours de l’année dernière,
COMPROMISSION DES E-MAILS D’ENTREPRISE des cartes-cadeaux physiques et d’envoyer une photo images, du contenu contextuel et d’autres techniques Microsoft SmartScreen a constaté une augmentation
Bien qu’il ne s’agisse pas du type d’e-mail malveillant le du code au dos de la carte, ce qui permet à l’attaquant avancées pour éviter la détection. Nos modèles de des attaques qui commencent et se terminent en
plus prolifique en termes de quantité, les BEC se sont de les revendre en ligne ou de les échanger contre des machine learning (ML) et nos heuristiques de réseau
l’espace d’une heure ou deux.
avérés être le type de cybercriminalité ayant le plus cryptomonnaies. doivent évoluer en permanence pour maintenir une
d’impact financier.10 Les BEC se produisent lorsqu’un protection efficace. Le langage utilisé par les attaquants
attaquant se fait passer pour un compte commercial La fraude par virement bancaire est un type de s’est également considérablement amélioré ; les Techniques d’e-mails
conseils donnés autrefois aux utilisateurs de rechercher
légitime, en utilisant une adresse électronique com-
promise, un domaine similaire qu’il a enregistré ou un
BEC beaucoup plus sophistiqué et plus dangereux
financièrement. Dans ce type de BEC, les acteurs les fautes d’orthographe et de grammaire sont
malveillants
service d’e-mail gratuit tel que Hotmail ou Gmail, et s’insèrent dans des transactions financières prévues et désormais moins efficaces, en particulier contre les Les attaquants se sont adaptés au fil du temps pour
envoie des e-mails conçus pour inciter les destinataires demandent au destinataire de modifier les informa- attaques ciblées et plus avancées. Les kits modernes créer des e-mails plus susceptibles d’échapper aux
à effectuer une action financière, à communiquer des tions du compte bancaire sur un virement bancaire. sont suffisamment sophistiqués pour se faire passer détections et aux protections en utilisant des e-mails
informations sensibles ou à fournir des biens, tels que Les acteurs se font passer pour le destinataire des pour un contenu légitime avec leur utilisation de qui semblent légitimes d’un point de vue professionnel.
des cartes-cadeaux, à l’attaquant. fonds, ce qui n’a rien d’extraordinaire pour la vic- l’orthographe, de la grammaire et de l’imagerie. Les défenseurs doivent protéger l’entreprise, mais
time. Une fois que la victime a transféré l’argent sur ils ont également le devoir de maintenir le flux des
le nouveau compte, les auteurs le retirent et il peut Les hameçonneurs s’appuient de plus en plus sur des activités, et les attaquants s’appuient sur ce fait pour
Le type de BEC le plus courant observé par Microsoft
être difficile de le récupérer. Les entreprises peuvent infrastructures légitimes, mais ce schéma ne représente se frayer un chemin. Au cours d’année écoulée, les
au cours de l’année écoulée est l’escroquerie aux
contribuer à éviter ce type d’escroquerie en veillant à encore qu’une minorité des attaques de hameçonnage chercheurs en sécurité de Microsoft ont observé que
cartes-cadeaux. Dans le cadre de ces escroqueries,
ce que les politiques financières exigent une vérifica- détectées. Microsoft SmartScreen a détecté plus d’un les attaquants utilisaient de nombreuses techniques
les attaquants créent généralement une multitude
tion pour tout changement de compte. Les collab- million de domaines uniques utilisés dans des attaques dans plusieurs campagnes d’e-mails malveillants afin de
de comptes de messagerie gratuits, en changeant le
orateurs du service financier doivent vérifier par un de hameçonnage en ligne l’année dernière, dont les donner aux e-mails une apparence plus légitime, tant
nom d’affichage en fonction de la cible, bien que les
moyen autre que l’e-mail, par exemple à partir d’un domaines compromis représentaient un peu plus de pour les utilisateurs finaux que pour les technologies de
attaquants aient également enregistré leurs propres
numéro de téléphone connu et fiable du destinataire, 5 %. Ces 5 % de domaines hébergent généralement des protection.
domaines pour ces attaques ou aient créé des comptes
de messagerie gratuits spécifiques à la cible. Ils se avant d’effectuer des changements de numéro de attaques de hameçonnage sur des sites web légitimes
font ensuite passer pour une personne avec laquelle compte demandés par e-mail. De plus, l’utilisation des sans perturber le trafic légitime, afin que leur attaque
le destinataire travaille (généralement son patron fonctions de protection contre l’usurpation d’identité reste cachée le plus longtemps possible.
ou un cadre de son entreprise) et lui demandent dans les produits de sécurité de l’e-mail peut con-
d’acheter des cartes-cadeaux (souvent avec les fonds tribuer à empêcher les attaquants de mener à bien ce
de l’entreprise). Ces e-mails suggèrent souvent que type d’escroquerie.
l’expéditeur souhaite se les procurer comme cadeau
d’anniversaire pour un membre de sa famille ou
10
https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf; https://www.microsoft.com/security/blog/2021/06/14/behind-the-scenes-of-business-email-compromise-using-cross-domain-threat-data-to-disrupt-a-large-bec-infrastructure/ Rapport sur la défense numérique de Microsoft | Octobre 2021 23

Quelques techniques courantes observées au cours de l’année écoulée : UTILISATION ABUSIVE D’UNE INFRASTRUCTURE LÉGITIME
EXPÉDITEURS COMPROMIS > SERVICES COMPROMIS Les défenseurs ont souvent demandé à leurs utilisateurs finaux de vérifier la légitimité de certains aspects d’un e-mail
Depuis des années, les attaquants utilisent des expéditeurs compromis pour perpétuer les chaînes d’e-mails de avant d’interagir avec celui-ci, comme l’expéditeur et les liens qu’il contient. Ce conseil est toujours valable, mais
hameçonnage, en utilisant le compte de messagerie de la victime pour envoyer d’autres e-mails de hameçonnage. Bien parfois les liens et les expéditeurs peuvent sembler légitimes alors qu’ils contiennent des contenus malveillants. Les
que cette méthode soit encore extrêmement répandue, de nombreuses entreprises ont commencé à utiliser la MFA, ce attaquants utilisent désormais des infrastructures légitimes pour masquer le contenu malveillant de leurs e-mails. Pour
qui en réduit l’efficacité. Les attaquants adaptent donc leurs méthodes pour commencer à compromettre des services les adresses d’expéditeur, les attaquants peuvent enregistrer des locataires à l’essai pour des services tels qu’Office
de messagerie entiers, comme lorsque NOBELIUM a eu accès à une solution de marketing par e-mail qui a permis à 365, ce qui donne à leur e-mail une apparence beaucoup plus légitime. En outre, les attaquants utilisent des moyens
l’attaquant d’envoyer des messages en utilisant plusieurs adresses légitimes.11 pour masquer le domaine malveillant dans un e-mail, soit en utilisant des redirections ouvertes à partir de domaines
légitimes, soit en trompant des plateformes d’hébergement légitimes telles que Google Drive ou OneDrive. Dans ces
E-mail de hameçonnage utilisant un service compromis au nom d’entreprises légitimes cas, il peut être difficile pour les utilisateurs de savoir si un e-mail est légitime ou malveillant.
Utilisation abusive d’une infrastructure légitime
Les attaquants utilisent abusivement des

formulaires de contact légitimes sur des
sites web pour envoyer des e-mails, et des
sites Google légitimes pour héberger des
logiciels malveillants.
11
https://www.microsoft.com/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/ Rapport sur la défense numérique de Microsoft | Octobre 2021 25
FAUSSES RÉPONSES ÉVASION DÉFENSIVE

Les utilisateurs ont non seulement reçu l’instruction de vérifier certains aspects des e-mails, comme l’expéditeur ou Si les attaquants concentrent leurs techniques afin de convaincre le destinataire d’interagir avec un e-mail, ils
les liens, avant d’interagir avec eux, mais également celle de ne pas toucher aux e-mails qu’ils ne s’attendent pas à savent aussi que tous ces efforts seront futiles si le message ne parvient pas à la victime. C’est pourquoi les auteurs
recevoir. Ce conseil reste extrêmement précieux, mais les attaquants le savent aussi et ont modifié leurs stratégies des menaces développent de nouveaux moyens d’évasion défensive dans les e-mails. Auparavant, il suffisait à un
pour trouver des moyens de convaincre les destinataires qu’ils attendent l’e-mail. Pour cela, ils créent notamment de attaquant d’inclure un fichier d’archive protégé par un mot de passe pour échapper à la détection, mais la plupart
faux e-mails de réponse. Dans ce cas, l’attaquant reprend le contenu d’un e-mail antérieur provenant d’une boîte aux des technologies de sécurité peuvent désormais saisir les mots de passe inclus dans l’e-mail pour les faire exploser
lettres compromise, ou crée un tout nouvel e-mail, qu’il inclut dans le corps du message de manière à faire croire que et identifier le contenu malveillant. Les attaquants ont décidé d’inclure des CAPTCHA et des écrans de connexion
le nouvel e-mail est une réponse. Les utilisateurs dont le travail les oblige à envoyer des dizaines d’e-mails par jour légitimes pour des services comme Microsoft ou Google, afin d’empêcher les technologies de détection d’atteindre le
ne se souviennent pas forcément de tous les messages qu’ils ont envoyés. Le fait de voir une fausse réponse peut les contenu malveillant.
convaincre qu’ils attendent l’e-mail et les inciter à interagir avec des liens ou des pièces jointes malveillants. L’utilisation
des fonctions de sécurité des e-mails qui peuvent avertir un utilisateur lorsqu’un message est envoyé par un utilisateur
avec lequel il n’a jamais interagi auparavant peut contribuer à freiner cette technique. Cette technique est l’une des
favorites des variantes de logiciels malveillants comme Emotet et IcedID. Elle est également fréquemment utilisée dans
les e-mails de type BEC.
Faux e-mail de réponse
Un e-mail de type BEC

d’arnaque aux cartes-cadeaux
utilisant une fausse réponse
pour faire croire à l’utilisateur
qu’il attendait ce message.


Hameçonneurs secrets : Cette stratification du monde de la cybercriminalité hameçonneurs prêts à l’emploi ont été largement
constitue une menace accrue pour l’infrastructure des considérés comme des codeurs de bas niveau par
l’économie cachée des kits de entreprises, car les auteurs de kits de hameçonnage rapport à l’auteur du kit de hameçonnage, beaucoup
hameçonnage sophistiqués sont plus compétents techniquement que les plus sophistiqué, et au cerveau de l’opération globale.
hameçonneurs et ont une portée beaucoup plus large
Les milieux de la recherche et des affaires pensent
par ordre de grandeur. L’anonymat du dark web permet
depuis longtemps que les informations d’identification
cette technique. Le hameçonnage est généralement
des victimes sont transmises à la personne (ou au
connu comme un stratagème dans le cadre duquel
groupe) qui mène les campagnes de hameçonnage.
un hameçonneur (ou un groupe de hameçonneurs)
Les chercheurs de la communauté de la sécurité12 ont
achète un kit sur le marché du dark web, obtient des
commencé à identifier des kits plus sophistiqués dans
composants d’infrastructure comme un serveur, un
lesquels non seulement les informations d’identification
domaine pour héberger le site d’imitation et un compte
de la victime sont envoyées aux hameçonneurs qui
de messagerie ou un autre point de terminaison
mènent une campagne de hameçonnage, mais elles
pour recevoir les informations de la victime. Une fois
sont également susceptibles d’être transmises à
l’infrastructure assemblée, ils n’ont plus qu’à attendre.
l’auteur du kit ou à un intermédiaire sophistiqué qui a
L’ensemble du processus est conçu pour être aussi
modifié le kit avec un compte de collecte caché avant
simple que possible par les auteurs et les distributeurs
de redistribuer le kit. La Digital Crimes Unit (DCU) de
de kits. Bien qu’il soit important de ne pas trop
Microsoft a vu plusieurs variantes de cette technique.
généraliser, ces
12
https://www.wmcglobal.com/blog/phishing-kit-exfiltration-methods Rapport sur la défense numérique de Microsoft | Octobre 2021 28
Kits de hameçonnage et collecte des informations d’identification

Que contient la boîte à outils de Micro- Tendances chez Microsoft, 2020-2021
soft pour la défense contre le hameçon-

nage ? Comment nous abordons la
prise de conscience des collaborateurs
En 2020, le secteur a connu une recrudescence des campagnes de hameçonnage
qui est restée stable tout au long de 2021. En interne, chez Microsoft, nous avons
constaté une augmentation du nombre global d’e-mails de hameçonnage, une
tendance à la baisse des messages contenant des logiciels malveillants et une
augmentation du hameçonnage vocal.
Heureusement, nous nous étions préparés avec une base efficace de contrôles de protection pour réduire le nombre de tentatives
de hameçonnage réussies. De plus, conscients de l’évolution du paysage des menaces, nous avions étendu nos contrôles pour
couvrir d’autres vecteurs susceptibles d’être exploités (au-delà des e-mails, comme les formulaires et Teams).
Qu’y a-t-il dans notre boîte à outils ?

Il n’y a pas de solution miracle au problème de hameçonnage, il doit être résolu par une approche en plusieurs volets. Nous nous
concentrons sur quatre éléments principaux : contrôles de la protection, sensibilisation des utilisateurs, signalement et informations,
et détection et réaction.
Grâce à ces méthodes, nous avons constaté

une réduction de 50 % de la vulnérabilité
d’une année sur l’autre.

Quel que soit le nombre de contrôles de protection que nous avons mis en place, l’atténuation reste un élément Au-delà de la détection et de la protection, il est impératif de cultiver une culture de la sécurité, de doter nos
crucial pour lutter contre les attaques de hameçonnage qui passent à travers nos défenses, car les auteurs des collaborateurs (notre dernière ligne de défense) des compétences nécessaires pour identifier un hameçonnage
menaces augmentent leur niveau de sophistication. Notre centre d’opérations de sécurité est équipé des outils et de et de fournir un mécanisme de signalement simple et cohérent sur toutes les plateformes. Le signalement par les
l’automatisation de Microsoft Defender for Office 365 pour détecter rapidement les e-mails malveillants, enquêter sur collaborateurs est essentiel, mais il est tout aussi important de refermer la boucle de commentaires en validant le
eux et y remédier efficacement. Dans notre cas, les fonctions de réponse automatisée aux incidents ont été essentielles signalement.
pour permettre à notre équipe d’agir rapidement, car le temps est compté.
Formation suivie de simulations, de renforcement et de simulations ciblées
Au-delà de la détection et de la protection,

il est impératif de développer une culture de
la sécurité.
Malgré la sophistication accrue du hameçonnage, la vulnérabilité des collaborateurs a diminué, grâce à

l’augmentation de la fréquence des simulations et des formations.

Notre approche de la sensibilisation des collaborateurs au hameçonnage comprend une formation de base annuelle, nouveaux collaborateurs, les cadres et leur personnel de support. Les résultats de nos exercices de simulation sont
des exercices de simulation et un renforcement positif. Les simulations exploitant le simulateur d’attaque et la également exploités pour identifier les possibilités offertes par le produit afin d’aider les collaborateurs à identifier les
formation de Microsoft Defender pour Office 365 s’appuient sur des données relatives aux incidents. Cela nous hameçonnages (par exemple, les conseils de sécurité).
permet d’exposer nos collaborateurs à des hameçonnages qui correspondent au niveau de sophistication que nous
pouvons observer dans notre environnement. Les collaborateurs qui sont susceptibles de faire l’objet de simulations En savoir plus :
répétées sont hameçonnés plus fréquemment afin d’augmenter leurs chances d’apprendre par l’expérience et les
conseils préventifs. Nous menons également des campagnes ciblées sur les groupes à haut risque, comme les Tri automatique des soumissions de hameçonnage dans Microsoft Defender pour Office 365 (09/09/2021)
Sensibilisation des collaborateurs au hameçonnage

Résumé des recommandations concernant les e-mails malveillants

1. Utiliser la MFA pour réduire l’impact du 6. Créer et appliquer des politiques financières En savoir plus :
hameçonnage des informations d’identification exigeant des collaborateurs qu’ils vérifient auprès
Trend-spotting email techniques: How modern phishing
par les attaquants. du titulaire du compte toute modification des
2. Mettre au point des processus solides de données relatives au compte, y compris les emails hide in plain sight (Techniques d’identification
formation des utilisateurs qui font appel au données concernant les virements électroniques. des tendances : comment les e-mails de hameçonnage
renforcement positif pour leur apprendre à 7. Veiller à ce que tous vos e-mails soient modernes se cachent à la vue de tous | Blog de Microsoft
identifier les e-mails potentiellement malveillants. efficacement signés (DKIM) et vérifiés à la dédié à la sécurité (8/18/2021)
Créer des processus permettant aux utilisateurs livraison (DMARC) afin que vos clients soient
de signaler les e-mails suspects et de recevoir protégés contre les attaquants qui tentent
des commentaires leur indiquant si le message d’envoyer des messages sous couvert de votre
qu’ils ont soumis était effectivement malveillant. domaine/marque.
Concentrer la formation supplémentaire sur les 8. Activer des protections avancées pour vos
groupes qui peuvent être plus lourdement ciblés, utilisateurs13, y compris :
comme les cadres, les assistants de direction et • les domaines similaires ou usurpations
les collaborateurs des finances. Partager avec d’identité de personnes importantes au
vos utilisateurs finaux des exemples concrets de
sein de l’entreprise.
messages de hameçonnage que votre entreprise
• l’analyse approfondie (détonation) de
a reçus, afin qu’ils comprennent la menace et
sachent à quoi s’attendre. pièces jointes et d’adresses Internet dans
3. Mettre en évidence les e-mails externes pour les toute la
destinataires en ajoutant une balise à la ligne • suite de collaboration pour se protéger
d’objet de tout message provenant d’une adresse contre les attaques 0 jour.
électronique extérieure à votre entreprise.
• Protection post-livraison pour supprimer
4. Mettre en place des fonctions qui permettent
les e-mails qui ont été livrés, puis
aux utilisateurs de repérer les e-mails provenant
d’expéditeurs avec lesquels ils n’ont pas identifiés comme étant malveillants.
communiqué par le passé. 9. Éliminer les possibilités pour les attaquants
5. Examiner les règles de flux de messagerie pour de contourner votre sécurité, par exemple en
vous assurer que les règles générales n’autorisent autorisant le référencement des expéditeurs, des
pas par inadvertance la distribution d’e-mails domaines ou des adresses IP.
malveillants.
13
Microsoft Defender for Office 365 – Office 365 | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 33
Logiciels Parmi les autres comportements et opportunités de

protection notables pour les centres d’opérations
Nombre d’alertes par activité (mai-juin 2021)
malveillants
de sécurité, notons l’utilisation de commandes de
reconnaissance spécifiques, l’ajout de processus aux
dossiers de démarrage, l’altération des tâches planifiées
ou du registre, et l’exécution de processus malveillants
Ce que nous pouvons constater par abus de documents Office. Ces comportements se
Si le hameçonnage a pris de l’ampleur au cours de l’année distinguent par leur utilisation répandue parmi tous
écoulée, les logiciels malveillants et l’infrastructure les logiciels malveillants, quel que soit leur degré de
cybercriminelle qui soutient les attaques ont également sophistication, bien que Microsoft ait également observé
continué à évoluer. Il existe des domaines clés de logiciels des tactiques plus spécifiques qui sont plus difficiles à
malveillants dans lesquels Microsoft 365 Defender Threat atténuer pour les entreprises.
Intelligence a observé des tendances changeantes ces
dernières années, beaucoup nécessitant à parts égales Logiciels malveillants sans fichier et comportement évasif
des stratégies défensives innovantes et des mesures Les logiciels malveillants « sans fichier » sont des logiciels
d’atténuation historiquement résistantes, comme malveillants qui tirent la plupart de leurs composants de
l’authentification multifacteur et des pratiques de sécurité processus système ou d’outils légitimes déjà présents
des applications solides. sur un appareil, ce qui peut les rendre plus difficiles à
supprimer et à détecter, car il est nécessaire de supprimer
Techniques et actions individualisées contre les plusieurs fichiers. Les stratégies de persistance peuvent
logiciels malveillants comprendre la persistance du registre, des tâches
Parmi les types de logiciels malveillants et les méthodes planifiées et du dossier de démarrage afin d’éviter que les
de diffusion les plus populaires analysés l’année dernière, logiciels malveillants ne demeurent un élément statique
Microsoft a observé de nombreuses tendances dans du système de fichiers. Les chevaux de Troie d’accès à
les tactiques individuelles utilisées pendant l’infection. distance (RAT) gratuits ou facilement accessibles, les
Malgré le large éventail de résultats comme l’obtention chevaux de Troie bancaires et les boîtes à outils offensives
d’une rançon, la perte de données, le vol d’informations comme Cobalt Strike ont régulièrement recours à
d’identification et l’espionnage, la plupart des logiciels l’injection de processus et à l’exécution en mémoire. Il
malveillants s’appuient sur des stratégies similaires pour s’agit de méthodes d’abus de privilèges administratifs
s’implanter dans un réseau. Le lancement de Windows volés pour déplacer le code malveillant dans des
PowerShell par des processus malveillants avec des processus bénins en cours d’exécution plutôt que dans
commandes suspectes ou des valeurs codées est le des fichiers statiques, afin d’éviter une suppression
comportement le plus courant que Microsoft a observé facile. Pour lutter contre ce type de comportement, il
chez les logiciels malveillants au cours des derniers mois. est impératif que les équipes de sécurité des entreprises
Viennent ensuite les tentatives des logiciels malveillants revoient leurs processus de réponse aux incidents et de
de renommer les charges utiles pour imiter les processus suppression des logiciels malveillants afin d’y inclure
système ou les remplacer entièrement, et l’utilisation de des analyses légales suffisantes pour vérifier que les
logiciels malveillants pour recueillir des données comme mécanismes de persistance des logiciels malveillants
les informations d’identification à partir du cache des courants ont été entièrement éliminés après leur
navigateurs. nettoyage par une solution antivirus.
Utilisation abusive de services légitimes dans les Rencontres d’Emotet times d’optimisation des moteurs de recherche ainsi que
communications réseau des infections existantes pour installer des extensions de
Une autre tactique utilisée dans de nombreuses navigateur afin de modifier les résultats de recherche et
campagnes de logiciels malveillants au cours de la de faire apparaître des contenus illicites d’attaquants.
dernière année a consisté à se servir de sites légitimes à
presque toutes les étapes de ces logiciels malveillants : Ce fut le cas en 2020 avec le malware Adrozek16, une
livraison, reconnaissance, commandement et contrôle, extension de navigateur utilisée pour forcer les appareils
exfiltration, publicité malveillante et extraction de infectés à remplacer les résultats de recherche légitimes
cryptomonnaies. Les services cloud comme Google Drive, par des liens vers des logiciels malveillants se faisant
Microsoft OneDrive, Adobe Spark, Dropbox et d’autres passer pour des produits Microsoft et d’autres logiciels
sont toujours très populaires pour la diffusion initiale de légitimes. Les exploitants de Gootkit, une infection par
logiciels malveillants, tandis que les sites de « collage» logiciel malveillant pouvant conduire à un rançongiciel,
de contenu comme Pastebin.com, Archive.org et Stikked. ont utilisé une technique légèrement différente pour
ch sont de plus en plus populaires pour une utilisation utiliser de façon abusive des moteurs de recherche en
secrète dans les logiciels malveillants à plusieurs parties achetant de la publicité en 2020 pour faire remonter
et sans fichier. Dans le dernier cas, le code utilisé dans les liens vers les sites compromis hébergeant le logiciel
le logiciel malveillant est extrait directement du site de malveillant. D’autres logiciels malveillants voleurs
collage et exécuté immédiatement en mémoire, ce qui d’informations, tels que Jupyter ou SolarMarker, ont
évite d’avoir à télécharger le logiciel malveillant sous la utilisé une autre méthode pour apparaître dans les
En janvier 2021, les forces de l’ordre ont procédé à un démantèlement, ce qui a entraîné la disparition de
forme d’un fichier unique. résultats de recherche en utilisant des documents
la famille de logiciels malveillants Emotet et une diminution considérable des rencontres d’Emotet.14
hébergés sur des services tels que AWS, Google et le
Les grandes tendances en matière de propagation et réseau de diffusion de contenu Strikingly pour conduire
de comportement des logiciels malveillants composants secondaires plus critiques à des vitesses plus émergents, emploie plus de 10 méthodes d’infection les utilisateurs recherchant des termes communs via les
RÉNOVATIONS DE BOTNETS rapides. En janvier 2021, les forces de l’ordre ont procédé distinctes dans les environnements Windows et Linux. résultats de recherche vers des pages PDF qui finissaient
Le terme « botnet » a lui aussi évolué. Historiquement, à un démantèlement, ce qui a entraîné la disparition de la Les nouveaux botnets sont également prompts à utiliser par établir une persistance sur leur appareil.
il était utilisé pour désigner un réseau d’ordinateurs famille de logiciels malveillants Emotet et une diminution de nouvelles vulnérabilités pour infecter les serveurs.
effectuant des tâches pour un opérateur. Cependant, considérable des rencontres d’Emotet. Les botnets Malgré cela, la plupart des méthodes s’appuient toujours Le vol d’informations, l’exfiltration de données et
aujourd’hui, la plupart des familles de logiciels comme Phorpiex15 ont progressivement augmenté sur des applications périphériques non corrigées, des d’autres domaines de la livraison de logiciels malveillants
malveillants peuvent être classées comme ayant des le nombre d’hôtes de base infectés et ont fourni de mouvements latéraux à l’aide de disques connectés et peuvent de plus en plus tirer parti des modifications
composants ou des comportements de botnet. nombreux rançongiciels et composants de logiciels des informations d’identification faibles sur les services du navigateur et des résultats de recherche pour
malveillants secondaires pour monnayer davantage leur disponibles. atteindre leurs objectifs. Cela continue à consolider une
Les infrastructures de botnets de logiciels malveillants comportement, notamment le rançongiciel Avaddon. catégorie de logiciels malveillants utilisant le navigateur
historiquement répandus, comme Trickbot et Emotet, Les botnets comme Lemon Duck, Purple Fox et Sysrv- RÉFÉRENCEMENT ET PUBLICITÉ MALVEILLANTE pour la diffusion et l’exploitation dans les secteurs des
ayant été interrompues, d’autres familles de logiciels Hello ont connu une forte croissance l’année dernière, Les résultats et la publicité des moteurs de recherche consommateurs et des entreprises.
malveillants les ont remplacées. À leur place, des intégrant de nouveaux langages de programmation, sont également un moyen de plus en plus efficace de
botnets plus anciens, ainsi qu’une nouvelle catégorie de de nouvelles infrastructures et de nouvelles méthodes transmettre des logiciels malveillants aux utilisateurs
logiciels malveillants évasifs, ont commencé à fournir des d’infection. Lemon Duck, comme la plupart des botnets finaux, en utilisant de façon abusive des stratégies légi-
14
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action 15 https://www.microsoft.com/security/blog/2021/05/20/phorpiex-morphs-how-a-longstanding-
botnet-persists-and-thrives-in-the-current-threat-environment/ 16 https://www.microsoft.com/security/blog/2020/12/10/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/ Rapport sur la défense numérique de Microsoft | Octobre 2021 35
Manipulation des résultats de recherche des navigateurs opérateurs de rançongiciel. bruit habituel des attaques Internet constantes font
que le trafic ciblé sur un serveur web peut se fondre
CHUTE VERTIGINEUSE DES COQUILLES WEB dans la masse, ce qui rend la détection des coquilles
Les coquilles web restent populaires auprès des acteurs web beaucoup plus difficile et requiert des détections
avancés de menaces persistantes (APT) de tous types, avancées basées sur le comportement.
y compris les groupes d’activité des États-nations
NOBELIUM17 et HAFNIUM18. Comme DART et l’équipe de En février 2020, nous avons signalé une augmentation
recherche Microsoft 365 Defender l’ont signalé en 2020 19
constante de l’utilisation des coquilles web dans les
et en 2021,20 l’utilisation de la coquille web continue attaques à travers le monde. Les dernières données de
d’augmenter auprès des groupes d’États-nations et des Microsoft 365 Defender montrent que cette tendance
organisations criminelles. La coquille web est un élément s’est non seulement poursuivie, mais qu’elle s’est
de code malveillant, souvent écrit dans des langages de également accélérée. Tous les mois, d’août 2020 à
programmation types du développement web (tels que janvier 2021, nous avons enregistré une moyenne de
l’ASP, le PHP ou le JSP), que les attaquants implantent 140 000 rencontres de ces menaces sur les serveurs, soit
sur les serveurs web pour fournir un accès à distance près du double de la moyenne mensuelle de 77 000.
et une exécution de code aux fonctions du serveur. Les
coquilles web permettent aux adversaires d’exécuter Tout au long de l’année 2021, nous avons constaté
des commandes et de voler des données à partir d’un une augmentation encore plus importante, avec une
serveur web ou d’utiliser ce dernier comme rampe de moyenne de 180 000 rencontres par mois. En mars 2021,
lancement pour d’autres attaques contre l’entreprise nous avons constaté un énorme pic de rencontres
ciblée. de coquilles web, que nous avons attribué au groupe
d’activité d’État-nation HAFNIUM ciblant les serveurs
La prévalence croissante des coquilles web peut être Exchange avec des failles 0 jour.
Comparaison des pages de résultats de recherche sur une machine non affectée et une autre avec attribuée à leur simplicité et à leur efficacité pour
Adrozek en cours d’exécution. les attaquants. Une fois installées sur un serveur, les En mars et avril 2021, lorsque le code d’exploitation
coquilles web constituent un des moyens les plus de la faille est devenu disponible pour les serveurs
OUTILS DE LOGICIELS MALVEILLANTS découverte du système et du réseau, et se déplacer efficaces de persistance dans une entreprise. Nous Exchange sur site orientés vers le web, nous avons
Les logiciels malveillants ont évolué pour tirer parti latéralement dans un réseau. Cobalt Strike est voyons fréquemment des cas où les coquilles web sont constaté un pic important dans les taux de détection
des outils disponibles et, dans certains cas, ne sont pas spécialement conçu pour échapper aux méthodes de utilisées uniquement comme mécanisme de persistance. des coquilles web. Cette situation est due à l’utilisation
intrinsèquement malveillants. L’utilisation de Cobalt détection traditionnelles et offre à l’opérateur une série Les coquilles web garantissent l’existence d’une porte par de nombreux acteurs de la menace d’une approche
Strike, un outil commercial de test de pénétration, d’options pour obscurcir les commandes d’attaque. dérobée dans un réseau compromis, car un attaquant consistant à « compromettre d’abord, monnayer
en est un excellent exemple. Bien que Cobalt Strike Ces techniques d’obscurcissement peuvent toutefois laisse un implant malveillant après être entré sur un ensuite » en tirant parti des retards de mise à jour des
soit un test de pénétration, il a été utilisé de plus devenir un signal, et l’identification de Cobalt Strike est serveur. Si elles ne sont pas détectées, les coquilles web clients. Les auteurs sautent sur les occasions dès qu’elles
en plus fréquemment dans diverses attaques, des devenue plus essentielle que jamais, car l’économie permettent aux attaquants de continuer à recueillir se présentent.
rançongiciels gérés par les États-nations à ceux cybercriminelle conduit à des logiciels malveillants qui des données et à monnayer les réseaux auxquels ils
gérés par l’homme, pour effectuer des actions de plantent Cobalt Strike rapidement, passant le relais aux ont accès. De plus, le volume du trafic réseau et le
17
https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ Fév. 2021 18 https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ 19 https://www.microsoft.com/security/
blog/2020/02/04/ghost-in-the-shell-investigating-web-shell-attacks/ 20
https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/ Rapport sur la défense numérique de Microsoft | Octobre 2021 36
Pour réduire les risques, les organisations doivent accélérer le déploiement des mises à jour de sécurité, en particulier Résumé des recommandations pour la prévention des logiciels
pour les systèmes connectés à Internet. Pour réduire les risques, les organisations doivent accélérer le déploiement des
mises à jour de sécurité, en particulier pour les systèmes connectés à Internet.
malveillants
1. Installer rapidement les mises à jour de sécurité sur toutes les applications et tous les systèmes d’exploitation.
2. Activer la protection en temps réel à l’aide d’une solution contre les logiciels malveillants, comme Microsoft
Rencontres de coquilles web, signaux de Defender (septembre 2020-juin 2021)
Defender.
3. Atténuer les grands vecteurs d’attaque comme l’utilisation abusive de macros, les services périphériques exposés,
les configurations par défaut non sécurisées, l’authentification ancienne, les types de scripts non signés et les
exécutions suspectes à partir de certains types de fichiers transmis par e-mail. Microsoft offre certaines de ces
atténuations plus importantes via l’utilisation de règles de réduction de la surface d’attaque21 pour empêcher
l’infection par des logiciels malveillants. Les utilisateurs d’Azure Active Directory peuvent également profiter des
valeurs de sécurité par défaut22 pour établir une sécurité d’authentification de base pour les environnements cloud.
4. Activer la fonctionnalité de détection et de réponse des points terminaux pour analyser les menaces et y répondre
en fonction des comportements et des techniques individuels de manière proactive.
5. Activer les protections basées sur le domaine et l’IP sur les hôtes ainsi qu’au niveau des passerelles réseau, si
possible, afin de garantir une couverture complète de l’infrastructure.
6. Activer la protection contre les applications potentiellement indésirables (PUA). De nombreuses solutions anti-
logiciels malveillants peuvent qualifier de PUA les menaces d’accès initial telles que les logiciels publicitaires,
les téléchargeurs de torrents, les RAT et les services de gestion à distance (RMS). Parfois, ces types de logiciels
peuvent être désactivés par défaut pour éviter tout impact sur l’environnement.
7. Déterminer où les comptes hautement privilégiés se connectent et exposent leurs informations d’identification.
Surveiller et étudier les événements d’ouverture de session pour les attributs de type ouverture de session. Les
comptes à haut niveau de privilège ne devraient pas être présents sur les postes de travail.
8. Pratiquer le principe du moindre privilège et préserver l’hygiène des justificatifs d’identité. Éviter d’utiliser des
En savoir plus : comptes de service de niveau administrateur à l’échelle du domaine. La restriction des privilèges administratifs
locaux peut contribuer à limiter l’installation de RAT et d’autres applications indésirables.
HAFNIUM targeting Exchange Servers with 0-day exploits (HAFNIUM ciblant les serveurs Exchange avec des attaques
9. Sensibiliser les utilisateurs aux menaces que représentent les logiciels malveillants, tels que les RAT, qui peuvent se
0 jour) | Blog de Microsoft dédié à la sécurité (02/03/2021)
propager par les e-mails, ainsi que des téléchargements sur le web et des moteurs de recherche.
Les attaques de type coquille web continuent d’augmenter – Sécurité Microsoft (11/02/2021)
Le fantôme dans la coquille : enquêter sur les attaques par coquille web – Sécurité Microsoft (04/02/2021) En savoir plus :
Use attack surface reduction rules to prevent malware infection (Utiliser des règles de réduction de la surface d’attaque
pour empêcher l’infection par des logiciels malveillants) | Microsoft Docs (23/06/2021)
Turn on network protection (Activer la protection du réseau) | Microsoft Docs (14/06/2021)
Block potentially unwanted applications with Microsoft Defender Antivirus (Bloquer les applications potentiellement
indésirables avec Microsoft Defender Antivirus) | Microsoft Docs (02/06/2021)
21
Use attack surface reduction rules to prevent malware infection (Utiliser des règles de réduction de la surface d’attaque pour empêcher l’infection par des logiciels malveillants) | Microsoft Docs 22 Azure Active Directory security defaults
(Valeurs par défaut de la sécurité d’Azure Active Directory) | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 37
Domaines Prolifération des domaines et

atténuation des menaces
Utilisation des domaines par les
logiciels malveillants
Les domaines peuvent constituer un mécanisme
visant à intégrer la résilience dans l’infrastructure
malveillants
Les cybercriminels ajoutent maintenant régulièrement
Le nombre de domaines disponibles sur Internet a Un domaine malveillant est souvent utilisé comme des algorithmes de génération de domaines (DGA) à
explosé au cours des dernières années. Cela comprend destination vers laquelle les victimes de logiciels leurs logiciels malveillants, fournissant un mécanisme
Tout domaine utilisé à des fins de cybercriminalité les domaines de premier niveau de code pays (cTLD) malveillants sont dirigées. De cette façon, le domaine de secours lorsque des domaines malveillants codés
peut être considéré comme malveillant. Les domaines comme .uk, .ca et .cn ; les domaines de premier niveau lance l’établissement d’un canal de communication avec en dur sont saisis par les forces de l’ordre, par exemple.
malveillants peuvent être des sites légitimes qui ont été génériques (gTLD) comme .com, .net et .org ; et plus la victime et révèle l’emplacement de la victime infectée. Pour utiliser les DGA, les logiciels malveillants incluent
compromis pour permettre aux criminels d’héberger du de 1 200 nouveaux gTLD qui ont été introduits dans le Il est important de connaître l’emplacement d’une un code permettant de générer des listes de domaines
contenu malveillant sur des sous-domaines, ou bien des système de noms de domaine (DNS) en 2013. En raison victime, car les cybercriminels utilisent une myriade construites à l’aide de caractères ou de chaînes de
infrastructures entièrement frauduleuses mises en place du nombre considérable de domaines de premier niveau de méthodes pour diffuser leurs logiciels malveillants, caractères aléatoires qui changent en fonction du
pour commettre un crime. Les cybercriminels utilisent les et de l’écosystème croissant des registres de noms de mais ils sont incapables de prévoir où ils seront jour, de l’heure et de l’année. Par exemple, le vendredi
domaines malveillants pour trois fonctions principales : domaine, des bureaux d’enregistrement de domaines finalement téléchargés avec succès. C’est pourquoi les 4 juin 2022, le DGA pourrait générer trois domaines,
la transmission d’informations, l’obscurcissement de et des fournisseurs de services d’enregistrement de cybercriminels conçoivent leurs logiciels malveillants comme ahu3rrfsirraqrty.com, hyrssgu5oqr4cetc.com et
l’emplacement et le renforcement de la résilience contre domaines, l’atténuation des cybermenaces provenant de manière à ce qu’ils « téléphonent à la maison » vers wkcclsoqqpcaty.com, et le logiciel malveillant tenterait
ceux qui cherchent à interférer avec leurs activités de domaines malveillants est devenue plus complexe. un domaine malveillant. Les ordinateurs nouvellement de contacter ces domaines dans cet ordre. Le recours
criminelles. L’uniformité de l’atténuation des cybermenaces infectés se connectent immédiatement à ces domaines, aux DGA augmente le coût et la complexité de la
dans l’ensemble de l’écosystème est essentielle. On ce qui leur permet « d’annoncer » leur emplacement via perturbation de l’infrastructure de communication des
Les domaines sont utilisés pour l’exfiltration de données, constate un mouvement dans cette direction, comme les adresses IP. Les domaines sont utilisés à ces fins de cybercriminels, car les perturbateurs doivent surveiller
le contrôle de la communication des rançongiciels, en témoigne le langage récemment incorporé dans deux manières principales dans les logiciels malveillants : des centaines de milliers de domaines potentiellement
l’hébergement de pages de hameçonnage et le contrôle les accords conclus entre l’Internet Corporation for malveillants, alors que le cybercriminel n’a besoin que
des logiciels malveillants. Ils sont également utilisés Assigned Names and Numbers (ICANN) et les registres, Les domaines permettent d’obscurcir et de dissimuler d’un seul d’entre eux.
comme domaines d’e-mail pour créer des alias d’e- qui comprend des conditions d’utilisation définissant et la localisation et l’identité des cybercriminels.
mails imposteurs visuellement identiques à des fins de interdisant les activités illégales, ainsi que l’obligation Les domaines directement ajoutés aux logiciels
tromperie. Les domaines frauduleux peuvent utiliser pour les registres de développer leur propre politique malveillants (ou domaines « codés en dur ») et intégrés
les marques pour tromper les clients ou fournir une anti-abus et de surveiller et traiter les activités abusives. à l’infrastructure de communication peuvent dissimuler
plateforme pour la fraude, comme les sites frauduleux efficacement la véritable localisation du cybercriminel. Le
d’assistance technique. cybercriminel configure un domaine en tant que proxy,
ou « stepping-stone », qui redirige les communications
avec une victime vers un autre domaine ou une autre
adresse IP. Ce processus peut comprendre plusieurs
domaines couvrant des « sauts » associés à des
domaines de premier niveau du monde entier. Il est
fréquent que les cybercriminels se servent de noms,
adresses e-mail et adresses physiques fictifs, et paient
les domaines avec des cartes bancaires volées ou de la
monnaie numérique non traçable.

Perturbation de l’infrastructure Perturbation des domaines hébergés par des tiers La recherche du recours approprié est un élément La prochaine grande menace :
par le biais d’actions en justice. essentiel d’une action en justice réellement
des domaines malveillants Étant donné que les cybercriminels déploient de plus perturbatrice. Une injonction bien formulée qui s’appuie
les domaines « Forever »
Perturbation des domaines sur les services hébergés en plus d’infrastructures techniques privées, y compris sur le large pouvoir équitable des tribunaux fédéraux (blockchain)
par Microsoft des domaines malveillants, pour mener à bien un large permet aux plaignants d’obtenir des ordonnances
Les domaines de type blockchain constituent
Les cybercriminels exploitent de plus en plus les clouds éventail de cybercrimes, il incombe aux entreprises judiciaires souples leur donnant la possibilité d’exercer
une menace émergente qui échappe à toute
de Microsoft et de tiers, ainsi que les services que les et aux particuliers de mettre en place les capacités un contrôle sur l’infrastructure cybercriminelle. Pour
réglementation. Au cours des deux dernières années,
collaborateurs de l’information et les consommateurs juridiques et techniques nécessaires pour perturber ces obtenir ce type de réparation, les plaignants invoquent
l’adaptation de la technologie de blockchain est montée
utilisent pour la collaboration quotidienne (comme infrastructures par des actions en justice. souvent les lois qui autorisent la saisie d’appareils,
en flèche dans de nombreux domaines verticaux. Les
la messagerie électronique). Microsoft prend de d’ordinateurs et de serveurs physiques utilisés à des
applications réelles de la technologie de blockchain
nombreuses mesures pour réduire les abus en matière Ces dernières années, le secteur privé a fait appel fins criminelles. Les domaines malveillants engagés
vont de la gestion de la chaîne d’approvisionnement
d’hébergement dans le cloud. Nous détectons de à différentes théories juridiques pour poursuivre la dans des activités criminelles peuvent également faire
à la gestion des identités, en passant par les contrats
manière proactive les utilisations malveillantes du perturbation par des actions civiles devant les tribunaux l’objet d’une saisie en vertu de diverses lois fédérales
immobiliers et les infrastructures de domaine. Ces
cloud Microsoft à la source d’hébergement et nous fédéraux. Les lois pénales visant le piratage et l’accès et de théories équitables. Dans plusieurs affaires
dernières années, nous avons observé des domaines
les neutralisons avant que les attaques commencent illicite prévoient souvent une cause d’action civile pour civiles, les tribunaux fédéraux ont accordé ce type
de blockchain intégrés dans les infrastructures et les
ou s’étendent. Nous agissons sur les détections dans cibler les infrastructures malveillantes. En particulier, d’injonction pour des infractions à la CFAA, à la loi sur
opérations cybercriminelles. Nous avons observé ce
nos services (comme dans la messagerie Office 365) la Computer Fraud and Abuse Act (CFAA), la Wiretap la confidentialité des communications électroniques, à
phénomène à grande échelle pour la première fois lors
et transmettons ces connaissances aux services Act et la Stored Communications Act sont des théories la loi Lanham et à la common law. Ces revendications
de l’enquête sur le botnet Necurs qui a fait régner la
internes qui peuvent neutraliser la menace. Nous juridiques fréquemment invoquées. Très souvent, des juridiques soutiennent également les ordonnances
terreur dans le monde entier pendant des années grâce
agissons sur les signalements des clients et des tiers, théories de marque au titre de la loi Lanham23 sont judiciaires qui ordonnent le transfert ou la désactivation
à sa capacité d’envoi de spams malveillants, souvent
et nous informons les partenaires industriels tiers des invoquées lorsque des cybercriminels exploitent des de domaines ou d’adresses IP. Dans ce scénario, les
accompagnés de charges utiles de type rançongiciel.
utilisations malveillantes dans leur cloud, détectées en marques de confiance pour tromper leurs victimes. tribunaux accordent le transfert ou la mise hors service
Necurs contenait un système de sauvegarde robuste,
utilisant nos services de sécurité, afin qu’ils puissent Dans de nombreux cas, les domaines en infraction d’une infrastructure malveillante sous le contrôle d’un
qui incorporait un DGA. Dans l’une de ses versions
agir pour les neutraliser à leur source d’hébergement. constituent la partie essentielle de l’infrastructure plaignant privé, et hors du contrôle des défendeurs, ce
DGA, Necurs a produit 2 048 nouveaux domaines à
Au cours du trimestre mai-juillet 2021, nous avons technique malveillante et comprennent souvent la qui perturbe effectivement la capacité technique des
partir de 43 TLD différents environ tous les 30 jours, y
désactivé environ 15 850 sites de hameçonnage contrefaçon groupée de contenus légitimes afin de cybercriminels à lancer des attaques et à infliger des
compris le TLD de domaine blockchain « .bit ».
hébergés sur Azure. Nous surveillons de près les semer la confusion chez les victimes et de faire avancer dommages.
utilisations malveillantes et évaluons de nouvelles les projets criminels.
méthodes pour détecter et neutraliser l’hébergement
de sites malveillants.
Les domaines de type blockchain
FPO constituent une menace émergente qui
échappe à toute réglementation.
23
15 U.S.C. §§ 1125(a)-(c) Rapport sur la défense numérique de Microsoft | Octobre 2021 39
Contrairement aux domaines traditionnels qui sont Les domaines de blockchain fonctionnent différemment Les grandes menaces qui utilisent les domaines Enquêter sur les domaines de blockchain constitue un
achetés par l’intermédiaire de bureaux d’enregistrement et posent des défis tant du point de vue de l’utilisation de blockchain défi particulier, car il n’existe pas de base de données
Internet opérant via le système DNS réglementé par que des perturbations. Les domaines de blockchain Le paysage de la menace des infrastructures crimi- centrale d’enregistrement WHOIS permettant de savoir
l’ICANN, les domaines de blockchain ne sont régis par fonctionnent soit par l’entremise d’un logiciel ou nelles évolue constamment pour éviter la détection et qui a enregistré le domaine et quand. Heureusement,
aucun organisme centralisé, ce qui limite les possibilités d’un plug-in de navigateur, soit via des services de la perturbation. Au cours de l’année écoulée, certains certains fournisseurs de blockchain DNS, comme
de signalement des utilisations abusives et des résolution par proxy. Le défi pour les cybercriminels en des plus grands acteurs de la menace sur Internet Emercoin, ont donné accès à un outil d’exploration de
perturbations de l’application de la loi. ce qui concerne les domaines de blockchain consiste à ont commencé à utiliser des domaines de blockchain blocs25, qui permet de rechercher des noms de do-
transmettre l’adresse IP la plus à jour de la blockchain dans le cadre de leur infrastructure. Trickbot, le célèbre maine, des hachages de transactions et d’autres valeurs
Traditionnellement, les achats de domaines de à l’ordinateur qui tente de résoudre le domaine de la cheval de Troie bancaire qui a fait évoluer son modèle susceptibles d’être stockées dans la blockchain. La
blockchain sont effectués au moyen d’un portefeuille blockchain vers une adresse IP. Comme les domaines de économique en donnant accès à des cibles de grande blockchain Emercoin est pseudo-anonyme, mais peut
cryptographique avec des cryptomonnaies d’un la blockchain fonctionnent en dehors des canaux DNS valeur dans le domaine des rançongiciels, a com- révéler des informations intéressantes sur un domaine
fournisseur de DNS de blockchain. Les portefeuilles normaux, les auteurs de logiciels malveillants doivent mencé à utiliser des domaines « .bazar » fournis par la de blockchain, comme les adresses IP et les dates de
cryptographiques utilisent le chiffrement asymétrique, inclure des instructions de résolution supplémentaires blockchain DNS Emercoin. La menace la plus récente, transaction.
qui implique à la fois une clé privée et une clé publique pour les victimes infectées. Ces instructions sont Bazarloader, qui a des liens avec Trickbot, a commencé
pour la transaction de blockchain. Après l’exécution généralement codées en dur dans le logiciel malveillant à déployer une version unique de son DGA qui utilise
de la transaction, le nom de domaine, l’adresse IP et dirigent le système infecté vers une IP de service de des domaines « .bazar ». Cette tendance des menac-
du domaine et le hachage de la transaction sont résolution de la blockchain. es qui exploitent les domaines de blockchain en tant
enregistrés dans la blockchain. À l’avenir, la seule entité qu’infrastructure avec les moyens de créer un réseau
qui pourra apporter des modifications à l’adresse Au fil des ans, plusieurs projets ont vu le jour sur criminel incontestable doit être prise au sérieux.
IP enregistrée sur la blockchain sera la personne Internet pour exploiter des DNS libres non réglementés
possédant le portefeuille et la clé privée qui aura et prendre en charge la résolution des domaines de
effectué la transaction initiale pour acheter le domaine. blockchain. Plus récemment, le projet OpenNic, dont
la mission est de garantir la neutralité du DNS et de
fournir un accès non censuré au DNS, s’est chargé de
la résolution des domaines cryptographiques « .bit ».
Plusieurs années après le début du projet, en raison
de l’utilisation malveillante généralisée des domaines
« .bit », le projet OpenNic a décidé d’arrêter de
résoudre les domaines « .bit ».24
24
https://www.namecoin.org/2019/07/30/opennic-does-right-thing-shuts-down-centralized-inproxy.html 25 https://explorer1.emercoin.com/nvs Rapport sur la défense numérique de Microsoft | Octobre 2021 40
Contrer les domaines de blockchain est peut-être Les domaines de blockchain sont devenus un choix privilégié pour les infrastructures de cybercriminalité
plus simple que vous ne le pensez
La faiblesse des domaines de blockchain réside dans
la nécessité de recourir à des services de proxy tiers
ou à des plug-ins de navigateur pour résoudre les
domaines de blockchain vers une IP. La désactivation
ou le blocage des services de résolution par proxy
de la blockchain et la désactivation des plug-ins de
navigateur désactiveront la possibilité de résolution
du domaine de blockchain. De nombreux fournisseurs
de renseignements sur les menaces fournissent
des flux d’URL malveillants, qui incluent parfois des
proxys de résolution de blockchain ou le domaine de
blockchain lui-même.

Machine La matrice des menaces du

ML adverse
2. Enraciné dans les attaques réelles contre les
systèmes de ML : nous avons introduit dans
Modes de défaillance
intentionnelle dans le ML
learning adverse
ce cadre un ensemble de vulnérabilités et de
Microsoft a collaboré avec MITRE pour créer la matrice comportements adverses dont l’efficacité contre Microsoft a intégré des pratiques de sécurité propres
des menaces de ML adverse, car nous pensons que la les systèmes de ML de production a été vérifiée à l’IA et au ML dans son cycle de développement de la
Le machine learning (ML) est une technique première étape pour donner aux équipes de sécurité par Microsoft et MITRE, permettant ainsi aux sécurité (CDS) afin de protéger ses produits et services
les moyens de se défendre contre les attaques sur les analystes de sécurité de se concentrer sur des contre ces attaques. Outre le travail de développement
d’intelligence artificielle (IA) qui peut être
systèmes de ML est de disposer d’un cadre qui orga- menaces réalistes. Nous avons également intégré et d’automatisation de la détection et de l’atténuation
utilisée dans de nombreuses applications, dont
nise systématiquement les techniques employées par dans ce cadre les enseignements tirés de la des menaces, nous avons publié des conseils sur les
la cybersécurité. Dans le cadre de l’innovation les adversaires malveillants pour corrompre les sys- vaste expérience de Microsoft dans ce domaine. mesures que les clients peuvent prendre pour intégrer
ML responsable, les scientifiques et les tèmes de ML. Nous espérons que la communauté de Par exemple, nous avons constaté que le vol de la défense en profondeur dans leurs propres systèmes
développeurs de données créent, entraînent et la sécurité pourra utiliser les tactiques et techniques modèle n’était pas l’objectif final de l’attaquant, d’IA et de ML.
déploient des modèles ML pour comprendre, présentées dans le tableau pour renforcer ses straté- mais qu’il conduisait en fait à une évasion de
gies de surveillance des systèmes de ML critiques de modèle plus insidieuse. Nous avons également La pièce maîtresse des documents que nous avons
protéger et contrôler les données et les
son entreprise. constaté qu’en attaquant un système de ML, publiés s’intitule Failure Modes in Machine Learning
processus afin de créer des solutions fiables.
1. Le public principal est constitué d’analystes de les attaquants se servaient d’une combinaison (Modes de défaillance dans le machine learning)26, et
sécurité : nous pensons que la sécurisation des de techniques traditionnelles comme le expose la terminologie que nous avons développée
Cependant, des adversaires peuvent s’attaquer à systèmes de ML est un problème qui relève de la hameçonnage et le mouvement latéral, ainsi que conjointement avec le Berkman Klein Center for Internet
ces systèmes pilotés par le ML. Les méthodes qui sécurité des informations. L’objectif de la matrice de techniques de ML adverse. and Society de l’université de Harvard. Ce document
sous-tendent les systèmes de ML de production des menaces de ML adverse est de positionner comprend un vocabulaire qui peut être utilisé pour
sont systématiquement vulnérables à une nouvelle les attaques sur les systèmes de ML dans un décrire les défaillances intentionnelles causées par un
catégorie de vulnérabilités à travers la chaîne cadre où les analystes de sécurité peuvent adversaire qui tente de modifier les résultats ou de
d’approvisionnement ML, collectivement connue sous s’orienter au sein de ces menaces nouvelles et à voler un algorithme, ainsi qu’un vocabulaire pour les
le nom de « ML adverse ». Les adversaires peuvent venir. La matrice est structurée comme le cadre défaillances non intentionnelles, comme un système qui
exploiter ces vulnérabilités pour manipuler les systèmes ATT&CK, en raison de sa large adoption par la produit des résultats potentiellement dangereux.
d’IA et modifier leur comportement afin de servir un communauté des analystes de sécurité. De cette
objectif final malveillant. façon, les analystes de sécurité disposent d’un
cadre familier pour se renseigner sur les menaces
qui pèsent sur les systèmes de ML, qui sont par
nature différentes des attaques traditionnelles
contre les réseaux d’entreprise.
26
https://docs.microsoft.com/en-us/security/engineering/failure-modes-in-machine-learning Rapport sur la défense numérique de Microsoft | Octobre 2021 42
Attaques contre les modèles de ML

Attaque Description Exemple
Attaque par évasion L’attaquant modifie Voitures autonomes

la requête de façon à En manipulant un panneau d’arrêt ou
entraîner une mauvaise l’environnement observé par le système de
classification du modèle. reconnaissance d’images de la voiture, l’adversaire
provoque une erreur de classification du modèle.
De cette façon, on pourrait faire en sorte qu’une
voiture autonome ignore le panneau d’arrêt.
Attaque par L’attaquant contamine Systèmes d’infrastructures critiques

empoisonnement la phase de formation En soumettant un logiciel antivirus en tant que
des systèmes de ML logiciel malveillant, un adversaire peut forcer
pour obtenir le résultat sa classification erronée en tant que logiciel
escompté. L’attaquant malveillant, éliminant ainsi l’utilisation du logiciel
classe de façon inexacte antivirus sur les systèmes clients. Cela pourrait
des exemples spécifiques laisser les systèmes d’infrastructures critiques
pour que des actions ouverts aux attaques.
spécifiques soient prises
ou omises.
Inférence L’attaquant peut déduire Innovation dans le domaine de la santé

d’adhésion si un enregistrement de Un adversaire pourrait examiner un modèle
données donné faisait formé sur un ensemble de données constitué
partie de l’ensemble de de personnes ayant subi une intervention
données d’entraînement chirurgicale spécifique. En sachant que les
du modèle ou non. données d’un particulier figurent dans l’ensemble
d’entraînement, un adversaire pourrait alors savoir
que cet individu a subi l’intervention chirurgicale.
Cette violation de la confidentialité pourrait alors
être exploitée publiquement.
Vol de modèle L’attaquant est en mesure Algorithmes financiers

de récupérer le modèle En interrogeant le modèle, un adversaire pourrait
en créant des requêtes reconstruire les sorties potentielles du modèle
minutieuses. de ML. Cela pourrait être utilisé pour nuire
aux algorithmes propriétaires conçus pour la
négociation d’actions à haute fréquence sur un
marché particulier.

Évasions de l’attaquant Des attaques sophistiquées d’évasion de type boîte Empoisonnement de modèle/de Comme nous l’avons vu avec la recherche sur les
noire contre des modèles de ML ont été effectuées à vulnérabilités passées du point de vue de la sécurité27,
Une attaque par évasion est une attaque exploratoire
plusieurs reprises par des chercheurs au chapeau blanc
données de ML une hausse marquée des publications de recherche est
contre un modèle de ML afin de provoquer une
à l’aide d’algorithmes qui déterminent de façon itérative Nous assistons à un changement de tendance dans la bientôt suivie d’une exploitation active. En prévision
violation de l’intégrité. Du point de vue de la sécurité
quelle entrée entraînera une violation d’intégrité. recherche sur la sécurité du ML adverse. Au cours des d’un tel changement de concentration sur les attaques
d’un système, il est instructif d’envisager des attaques
Aujourd’hui, toutefois, les acteurs des menaces livrés dernières années, on a mis l’accent sur les attaques par empoisonnement de données, Microsoft continue
de contournement de type boîte noire, dans lesquelles
à eux-mêmes peuvent également tenter d’esquiver de modèles très visibles, où la fragilité de certains de se focaliser sur la conception des détections de
un attaquant peut n’avoir aucune connaissance
les systèmes de ML dans certains domaines, mais modèles de ML pouvait être facilement démontrée, menaces et des mesures d’atténuation afin de protéger
spécifique du fonctionnement interne du modèle de
ils le font généralement à l’aide de moyens manuels mais aujourd’hui les chercheurs en sécurité élargissent les modèles de ML et leurs ensembles de données
ML, mais effectuer des changements en soumettant
plutôt qu’algorithmiques et ne se concentrent pas leurs analyses de façon à inclure des attaques moins contre ces menaces. Les mesures d’atténuation dans
des entrées et en observant la sortie correspondante
nécessairement exclusivement sur le ML comme cible perceptibles. Par exemple, dans les attaques par cet espace peuvent également être bénéfiques pour
du système. Ce modèle de menace est commun à de
d’évasion. Par exemple, les filtres de modération de empoisonnement de données, la cible est les données détecter la dérive des données d’entraînement non
nombreux systèmes d’IA hébergés en tant que service
contenu sont ignorés par les utilisateurs malveillants d’entraînement sur lesquelles les modèles de ML malveillante, ce qui donne aux data scientists un
cloud ou sur un appareil grand public, par exemple,
ou les utilisateurs motivés par l’aspect économique sont créés. À mesure que les nouvelles données meilleur aperçu de la qualité de leurs données au fil
et est une préoccupation pour les modèles dans les
en occultant le contenu de la charge utile de manière sont regroupées et intégrées dans un ensemble de du temps et met en évidence les anomalies à des fins
secteurs de la finance, de la santé, de la défense, de la
créative. Les produits de sécurité qui incluent des données pour l’entraînement, il devient de plus en d’enquête.
fraude et de la sécurité.
modèles anti-logiciel malveillant ou anti-hameçonnage plus important de vérifier que les nouvelles données
sont éludés par les adversaires à l’aide de plusieurs d’entraînement n’ont pas été compromises. Nous
techniques d’obscurcissement. Le fait que ces systèmes avons la preuve de la compromission d’un modèle
cibles s’appuient sur le ML n’est pas nécessairement pris de ML client résultant de la contamination adverse
en compte dans le cadre de ces attaques pratiques par des données d’entraînement qui, lorsqu’elle n’est pas
évasion manuelle. détectée, devient un élément considéré comme aussi
fiable que les ensembles de données d’entraînement
Qu’un adversaire soit ou non présent dans votre existants. Sans mesure d’automatisation pour la
domaine d’activité, le risque qu’il échappe un modèle dérive statistique dans les ensembles de données en
de ML existe dans tous les domaines. Un modèle de croissance, ces types d’attaques ne sont généralement
ML est un résumé imparfait d’un ensemble de données pas détectés jusqu’à ce qu’un modèle de ML ait un
et, en tant que tel, il a des modes d’échec intrinsèques, échec critique. Le risque de voir les adversaires
échapper un modèle de ML existe
même lorsqu’il est entraîné sur un ensemble de
données idéal. Il est généralement reconnu que la
faisabilité de l’évasion est une propriété de tous les dans tous les domaines.
modèles de ML, plutôt qu’un mode de défaillance
auquel seuls quelques-uns sont vulnérables. Ces
violations de l’intégrité peuvent être rencontrées
rarement lors de l’utilisation nominale du modèle de
ML, mais peuvent être facilement découvertes par un
adversaire qui optimise explicitement les conditions les
plus pessimistes nécessaires pour les entraîner.
27
par exemple MD5, SHA1, SSLv2/3 et TLS 1.0 Rapport sur la défense numérique de Microsoft | Octobre 2021 44
Mesures prises pour garder une Basé sur les enseignements tirés des engagements Gestion des risques de l’IA
internes et externes, Counterfit est conçu pour être
longueur d’avance flexible de trois façons clés :
Il n’est pas facile d’effectuer des évaluations de sécurité 1. Indépendant de l’environnement : il peut aider
des systèmes d’intelligence artificielle de production. à évaluer les modèles d’intelligence artificielle
Microsoft a interrogé 28 organisations choisies parmi
28
hébergés dans n’importe quel environnement
les entreprises du Fortune 500, des gouvernements, cloud, sur site ou en périphérie.
des organismes à but non lucratif et des petites et 2. Indépendant du modèle : l’outil résume
moyennes entreprises, pour comprendre les processus le fonctionnement interne des modèles
mis en place afin de sécuriser les systèmes d’IA. Nous d’intelligence artificielle afin que les
avons constaté que 25 entreprises sur 28 avaient professionnels de la sécurité puissent se
indiqué qu’elles ne disposaient pas des bons outils pour concentrer sur l’évaluation de la sécurité.
sécuriser leurs systèmes d’intelligence artificielle et 3. S’efforce d’être indépendant des données :
que les professionnels de la sécurité recherchaient des il fonctionne sur des modèles d’intelligence
conseils spécifiques dans ce domaine. artificielle à l’aide de texte, d’images ou d’entrées
tabulaires, et nous continuons d’ajouter des types
Pour répondre aux besoins croissants du ML adverse, de données.
Microsoft a publié Counterfit, un outil open source
pour aider à évaluer les risques en permettant aux En savoir plus :
utilisateurs d’attaquer leur propre IA/ML. Cet outil a été
Notre approche de l’intelligence artificielle responsable
développé à partir de notre propre besoin d’évaluer La sécurité est l’un des aspects les plus importants d’un marché
chez Microsoft en plein essor appelé « gestion des risques de l’IA » et comprend
les systèmes d’intelligence artificielle de Microsoft
pour les vulnérabilités et les services d’IA sécurisés GitHub – Azure/Counterfit : une interface de ligne de les « opérations modèles », en veillant à ce que votre système
de manière proactive, conformément à nos principes commande qui fournit une couche d’automatisation d’intelligence artificielle soit fiable, précis et disponible. Cet aspect
d’IA responsables29 et à l’initiative responsable de la générique pour évaluer la sécurité des modèles de ML comprend également l’intelligence artificielle responsable, avec
stratégie d’intelligence artificielle en ingénierie (RAISE). l’équité, l’éthique, la transparence et toutes les ramifications légales
AI security risk assessment using Counterfit (Évaluation d’un comportement responsables des systèmes d’IA. Cet élément de
Counterfit a commencé comme un corpus de scripts
d’attaque écrits spécifiquement pour cibler les modèles des risques de sécurité de l’IA à l’aide de Counterfit) | « sécurité » mérite également votre attention et constitue une partie
d’intelligence artificielle individuels, puis est devenu Blog de Microsoft dédié à la sécurité (03/05/2021) importante pour compléter une situation de gestion des risques.
un outil d’automatisation générique pour attaquer Machine learning adverse – Perspectives sectorielles
plusieurs systèmes d’IA à grande échelle. Aujourd’hui,
(19/03/2021)
nous utilisons régulièrement Counterfit dans le cadre
des opérations de l’équipe spéciale chargée de
l’intelligence artificielle.
28
2002.05646.pdf (arxiv.org) (Mars 2021) 29 Principes de l’IA responsable de Microsoft Rapport sur la défense numérique de Microsoft | Octobre 2021 45
Normes de gestion de la sécurité L’IA et le ML sont de plus en plus intégrés dans tous La sécurité de l’IA ne peut pas être prise en compte En savoir plus :
les types de systèmes, y compris les infrastructures séparément des bases existantes de sécurité, de
des systèmes d’IA critiques et de sécurité, ce qui entraîne de nouvelles confidentialité et de gouvernance basées sur les
Principes d’IA responsables de Microsoft
L’utilisation courante de l’IA et du ML dans les secteurs menaces de sécurité spécifiques à l’utilisation des risques, qui peuvent gérer de nombreuses menaces Threat Modeling AI/ML Systems and Dependencies –
industriels, un paysage réglementaire émergent et une systèmes d’IA et des conséquences hautement liées à l’utilisation des systèmes d’intelligence Security documentation (Systèmes et dépendances d’IA/
méfiance généralisée ou une mauvaise compréhension indésirables à la suite des attaques. Ces conséquences artificielle. Par exemple, l’utilisation de normes telles de ML modélisant les menaces – Documentation sur la
de l’utilisation de ces technologies ont conduit à peuvent inclure les performances néfastes d’un que celles d’un système de gestion de la sécurité sécurité) | Microsoft Docs, (11/11/2019)
un besoin accru de normes pour définir les bonnes chatbot, le déni des services essentiels, le vol de la des informations (ISO/IEC 27001) et d’un système
propriété intellectuelle ou même un danger physique de gestion des informations de confidentialité (ISO/ AI/ML Pivots to the Security Development Lifecycle Bug
pratiques et fournir des conseils afin de renforcer la
confiance et l’adoption sur le marché. L’Organisation pour les humains. Dans certains cas, les attaques de IEC 27701) peut aider une organisation à mettre en Bar – Security documentation (L’IA/le ML se tourne vers
internationale de normalisation (ISO) et la Commission sécurité contre les systèmes d’IA ont déjà entraîné des œuvre des processus et des contrôles afin de gérer les la barre de bogues du cycle de vie du développement de
électrotechnique internationale (IEC) élaborent des problèmes importants. risques de sécurité et de confidentialité associés à ses la sécurité – Documentation sur la sécurité) | Microsoft
normes d’IA, notamment en définissant la terminologie objectifs et ses activités, notamment les menaces qui Docs (11/11/2019)
et les concepts clés pour l’IA et le ML, la gestion des pèsent sur la sécurité des systèmes d’IA. En plus de ces
Failure Modes in Machine Learning – Security
risques, les implications de gouvernance, la qualité pratiques existantes, ce paysage de menaces évolué
documentation (Modes d’échec dans le machine learning
des données et divers sujets liés à la fiabilité. Une nécessitera de nouvelles directives, de bonnes pratiques
– Documentation sur la sécurité) | Microsoft Docs
norme de système de gestion certifiable pour l’IA est et des mesures organisationnelles et techniques pour
(11/11/2019)
également en cours de développement. Elle guidera les aider les entreprises à protéger leurs systèmes d’IA. Les
organisations afin de les aider à adopter une approche mesures de sécurité efficaces constituent un élément
basée sur les risques pour l’utilisation responsable et essentiel du développement et du déploiement
le développement des systèmes d’IA, ainsi que pour responsables des systèmes d’IA. Microsoft s’engage
démontrer la responsabilisation et leur devoir de soins dans de nouveaux travaux de normalisation qui ont été
envers les parties prenantes. mis en place afin de fournir des conseils pour répondre
aux menaces de sécurité et aux échecs de l’IA et du ML.

TABLE DES MATIÈRES INTRODUCTION L’ÉTAT DE LA CYBERCRIMINALITÉ MENACES
MENACES DES
DESÉTATS-NATIONS
ÉTATS-NATIONS SÉCURITÉ
SÉCURITÉ
DEDE
LALA
CHAÎNE
CHAÎNE
D’APPROVISIONNEMENT,
D’APPROVISIONNEMENT,
DEDE
L’IOT
L’IOT
ETET
DEDE
L’OT
L’OT
CHAPITRE 3
Menaces des États-nations

Introduction
Suivi des menaces des États-nations
Ce que nous voyons
Analyse de l’activité des États-nations cette année
Acteurs offensifs du secteur privé
Protections complètes requises

Introduction Suivi des menaces des États-nations Ce que nous voyons Analyse de l’activité des États-nations cette année Acteurs offensifs du secteur privé Protections complètes requises
les attaquants emploient de plus en plus la

INTRODUCTION :
tromperie pour poursuivre des objectifs nationaux

JOHN LAMBERT, ÉMINENT INGÉNIEUR ET DIRECTEUR GÉNÉRAL, MICROSOFT THREAT INTELLIGENCE CENTER
La dernière année a été marquée par d’importants événements géopolitiques historiques et des défis imprévus qui ACTEURS DES
ont changé la façon dont les entreprises abordent leurs activités quotidiennes. Pendant ce temps, les États-nations
ÉTATS-NATIONS
ont largement maintenu leurs activités à un rythme constant, tout en créant de nouvelles tactiques et techniques
pour échapper à la détection et accroître l’ampleur de leurs attaques. SEMBLE
Des événements majeurs en matière de cybersécurité, intergouvernementales (OIG), les organisations non Ces attaquants sophistiqués continuent de se concentrer
AUGMENTER
comme les attaques de NOBELIUM contre SolarWinds
et de HAFNIUM contre les serveurs Exchange sur site,
gouvernementales (ONG) et les groupes de réflexion
pour des objectifs traditionnels d’espionnage ou
sur des techniques efficaces qui les aident à rester furtifs
et à accéder aux réseaux. Nous avons constaté des
L’AMPLEUR ET
ainsi que les attaques de nombreux autres acteurs, ont
attiré notre attention collective sur la sécurisation de nos
de surveillance. Les victimes d’attaques disposent
souvent d’informations pertinentes pour les besoins
attaques continues contre les éléments traditionnels
de l’hygiène de la sécurité, ainsi qu’une concentration
LE VOLUME DES
chaînes d’approvisionnement. Les acteurs des États-
nations et de nombreuses activités de cybercriminalité
de renseignement d’un gouvernement adverse, ce qui
explique le nombre élevé d’agences gouvernementales
sur le développement et le perfectionnement de
nouvelles attaques révolutionnaires visant l’écosystème
ATTAQUES POUR
ont concentré leurs efforts sur l’exposition des failles
de sécurité chez leurs fournisseurs ou sur la découverte
et de groupes de réflexion attaqués. Cependant, le rôle
du secteur privé dans le soutien aux collaborateurs
des fournisseurs afin d’attaquer les clients en aval.
Les campagnes bien établies de hameçonnage et de
ÉCHAPPER À LA
DÉTECTION.
de systèmes non sécurisés sur lesquels les entreprises à distance, l’augmentation des services de santé, pulvérisation de mots de passe menées par des acteurs
comptaient pour assurer la continuité de leurs activités la recherche sur le vaccin contre la COVID-19 et la des États-nations continuent de porter leurs fruits
au cours de cette année inhabituelle. Ces événements distribution de celui-ci en ont également fait des cibles contre les organisations qui n’ont pas encore mis en
récents ont démontré l’importance croissante d’appliquer plus fréquentes pour ces acteurs sophistiqués qui place l’authentification multifacteur (AMF) ou d’autres
les dernières mises à jour de sécurité dans tous les recherchent des informations pour la sécurité nationale de protections contre cette tactique courante. Toutefois,
systèmes déployés, ce qui constitue la protection la plus leur gouvernement ou à des fins de renseignement. Notre à mesure que les organisations investissent dans la
efficace contre des menaces qui évoluent rapidement. dépendance accrue envers l’infrastructure mondiale des sécurisation de leurs comptes, le taux de réussite de
télécommunications et l’infrastructure des réseaux privés ces techniques diminue et la détection des attaques
Le Microsoft Threat Intelligence Center (MSTIC) et virtuels (VPN)/serveurs privés virtuels (VPS) pour les augmente. En retour, les acteurs des États-nations
l’Unité de sécurité numérique (DSU) ont observé que collaborateurs à distance a donné aux acteurs malveillants semblent augmenter l’ampleur et le volume de ces
la plupart des États-nations participants continuaient de nouveaux vecteurs d’accès à des réseaux privés ciblés attaques afin d’échapper à la détection et d’améliorer
de concentrer leurs activités et leurs attaques sur qui s’efforçaient d’accompagner de nouvelles façons de les chances de réussite sur des cibles multiples. Cette
les agences gouvernementales, les organisations faire des affaires. approche axée sur le volume des

La compromission des informations d’identification acteurs des États-nations continuent à affiner leurs et sont généralement uniques, ce qui nécessite une Notifications d’État-nation
demeurera une technique utile si des comptes mal techniques en tirant parti de nouveaux exploits contre analyse plus approfondie et la création de détections
sécurisés sont disponibles comme cibles. Les attaques les faiblesses de sécurité et les systèmes non corrigés personnalisées. La compréhension de ces TTP aide
Lorsqu’un client, qu’il s’agisse d’une entreprise ou d’un
contre des logiciels tiers ou des infrastructures sur des fournisseurs de la chaîne d’approvisionnement également Microsoft à mieux comprendre les acteurs
détenteur de compte individuel, est visé ou compromis
site non protégés deviendront probablement plus commune, afin d’accéder aux clients en aval et de en aval, comme les cybercriminels et les États-nations
par les activités des États-nations suivies par Microsoft,
répandues et seront plus facilement exploitées par les recueillir des informations auprès d’eux. Le harponnage de plus petite taille, qui copient ou réutilisent souvent
nous envoyons une notification d’État-nation (NSN) au
acteurs des États-nations et ceux de la cybercriminalité. et les attaques par pulvérisation de mots de passe ne ces méthodes. La DSU se concentre sur les victimes
client. Microsoft a émis plus de 20 500 NSN au cours
Le report de l’installation des mises à jour de sécurité montrent aucun signe de ralentissement en tant que identifiées par le MSTIC, en reliant les victimes de
des trois dernières années. Les tableaux et graphiques
ou la connaissance incomplète des systèmes déployés méthode courante de reconnaissance et d’infiltration, l’attaque aux objectifs politiques et aux buts déclarés
de ce chapitre sont issus du processus de NSN de
et de l’état de leurs correctifs rendra les entreprises ce qui accroît l’importance de la mise en œuvre d’une des gouvernements en matière de renseignement, afin
Microsoft.
vulnérables à des attaques soudaines et de grande MFA end-to-end sur les comptes. Les informations d’aider Microsoft à fournir au monde un contexte plus
envergure, car elles devront s’efforcer de déterminer fournies par Microsoft dans ce chapitre rendent compte complet sur les raisons de ces attaques par les États-
quels sont les actifs touchés et de rétablir la situation. d’une grande partie de l’activité qui a visé nos clients nations. Lutte contre l’activité des
L’exploitation de réseaux avec des logiciels non pris dans le monde entier au cours de la dernière année États-nations
en charge ou des logiciels qui ne sont plus mis à jour et des tendances que les acteurs des États-nations Nous nous concentrons sur les activités des États-
Les acteurs des États-nations sont généralement des
augmente le risque de manière exponentielle. Les continueront probablement à utiliser au cours de nations, quelle que soit la plateforme, la victime ciblée
adversaires bien dotés en ressources et compétents.
entreprises doivent tenir un inventaire complet de leurs l’année à venir. Nous vous recommandons de vous ou la région géographique. Nous maintenons par
Comme nous l’avons vu plus haut, ils cherchent
actifs, être au fait de l’état des correctifs et des plans appuyer sur ces informations pour comprendre les ailleurs la visibilité et nos initiatives de lutte contre
souvent à collecter de renseignements sur des cibles
de sauvegarde et de confinement approfondis pour tactiques et les techniques que ces acteurs sophistiqués les menaces dans le monde entier afin d’écrire de
qui intéressent leurs gouvernements. Notre poursuite
résister aux attaques sophistiquées. Les adversaires peuvent déployer pour cibler vos entreprises afin que meilleures détections pour nos clients. Nous analysons
acharnée de ces adversaires et notre développement
continueront de mettre au point de nouvelles vous puissiez mettre en œuvre une défense proactive également les raisons pour lesquelles les acteurs des
continu de nouvelles capacités de détection et de
techniques pour cibler et compromettre les ressources plus efficace. États-nations poursuivent des victimes, des secteurs ou
dissuasion d’activités malveillantes nous permettent
de l’entreprise, ce qui nécessite une approche globale des régions en particulier. En résumé, les informations
Suivi des menaces

d’honorer notre engagement envers la protection des
de « prise en charge de l’attaque » qui va au-delà des présentées ici donnent un aperçu de nos efforts
clients. Nous améliorons constamment notre capacité
besoins d’hygiène de base et de la MFA, et s’étend de défense au nom de nos clients concernés. Il est
des États-nations
à comprendre les acteurs des États-nations et leurs
à un ensemble global de principes de sécurité Zero important de noter que même si un secteur industriel
victimes afin d’apporter un meilleur contexte et une
Trust. L’application d’un modèle de sécurité Zero Trust32 ou une région géographique particulière n’est pas
meilleure compréhension à nos clients.
deviendra de plus en plus importante pour protéger les représenté dans les informations suivantes, l’activité
identités, les dispositifs, les applications, les données, des États-nations s’étend à presque tous les secteurs
Microsoft suit les activités des États-nations pour
les réseaux et les infrastructures des entreprises contre industriels et toutes les régions géographiques. En
protéger ses clients, ainsi que ses plateformes et
les menaces sophistiquées. d’autres termes, les protections contre ces tactiques
services. Nous utilisons une variété de mesures et des
techniques d’intégration de données sophistiquées sont essentielles pour chaque organisation et chaque
À l’avenir, nous savons que les gouvernements pour mieux comprendre le ciblage, les motivations individu. Nos renseignements sont également
adverses poursuivront leurs objectifs de collecte de et l’impact sur les clients. MSTIC se concentre influencés par le degré d’utilisation de nos produits et
renseignements et exploreront les limites politiques sur les activités des acteurs des États-nations, car plateformes dans une région ou un secteur particulier.
d’un comportement acceptable dans le cyberespace. ces tactiques, techniques et procédures (TTP) ont
Par conséquent, nous nous attendons à ce que les souvent d’importantes répercussions sur nos clients
32
Modèle et cadre de sécurité Zero Trust | Sécurité Microsoft Rapport sur la défense numérique de Microsoft | Octobre 2021 49
Notre approche 2. Tirer parti des technologies 4. Digital Crimes Unit Guide sur les acteurs des États-
Les connaissances cumulées de Microsoft sur le L’une des ressources uniques de Microsoft dans
Microsoft utilise une approche en cinq volets pour
paysage des menaces mondiales permettent à nos la lutte contre les acteurs des États-nations est la
nations mentionnés dans ce
perturber les acteurs des États-nations : fournir
produits et services de créer et de mettre à jour en Digital Crimes Unit (DCU). La DCU est parvenue à rapport
des notifications directes aux clients, exploiter la
permanence des détections de nouveaux produits de saisir des domaines et des ressources utilisés par
technologie pour détecter et défendre, prendre des Tout au long de ce chapitre, nous citons des exemples
sécurité, ce qui contribue à protéger et à défendre les acteurs des États-nations contre les clients de
mesures techniques contre les opérations malveillantes, d’acteurs des États-nations en vue d’offrir une vision
nos clients contre les activités des États-nations à Microsoft en recourant à la justice. Elle a donc joué
engager des poursuites judiciaires et participer au plus approfondie des cibles d’attaque, des techniques
grande échelle. Ces défenses collectives représentent un rôle déterminant dans la fermeture de ces vecteurs
discours de politique publique. Chacun de ces volets et des analyses des motivations. Microsoft identifie les
la méthode la plus efficace pour contrer les menaces d’attaque. Ces affaires ont conduit au démantèlement
joue un rôle important dans notre engagement activités des États-nations avec des noms d’éléments
des États-nations, car elles sont informées par les de centaines de domaines et à la protection de
à protéger nos clients et l’écosystème dans son chimiques, dont certains sont affichés sur le tableau
vastes ressources de renseignements sur les menaces milliers de clients, et Microsoft reste l’une des seules
ensemble. suivant, avec les pays où les acteurs opèrent. Ce petit
intégrées à chaque produit et activées par une entreprises disposées à engager des poursuites
échantillon de l’ensemble des acteurs des États-nations
ingénierie de renommée mondiale. judiciaires contre des acteurs étatiques afin de saisir
suivis par Microsoft est constitué de ceux qui ont été
1. Donner le contrôle aux clients des infrastructures et d’interrompre des attaques. Les
les plus actifs au cours de l’année dernière et qui ont
Microsoft s’appuie sur son processus de NSN pour enseignements tirés de ces cas sont partagés avec les
3. Prendre des mesures techniques contre les utilisé les tactiques mentionnées dans ce chapitre avec
informer ses clients du ciblage ou de la compromission équipes d’ingénierie de Microsoft en vue d’améliorer
activités malveillantes le plus grand brio.
par les acteurs des États-nations que nous suivons, nos capacités opérationnelles et techniques de
De temps à autre, Microsoft dispose de suffisamment
fournissant ainsi des informations exploitables perturbation.
d’informations pour justifier une suppression ou Microsoft suit et étudie également de nombreuses
permettant aux clients de réagir rapidement et de se
une fermeture ponctuelle de l’infrastructure ou des activités malveillantes dont l’origine est soit nouvelle,
protéger. Microsoft transmet également des alertes aux
ressources associées à un attaquant d’État-nation. 5. Informer le public du discours et de la politique soit inconnue, afin de bien comprendre les tactiques,
secteurs de l’industrie et aux segments de clientèle afin
Grâce aux mesures proactives contre les infrastructures Microsoft utilise sa voix pour sensibiliser les gens aux les techniques et les objectifs.
de les sensibiliser aux activités malveillantes et de leur
malveillantes, l’acteur perd de la visibilité, des capacités activités des États-nations, en soulignant le contexte
donner des conseils sur la manière d’agir.
et des accès sur toute une série de ressources et les répercussions des incidents, et en partageant le
auparavant sous son contrôle. Il est par conséquent contexte des attaques et la raison pour laquelle elles
obligé de tout reconstruire. sont importantes pour le monde. La voie est ainsi
ouverte à une large discussion sur ce qu’il est possible
de faire pour lutter contre les activités malveillantes des
États-nations au sein des agences gouvernementales,
Lorsque nous appliquons des mesures proactives des ONG, des entreprises, des universités et du public.
Parler publiquement des attaques des États-nations est
contre les infrastructures malveillantes, l’acteur perd un élément important de la dissuasion.
de la visibilité, des capacités et des accès sur toute

une série de ressources auparavant sous son contrôle.
Il est par conséquent obligé de tout reconstruire.

Exemple d’acteurs des États-nations et de leurs activités

Ce que nous régulièrement dans des attaques destructrices,

principalement contre Israël. Ces cyberattaques se sont
Les acteurs d’État-nation de la Corée du Nord ont
ajouté un troisième motif à leurs cyberattaques : le
Bien que SolarWinds et la vulnérabilité d’Exchange
aient été les deux principales histoires de cybersécurité
voyons
produites dans un contexte politique où les deux pays gain financier. La Corée du Nord cible les entreprises de l’année, l’Iran et la Corée du Nord ont également
s’échangent des coups à la limite des frappes militaires, qui font le commerce des cryptomonnaies ou qui utilisé des tactiques similaires de ciblage des
y compris des attaques sur les cargos de l’autre. Les participent aux recherches connexes, cherchant fournisseurs informatiques pour trouver des moyens
tensions étant déjà très fortes, la décision d’utiliser probablement à voler des cryptomonnaies ou de la créatifs d’exploiter leurs véritables cibles. Par exemple,
Cibles des États-nations la cybernétique pour des attaques destructrices était propriété intellectuelle. L’économie de la Corée du Nord l’acteur nord-coréen ZINC a créé des personnages en
Dans le rapport sur la défense numérique de moins un saut stratégique pour l’Iran qu’elle ne l’aurait n’a jamais été forte, mais la pandémie de COVID-19, ligne d’experts apparents en cybersécurité, y compris
Microsoft de 2020, nous avons identifié les objectifs été pour la Corée du Nord, la Russie ou la Chine. Si qui survient après des années de sanctions de l’ONU, a des sites web et des pages de réseaux sociaux, et a
communs (espionnage, perturbation/destruction) et les nations autres que l’Iran se sont pour la plupart laissé le pays dans une situation dégradée qu’il n’avait utilisé ces personnages pour approcher des experts en
les techniques communes (reconnaissance, collecte abstenues d’attaques destructrices, elles ont continué à pas connu depuis une génération, l’obligeant à chercher vulnérabilités de cybersécurité dans le but d’amener les
de données d’identification, logiciels malveillants et compromettre des victimes qui seraient des candidats à trouver de l’argent par tous les moyens. Bien que les chercheurs avec lesquels ils correspondaient à ouvrir
exploits de réseaux privés virtuels (VPN)) qui prévalent de choix pour des attaques destructrices si les tensions acteurs de l’État-nation iranien ait fréquemment eu des contenus qui auraient téléchargé des attaques
chez les principaux cyberacteurs des États-nations. augmentaient au point de voir les gouvernements recours aux attaques par rançongiciel, Microsoft estime sur leurs machines. S’il ne s’agissait pas d’une attaque
Ces objectifs et techniques étaient aussi répandus prendre la décision stratégique d’intensifier la que ces dernières ont été davantage employées pour directe contre une société informatique comme
cette année que l’année précédente. Les méthodes cyberguerre. couvrir les traces des attaquants que pour réaliser des SolarWinds, elle représentait une tentative de trouver
éprouvées, comme les campagnes de harponnage profits. indirectement des moyens de compromettre les cibles
à grande échelle, restent des outils précieux pour Le tableau des « Secteurs les plus ciblés » dans cette réelles de la Corée du Nord en passant par les experts
les pirates informatiques. Cependant, les attaquants section du chapitre montre que près de 80 % des Le ciblage des entreprises informatiques est la chargés de trouver des moyens de les protéger.
du monde entier, qu’ils soient affiliés directement personnes ciblées faisaient partie de gouvernements, grande nouveauté de l’année dernière
à des gouvernements ou qu’ils aient des liens plus d’ONG ou de groupes de réflexion. Les groupes de Un changement plus révolutionnaire, commun à tous Pour plus d’informations sur la sécurité de la chaîne
lâches, continuent à effectuer des recherches contre réflexion servent souvent d’incubateurs et d’exécutants les programmes informatiques des quatre grands pays, d’approvisionnement, voir le chapitre Sécurité de la
des cibles afin d’être plus convaincants lors d’une des politiques, et entretiennent des liens étroits avec a été la décision de cibler les fournisseurs de services chaîne d’approvisionnement, de l’IoT et de l’OT du
attaque, de développer de nouvelles techniques qui les fonctionnaires et les programmes gouvernementaux informatiques afin de mieux exploiter en aval les présent rapport.
n’ont jamais été vues auparavant, ou même d’imiter actuels et anciens. Les acteurs de la menace peuvent victimes qui reçoivent des services de ces prestataires.
un comportement criminel dans le but de brouiller exploiter, et exploitent véritablement, les liens entre Les exemples les plus flagrants de l’utilisation de ce
les intentions et les objectifs. Microsoft répond en la communauté plus traditionnelle des ONG et les type de stratégie au cours de l’année dernière sont
s’efforçant également d’améliorer notre capacité à organisations gouvernementales pour se positionner les attaques russes de SolarWinds et l’exploitation
suivre les changements. afin de mieux connaître les plans et les intentions chinoise d’une vulnérabilité dans les serveurs Microsoft
politiques nationales. Comme nous l’avons indiqué, Exchange sur site. Ces attaques sont toutes deux
L’espionnage est plus répandu que les attaques ce sont les groupes de réflexion qui ont des idées traitées en détail dans les sections consacrées à la
destructrices pertinentes pour la politique gouvernementale ou les Russie et à la Chine.
Les deux principaux objectifs des acteurs des États- objectifs politiques actuels ou futurs qui placent ces
nations n’ont pas changé non plus. Au cours de organisations dans la ligne de mire des opérations
l’année écoulée, l’espionnage, et plus particulièrement de renseignement. Lorsque les ONG traditionnelles
la collecte de renseignements, a été un objectif bien disposent d’informations similaires, nous les
plus courant que les attaques destructrices. L’Iran considérons également comme un objectif pour les
est le seul acteur des États-nations prêt à s’engager acteurs des États-nations.

Pays les plus ciblés (juillet 2020-juin 2021) Secteurs les plus ciblés (juillet 2020-juin 2021) Objectifs pour les consommateurs et les entreprises
(juillet 2020-juin 2021)
Les organisations situées aux États-Unis sont restées la cible de la plupart Tous les acteurs de la menace que nous avons suivis cette année ont Il est probable que les acteurs des menaces aient pensé que les comptes
des activités observées cette année. Nous avons également noté des ciblé des entités du secteur public. NOBELIUM, NICKEL, THALLIUM et de messagerie des consommateurs pouvaient être un moyen plus facile
augmentations de ciblage cohérentes avec les tensions géopolitiques PHOSPHORUS ont été les plus actifs contre ce secteur et sont issus des d’accéder à des réseaux ciblés lors de l’adoption du télétravail dans le monde
croissantes entre les nations. La société NOBELIUM, basée en Russie, a fait pays instigateurs de menaces faisant partie du « Big Four ». Le ciblage entier. Indépendamment des cibles d’entreprises et des secteurs qu’ils
passer le nombre de clients ukrainiens touchés de six au cours de l’exercice du secteur gouvernemental s’est principalement concentré sur les représentaient, les comptes de consommateurs ont reçu le deuxième plus
précédent à plus de 1 200 cette année, en ciblant fortement les intérêts ministères des Affaires étrangères et d’autres entités gouvernementales grand nombre de notifications cette année. THALLIUM et PHOSPHORUS
du gouvernement ukrainien qui s’efforce de rallier le soutien contre le mondiales impliquées dans les affaires internationales. (Ce graphique ont investi massivement dans des campagnes de harponnage ciblant ces
renforcement des troupes russes à la frontière de l’Ukraine. Cette année, exclut les comptes de consommateurs et ne représente que les secteurs comptes.
le nombre d’entités israéliennes ciblées a presque quadruplé, un résultat correspondants aux cibles d’entreprises).
exclusivement dû aux acteurs iraniens, qui se sont concentrés sur Israël alors
que les tensions s’intensifiaient fortement entre les adversaires.

Infrastructures critiques et infrastructures non critiques et les auteurs de menaces basés en Russie les moins intéressés par le ciblage ciblage d’une infrastructure essentielle en vue de mener des opérations de
De juillet 2020 à juin 2021, les infrastructures critiques n’étaient pas au des entités du secteur des infrastructures essentielles. Les cyberactivités du perturbation potentielle.
centre des préoccupations selon les informations NSN qui ont été suivies. groupe russe NOBELIUM sont un parfait exemple de l’intérêt de la Russie
Les auteurs de menaces basés en Chine se sont montrés les plus intéressés pour des opérations d’accès et de collecte de renseignements plutôt que de
Cibler les infrastructures essentielles et non essentielles (PPD-21) (juillet 2020-juin 2021)
Ciblage des infrastructures essentielles par la Russie Ciblage des infrastructures essentielles par la Chine Ciblage des infrastructures essentielles par l’Iran
Ciblage des infrastructures essentielles par la Corée du Nord Combinaison du ciblage des infrastructures essentielles par la
Chine, l’Iran, la Corée du Nord et la Russie

Taux de réussite de compromission par rapport à la cible Origines de l’activité Groupes d’activité des États-nations les plus actifs
Les taux de réussite varient considérablement d’un groupe de menace à Comme dans la section « compromis par rapport à ciblé » ci-dessus, les
La section suivante décrit la fréquence des attaques par pays d’origine,
l’autre. Certains groupes, comme le nord-coréen THALLIUM, ont eu un faible données de cette section sont fortement affectées par les tactiques choisies
mesurée en nombre de NSN générées par les attaques de chaque acteur. Les
taux de réussite, car il a employé des stratégies telles que des campagnes de par les attaquants. Si un groupe tente une attaque par pulvérisation de
menaces d’origine russe ont dominé cette année, grâce au ciblage à grande
harponnage à grande échelle qui reposent davantage sur l’utilisation d’un mots de passe sur une centaine de cibles et réussit à en compromettre
échelle de NOBELIUM. Les acteurs basés en Corée du Nord ont également
large filet que sur une frappe chirurgicale. Les pulvérisations de mots de une, alors qu’un autre groupe se concentre chirurgicalement sur une
utilisé une stratégie de ciblage omniprésent qui a valu à la Corée du Nord le
passe sont un autre exemple de tactique dont le taux de réussite est faible, seule victime qu’il compromet, ils ont tous deux eu le même nombre de
deuxième pourcentage le plus élevé de notifications.
mais où les attaquants comprennent que le taux de réussite sera faible. réussites. Cependant, le premier groupe apparaîtra comme le groupe le
D’autres groupes utilisent des attaques très ciblées qui réussissent beaucoup plus « actif », car il a attaqué cent cibles. Les trois premiers groupes de cette
plus souvent. HAFNIUM, par exemple, a réussi 43 % de ses attaques. NICKEL Pays d’origine des activités liste utilisent tous des tactiques à taux d’échec élevé. NOBELIUM, en plus
a réussi à un taux étonnant de plus de 90 %. Les données ci-dessous NOBELIUM, et son ciblage agressif des fournisseurs de services des attaques axées sur un taux de réussite élevé, utilise aussi fréquemment
représentent une moyenne de différentes tactiques qui sont conçues pour informatiques et des institutions gouvernementales occidentales, a des pulvérisations de mots de passe à faible taux de réussite, tandis que
réussir à des taux différents. Le premier trimestre a été extrêmement actif, catapulté la Russie en tête des pays où les attaques ont pris naissance cette THALLIUM et PHOSPHORUS envoient des e-mails de harponnage à des
pas nécessairement parce que les acteurs ont eu plus de succès, mais parce année. Ce groupe est à l’origine de 92 % des notifications adressées aux groupes importants. Ce tableau ne correspond donc pas nécessairement aux
que Microsoft a noté moins d’activité découlant d’attaques à faible taux de clients concernant des menaces d’origine russe. La proportion démesurée groupes les plus dangereux, mais il donne une idée de leurs niveaux relatifs
réussite. d’attaques provenant de la Corée du Nord est le résultat de la stratégie de persistance et d’ubiquité.
adoptée par les acteurs de menaces THALLIUM et CERIUM. Ces groupes
Taux de compromission (juillet 2020-juin 2021) s’appuient sur de grandes quantités d’attaques. Bien que ces attaques aient Groupes d’activité des États-nations les plus actifs
un faible pourcentage de réussite, en raison du nombre élevé de tentatives,
(juillet 2020-juin 2021)
les groupes parviennent tout de même à infecter certaines victimes.
Attaques par pays d’origine (juillet 2020-juin 2021)

Outils d’attaque des États-nations Il est fréquent que les acteurs des États-nations Vecteurs d’attaque exploités par les acteurs malveillants des États-nations
Les outils employés par les États-nations pour développent et perfectionnent de nouvelles techniques
compromettre les réseaux des victimes sont le plus d’attaque et que les criminels les adoptent et les
souvent les mêmes que ceux employés par d’autres perfectionnent au fil du temps. Microsoft s’attend à
acteurs malveillants. Pour atteindre leurs objectifs, les ce que les outils conçus pour cibler et compromettre
acteurs des États-nations peuvent créer ou exploiter les chaînes d’approvisionnement informatiques se
des logiciels malveillants sur mesure, construire une généralisent et deviennent plus courants, faisant
infrastructure novatrice de pulvérisation de mots des concepts tels que l’architecture Zero Trust une
de passe ou élaborer des campagnes uniques de priorité du développement des logiciels jusqu’à leur
Les États-nations sont suffisamment avancés pour effectuer une reconnaissance de leurs victimes et
hameçonnage ou d’ingénierie sociale. Cependant, déploiement et leur mise à jour. Les acteurs des États-
choisir la méthode d’attaque qui convient le mieux à chaque objectif ou résultat escompté.
des acteurs comme GADOLINIUM se tournent aussi nations bien financés continueront à créer des outils
de plus en plus vers l’utilisation d’outils open-source uniques pour atteindre leurs objectifs, mais comme
33
ou de logiciels malveillants courants pour affecter toute autre organisation rationalisée, ils sont tout aussi
une chaîne d’approvisionnement, tenter une attaque susceptibles d’utiliser des outils courants là où ils le
de type man-in-the-middle ou lancer une attaque par peuvent pour améliorer l’efficacité.
déni de service. Ces méthodes permettent aux acteurs
malveillants de masquer leurs actions en se cachant au En savoir plus :
grand jour.
Protecting customers from a private-sector offensive
actor using 0-day exploits and DevilsTongue malware
L’utilisation accrue d’outils open source offre certains
(Protection des clients contre un acteur offensif du
avantages aux professionnels de la sécurité chargés
secteur privé utilisant des attaques 0 jour et des logiciels
de détecter ces attaques et de s’en défendre. Il est
malveillants de type « DevilsTongue ») | Blog Microsoft
de plus en plus fréquent que les routines de sécurité
dédié à la sécurité (15/07/2021)
et d’hygiène informatique qui protègent contre
les menaces ordinaires permettent également de
se protéger contre les États-nations. Former les
collaborateurs à faire preuve de scepticisme peut
grandement contribuer à stopper les attaques de
harponnage et à déjouer les méthodes courantes
que Microsoft observe aux premiers stades d’une
compromission.
33
GADOLINIUM threat actors use cloud services and open source tools in cyberattacks (Les acteurs de la menace GADOLINIUM se servent de services cloud et d’outils open source pour les cyberattaques) – Blog Securezoo Rapport sur la défense numérique de Microsoft | Octobre 2021 56
Analyse de portée, la sophistication et le succès des attaques du

jour 0 de HAFNIUM pour les serveurs Exchange sur site
aux cibles pour l’infrastructure sur site d’entités
étrangères et liées à la défense en Europe, marquant un
Russie
l’activité des
Au cours de la dernière année, les groupes d’activité
au début de 2021 et de la compromission du logiciel changement par rapport aux opérations prédominantes
basés en Russie ont consolidé leur position de menaces
de gestion de réseau SolarWinds par NOBELIUM à la fin de type « le cloud d’abord, le cloud exclusivement »
États-nations
aiguës pour l’écosystème numérique mondial en faisant
de 2020 ont attiré l’attention du monde entier, bien que pour lesquelles le groupe était connu en 2019
preuve d’adaptabilité, de persistance, d’une volonté
la menace des États-nations s’étende au-delà de ces et 2020. De multiples acteurs iraniens ont également
cette année
d’exploiter des relations techniques de confiance et
incidents immédiats. D’une part, le fait que NOBELIUM, probablement mené des opérations de chaîne
d’une facilité à utiliser des outils d’anonymisation et
basé en Russie, et HAFNIUM, basé en Chine, aient d’approvisionnement, dont une au début de 2020
de code open source qui les rendent de plus en plus
ciblé des ressources sur site et se soient débarrassés qui consistait vraisemblablement à se procurer des
difficiles à détecter et à attribuer. Ils ont également fait
L’évolution des menaces de cybersécurité initiées par des données d’identification dans le cadre de ces renseignements auprès d’agences gouvernementales
preuve d’une grande tolérance pour les dommages
les États-nations a donné lieu à une année charnière, opérations leur aurait donné la possibilité de s’emparer indirectement par l’entremise de sociétés de services
collatéraux, ce qui rend vulnérable à un ciblage
avec un intérêt accru pour les serveurs sur site et des informations d’identification pour accéder aux informatiques et d’ingénierie qui soutiennent la défense
opportuniste toute personne ayant des liens avec des
l’exposition de vulnérabilités généralisées dans la chaîne ressources basées sur le cloud. STRONTIUM, lié à la et les agences de renseignement américaines.
cibles intéressantes.
d’approvisionnement, notamment dans les logiciels. La Russie, a également développé des capacités propres
Nom du groupe
d’activité
Autres noms Pays d’origine Secteurs ciblés
Russie
STRONTIUM APT28, Fancy Bear Russie Gouvernement, entités diplomatiques et de défense, groupes de réflexion,
ONG, enseignement supérieur, entreprises de défense, logiciels et services
informatiques.
NOBELIUM UNC2452 Russie Gouvernement, entités diplomatiques et de défense, logiciels et services

informatiques, télécommunications, groupes de réflexion, ONG, enseignement
supérieur, entreprises de défense.
BROME Energetic Bear Russie Gouvernement, énergie, aviation civile, base industrielle de défense

Utilisation abusive de la chaîne d’approvisionnement NOBELIUM jusqu’en juin 2021 met en évidence les de passe/forçage brut qui a parcouru plus d’un millier Objectifs de NOBELIUM par secteur/domaine vertical
et d’autres relations techniques fiables changements tactiques et l’approche multi-vecteurs d’IP Tor anonymisées38, facilitant ainsi une application (décembre 2020-janvier 2021)
Le groupe NOBELIUM, basé en Russie, a prouvé à quel que le groupe de menaces utilise pour accéder aux à grande échelle et compliquant la détection et
point les attaques de la chaîne d’approvisionnement systèmes souhaités. Le premier graphique montre les l’attribution. L’outil a été déployé à plusieurs reprises
des logiciels pouvaient être insidieuses et dévastatrices victimes qui ont été exploitées par des acteurs de la contre plus de 40 organisations politiques et groupes
en compromettant la mise à jour du logiciel SolarWinds menace qui, dans certains cas, ont tiré parti de l’accès à de pression basés aux États-Unis et au Royaume-Uni
Orion. Bien que le groupe ait limité l’exploitation de la porte dérobée de la chaîne d’approvisionnement. Le dans la période précédant et suivant immédiatement
suivi à une centaine d’entreprises, sa porte dérobée deuxième graphique reflète les campagnes massives de l’élection présidentielle américaine.
malveillante a été transmise à environ 18 000 harponnage et de pulvérisation de mots de passe que
entités dans le monde, laissant les clients concernés l’acteur a utilisées contre les entreprises ciblées au cours Atteindre des taux de compromission plus élevés et
vulnérables à de nouvelles attaques. du premier semestre 2021. Nous pouvons constater cibler davantage d’organisations gouvernementales.
que NOBELIUM a constamment ciblé les secteurs des Au cours de la dernière année, les groupes basés en
Les techniques opérationnelles de NOBELIUM étaient gouvernements, des ONG, des services informatiques Russie ont amélioré leurs taux de compromission
beaucoup plus variées que la simple porte dérobée et des services professionnels (inclus dans la catégorie réussie et ont de plus en plus visé des cibles
malveillante et allaient de la pulvérisation de mots « Autres » dans le dernier graphique), mais le volume gouvernementales, un rassemblement de tendances qui
de passe et du hameçonnage à la compromission de des tentatives de compromission a fluctué en fonction pourrait laisser présager davantage de compromissions
fournisseurs tiers pour faciliter de futures attaques. des changements tactiques. à fort impact dans l’année à venir. Les comparaisons Objectifs de NOBELIUM par secteur/domaine vertical
L’acteur a ciblé les fournisseurs de solutions cloud (CSP) d’une année sur l’autre des données de NSN montrent (janvier-juin 2021)
et a utilisé la porte dérobée pour voler une clé privée Utilisation d’une série de techniques pour échapper une augmentation marquée des compromissions
Mimecast. NOBELIUM a ensuite ciblé les clients en aval à la détection et à l’attribution. réussies, passant de 21 % de réussite entre juillet 2019
en se faisant passer pour ces CSP et pour l’application Les acteurs russes ont fait preuve de divers degrés et juin 2020 à 32 % depuis juillet 2020. Le pourcentage
légitime Mimecast.34 En mai, le groupe a compromis d’adaptabilité et de conscience de la sécurité, ce qui d’organisations gouvernementales parmi les cibles
le compte d’une agence gouvernementale américaine les a aidés à échapper à l’attribution et aux défenses russes a explosé, passant d’environ 3 % au cours de la
sur un service populaire de marketing par e-mail, de réseau. NOBELIUM a fait preuve d’une connaissance dernière période à 53 % depuis juillet 2020.
dissimulant des composants malveillants derrière approfondie des outils logiciels courants, des systèmes Les auteurs de menaces russes suivront leurs cibles
l’adresse électronique légitime du service pour envoyer de sécurité des réseaux et des technologies de où qu’elles se trouvent, que ce soit dans le cloud ou
un e-mail de hameçonnage à plus de 150 entreprises cloud, ainsi que des méthodes de correction utilisées sur site. L’année dernière, STRONTIUM est passé à un
de diplomatie, de développement international et à par les équipes de réponse aux incidents. De plus, ciblage plus axé sur le local, développant des capacités
but non lucratif, principalement aux États-Unis et en ils ont modifié leurs opérations en conséquence spécifiques à la cible par rapport à l’infrastructure
Europe.35 pour maintenir la persistance.36 La surveillance des locale de la politique étrangère et des entités liées à la
répondeurs était une tactique employée par un autre défense en Europe. Cette stratégie était un changement
La comparaison de la répartition des victimes de groupe de menace russe, YTTRIUM, dans le passé. 37
par rapport
NOBELIUM : la diversité des cibles reflète la diversité
NOBELIUM identifiées au cours des premiers mois
des tactiques.
suivant la découverte de la compromission de Au cours de l’été et de l’automne 2020, STRONTIUM a
SolarWinds et de l’image du ciblage de l’activité de déployé un outil automatisé de pulvérisation de mots
34
https://www.usnews.com/news/technology/articles/2020-12-24/solarwinds-releases-update-to-flagship-software-after-hack ; https://www.msn.com/en-us/news/technology/mimecast-reveals-source-code-theft-in-solarwinds-hack/ar-BB1eInqC
35
https://blogs.microsoft.com/on-the-issues/2021/05/27/nobelium-cyberattack-nativezone-solarwinds/ 36
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malware/ 37
https://www.youtube.com/
watch?v=Ldzr0bfGtHc 38 https://www.microsoft.com/security/blog/2020/09/10/strontium-detecting-new-patters-credential-harvesting/ Rapport sur la défense numérique de Microsoft | Octobre 2021 58
aux opérations essentiellement cloud-first et cloud-only les autorités aériennes et portuaires. Le secteur de la continents au cours de cette période, mais ils se sont Les observations de Microsoft sur l’activité des menaces
pour lesquelles le groupe s’est fait connaître tout au santé a été le troisième secteur le plus ciblé au cours surtout concentrés sur les entreprises basées aux États- russes au cours de l’année écoulée suggèrent que
long de 2019 et en 2020. de cette période, alimenté par les tentatives de collecte Unis, suivies de celles situées en Ukraine, au Royaume- la collecte de renseignements était une motivation
d’informations d’identification de STRONTIUM contre Uni, ainsi que sur le territoire des alliés et États membres principale, car nous avons constaté une exfiltration
Pour la première fois depuis août 2018, les organisations des organisations développant et testant des vaccins de l’OTAN en Europe. Le 14 mai, le gouvernement russe de données mais peu de preuves d’une activité
gouvernementales ont été le secteur le plus ciblé par et des traitements contre la COVID-19 aux États-Unis,
40
a officiellement désigné les États-Unis et la République perturbatrice ou destructrice de la part des groupes que
les acteurs de la menace russe observés par Microsoft, en Australie, au Canada, en Israël, en Inde et au Japon tchèque comme des pays « hostiles », tandis que la nous suivons. Obtenir des informations sur les plans
suivies des groupes de réflexion. Les organisations jusqu’à l’été 2020. Pologne, la Lituanie, la Lettonie, l’Estonie, le Royaume- politiques et les intentions de ceux qui sont perçus
gouvernementales étaient fortement impliquées dans Uni, le Canada, l’Ukraine et l’Australie figuraient sur comme des adversaires serait une obligation standard
la politique étrangère et la sécurité ou la défense Recherche de renseignements sur les États-Unis et une liste préliminaire divulguée en avril. Les trois pays
41
en matière de renseignements pour les agences
nationale, bien que l’auteur de la menace BROMINE ait l’Europe les plus touchés par la cyberactivité russe au cours de gouvernementales russes auxquelles le gouvernement
concentré ses efforts sur les administrations des États, Les acteurs russes de la menace ont tenté d’accéder l’année écoulée (États-Unis, Ukraine et Royaume-Uni) américain attribue une grande partie de cette activité.42
des comtés et des villes des États-Unis, ainsi que sur à des comptes d’organisations sur presque tous les figuraient quant à eux sur la liste des « pays hostiles ».
Quelles leçons NOBELIUM aurait-il pu tirer de Informations consultées Objectif opérationnel
l’incident de SolarWinds ? • Politique de sanctions

• Politique de défense/renseignement
Espionnage pour obtenir des informations sur
les politiques
• Politique de la Russie
1. Le gouvernement américain ne sait toujours pas où se situent les lignes rouges • Informations sur la COVID-19
des cyberopérations.
• Intervention en réaction aux cyberincidents ; Collecte de renseignements pour améliorer les
Signe du débat en cours au sein des communautés politiques américaines et européennes techniques de chasse aux menaces contre-mesures
sur l’opportunité et la manière de réagir à la brèche de SolarWinds, en mars, un ancien • Évaluations des auteurs de la menace russe
• Outils de l’équipe rouge
conseiller principal du quartier général britannique des communications gouvernementales a
• Signatures de détection
conseillé à l’administration Biden de ne pas réagir trop durement à la campagne d’espionnage • Code source
« chirurgicale » de la Russie.39 Les auteurs russes de la menace ont exploité cette ambiguïté
politique pendant des années et pourraient continuer à le faire au cours des années à venir. • Comptes CSP Collecte de renseignements à l’appui de la
• Certificats logiciels planification opérationnelle
• Code source
2. Le secteur privé est essentiel à la défense des réseaux du gouvernement américain.
Microsoft et FireEye ont été le visage public de la riposte aux incidents lors de l’attaque Exemples de types d’informations que les opérateurs de NOBELIUM ont pu acquérir, en fonction des
de SolarWinds. À l’avenir, NOBELIUM et d’autres groupes pourraient agir rapidement pour comptes des victimes auxquels ils ont accédé et des objectifs opérationnels qui ont probablement
motivé l’intrusion.
handicaper des équipes de cybersécurité de premier plan, en prévoyant ainsi un ralentissement
du temps d’identification et de correction des intrusions contre des cibles de grande valeur.
39
Top Biden cyber official: SolarWinds breach could turn from spying to destruction ’in a moment’ (yahoo.com) 40 https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 41 https://tass.com/
politics/1289825 ; https://www.newsweek.com/russia-puts-us-top-unfriendly-countries-list-1586749 42 https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2573391/russian-foreign-intelligence-service-exploiting-five-publicly-known-
vulnerabili/ ; https://media.defense.gov/2021/Apr/15/2002621240/-1/-1/0/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF/CSA_SVR_TARGETS_US_ALLIES_UOO13234021.PDF (en anglais) ; https://home.treasury.gov/news/press-releases/jy0127 Rapport sur la défense numérique de Microsoft | Octobre 2021 59
Chine Les graphiques suivants illustrent l’activité des groupes parrainé par l’État et opérant depuis la Chine, selon la HAFNIUM exfiltre généralement les données vers des
de menaces basés en Chine entre juillet 2020 et victimologie, les tactiques et les procédures observées, sites de partage de fichiers comme MEGA. Dans des
Au cours de l’année écoulée, Microsoft a observé
juin 2021, selon les NSN transmises aux clients. Ces cible principalement des entités aux États-Unis dans un campagnes non liées à ces vulnérabilités, Microsoft a
que les auteurs des menaces d’État-nation en Chine
graphiques ne représentent qu’une partie des activités certain nombre de secteurs, notamment des chercheurs observé que HAFNIUM interagissait avec des locataires
ciblaient le paysage politique américain pour se faire
des auteurs de menaces observées. en maladies infectieuses, des cabinets d’avocats, Office 365 victimes. Bien que le groupe ne parvienne
une idée des changements de politique et visaient les
des établissements d’enseignement supérieur, des généralement pas à compromettre les comptes des
entités gouvernementales qui mettent en œuvre des
HAFNIUM et les vulnérabilités d’Exchange entreprises de défense, des groupes de réflexion clients, cette activité de reconnaissance aide l’adversaire
politiques étrangères en Europe et en Amérique latine,
Début mars 2021, Microsoft a parlé pour la première politique et des ONG. HAFNIUM a déjà compromis à se renseigner davantage sur les environnements de
probablement à des fins de collecte de renseignements.
fois de HAFNIUM sur son blog, en rapport avec la des victimes en exploitant des vulnérabilités dans des ses cibles. HAFNIUM opère principalement à partir de
Pour accomplir leur mission, plusieurs acteurs de la
détection de plusieurs attaques de 0 jour utilisées serveurs Internet et a utilisé des cadres en code source serveurs privés virtuels loués aux États-Unis.
menace basés en Chine ont exploité une série de
pour cibler des versions sur site de Microsoft Exchange légitimes, comme Covenant, pour le contrôle. Une fois
vulnérabilités non identifiées auparavant pour différents
Server.43HAFNIUM, un groupe vraisemblablement qu’il est parvenu à accéder au réseau d’une victime,
services et composants de réseau.
Nom du groupe
d’activité
Chine
MANGANESE APT5, Keyhole Panda Chine Infrastructure de communication, base industrielle de la défense, logiciels/
technologies
ZIRCONIUM APT31 Chine Agences et services gouvernementaux, organisations diplomatiques,

organisations économiques
HAFNIUM ––– Chine Enseignement supérieur, base industrielle de la défense, groupes de réflexion,
ONG, cabinets d’avocats, recherche médicale.
NICKEL APT15, Vixen Panda Chine Agences et services gouvernementaux, organisations diplomatiques
CHROMIUM ControlX Chine Énergie, infrastructures de communication, éducation, agences et services

gouvernementaux
GADOLINIUM APT40 Chine Maritime, soins de santé, enseignement supérieur, organisations

gouvernementales régionales
43
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Rapport sur la défense numérique de Microsoft | Octobre 2021 60
Chine : cinq industries/secteurs les plus Chine : tentatives de ciblage et compromission HAFNIUM : secteurs/verticaux les plus ciblés (Avant
ciblés (juillet 2020-juin 2021) réussie (juillet 2020-juin 2021) l’augmentation de l’exploitation d’Exchange Server)
Les cibles les plus fréquentes des menaces d’origine Les acteurs des menaces d’État-nation situés en Chine
chinoise sont les entités gouvernementales du monde ont réussi à compromettre les victimes dans 44 % des
entier. Le ciblage des entités gouvernementales de trois cas. Toutefois, comme il s’agit d’une menace persistante
pays a représenté la moitié des NSN émises et 23 pays avancée, si elle doit cibler une entité pour la collecte de
ont représenté l’autre moitié. renseignements, elle trouvera une autre vulnérabilité à
exploiter pour y accéder.
HAFNIUM a utilisé ces vulnérabilités pour accéder aux le serveur compromis. Les coquilles web permettent
serveurs Exchange locaux, ce qui a permis d’accéder potentiellement aux attaquants de voler des données CVE Description
aux comptes de messagerie et d’installer des logiciels et d’effectuer des actions malveillantes supplémentaires
malveillants supplémentaires pour faciliter l’accès à qui entraînent une plus grande compromission.
CVE-2021-26855 Vulnérabilité SSRF (Server-side request forgery) dans Exchange, qui permettait à
l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que
long terme aux environnements des victimes. Le MSTIC Troisièmement, ils se sont servis de cet accès à distance,
serveur Exchange.
attribue cette campagne avec une grande confiance à qui était généralement exécuté à partir de serveurs
HAFNIUM. Les vulnérabilités exploitées étaient CVE- privés basés aux États-Unis, pour exfiltrer des données
CVE-2021-26857 Une vulnérabilité de désérialisation non sécurisée dans le service de messagerie
2021-26855, CVE-2021-26857, CVE-2021-26858 et du réseau d’une entreprise. Microsoft estime que unifiée.
CVE-2021-27065. HAFNIUM a été associé à l’activité initiale des attaques
0 jour. Toutefois, après l’annonce de la vulnérabilité, CVE-2021-26858 Une vulnérabilité d’écriture de fichier arbitraire après authentification dans
Les attaques comprenaient trois étapes. Tout d’abord, plusieurs acteurs et groupes criminels des États- Exchange.
HAFNIUM a pu accéder à un serveur Exchange nations ont rapidement manœuvré pour tirer profit des
grâce à des mots de passe volés ou en exploitant les vulnérabilités. CVE-2021-27065 Une vulnérabilité d’écriture de fichier arbitraire après authentification dans
vulnérabilités susmentionnées pour obtenir un accès Exchange.
initial. Ensuite, ils ont déployé des coquilles web sur

Le 19 juillet 2021, le gouvernement américain, avec En avril 2021, FireEye a publié un billet de blog et a Une opération mondiale de collecte ses cyberopérations, l’activité de NICKEL a également
ses alliés et partenaires, a pris position contre le reconnu MSTIC pour sa contribution à l’identification de renseignements visé les ministères des affaires étrangères des pays
gouvernement chinois et a publié une déclaration d’une faille Pulse Secure VPN 0 jour qui a été exploitée Après le billet de blog de Microsoft du mois de d’Amérique centrale et du Sud, et de certains pays
selon laquelle la cyberopération malveillante de la par des acteurs de la menace de l’État-nation septembre 2020 sur plusieurs acteurs de menaces européens. Alors que l’influence de la Chine continue
Chine constituait une menace majeure pour la sécurité chinois.46 Microsoft attribue une partie de l’activité à d’États-nations ciblant des renseignements sur les d’évoluer dans la région et avec les pays partenaires de
économique et nationale des États-Unis et de leurs MANGANESE et NICKEL. L’Agence de cybersécurité et élections américaines, ZIRCONIUM n’a pas arrêté ses son initiative « Belt and Road », nous estimons que les
alliés.44 Bien qu’avare de détails techniques, la même de sécurité des infrastructures (CISA) du département activités de collecte.48 À l’approche du jour de l’élection acteurs de la menace chinoise continueront de cibler
déclaration a relié HAFNIUM, avec un haut niveau de la Sécurité intérieure a publié une alerte sur la présidentielle américaine, ZIRCONIUM a continué à des entités pour obtenir des renseignements sur les
de confiance, à des cyberacteurs affiliés à l’agence même activité 0 jour, indiquant qu’elle avait affecté les utiliser des e-mails truqués sur le web, ciblant des investissements, les négociations et l’influence.
de renseignement civil de la Chine, le ministère de la agences gouvernementales américaines, les entités personnes ayant accès à des connaissances sur les
Sécurité d’État. Ces acteurs ont compromis des dizaines d’infrastructures critiques et d’autres entreprises du changements potentiels de la politique américaine.
de milliers d’ordinateurs et de réseaux dans le monde secteur privé, probablement à partir de juin 2020.47 Le 19 juillet 2021, le National Cyber Security Centre
entier dans le cadre d’une campagne massive de La CISA a déclaré qu’après l’exploitation réussie de la du Royaume-Uni a publié une déclaration attribuant
cyberespionnage qui a surtout touché des victimes du faille, l’auteur de la menace s’était servi de son accès APT31, qui est globalement suivi sous le nom de
secteur privé. pour placer des coquilles web sur l’appareil Pulse ZIRCONIUM par Microsoft, au ministère de la Sécurité
Connect Secure pour un accès et une persistance d’État, l’agence de renseignement civil de la Chine.49
Davantage de codes 0 jour et d’autres exploitations supplémentaires.
des vulnérabilités Les cyberopérations de l’État-nation chinois n’ont pas
En juillet, SolarWinds a publié un avis de sécurité pour Outre MANGANESE, MSTIC a remarqué que négligé leurs voisins. Depuis juillet 2020, les activités
CVE-2021-35211, attribuant la notification à Microsoft.45 ZIRCONIUM et deux autres auteurs de la menace liées à CHROMIUM ont ciblé des entités en Inde, en
Microsoft a détecté l’utilisation de code à distance avaient exploité une faille sur des routeurs de petits Malaisie, en Mongolie, au Pakistan et en Thaïlande,
de 0 jour pour exploiter une faille du logiciel FTP bureaux ou de bureaux à domicile dans le monde ainsi que les questions sociales, économiques et
SolarWinds Serv-U dans des entités du secteur de la entier. Ces auteurs de la menace compromettent politiques sensibles concernant Hong Kong et Taïwan.
base industrielle de défense américaine et des sociétés probablement les routeurs afin de les utiliser comme Du point de vue de Microsoft, l’activité de CHROMIUM
de logiciels. Cette activité est attribuée à un groupe infrastructure pour leurs opérations de réseau a été la plus active contre les universités de Hong Kong
opérant depuis la Chine, sur la base de la victimologie, informatique. Ces routeurs compromis se trouvent et de Taïwan, suivie par les entités gouvernementales
des tactiques et des procédures observées. probablement dans la même zone géographique que la et les fournisseurs de télécommunications dans les
cible visée, afin de masquer la surveillance de l’activité autres pays. Outre le fait de cibler les pays voisins, la
associée. collecte de renseignements contre les pays d’Amérique
latine et d’Europe s’est poursuivie à un rythme soutenu.
Outre l’exploitation des dispositifs VPN dans le cadre de
44
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/19/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-
of-china/ ; https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking 45 Avis de sécurité du SolarWinds Trust Center | CVE-2021-35211 46 https://www.fireeye.com/blog/threat-
research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html 47 https://us-cert.cisa.gov/ncas/alerts/aa21-110a 48 https://blogs.microsoft.com/on-the-issues/2020/09/10/cyberattacks-us-
elections-trump-biden/ 49 https://www.ncsc.gov.uk/news/uk-allies-hold-chinese-state-responsible-for-pervasive-pattern-of-hacking Rapport sur la défense numérique de Microsoft | Octobre 2021 62
Iran L’accent est mis sur Israël avec de nouveaux outils accrue de la part d’un nombre croissant de groupes Une approche attentiste à l’égard des États-Unis
d’attaque dans un contexte d’escalade plus large. iraniens ciblant des entités israéliennes, et cette répond probablement à deux objectifs
L’Iran a poursuivi sa série de cyberattaques
Alors que la guerre secrète entre l’Iran et Israël attention s’est accompagnée d’une série d’attaques Malgré l’approche moins agressive de Téhéran à l’égard
destructrices contre ses adversaires régionaux, tout en
s’intensifiait, les cyberacteurs offensifs iraniens ont par rançongiciel. Un acteur de la menace lié à l’Iran, des États-Unis, par rapport à ses adversaires régionaux,
adoptant une approche attentiste à l’égard des États-
porté leur attention sur Israël et ont apporté avec eux que nous suivons sous le nom de RUBIDIUM; a les entités américaines sont restées la principale cible
Unis, dans la perspective d’un allègement des sanctions
le nouvel outil de prédilection de l’Iran, le rançongiciel. probablement mené les campagnes de rançongiciel des acteurs de la menace iranienne, représentant près
dans le cadre des négociations nucléaires après les
L’Iran a également mené des attaques par rançongiciel Pay2Key et N3tw0rm qui ont presque exclusivement de la moitié des NSN que nous avons livrées aux clients
élections américaines.
contre au moins un adversaire des États du Golfe.50 ciblé Israël à la fin de 2020 et au début de 2021, des services cloud. Les cyberopérations iraniennes
Bien qu’il ne soit pas sûr que les acteurs iraniens respectivement. Un des points communs des visant des cibles américaines étaient composées de
utilisent les rançongiciels à des fins financières, dans campagnes de rançongiciel de RUBIDIUM était de cibler deux volets : acquérir des renseignements stratégiques
au moins un cas, ils les ont utilisés comme couverture des entreprises de logistique israéliennes impliquées susceptibles d’éclairer les opinions et la planification de
pour une attaque destructrice en déployant un logiciel dans le transport maritime. Ces cibles indiquent un lien la politique américaine et prendre pied sur des réseaux
malveillant de type suppression des données sur le avec l’objectif plus large de Téhéran de riposter à la susceptibles de fournir à Téhéran des options de
réseau d’une entreprise, tout en exigeant une rançon. 51
pression israélienne. 52
secours au cas où les États-Unis ne parviendraient pas à
Depuis novembre, Microsoft a détecté une attention alléger suffisamment les sanctions.
Nom du groupe
d’activité
Iran
PHOSPHORUS Charming Kitten Iran Communautés diplomatiques et de politique nucléaire, universitaires et
journalistes
CURIUM Houseblend Tortoise Shell Iran Sous-traitants de l’armée et de la défense américaine, services informatiques et
gouvernements du Moyen-Orient.
RUBIDIUM Fox Kitten Parasite Iran Entreprises israéliennes de logistique, services informatiques et de défense
50
https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius ; https://unit42.paloaltonetworks.com/thanos-ransomware/ 51 https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius ; https://www.clearskysec.
com/wp-content/uploads/2020/12/Pay2Kitten.pdf ; https://www.flashpoint-intel.com/blog/second-iranian-ransomware-operation-project-signal-emerges/ 52 https://www.aljazeera.com/news/2021/4/25/top-iranian-commander-hints-at-future-
response-to-isreal ; https://www.timesofisrael.com/eye-for-an-eye-iran-editorial-urges-retaliatory-attack-on-dimona-reactor/ ; https://www.al-monitor.com/originals/2021/04/iranian-military-leader-threatens-israel-following-missile-strike-syria Rapport sur la défense numérique de Microsoft | Octobre 2021 63
À la fin de l’année 2020, PHOSPHORUS a commencé à Auparavant, en 2020, PHOSPHORUS s’était fait passer Iran : pays les plus ciblés (juillet 2020-juin 2021)
cibler des experts en politique nucléaire dans les pays pour des organisateurs de conférences internationales
signataires du Plan d’action global conjoint de 2015, de haut niveau, comme nous l’avons détaillé dans
très probablement pour les renseignements, afin ce blog.54 Chez Microsoft, nous avons détecté que
d’obtenir un avantage dans les discussions anticipées PHOSPHORUS avait envoyé des invitations par
sur l’accord après l’élection du président Biden. e-mail falsifiées avec des liens vers des sites de
PHOSPHORUS a mené une campagne de hameçonnage collecte d’informations d’identification à plus de
d’informations d’identification en se faisant passer 100 experts politiques qui étaient des participants
pour des experts en politique étrangère et nucléaire potentiels, plusieurs d’entre eux ayant été compromis.
et en envoyant des liens vers des articles sur le thème La campagne de hameçonnage d’informations
du nucléaire qui dirigeaient les victimes vers un site d’identification du groupe visait probablement à
de collecte d’informations d’identification. Ils ont acquérir des renseignements pour mieux se positionner
ciblé moins de 25 cadres supérieurs d’organismes de dans l’engagement international.
recherche médicale, comme l’indique Proofpoint , 53
Depuis avril 2021, certains acteurs iraniens ont
mais la grande majorité de la centaine de cibles que également ciblé des entreprises américaines du secteur
nous avons détectées étaient des experts en politique de l’agriculture et des médias, qui sont des cibles peu
nucléaire ou en résolution de conflits, ce qui correspond probables pour Téhéran en matière de renseignement.55
au thème des e-mails de hameçonnage, aux États-Unis, Ces mêmes opérateurs ont employé des rançongiciels
au Royaume-Uni, en France et en Russie. PHOSPHORUS sur d’autres entreprises, ce qui suggère un objectif
a affiné son ciblage sur cette communauté lorsque les potentiel de prévoir des plans d’urgence au cas où les
négociations nucléaires ont débuté à Vienne en avril, en négociations sur le nucléaire ne répondraient pas aux
ciblant notamment les participants diplomates. attentes de Téhéran.
Dans certains cas, le ciblage iranien des entités

américaines que nous avons détecté pourrait être
axé sur la collecte de renseignements, la planification
en cas d’urgence, ou les deux. Au début de l’année,
CURIUM a mené une campagne de harponnage
visant des entreprises qui fournissent des services
informatiques et d’ingénierie aux agences de défense
et de renseignement américaines, probablement
dans le cadre d’une opération de la chaîne
d’approvisionnement visant à accéder à leurs clients.
53
https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential 54 https://blogs.microsoft.com/on-the-issues/2020/10/28/cyberattacks-phosphorus-t20-munich-
security-conference/ 55 DEV-0270 a compromis Agrinos le 30 mai. https://spectre.microsoft.com/#/entry/19f1e6f3fe899dc1f315a9c432c597a3d4518115604afd63c169948ba7bc95cf?nonce=72c1a4aa8705; DEV-0270 a compromis
Cox Media Group le 17 mai. https://spectre.microsoft.com/#/entry/201936a4ffcde2e1eff5d21b43834c7e38631e47e1f66b9ab3bc1e1a135f074f?nonce=2b351540141b Rapport sur la défense numérique de Microsoft | Octobre 2021 64
Flux d’une compromission type de PHOSPHORUS à partir d’un harponnage.
Les conférences, les

congrès et les salons
professionnels sont
reconnus universellement
dans le secteur et au
sein du gouvernement
américain comme un
foyer d’activités de collecte
de renseignements,
tant par les services de
renseignements intérieurs
que par leurs homologues
étrangers. Des individus
sont connus pour recueillir
des informations jetées
à la poubelle, enregistrer
des présentations,
tenter de voler des
produits et solliciter des
renseignements sensibles
auprès des collaborateurs.
Bien que ces événements
aient été généralement
suspendus en raison
des restrictions liées à
la pandémie, les grands
congrès sont de retour au
programme.

Corée du Nord Alimenter un vaste appétit pour les renseignements se trouvaient dans trois pays : la Corée du Sud, les essentielles auxquelles elle cherche à répondre :
La grande majorité des cibles nord-coréennes États-Unis et le Japon. Cependant, les acteurs nord- la communauté internationale continuera-t-elle à
Au cours de l’année écoulée, les acteurs de la menace
constatées par Microsoft visaient des comptes coréens ont également ciblé des universitaires et appliquer strictement les sanctions contre la Corée
nord-coréenne ont été extrêmement actifs par rapport
de consommateurs. La plupart de ces cibles ont des responsables de groupes de réflexion en Europe du Nord ? Quelle est l’influence de la COVID-19 sur
à la taille et aux ressources du pays, ainsi qu’en
probablement été sélectionnées en fonction de la et même en Chine et en Russie, pays généralement la dynamique internationale ? Quelle sera la politique
comparaison avec les autres grands États attaquants.
probabilité qu’elles puissent aider la Corée du Nord considérés comme amis de la Corée du Nord. de la nouvelle administration américaine à l’égard de
Par exemple, au cours du dernier trimestre de 2020, un
à obtenir des renseignements diplomatiques ou la Corée du Nord et comment le partenariat tripartite
peu plus de la moitié des NSN émises par Microsoft
géopolitiques non accessibles au public. Les groupes L’accent mis sur le renseignement diplomatique États-Unis/Corée du Sud/Japon poursuivra-t-il cette
concernaient des acteurs étatiques nord-coréens,
nord-coréens THALLIUM et ZINC ont continué à créer ou géopolitique a probablement été motivé par politique ?
alors que la Corée du Nord est le plus petit des
une grande partie du ciblage observé par Microsoft, l’anxiété de Pyongyang à l’égard des informations
quatre acteurs étatiques les plus prolifiques suivis par
mais ils ont été rejoints par d’autres groupes, comme dans une situation internationale volatile. Le ciblage
Microsoft.
OSMIUM et CERIUM. Ensemble, ces groupes se sont diplomatique a été particulièrement important pendant
concentrés sur les fonctionnaires diplomatiques, les et juste après l’élection américaine. Le fort intérêt de
universitaires et les membres de groupes de réflexion la Corée du Nord pour la collecte de renseignements
du monde entier. La plupart des personnes visées s’explique probablement par plusieurs questions
Nom du groupe
d’activité
Corée du Nord
ZINC Labyrinthe de Lazare Corée du Nord Services publics, entreprises privées, groupes de réflexion, chercheurs en
Chollima sécurité
THALLIUM Kimsuky Velvet Chollima Corée du Nord Groupes de réflexion, fonctionnaires diplomatiques, universitaires
CERIUM Kimsuky Corée du Nord Groupes de réflexion, responsables diplomatiques, universitaires, défense et
aérospatiale.
OSMIUM Konni Corée du Nord Fonctionnaires diplomatiques, groupes de réflexion

La pandémie mondiale crée un nouveau type de Le seul État-nation au monde connu pour voler Un de ces groupes suivis par Microsoft, que nous Une campagne d’ingénierie sociale sophistiquée
cyberattaque des Bitcoins n’avons pas nommé, ciblait souvent les sociétés de visant les chercheurs en sécurité
La COVID-19 est également à l’origine d’une autre Seule parmi les acteurs des États-nations, la Corée du recherche sur les cryptomonnaies ou les blockchains Enfin, la Corée du Nord a également utilisé l’ingénierie
priorité nord-coréenne de l’année dernière : le ciblage Nord a continué l’année dernière à cibler des sociétés avec des campagnes de harponnage, tout en se sociale de manière inédite. Comme l’a rapporté le
des entreprises pharmaceutiques. Comme Microsoft l’a financières dans le but de voler des cryptomonnaies et présentant comme des start-ups en cryptomonnaie ou MSTIC de concert avec Google en janvier57, ZINC a
signalé en novembre 2020 , ZINC et CÉRIUM ont ciblé
56
de la propriété intellectuelle. L’économie de la Corée du en blockchain. ciblé les chercheurs en sécurité avec une campagne
des entreprises pharmaceutiques et des chercheurs Nord, déjà mise à rude épreuve par les sanctions, a été d’ingénierie sociale assez sophistiquée. La campagne
en vaccins dans plusieurs pays, probablement pour soumise à un stress encore plus grand lorsque le pays a consisté à créer pendant des mois de faux profils
accélérer leurs propres recherches sur les vaccins a fermé ses frontières au commerce après l’apparition ressemblant à de véritables entreprises et chercheurs
ou pour obtenir des renseignements sur l’état de la de la COVID-19. Le vol cybernétique lui a offert une en sécurité, avec des sites web et des plateformes
recherche dans le reste du monde. occasion de rattraper les pertes de revenu. de réseaux sociaux pour soutenir ces personnages.
Ce ciblage visait des effets à long terme, au-delà de
l’attaque immédiate. Il a également montré que la
Corée du Nord était plus que capable de comprendre le
Corée du Nord : les 5 secteurs les plus Corée du Nord : tentatives ratées et attaques paysage sécuritaire occidental suffisamment bien pour
visés (juillet 2020-juin 2021) réussies (juillet 2020-juin 2021) s’y fondre.
De nombreux comptes de consommateurs

Les tentatives incessantes de harponnage
étaient probablement des comptes personnels
menées par des groupes tels que THALLIUM ne
d’universitaires, de membres de groupes de
sont pas souvent couronnées de succès, mais
réflexion et de fonctionnaires.
comme elles sont omniprésentes, même un
succès occasionnel donne de gros résultats.
56
https://blogs.microsoft.com/on-the-issues/2020/11/13/health-care-cyberattacks-covid-19-paris-peace-forum/ 57 https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/ Rapport sur la défense numérique de Microsoft | Octobre 2021 67
Vietnam Comme le rapportait le MSTIC en novembre 202058, BISMUTH a soigneusement planifié les attaques, effectuant une
reconnaissance avant de créer des e-mails de harponnage de conception unique pour chaque individu. Parfois, les
Le groupe de menace vietnamien BISMUTH a utilisé des mineurs de cryptomonnaies pour cibler le secteur privé et
acteurs de BISMUTH, semblables aux opérateurs de PHOSPHORUS, correspondaient avec les cibles pour établir une
les institutions gouvernementales en France et au Vietnam. Les mineurs de cryptomonnaies ayant tendance à être
relation avant d’envoyer l’e-mail contenant une pièce jointe malveillante. Après avoir compromis les réseaux, BISMUTH
considérés comme des menaces moins prioritaires par les systèmes de sécurité, BISMUTH a pu profiter du profil
a cherché à obtenir une surveillance continue. Ses cibles comprenaient des organismes de défense des droits de la
d’alerte plus réduit causé par son logiciel malveillant pour se glisser dans les systèmes sans être remarqué.
personne et des droits civils.
Nom du groupe
d’activité
Vietnam
BISMUTH APT32 OceanLotus Vietnam Droits de la personne et organisations civiles
Turquie
SILICON cherche à collecter des renseignements pour les intérêts stratégiques turcs dans une variété de pays,
principalement au Moyen-Orient et dans les Balkans. Sa reconnaissance indique que le groupe se concentre surtout
sur les pays présentant un intérêt stratégique pour la Turquie, notamment l’Arménie, Chypre, la Grèce, l’Irak et la Syrie.
Ce groupe s’en prend régulièrement aux entreprises de télécommunications et d’informatique, probablement pour
s’implanter en amont de la cible visée, et cherche souvent à y accéder en balayant l’infrastructure à la recherche de
vulnérabilités de codes à distance.
Nom du groupe
d’activité
Turquie
SILICONE Sea Turtle UNC1326 Turquie Entreprises de télécommunications au Moyen-Orient et dans les Balkans
58
https://www.microsoft.com/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/ Rapport sur la défense numérique de Microsoft | Octobre 2021 68
Acteurs de l’Université de Toronto, pour désactiver le logiciel

malveillant utilisé par une PSOA basée en Israël que Protections Par conséquent, les stratégies de défense en
profondeur contre les pirates informatiques des
offensifs du complètes
Microsoft appelle SOURGUM, et que Citizen Lab a États-nations doivent permettre aux collaborateurs
identifiée comme Candiru.60 SOURGUM a créé des de comprendre comment éviter de devenir une cible.
secteur privé requises

logiciels malveillants et des codes d’attaque 0 jour L’application des principes Zero Trust à l’ensemble
(corrigés dans CVE-2021-31979 et CVE-2021-33771 )
61 62
des ressources de l’entreprise permet de s’adapter
dans le cadre d’un package de hacking en tant que plus efficacement à la complexité de l’environnement
Un nombre croissant d’entreprises, appelées acteurs service vendu aux agences gouvernementales et Les acteurs des États-nations ont démontré qu’ils moderne, d’adopter la main-d’œuvre mobile et de
offensifs du secteur privé (AOSP), créent et vendent autres acteurs malveillants. Le logiciel malveillant a étaient prêts à tout pour accomplir une mission protéger les personnes, les appareils, les applications et
des cybertechnologies malveillantes qui permettent servi à cibler plus de 100 victimes dans le monde de collecte d’informations ou de renseignements. les données, quel que soit l’endroit où ils se trouvent ou
à leurs clients de s’introduire dans les ordinateurs, les entier, notamment des hommes politiques, des L’habileté et la persistance des acteurs des États- l’ampleur des menaces auxquelles ils sont confrontés.
téléphones et les appareils connectés à Internet. Ces militants des droits de la personne, des journalistes, nations augmentent la difficulté lorsqu’il s’agit de
entreprises privées ne sont peut-être pas des acteurs des universitaires, des employés d’ambassades et détecter les menaces avancées et de protéger les Les attaques des États-nations sont souvent évoluées
étatiques, mais leur modèle économique représente des dissidents politiques. Pour limiter ces attaques, entreprises contre celles-ci. Leur impact peut être très ou peuvent déployer des vulnérabilités 0 jour pour
un défi dangereux et en pleine expansion pour les Microsoft a créé et intégré des protections dans ses étendu et extrêmement dommageable. Ces adversaires accéder aux réseaux. Avec des stratégies de défense
organismes, les entreprises et les consommateurs produits contre ce maliciel unique, que nous appelons sont bien financés, utilisent des techniques d’une en profondeur et la surveillance proactive, le temps
individuels. Ces outils menacent également de DevilsTongue.63 En examinant comment les clients de ampleur et d’une complexité considérables, et sont de maintien de l’acteur peut être largement réduit
nombreux efforts mondiaux en matière de droits de la SOURGUM diffusaient DevilsTongue sur les ordinateurs motivés par des objectifs d’importance nationale. Ils sur un réseau en perturbant éventuellement ses
personne, car ils ont été observés en train de cibler et des victimes, nous avons vu qu’ils le faisaient à l’aide sont donc susceptibles de compromettre les réseaux à activités avant qu’il n’atteigne ses objectifs. Au-delà
de surveiller des dissidents, des défenseurs des droits d’une chaîne de failles qui affectaient les navigateurs des fins imprévues. Plus que tout autre adversaire, les de l’activation de bases fondamentales comme la
de la personne, des journalistes, des défenseurs de la populaires et notre système d’exploitation Windows. attaquants des États-nations ciblent spécifiquement MFA, les services informatiques doivent privilégier les
société civile et d’autres citoyens privés. Nous avons publié les détails du logiciel malveillant des individus pour accéder à leurs connexions, mesures visant à atténuer les mouvements latéraux
et des attaques 0 jour afin que le monde entier puisse communications et informations. À l’issue d’une des pirates informatiques, plus précisément l’hygiène
mieux comprendre l’activité de SOURGUM et s’attaquer opération, ils évalueront ce qui s’est bien passé et ce des informations d’identification et la segmentation
En décembre 2020, les efforts de Microsoft pour
à la menace et l’atténuer. Les entreprises privées qui n’a pas fonctionné, et affineront les tactiques et les du réseau. Pour limiter les dommages causés par
protéger nos clients contre les menaces présentées
doivent rester responsables lorsqu’elles utilisent leurs techniques pour mieux réussir les futures missions. l’exfiltration des données, la gestion des droits
par cette technologie nous ont amenés à déposer un
outils de cybersurveillance pour enfreindre la loi, ou d’information peut être appliquée aux fichiers. La mise
mémoire d’amicus curiae pour soutenir la cause de
lorsqu’elles autorisent sciemment leur utilisation à en place de contrôles de protection sur l’ensemble des
WhatsApp contre la société israélienne NSO Group
de telles fins, quels que soient leurs clients et leurs identités, des dispositifs, des applications, des données,
Technologies (NSO Group), aux côtés de Cisco, GitHub,
objectifs. Microsoft continuera d’identifier, de suivre de l’infrastructure et des réseaux gérés élèvera le seuil
Google, LinkedIn, VMware et Internet Association. Le 59
et de protéger ses clients et l’écosystème numérique pour les attaquants, améliorant ainsi la capacité de
mémoire encourageait le tribunal à rejeter la position
mondial contre les attaques à l’aveugle causées par la votre organisation à détecter les activités anormales
de NSO Group selon laquelle il n’était pas responsable
technologie PSOA et recherchera d’autres méthodes dans l’environnement.
de l’utilisation de ses produits de surveillance et
pour perturber cette menace croissante pour nos
d’espionnage par les gouvernements. Microsoft a
clients.
également travaillé avec Citizen Lab, à la Munk School
59
Mémoire d’amicus curiae 20-12-2020 (microsoft.com) 60 Hooking Candiru: Another Mercenary Spyware Vendor Comes into Focus - The Citizen Lab 61 CVE-2021-31979 - Security Update Guide - Microsoft - Windows Kernel
Elevation of Privilege Vulnerability 62 CVE-2021-33771 - Security Update Guide - Microsoft - Windows Kernel Elevation of Privilege Vulnerability 63 Fighting cyberweapons built by private businesses - Microsoft On the Issues Rapport sur la défense numérique de Microsoft | Octobre 2021 69
CHAPITRE 4
Sécurité de la chaîne d’approvisionnement,

de l’IOT et de l’OT
Introduction
Gestion des risques de l’écosystème de fournisseurs
L’avis de Microsoft sur la chaîne d’approvisionnement
Paysage des menaces de l’IoT et de l’OT
Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT
IoT et développement durable
Stratégie en matière d’IoT

Introduction Gestion des risques de l’écosystème de fournisseurs L’avis de Microsoft sur la chaîne d’approvisionnement Paysage des menaces de l’IoT et de l’OT Sept propriétés des appareils sécurisés
Application de la Confiance Zéro à l’IoT IoT et développement durable Stratégie en matière d’IoT
une opportunité axée sur l’innovation dans un

INTRODUCTION :
paysage d’attaques de plus en plus vaste

MICHAL BRAVERMAN - BLUMENSTYK, VICE - PRÉSIDENT, DIRECTEUR DE LA TECHNOLOGIE, DU CLOUD ET DE LA SÉCURITÉ DE L’IA
Au cours de l’année écoulée, nous avons observé une multitude d’incidents entraînant des perturbations physiques L’ADOPTION
et numériques des opérations de nombreuses organisations. Ces incidents se sont produits parfois sur le domaine
DE L’INTERNET
physique, comme la perturbation des lignes de production et des sous-stations d’énergie, et dans d’autres cas, ils
ont entièrement ciblés le domaine numérique, notamment via une campagne de ransomware. DES OBJETS ET
L’ACCÉLÉRATION
L’examen des surfaces d’attaque exploitées offre prenantes. Aujourd’hui, les cybercriminels considèrent Sécurité OT
des points de vue supplémentaires : qu’il s’agisse de
l’équipement de la technologie opérationnelle héritée
ces systèmes comme des cibles à exploiter, comme en
témoignent récemment les attaques hautement visibles
Les appareils OT, tels que le contrôle industriel, la CONSIDÉRABLE
surveillance hospitalière ou les systèmes de gestion
(OT), des nouveaux appareils de l’Internet des objets
(IoT), des projets apparemment ordinaires de migration
et percutantes de SolarWinds et de Kaseya. Bien que
les menaces et les attaques continuent à s’intensifier, la
de l’eau, représentent l’infrastructure publique dont de DES SERVICES À
nombreuses sociétés dépendent depuis des décennies.
DISTANCE, TANT À
vers le cloud, des initiatives 5G associées à l’IoT, de la complexité de la chaîne d’approvisionnement augmente
Beaucoup tardent à adopter et à exploiter les normes
chaîne d’approvisionnement physique ou de la chaîne les coûts de la défense et la probabilité qu’une exposition
de sécurité modernes. Comme en témoignent les
DOMICILE QUE SUR
d’approvisionnement numérique. Tous ces éléments puisse engendrer des résultats significatifs pour les
récentes attaques contre les services publics de l’eau,
constituent de plus en plus des surfaces d’attaque cybercriminels.
des transports et de l’énergie, les perturbations dans ces
propices. Voici tous les sujets que nous allons aborder
dans ce chapitre.
Sécurité IoT
domaines ont un impact profond et conséquent LE LIEU DE TRAVAIL,
Intégrité de la chaîne
La sécurité de l’Internet des objets est une frontière en Le chapitre aborde les discussions sur la façon dont AUGMENTE LA
pleine croissance géométrique, avec des opportunités les entreprises peuvent comprendre et améliorer leurs
d’approvisionnement axées sur l’innovation et un paysage d’attaques de plus conditions de sécurité au niveau de l’IoT, de l’OT et de
PROBABILITÉ DE
en plus important. L’adoption de l’Internet des objets et la chaîne d’approvisionnement. Nous partageons ces
Les chaînes d’approvisionnement, physiques et
numériques, sont explicitement tributaires de la confiance,
l’accélération considérable des services à distance, tant
à domicile que sur le lieu de travail depuis le début de
discussions sur nos perspectives axées sur les données
liées au paysage des menaces de l’IoT et de l’OT, les
CONCRÉTISATION
et les cybercriminels en ont bien conscience. Au cours de
la dernière décennie, les entreprises prospères ont été en
la pandémie de COVID-19, augmente la probabilité de
concrétisation des risques. Il s’agit d’une tendance qui se
conclusions des recherches de l’équipe Azure Defender
for IoT, des initiatives mondiales telles que la Global Cyber
DES RISQUES.
mesure de répondre aux exigences d’échelle, d’efficacité
poursuivra à mesure que les technologies comme la 5G et Alliance, etc.
et de rapidité en concevant de vastes écosystèmes,
les applications IoT innovantes se généralisent.
souvent complexes, pour offrir de la valeur aux parties

Défis liés à la gestion des risques

associés à l’écosystème des Les propos que nous entendons
fournisseurs Récemment, l’équipe de sécurité, de conformité et de gestion de Microsoft M365 a organisé un événement
pour discuter des défis et des besoins stratégiques des dirigeants (CISO, DSI, Vice-présidents/responsables
de l’IT et de la gouvernance, etc.) et de leurs organisations pour mieux comprendre leurs expériences en
À mesure que se développe l’externalisation des applications, de l’infrastructure, des appareils et du capital humain,
matière de sécurité et de gestion des risques. Voici quelques-unes de nos conclusions :
l’adoption d’outils permettant de surveiller plusieurs niveaux de fournisseurs en matière de risques de qualité, de
sécurité, d’intégrité et de résilience augmente également, et le grand nombre d’infrastructures et d’approches
actuellement mis en place par les organisations continue de croître en parallèle. Une complexité supplémentaire 1. La sélection et la gestion des fournisseurs sont déterminées par de nombreux facteurs, ce qui nuit
apparaît lorsque des infrastructures sont appliquées de manière incohérente au sein d’une organisation et entre les à la clarté et limite la confiance, dans la mesure où un grand nombre de personnes rencontrent des
fournisseurs, ou si plusieurs infrastructures sont en jeu. difficultés pour connaître leur environnement.
Les organisations doivent trouver un équilibre entre la protection contre la responsabilité humaine, les
problèmes inhérents au travail hybride, à la pratique informatique non conventionnelle (applications et
Une évaluation et une gestion des risques cloisonnées peuvent créer des problèmes supplémentaires. Les diverses
services inconnus ou non gérés et infrastructures conçus et gérées en dehors des stratégies habituelles),
équipes établissent des priorités différentes, en engendrant des appétits, des priorités, des pratiques et des cultures de
à la diversité de leur domaine numérique et aux menaces et vulnérabilités en constante évolution. Pour
risque complètement différents. Cette incohérence peut être inefficace et dédoubler les efforts, compromettre l’analyse
compliquer les choses, plusieurs intervenants ont leur mot à dire sur la sélection des fournisseurs. La sécurité
des risques ainsi que le partage efficace des informations sur les risques dans l’ensemble de l’entreprise.
n’est qu’un des facteurs pris en considération et elle est rarement une priorité, même s’il s’agit d’un domaine
nécessitant une attention immédiate. Les organisations se retrouvent avec de longues listes de fournisseurs
Une approche permanente, automatisée et intégrée
Les environnements cloisonnés posent des (certains inconnus) à gérer, souvent avec une enquête limitée sur leur situation et leurs pratiques en termes
est nécessaire, mais les processus actuels ne sont pas
défis à l’évaluation et à la gestion des risques de sécurité. Par ailleurs, travailler dans le cadre d’un contrat conclu avec un fournisseur limite souvent les
adaptés à l’évolution :
évaluations. Par conséquent, il est difficile d’avoir la visibilité souhaitée et de faire confiance aux fournisseurs.
• Les processus d’évaluation et d’examen des
fournisseurs ne comprennent souvent qu’un 2. La gestion proactive d’un écosystème de fournisseur est idéale, mais complexe. Les fournisseurs
questionnaire. essentiels désignés doivent faire l’objet d’une attention particulière en raison du risque potentiel
• Une fois qu’un fournisseur est intégré, il n’y a qu’ils présentent.
qu’un cycle d’évaluation annuel. Les organisations sont souvent forcées d’adopter une approche fractionnée de la gestion des risques des
fournisseurs, proactive lorsque c’est possible, mais généralement plutôt réactive. Les approches réactives
• Souvent, différentes équipes au sein d’une
sont le résultat de budgets et de ressources limités, ainsi que de projets pour lesquels la sécurité n’est pas
même entreprise ont différents processus et
prise en considération. Pour s’assurer d’avoir une protection aussi complète que possible, les organisations
fonctions, mais aucun moyen clair de partager
sont plus strictes avec les fournisseurs essentiels (par exemple, lorsqu’ils jouent un rôle essentiel dans
des informations entre elles. Il est ainsi difficile
l’activité de l’organisation), avec moins de flexibilité et plus de surveillance.
d’établir une vision holistique et automatisée des
risques organisationnels.

L’avis de Microsoft Neuf domaines d’intérêt

concernant la sécurisation de la
sur la chaîne
3. Les dirigeants d’entreprises consacrent plus de ressources à la sécurité des fournisseurs, mais les
récentes violations ont démontré que les modèles classiques ne pouvaient plus garantir la sécurité. chaîne d’approvisionnement
d’approvisionnement
Les équipes informatiques apprécient l’afflux de budget et de ressources suite aux violations de SolarWinds Voici un cadre pour évaluer efficacement votre écosystème
et Colonial Pipeline. Cette appréciation s’accompagne d’une appréhension tout aussi importante. Ces de chaîne d’approvisionnement en tenant compte de la
violations ont démontré que les stratégies qu’elles mettent en œuvre ne les protégeraient probablement pas façon dont vous pouvez aborder la protection de celle-
contre une attaque similaire et que des évaluations continues, ainsi que des mesures correctives appliquées La chaîne d’approvisionnement end-to-end et l’écosystème ci. Nous regroupons nos investissements en neuf flux
aux différents niveaux de fournisseurs sont nécessaires. des fournisseurs sont complexes et opaques, allant du de travail de chaîne d’approvisionnement sécurisé afin
développement à la construction, des puces aux progiciels, d’évaluer méthodiquement les risques d’exposition et de les
4. Le gestion des fournisseurs exige essentiellement une plus grande visibilité et des solutions des pilotes, du système d’exploitation, des applications atténuer dans chaque domaine.
uniques. tierces, de la fabrication/de l’usine, jusqu’à la sécurisation
Au sein des quatre piliers clés des domaines numériques (les personnes, les applications, les infrastructures des mises à jour. Les administrations et les fournisseurs 1. Systèmes d’ingénierie internes dédiés au matériel et
et les appareils), le personnel des fournisseurs constitue la principale préoccupation. Dans cette hiérarchie d’infrastructures critiques recherchent une meilleure aux logiciels
des risques, les entreprises attendent des fournisseurs qu’ils proposent : assurance pour la sécurité et la continuité de la chaîne Les entreprises de développement logiciel importantes
• Une plus grande visibilité sur la sécurité et les personnes qui accèdent aux données de l’organisation. d’approvisionnement. Il est important qu’un processus ne sont pas les seules à effectuer des travaux d’ingénierie.
répétable continue à évoluer à mesure que les entreprises Même les petits ateliers informatiques sont susceptibles de
• Des solutions personnalisées qui démontrent une connaissance pratique du secteur et des besoins
poursuivent leur innovation. La rigueur de la sécurité de la réaliser des investissements de développement minimes et
spécifiques de l’entreprise.
chaîne d’approvisionnement est fondée sur la façon dont les organisations qui utilisent une infrastructure existante
une organisation doit travailler et est attendue par les ont des équipes chargées de rédiger du code.
partenaires et les clients qui interagissent avec les produits
et services d’une entreprise.
Modèle de sécurité Confiance Zéro pour les risques liés à l’écosystème Neuf domaines d’investissement garantissant une chaîne d’approvisionnement sécurisée end-to-end
de fournisseurs
Il est impératif de disposer de solutions personnalisées pour la gestion des risques liés aux fournisseurs, et d’avoir une
plus grande visibilité sur les personnes ayant finalement accès aux données et aux ressources d’une organisation dans
ces domaines. Bien que le parcours de Confiance Zéro puisse commencer de différentes façons, du point de vue de la
gestion de l’écosystème de fournisseurs et des risques, l’instauration de l’authentification multifacteur (MFA) doit être
une priorité.
Pour en savoir plus sur la stratégie Confiance Zéro, consultez le chapitre Sécurité de la main-d’œuvre hybride de
ce rapport.

Pour produire des logiciels ou du matériel sécurisé, Build : sans protections appropriées, le pipeline 3. Sécurité physique UTILISER LE MACHINE LEARNING POUR
les entreprises doivent s’assurer que le système de build présente des risques de compromis Les organisations doivent définir, mettre en œuvre SURVEILLER EN CONTINU LA SÉCURITÉ DES
d’ingénierie interne est protégé contre les différents de produits susceptibles d’être très efficaces et et gérer les contrôles de sécurité appropriés afin de
FOURNISSEURS
vecteurs de menace susceptibles d’être exploités par les difficiles à tracer. Bien que le contrôle de code garantir la sécurité
Microsoft exploite le Machine Learning (ML) pour
cybercriminels. source dispose généralement d’une certaine
analyser les contrats des fournisseurs actifs. Ce
forme de gestion du changement, en l’absence de 4. Sécurité de l’industrie modèle est formé pour reconnaître les clauses de
Environnement de développement : contrôles appropriés dans un système de build, Les normes industrielles doivent être définies sécurité communément négociées et déterminer si
l’environnement de développement comprend il peut être difficile d’identifier ce qui peut être et appliquées pour permettre la détection des elles répondent à l’objectif de l’exigence initiale. Les
les outils et les plateformes sur lesquels les injecté au cours du processus de création. cyberattaques, la protection contre celles-ci et la résultats de cette analyse continue sont exploités pour
développeurs créent du code, tels que les récupération. Les entreprises doivent également conseiller les tiers opérant dans nos environnements et
systèmes d’exploitation, les éditeurs de code, les Mise en production : procéder à la mise en s’assurer que les échantillons ou les prototypes sont s’assurer que leurs attentes et leurs responsabilités sont
outils de recherche (par exemple, les navigateurs production prévue est l’objectif ultime d’une manipulés et stockés en toute sécurité, et qu’une clairement définies.
et les sites Web associés), les outils de création chaîne d’approvisionnement logicielle sécurisée. surveillance adéquate est instaurée pour suivre et
locaux et d’autres outils de création de code. L’énumération des entrées et la vérification du maintenir la chaîne de surveillance pour tous les
La cible la plus convoitée est l’identité du produit final nécessitent une compréhension éléments propriétaires ou les produits finis.
développeur. Des solutions doivent être mises en globale de systèmes complexes et constituent
Surveillance continue de la sécurité à l’aide du
place pour atténuer ce risque. une phase finale essentielle, grâce auxquelles les Machine Learning
5. Sécurité logistique
organisations savent ce qu’elles publient. Les fonctions logistiques doivent être sauvegardées
Code source : le risque de code malveillant peut pour éviter toute altération, perte ou vol des produits
survenir lorsque les développeurs prennent du 2. Sécurité des firmwares et des pilotes pendant le transport et le stockage. Les équipes
code source et des binaires à partir de diverses Le firmware et les pilotes constituent la base de la chargées du matériel et des appareils doivent appliquer
sources, notamment des sources internes, des plupart des appareils matériels. S’ils sont piratées et des contrôles opérationnels et d’infrastructures
logiciels open source (OSS) ou auprès d’une autre intégrés à un logiciel malveillant, ils présentent un appropriés auprès des fournisseurs afin de garantir la
organisation. Chaque source doit présenter un risque énorme pour l’appareil matériel et l’organisation sécurité et la conformité aux normes de l’entreprise de
niveau de confiance garanti et connu pour avoir qui en dépend, en créant un accès non autorisé, et la réception, de l’expédition, du stockage et d’autres
sécurisé correctement les contrôles de chaîne en le rendant inutilisable ou même impossible à nœuds de gestion logistique.
d’approvisionnement. Dans la plupart des cas démarrer. Les organisations doivent s’assurer que tous
de logiciel malveillant OSS signalés, le logiciel les firmwares et les pilotes installés sur des serveurs 6. Sécurité des fournisseurs
malveillant est conçu pour voler les informations ou des équipements à la disposition des utilisateurs Lorsqu’elles s’engagent auprès des fournisseurs, les
d’identification du développeur et créer des respectent les exigences de sécurité requises et entreprises doivent s’assurer que ceux-ci respectent les
variables d’environnement, en les exfiltrant vers disposent de la documentation nécessaire pour prouver exigences bien définies de sécurité et de confidentialité
un serveur contrôlé par un cybercriminel distant. leur conformité. tout au long de leur partenariat.
En savoir plus :
Transformation des relations de Microsoft avec ses

58 000 fournisseurs – Blog sur les tendances internes

7. Validations et garanties de sécurité 9. Surveillance et détections Décret des États-Unis divulgation des vulnérabilités et à d’autres pratiques.
La nature active des cybercriminels nécessite une Chacun des domaines d’intérêt de la chaîne Pour les utilisateurs de logiciels de l’agence fédérale
évaluation continue des conditions de sécurité de la d’approvisionnement susmentionné nécessite
et sécurité de la chaîne bénéficiant d’un accès privilégié ou d’autres attributs
chaîne d’approvisionnement end-to-end pour identifier des mesures de surveillance, de détection et de d’approvisionnement qui les rendent particulièrement critique, l’EO impose
et hiérarchiser les investissements en matière de suivi lorsqu’une activité douteuse est identifiée. La Publié le 12 mai 2021, le décret (EO) sur l’amélioration des mesures de sécurité, publiées par le National
sécurité. Un mélange d’audits internes, d’enseignements surveillance, la détection et la réponse initiale sont de de la cybersécurité du pays (EO 14028) décrit de Institute of Standards and Technology (NIST) en juillet,
tirés des récents événements et de tests de pénétration plus en plus automatisées dans les opérations cloud nouvelles étapes importantes pour les agences pour gérer les risques opérationnels. Microsoft a
garantit que les contrôles appropriés sont établis pour hyperévolutives d’aujourd’hui. Ces actions couvrent des fédérales américaines et leurs fournisseurs de longtemps investi dans le développement de bonnes
détecter, prévenir et/ou atténuer ces attaques. Les cas courants, mais peuvent également être adaptées technologies, afin de renforcer la modernisation pratiques pour le développement logiciel sécurisé, les
résultats de ces engagements permettent d’identifier la pour traiter des scénarios nouveaux ou insoupçonnés. de l’IT, d’améliorer la réponse aux incidents et de tests logiciels et les programmes de divulgation et de
prochaine série d’exigences à aborder. renforcer la sécurité de la chaîne d’approvisionnement gestion des vulnérabilités. Nous avons contribué aux
En savoir plus : logicielle. 66
La section 4 se concentre sur la sécurité efforts visant à définir des pratiques et des normes
8. Gouvernance et résilience de la chaîne de de la chaîne d’approvisionnement logicielle, en consensuelles au sein du secteur, notamment via
Sécurité des firmwares - Azure Security | Microsoft Docs
confiance énumérant les domaines d’exigences à développer SAFECode,68 ISO, 69et NIST.70 Avec GitHub, Microsoft a
(6/24/2021)
Les clients font confiance à leurs fournisseurs pour pour les fournisseurs de logiciels et les utilisateurs de également contribué aux efforts déployés pour élaborer
Sécurité des logiciels open source de Microsoft les bonnes pratiques et les spécifications pour définir
les protéger à mesure qu’ils utilisent leurs produits logiciels de l’agence fédérale. Pour les fournisseurs de
et services. Les chaînes de confiance internes Présentation de la sécurité des datacenters - Microsoft logiciels, l’EO impose des exigences visant à améliorer les cas d’utilisation et faciliter la livraison de SBOM, qui
fournissent l’identité, l’intégrité et la non-répudiation Service Assurance | Microsoft Docs (8/23/2021) la capacité à résister à la falsification ou aux attaques identifient la composition des logiciels et permettent
de la plateforme, des produits et des services de Sécurité physique des datacenters Azure - Microsoft et à favoriser une plus grande transparence des aux fournisseurs de logiciels d’associer des informations
l’organisation. Les principaux éléments des chaînes azure | Microsoft Docs (7/10/2020) composants, notamment grâce à des pratiques et des à des composants. Microsoft et GitHub appuient la
de confiance sont l’infrastructure à clé publique, les environnements de développement logiciel sécurisés, fourniture de SBOM pour procéder aux contrôles de
Sécurité de la chaîne d’approvisionnement - Microsoft
algorithmes de chiffrement, le matériel, ainsi que les à l’utilisation d’outils ou de processus dédiés à la vulnérabilité et d’intégrité. Nous nous engageons à tirer
Research
équipes et les installations associées. Une gouvernance vérification logicielle et aux contrôles de vulnérabilité, parti des SBOM afin de stocker davantage de preuves
Microsoft Security Development Lifecycle de l’intégrité de la chaîne d’approvisionnement end-to-
efficace des chaînes de confiance tierces est essentielle. à la fourniture d’informations sur la nomenclature
logicielle, à la participation à un programme de end.
En savoir plus :
Apprenez à connaître vos fournisseurs Microsoft et NIST collaborent sur EO pour faciliter l’adoption de la Confiance Zéro | Blog Microsoft dédié à la sécurité
(8/17/2021)
et comprenez leurs chaînes CYBER EO | Microsoft Federal
d’approvisionnement. Microsoft - Executive Order - NIST workshop position paper 4- Testing software source code Microsoft Corporation.pdf
Microsoft - Executive Order - NIST workshop position paper 5- Software integrity chains Microsoft Corporation.pdf
Approche de Microsoft envers la divulgation de vulnérabilités coordonnée
NTIA_RFC_SBOM_Minimum_Elements_MSFT_Response_061721.docx.pdf
66
Décret sur l’amélioration de la cybersécurité du pays | La Maison Blanche 67Mesures de sécurité pour l’utilisation de logiciels essentiels à l’EO | NIST
68
Pratiques fondamentales pour le développement logiciel sécurisé, troisième édition - SAFECode 69 ISO-ISO/IEC 27034-1:2011 - technologies de l’information
— Techniques de sécurité — Sécurité des applications — partie 1 : présentation et concepts 70 Cadre de développement logiciel sécurisé | CCRS (nist.gov) Rapport sur la défense numérique de Microsoft | Octobre 2021 75
Paysage des a entraîné une situation dangereuse, dans laquelle Évolution des cybermenaces
71
les cybercriminels ont obtenu un accès non autorisé
menaces de l’IoT
Les entreprises doivent faire face à l’évolution des
et ont utilisé le logiciel du système SCADA pour
cybermenaces et des logiciels malveillants innovants.
augmenter la concentration d’hydroxyde de sodium,
et de l’OT
Ces problèmes concernent les attaques de la
un produit chimique caustique, dans l’eau. Le piratage
chaîne d’approvisionnement, telles que HAVEX73 et
d’un fournisseur de caméras de sécurité72 a exposé des
SolarWinds,74 les logiciels malveillants ciblant les
images sensibles provenant d’hôpitaux, de services de
systèmes de commande industriels (ICS) 0 jours tels
De nos jours, les solutions efficaces dépendent souvent police et de nombreuses autres entreprises.
que Triton75 et Industroyer,76 les logiciels malveillants
de la convergence de nombreux composants, y compris
sans fichier,77 et les tactiques qui « exploitent les
le matériel, les logiciels et les services cloud, qui sont Tous ces développements soulignent la nécessité pour
ressources » à l’aide d’outils d’administration standard,78
souvent réunis dans une solution IoT. L’Internet des les organisations de sécuriser leurs empreintes IoT et
qui sont plus difficiles à repérer car ils se fondent dans
objets va plus loin que des appareils connectés, il OT. Les organisations sont plus interconnectées que
les activités quotidiennes légitimes. La fréquence et la
englobe les données collectées par ces appareils et les jamais, en exposant davantage les appareils et les
gravité de ces attaques ont également augmenté au
informations puissantes et immédiates qui peuvent environnements OT hérités, y compris ceux qui étaient
cours de l’année écoulée.
être tirées de ces données. Par conséquent, l’Internet relativement isolés. D’autre part, les nouveaux appareils
des objets et d’autres systèmes intégrés et OT sont IoT (tels que les téléviseurs intelligents et les capteurs
Du point de vue technique, l’attaque Triton contre les
devenus des sujets critiques pour les entreprises, les intelligents) résident dans des environnements OT
contrôleurs de sécurité d’une installation pétrochimique
opérations et la sécurité. Plus que jamais, la sécurité et IT. Tous ces éléments réunis, en plus du contexte
au Moyen-Orient visait à causer des dommages
de l’IoT et de l’OT sont des sujets abordés dans les supplémentaire de préoccupations en matière de
structurels importants à l’installation et des pertes
salles de réunion d’entreprise et les discussions de l’État confidentialité et de conformité réglementaire, souligne
éventuelles en vies humaines. Les pirates ont obtenu
et de la législature fédérale. Elle constitue un enjeu la nécessité d’une approche holistique qui garantit une
leur point d’ancrage initial dans le réseau informatique
prioritaire, en partie en raison de la fréquence et de la sécurité et une gouvernance optimales sur tous les
et ont ensuite utilisé des tactiques qui « exploitent les
gravité croissantes des attaques au cours de l’année appareils OT et IoT.
ressources » pour accéder à distance au réseau OT, où
écoulée. Cette prolifération des attaques a également
ils ont déployé leurs logiciels malveillants spécialement
entraîné une prise de conscience accrue de la mesure En savoir plus :
conçus à cet effet.
dans laquelle les cyberattaques ciblant le domaine
Piratage SCADA : les attaques SCADA/ICS les plus
numérique peuvent avoir un impact sur le domaine
importantes de l’histoire (hackers-arise.com) (4/12/2021)
physique : l’attaque de Colonial Pipeline a conduit
directement à l’arrêt du plus grand conduit d’essence
aux États-Unis. Le compromis de la station d’eau
potable d’Oldsmar
71
Lessons Learned from Oldsmar Water Plant Hack – Security Today 72 Hackers breach Verkada’s giant trove of security-camera data collection | Fortune 73 https://en.wikipedia.org/wiki/Havex 74
https://msrc-blog.microsoft.com/2020/12/13/
customer-guidance-on-recent-nation-state-cyber-attacks/ 75
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html 76
https://www.zdnet.com/article/industroyer-an-in-depth-look-at-the-
culprit-behind-ukraines-power-grid-blackout/ 77
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats 78
PowerShell, Windows Management Instrumentation Rapport sur la défense numérique de Microsoft | Octobre 2021 76
Comment un pirate peut-il accéder aux ressources d’une entreprise

grâce à l’Internet des objets ?

La situation observée : les logiciels malveillants relatifs à l’IoT dans la nature
Distribution des services de commande et de contrôle de l’IoT par pays Distribution de l’architecture CPU des logiciels malveillants de l’IoT (juillet 2020 – juin 2011)
(juillet 2020 – juin 2021)
Les meilleurs logiciels malveillants relatifs à l’IoT détectés dans la nature

(juillet 2020 - juin 2021)

Résultats : vulnérabilités IoT et Nos recherches ont montré que les mises en œuvre Voici un exemple de BadAlloc :
d’allocation de mémoire écrites au fil des ans dans
OT au sein du secteur le cadre des appareils de l’Internet des objets et des
L’équipe Microsoft Defender for IoT effectue des logiciels intégrés ne présentaient pas les validations
recherches sur différents types d’équipements, d’entrée appropriées. Sans ces validations d’entrée,
allant des contrôleurs de systèmes de commande un pirate pourrait exploiter la fonction d’allocation
industriels hérités aux capteurs IoT de pointe. Lors de de mémoire pour effectuer un débordement de tas,
la découverte d’une vulnérabilité, les résultats sont entraînant l’exécution de code malveillant sur un
partagés avec les fournisseurs appropriés grâce à appareil cible.
un processus de divulgation responsable mené par
Microsoft Security Response Center et le Département Les vulnérabilités d’allocation de mémoire peuvent
de la sécurité intérieure des États-Unis (DHS), en vue de être appelées en appelant la fonction d’allocation de
permettre à ces fournisseurs d’enquêter et de remédier mémoire, telle que malloc (VALUE), avec le paramètre
à cette vulnérabilité. VALUE dérivé de manière dynamique à partir d’une
entrée externe, en étant suffisamment important pour
En avril 2021, nous avons découvert une série de déclencher un dépassement d’entier ou un wraparound.
vulnérabilités d’allocation de mémoire critiques Le concept est le suivant : lors de l’envoi de cette
au niveau d’appareils IoT et OT susceptibles d’être valeur, le résultat renvoyé est une mémoire tampon
exploitées par les cybercriminels pour contourner les récemment allouée. Bien que la taille de la mémoire
contrôles de sécurité et exécuter du code malveillant allouée reste faible en raison du wraparound, la charge
ou provoquer un crash du système. Le groupe utile associée à l’allocation de mémoire dépasse la
de vulnérabilités a été surnommé BadAlloc. Ces mémoire tampon allouée réelle, en provoquant un
vulnérabilités d’exécution de code à distance affectaient débordement de tas. Ce débordement de tas permet à
un large éventail d’industries et de marchés verticaux, un pirate d’exécuter du code malveillant sur l’appareil
notamment l’IoT de consommation et médical, cible.
l’IoT industriel, l’OT et les systèmes de commande
industriels. Plus de 25 vulnérabilités et expositions BadAlloc est un cas qui illustre l’impact considérable
courantes (CVE) ont été découvertes. Dans le contexte de ces vulnérabilités, car le risque existe au niveau des
des environnements informatiques, l’exploitation de appareils IoT et OT dans tous les principaux secteurs
La protection des appareils IoT et OT contre l’exposition de garantir que les environnements numériques
ces vulnérabilités peut compromettre la confidentialité. d’activité. Cet exemple illustre l’un des plus grands défis
aux risques informatiques devient plus importante à modernes ne sont pas freinés par les menaces
Dans le contexte des environnements OT, elle peut être en matière d’atténuation des risques informatiques,
mesure qu’ils convergent. Trop souvent, ces risques provenant de la technologie héritée connectée aux
utilisée pour perturber les opérations. IoT et OT : ils partagent les surfaces d’attaque, et les
sont abordés isolément avec une approche rigide et systèmes OT. L’atténuation nécessite une approche
cybercriminels examinent l’ensemble de l’écosystème.
cloisonnée. Pour réussir à contrer les attaques, les intégrée qui s’étend à l’ensemble de l’entreprise. Les
Les vulnérabilités proviennent de l’utilisation de
risques doivent être traités de manière holistique tout organisations doivent rechercher des opportunités de
fonctions de mémoire vulnérables, telles que malloc,
en conciliant l’expertise du domaine dans chaque renforcer, corriger ou segmenter les systèmes afin de
calloc, realloc, memalign, valloc, pvalloc et d’autres.
domaine. Il est également essentiel réduire la surface d’attaque.

Matrice d’impact de BadAlloc Atténuer les vulnérabilités IoT et OT telles que Segmenter. La segmentation du réseau est importante
BadAlloc pour la Confiance Zéro, car elle limite la capacité
de l’attaquant à se déplacer latéralement et à
Nous recommandons les stratégies d’atténuation
compromettre les ressources après l’intrusion initiale.
suivantes aux organisations utilisant des appareils IoT
Les appareils IoT et les réseaux OT doivent être isolés
et OT :
des réseaux informatiques de l’entreprise à l’aide de
Correctif, correctif, correctif. Suivez les instructions du pare-feu.
fournisseur pour appliquer des correctifs aux produits
concernés. En savoir plus :
Si vous n’appliquez pas de correctif, surveillez-les. Éliminer les vulnérabilités de l’internet des objets à l’aide
de tests de performance CIS et d’Azure Defender for IoT –
Étant donné que la plupart des appareils IoT et OT
Communauté technique Microsoft (8/8/2021)
hérités ne prennent pas en charge les agents, utilisez
une solution de détection et de réponse aux menaces
du réseau (NDR) compatible avec l’IoT et l’OT79 et une
solution SIEM/SOAR80 pour découvrir automatiquement
et surveiller en permanence les comportements
anormaux ou non autorisés sur les appareils, comme
la communication avec des hôtes locaux ou distants
BadAlloc est un exemple de vulnérabilités IoT/OT qui présente un risque dans tous les secteurs d’activité.
inconnus. Ces éléments sont essentiels à la mise en
L’étendue et la nature du risque dépendent du contexte spécifique de l’utilisation de l’appareil. BadAlloc
œuvre d’une stratégie Confiance Zéro pour l’IoT/OT.
ne doit pas être considérée comme un problème OT ou IT. Les organisations doivent adopter une
approche holistique pour atténuer les risques.
Réduire la surface d’attaque. Éliminez les connexions
Internet inutiles aux systèmes de contrôle OT et mettez
en œuvre un accès de réseau privé virtuel (VPN) avec la
MFA lorsque l’accès à distance est nécessaire. Le DHS
des États-Unis avertit que les appareils VPN peuvent
également présenter des vulnérabilités et doivent être
mis à jour à la version la plus récente.
79
https://azure.microsoft.com/en-us/services/azure-defender-for-iot/ 80 https://azure.microsoft.com/en-us/services/azure-sentinel/ Rapport sur la défense numérique de Microsoft | Octobre 2021 80
Les 7 propriétés Racine matérielle

L’identité et l’intégrité des appareils sont protégées par le matériel. Les contre-mesures physiques résistent aux attaques par
des appareils
canal auxiliaire.
fiable L’appareil dispose-t-il d’une identité unique et infalsifiable, indissociable du matériel ? L’intégrité du logiciel de
hautement
l’appareil est-il sécurisé par le matériel ?
Plusieurs mesures d’atténuation appliquées contre les menaces. Les contre-mesures atténuent les conséquences d’une attaque
sécurisés
Défense en réussie sur un seul vecteur.
profondeur L’appareil reste-t-il sécurisé même en cas de violation d’un mécanisme de sécurité ?
Nous vous suggérons de veiller à ce que le matériel et le

Clés privées stockées dans un coffre muni d’une protection matérielle, inaccessibles aux logiciels. Division du logiciel en couches
système d’exploitation de vos appareils et de ceux de vos Base informatique auto-protectrices.
fournisseurs soient conçus et mis en œuvre de manière sécurisée Le code d’application de la sécurité de l’appareil est-il protégé contre les bogues d’autres logiciels sur l’appareil ?
sécurisée, qu’ils présentent des protections élevées contre
les compromis et qu’ils intègrent des mécanismes et des
Les obstacles appliqués par le matériel entre les composants logiciels empêchent la violation de l’un de se propager aux autres.
processus qui surveillent, alertent et restaurent la sécurité
Compartiments Une défaillance d’un composant de l’appareil est-elle contenue dans ce composant ? De nouveaux compartiments
en cas de besoin.
dynamiques peuvent-ils être ajoutés au domaine pour répondre aux nouvelles menaces de sécurité ?
Grâce à des recherches et des tests approfondis, Microsoft
a identifié les sept propriétés présentes dans tous les Le jeton signé par une clé de chiffrement infalsifiable prouve l’identité et l’authenticité de l’appareil.
appareils autonomes connectés à Internet, considérés Authentification
L’appareil s’authentifie-t-il avec des certificats ou d’autres jetons signés par la racine matérielle de confiance ?
comme hautement sécurisés. Dans de nombreux cas, sans mot de passe
ces appareils hautement sécurisés appliquent des
mesures de sécurité supplémentaires. Dans tous les cas Une erreur logicielle, telle qu’un dépassement de tampon induit par un sondage de sécurité d’un cybercriminel, est signalée
néanmoins, chacune des sept propriétés est présente. dans le système d’analyse des défaillances basé dans le cloud.
Collectivement, ces sept propriétés fournissent un Rapports d’erreurs L’appareil signale-t-il les erreurs à analyser pour permettre la vérification de l’exactitude de l’exécution des appareils sur
point de référence de la sécurité sur l’ensemble des le terrain et de l’identification de nouvelles menaces ?
appareils, des architectures logicielles et des systèmes
d’exploitation, des communications cloud et des services
Les mises à jour permettent de renforcer la sécurité des appareils et de révoquer les ressources compromises par des
cloud. La complexité du maintien des sept propriétés
Sécurité vulnérabilités connues ou des failles de sécurité.
peut constituer un obstacle pour certaines organisations,
malgré le coût exceptionnel qui résulte souvent des
renouvelable Le logiciel de l’appareil est-il mis à jour automatiquement ? Le logiciel de sécurité TCB de l’appareil peut-il être mis à
jour rapidement sans reconditionner d’autres codes sur l’appareil ?
conséquences d’une sécurité incomplète des appareils.

Application Une fois les exigences de sécurité de base satisfaites,

vous pouvez vous concentrer sur les exigences de
Mises à jour continues permettant de préserver
l’intégrité des appareils
d’une approche
Confiance Zéro spécifiques appliquées aux solutions de Utilisez une solution de gestion de la conformité et
l’Internet des objets : de configuration centralisée, ainsi qu’un mécanisme
de Confiance
de mise à jour robuste pour garantir la mise à jour et
l’intégrité des appareils.
Zéro aux
Identité forte pour authentifier les appareils
Enregistrez les appareils, émettez des informations
Surveillance de la sécurité et réponse pour détecter
solutions IoT
d’identification renouvelables, utilisez une
et remédier aux menaces émergentes
authentification sans mot de passe et utilisez une racine
Utilisez une surveillance proactive pour identifier
matérielle de confiance afin de pouvoir faire confiance
rapidement les appareils non autorisés ou compromis.
à son identité avant de prendre des décisions.
La sécurisation des solutions IoT avec un modèle
de sécurité Confiance Zéro81 commence par des En savoir plus :
Accès de privilège minimum pour atténuer la zoner
exigences spécifiques non liées à l’IoT, en veillant d’impact Azure Defender for IoT | Microsoft Azure
spécifiquement à la mise en œuvre des bases pour Mettez en œuvre le contrôle d’accès aux appareils et
Azure Sentinel – solution SIEM native du cloud | Microsoft
sécuriser les identités et leurs appareils et limiter leur aux charges de travail pour limiter toute zone d’impact Azure
accès. Ces exigences incluent la vérification explicite potentielle des identités authentifiées qui ont pu être
des utilisateurs, la visibilité sur les appareils qu’ils https://aka.ms/7properties
compromises ou exécuter des charges de travail non
intègrent au réseau et la capacité à prendre des approuvées. Dix-neuf bonnes pratiques de cybersécurité ont été
décisions d’accès dynamique à l’aide de détections utilisées pour mettre en œuvre les sept propriétés des
de risques en temps réel. C’est en répondant à ces appareils hautement sécurisés dans Azure Sphere
Intégrité des appareils pour accorder l’accès ou
exigences que vous pourrez limiter la zone d’impact (microsoft.com) ( juillet 2020)
signaler les appareils nécessitant une correction
potentielle des utilisateurs qui obtiennent un accès Cybersécurité Confiance Zéro pour l’Internet des objets
Vérifiez la configuration de la sécurité, évaluez les
non autorisé aux services et aux données de l’IoT dans (4/30/2021)
vulnérabilités et les mots de passe non sécurisés,
le cloud ou sur site. Sinon, vous pourriez faire face à
et surveillez les menaces actives et les alertes
une divulgation d’informations importante (comme la
comportementales anormales pour créer des profils de
divulgation des données de production d’une usine) et
risque continus.
à l’élévation potentielle de privilèges des commandes
et des contrôles de systèmes cyber-physiques (comme
l’interruption d’une ligne de production d’usine).
81
Modèle et cadre de sécurité Confiance Zéro | Microsoft Security Rapport sur la défense numérique de Microsoft | Octobre 2021 82
L’IoT à environnementale, qu’il s’agisse des appels

d’actionnaires et des nouvelles réglementations
Le harponnage ou les attaques similaires autorisent
l’accès aux systèmes informatiques qui peut alors
cybercriminel qui a accédé à distance à des systèmes
critiques et a tenté de modifier la quantité de produits
l’intersection de
gouvernementales,le développement durable deviendra permettre aux pirates d’accéder aux systèmes OT, et chimiques dans l’approvisionnement en eau.85 En
un moteur principal du déploiement opérationnel de l’inverse est également possible. Dans un exemple, outre, il est essentiel de comprendre les conditions
la cybersécurité et
l’Internet des objets. Pour améliorer considérablement les attaquants ont utilisé un système d’aquarium pour de sécurité des systèmes d’approvisionnement qui ne
leur empreinte environnementale, les entreprises accéder aux bases de données des high-rollers des sont pas sur le réseau IT/OT de l’organisation, mais
du développement
doivent évaluer et surveiller leur comportement, puis casinos,84 démontrant que tout appareil doté d’une qui affectent néanmoins les opérations. De même
utiliser des méthodes de contrôle automatisé ou à connectivité peut offrir une ouverture à un pirate qu’une entreprise cherche à améliorer son efficacité
durable
distance pour l’optimiser. motivé. et sa durabilité, ses fournisseurs le font aussi. Ces
systèmes d’approvisionnement peuvent être connectés
Le défi consiste à déterminer comment mesurer, Bien que de nombreuses organisations évoluent à l’extérieur du réseau (cellulaire, par exemple) pour
surveiller et automatiser ces systèmes en toute dans leur approche de sécurité IT (en délaissant les mesurer et surveiller le fonctionnement de l’appareil,
Les entreprises déploient généralement l’Internet des
sécurité. Ces systèmes peuvent contenir des données modèles de sécurité basé sur le périmètre au profit réduire les déplacements en véhicule utilitaire et
objets pour améliorer le chiffre d’affaires : une meilleure
sensibles, se connecter aux systèmes d’entreprise au d’un modèle de Confiance Zéro), l’Internet des objets accroître le temps de disponibilité. Les compromis des
qualité, une productivité accrue/un temps d’arrêt réduit,
sein de votre organisation et influer de plus en plus est souvent négligé et à la traîne. Par exemple, les composants d’infrastructure gérés de manière externe
l’optimisation de la production et la réduction des coûts
sur les opérations physiques de votre entreprise. Des entreprises savent chiffrer les données sensibles des peuvent affecter directement les entreprises en aval.
d’exploitation et/ou l’augmentation de la production
attaques telles que Triton82ou Crash override83 qui applications, mais nombre d’entre elles n’ont pas Par exemple, si vous éteignez les refroidisseurs dans un
de manière non linéaire. L’amélioration de l’activité
ciblent spécifiquement les systèmes OT démontrent réalisé que leurs systèmes de contrôle s’appuient sur le immeuble, vous risquez d’interrompre les opérations
de cette manière permet également de réduire les
que ces systèmes sont des cibles attractives pour les protocole Modbus, qui, par conception, est dépourvu et de gâter les stocks, les capteurs de qualité de l’air
déchets : utilisation réduite des ressources pour une
États-nations et les cybercriminels, et qu’ils ont le d’authentification et envoie les données à découvert. risquent de ne pas alerter les travailleurs contre les
production identique ou supérieure, une disponibilité
potentiel de perturber les opérations commerciales Bien que les PC soient systématiquement tenus de conditions dangereuses, etc.
plus élevée, une réduction des mises au rebut, etc.
et d’engendrer potentiellement des dommages disposer de certificats à jour, les appareils IoT sont
Bien que l’investissement IoT dans le domaine du
environnementaux. souvent déployés avec des mots de passe définis en Même si l’Internet des objets peut et permettra de
développement durable soit moins commun, le
développement durable en tant qu’initiative n’est plus usine. meilleures pratiques environnementales, il est essentiel
considérée comme un effort à somme nulle en conflit Il est essentiel d’évaluer la sécurité des systèmes OT que tous les systèmes connectés, susceptibles d’avoir
avec la valeur commerciale. avec les mêmes rigueur et exhaustivité que celles Les compromis dans ces systèmes OT peuvent été installés depuis une décennie ou plus, soient
appliquées aux systèmes informatiques. Comme nous perturber les opérations, même si les pirates se conçus, évalués et exploités de manière sécurisée.
À mesure que les entreprises subissent une pression l’avons observé, les cybercriminels choisiront des concentrent également sur les interactions entre À mesure que le monde s’adapte aux nouvelles
croissante pour améliorer leur empreinte « cibles vulnérables » comme point d’entrée. l’IoT et l’OT. Les systèmes de commande industriels priorités qui sont apparues au cours de la pandémie,
sont souvent mis à jour ou modernisés à l’aide les entreprises cherchent à relever les défis croissants
de fonctionnalités distantes, en introduisant de liés au développement durable. L’Internet des objets
Il est essentiel d’évaluer la sécurité des systèmes OT nouveaux vecteurs d’attaque qui permettent aux sécurisé jouera un rôle essentiel pour permettre aux
entreprises d’utiliser durablement les ressources et
attaques virtuelles de causer des dommages dans
avec les mêmes rigueur et exhaustivité que celles des scénarios physiques. Plus tôt cette année, une les services publics vitaux tout en les protégeant
appliquées aux systèmes informatiques. usine de traitement d’eau en Floride a été victime d’un aujourd’hui et à l’avenir.
82
Hackers use Triton malware to shut down plant, industrial systems | ZDNet 83 Crash Override Malware Took Down Ukraine’s Power Grid Last December | WIRED 84 A smart fish tank left a casino vulnerable to hackers (cnn.com)
85
FBI, Secret Service investigating cyberattack on Florida water treatment plant - TechRepublic Rapport sur la défense numérique de Microsoft | Octobre 2021 83
Adoption de l’IoT dédié au développement durable l’intégrité globale de la cybersécurité. Ces normes grand public, qui peut également faire référence à la
visent à fournir aux fabricants, aux développeurs et aux norme NISTIR 8259A, tout en étant compatible avec
utilisateurs des conseils pour identifier et adopter les les normes ETSI ou ISO. Parmi les autres exemples,
bonnes pratiques appliquées à la sécurité des appareils. mentionnons les exigences de sécurité obligatoires
Parmi les exemples éminents de normes internationales, proposées pour les appareils intelligents grand public
Ceux qui adoptent citons la norme de l’Institut européen des normes de au Royaume-Uni,88 et les programmes d’étiquetage
l’IoT en faveur du télécommunications (ETSI) pour la sécurité de l’IoT volontaire des appareils à Singapour et en Finlande,
développement grand public, publiée en juin 2020, ETSI EN 303 645. tous basés sur la norme ETSI EN 303 645. En tirant parti
durable sont plus La norme ETSI est désormais un ensemble public de des normes internationales et des bonnes pratiques
susceptibles d’être ressources que les administrations et les entreprises du largement utilisées, les décideurs peuvent également
dans la phase de monde entier peuvent utiliser pour améliorer la sécurité garantir la cohérence et la reconnaissance mutuelle
mise en œuvre des appareils IoT. Elle inclut des recommandations sur la des exigences obligatoires dans toutes les régions afin
de leur stratégie gouvernance et la technologie. Elle a été établie à l’aide d’éviter toute fragmentation qui irait à l’encontre de
d’IA que ceux qui d’un processus multipartite rigoureux et collaboratif l’innovation, de l’interopérabilité et de la sécurité de
adoptent l’Internet impliquant des experts du secteur, du secteur public et l’IoT.
des objets pour du milieu universitaire. De même, après un processus
d’autres raisons.86 de consultation publique itératif, en mai 2020, le NIST
Projet de la Global Cyber
Considérations
a publié NISTIR 8259A, qui détaille un ensemble de
physique et l’Internet compliquent le développement base des capacités nécessaires aux appareils pour les Alliance : comment les stratégies
d’une stratégie de cybersécurité efficace et adaptée.
et les normes améliorent la
en matière de
contrôles de cybersécurité courants. L’Organisation
Pour faire face au paysage des menaces de l’Internet
des objets, la communauté mondiale des fabricants
internationale de normalisation (ISO) et la Commission
sécurité de l’Internet des objets
électrotechnique internationale (IEC) établissent
stratégie de
IoT et des experts en cybersécurité a développé des également une ligne de base minimale de sécurité . Les normes, les lois et les exigences proposées pour
ensembles de normes de bonnes pratiques appliquées les bases de référence de sécurité des appareils IoT
sécurité de l’IoT
à la cybersécurité des appareils IoT. Ces normes ont partagent de nombreux contrôles communément
La politique peut aider les fabricants à adopter des
démontré leur efficacité face aux attaques courantes. recommandés ou requis. Les trois premières
normes internationales de manière cohérente afin
Les secteurs d’activité et les décideurs peuvent les dispositions de la norme ETSI pour la sécurité de l’IoT
d’améliorer la sécurité dans toute une gamme de
Dans le monde entier, les décideurs reconnaissent exploiter pour apporter des améliorations immédiates grand public, ETSI EN 303 645, sont les plus fortement
produits de consommation et de promouvoir un état
les implications profondes de la sécurité de l’IoT à l’état mondial de la sécurité des appareils IoT pour les recommandées par l’ETSI et figurent dans plusieurs
de sécurité avancé dans les applications critiques.
pour la confidentialité, la sécurité, la protection des clients, les entreprises et les administrations publiques. politiques au niveau national. Voici ces dispositions :
Aux États-Unis, les initiatives stratégiques basées
infrastructures critiques et la transformation numérique 1. Aucun mot de passe par défaut
sur les normes incluent la Loi sur l’amélioration de
en général. Les approches envers les stratégies de Bases de référence de sécurité la cybersécurité de 2020,87 qui fait référence à la
2. Mettre en œuvre une stratégie de divulgation des
sécurité de l’IoT vont des programmes volontaires vulnérabilités
Les normes relatives aux lignes de base de sécurité de norme NISTIR 8259A dédiée à la gestion des risques
aux exigences de sécurité obligatoires. La gamme des 3. Maintenir les logiciels à jour
l’IoT fournissent un début prometteur pour améliorer associés à l’utilisation des appareils IoT par l’Agence
types d’appareils IoT, le nombre croissant d’appareils et fédérale des États-Unis, et la norme EO 14028, qui
le volume d’interactions entre les appareils, le monde propose un programme d’étiquetage des appareils IoT
86
Rapport Microsoft IOT Signals, dont la publication est prévue en novembre 2021 87 texte des RH 1668 (116th): IoT Cybersecurity Improvement Act of 2020
(Passed Congress version) - GovTrack.us 88 New cyber security laws to protect smart devices amid pandemic sales surge – GOV.UK (www.gov.uk) Rapport sur la défense numérique de Microsoft | Octobre 2021 84
Les lois de l’État de Californie et d’Oregon interdisent à comprendre l’avantage des approches fondées sur grande échelle, afin de comprendre les tendances et les SYNTHÈSE ET CONCLUSIONS GCA
les mots de passe par défaut sur les appareils IoT. les bonnes pratiques de sécurité des appareils IoT, et changements des méthodologies d’attaque IoT. L’analyse des données sur les attaques réelles de la
De même, des recommandations ou des exigences comme élément probant pour convaincre les fabricants GCA montre que les mots de passe définis en usine
relatives à la mise à jour des logiciels et à l’utilisation de d’adopter les normes et d’adhérer aux stratégies. La recherche a testé trois contrôles communément par les fabricants d’appareils et qui ne sont jamais
protocoles de communication sécurisés comme HTTPS référencés dans les normes et les stratégies de sécurité modifiés par les utilisateurs, ainsi que les mots de
apparaissent également fréquemment dans les normes À l’aide de la technologie de leurre développée en IoT : passe faibles définis par les utilisateurs, représentent
et les stratégies du monde entier. interne, le GCA a créé une cible attrayante et accessible la faille de sécurité la plus exploitée pour les appareils
• Contrôle d’accès sécurisé (« aucun mot de passe
pour les cybercriminels potentiels afin d’en apprendre le IoT. Les cadres stratégiques et réglementaires peuvent
par défaut »)
Microsoft a appuyé une étude menée par la Global plus possible sur l’existence, la source et la prévalence faciliter l’adoption et harmoniser la mise en œuvre des
Cyber Alliance (GCA) pour démontrer l’efficacité
89
des attaques. La ville a exploité une grande miellerie • Capacité de l’appareil à mettre à jour les logiciels exigences des normes de sécurité des appareils IoT,
des contrôles communément recommandés pour comprenant plusieurs centaines d’appareils IoT émulés et les recommandations pour maintenir les telles que la NISTIR 8259, l’ETSI EN 303 645 et l’ISO/
prévenir les attaques. L’analyse peut être utilisée répartis dans le monde entier afin de fournir des logiciels à jour IEC 27402, afin de promouvoir les bonnes pratiques de
pour aider les décideurs et les dirigeants du secteur données sur les attaques à long terme, réelles et à • Protection des données en transit contrôle d’accès sécurisé et de gérer ce risque.
Trafic par protocole du cybercriminel attaquant la miellerie GCA Les attaques de la miellerie GCA avec l’activité (commandes et téléchargements) par protocole
L’analyse du trafic du cybercriminel est à peu près égale pour les ports ouverts qui ont permis de lancer Telnet est le protocole de choix évident pour l’exploitation des attaques lancées sur des appareils IoT.
les attaques.
89
https://www.globalcyberalliance.org/ Rapport sur la défense numérique de Microsoft | Octobre 2021 85
La recherche a également montré une prévalence Les données et les signaux de Lorsque nous examinons les attaques contre ces deux ports, elles sont tout sauf statiques. Différents acteurs vont
généralisée des tentatives d’exploiter des failles de et viennent, dans de nombreux cas en réaffectant les bots présentant un code source volé, tel que MIRAI. Souvent,
sécurité dans les piles logicielles des appareils IoT. Cette
menaces de Microsoft étayent ces attaques répliquent des méthodes de travail existantes. Nous avons toutefois commencé à observer des cas
conclusion offre une prise en charge de l’efficacité de la ces constatations d’utilisation plus avancés où les bots tirent parti de nouvelles exploitations.90 Il est intéressant de noter que bon
mise à jour des logiciels et de l’utilisation de protocoles Les conclusions du projet GCA correspondent nombre de ces attaques continuent à utiliser des mots de passe faibles pour se déplacer latéralement entre les hôtes
de communication sécurisés pour prévenir les tentatives aux observations de Microsoft sur son réseau de infectés.
de compromettre les failles de sécurité. capteurs IoT. L’analyse et le scraping HTTP génériques
constituent la majeure partie des demandes que nous Le réseau de capteurs de Microsoft nous fournit des données brutes sur ces types d’attaques et les mots de passe
La prévalence des tentatives d’attaque observées sur recevons, suivies de Secure Shell (SSH) et de Telnet, utilisés. Nous avons examiné plus de 280 000 attaques et analysé les données de mot de passe que nous avons
les failles de sécurité dans les logiciels des appareils respectivement. Les deux protocoles sont fréquemment collectées. Sans surprise, nous avons constaté que 96 % des attaques utilisaient un mot de passe avec moins de
IoT est également compatible avec la notion selon observés sur les appareils IoT/OT, et Telnet est le favori 10 caractères, 92 % en contenaient moins de 8, et un peu plus choquant, 72 % de toutes les attaques nécessitaient
laquelle les contrôles non techniques communément des botnets comme MIRAI et d’autres basés sur celui-ci. seulement de deviner un mot de passe de 6 caractères ou moins. Parmi ces tentatives de saisie de mot de passe,
recommandés compromettraient la réussite des Les deux protocoles sont également communément seulement 2 % incluaient un caractère spécial et 72 % ne contenaient même pas de chiffre.
attaques. En particulier, les exigences pour les fabricants associés aux attaques de mots de passe par force brute,
de mettre en œuvre une stratégie de divulgation et de et lorsqu’ils sont regroupés, ils deviennent le type Les attaques que nous observons dans la nature s’alignent sur les données GCA et d’autres rapports. Les mots de
gestion des vulnérabilités et de communiquer l’état du d’attaque le plus répandu sur les appareils IoT/OT. passe par défaut, qui sont généralement un seul mot court en anglais, facilitent considérablement la tâche des
support de sécurité de leurs produits fourniraient des cybercriminels, qui accèdent alors aisément à l’infrastructure d’une entreprise. S’il est impossible de gérer les identités
informations précieuses aux consommateurs.
Distribution des attaques contre les protocoles
des appareils IoT d’une entreprise en toute sécurité, les mots de passe plus longs, notamment ceux qui comportent
IoT/OT populaires (juillet 2020 - juin 2021) des caractères spéciaux, sont fortement conseillés.
En savoir plus :
Attaques contre les ports Telnet et SSH
Global Cyber Alliance : rapport sur les stratégies et les
attaques de l’IoT
90
Comment se défendre de manière proactive contre le botnet IoT Mozi | Blog Microsoft dédié à la sécurité Rapport sur la défense numérique de Microsoft | Octobre 2021 86
Mots de passe observés en 45 jours par les signaux de capteurs
> 20 millions
NOMBRE DE FOIS
QUE NOUS AVONS
OBSERVÉ LE MOT DE
PASSE « ADMIN »
UTILISÉ DANS LES
APPAREILS IOT SUR
UNE PÉRIODE DE
45 JOURS.

SÉCURITÉDE
SÉCURITÉ DELA
LAMAIN-D’ŒUVRE
MAIN-D’ŒUVRE HYBRIDE
HYBRIDE DÉSINFORMATION
DÉSINFORMATION
INFORMATIONS
INFORMATIONS
EXPLOITABLES
EXPLOITABLES
ÉQUIPES
ÉQUIPES
CHAPITRE 5
Sécurité de la main-d’œuvre hybride

Introduction
Une approche Confiance Zéro pour sécuriser le travail hybride
Identités
Appareils/points de terminaison
Applications
Réseau
Infrastructure
Données
Personnes

Introduction Une approche Confiance Zéro pour sécuriser le travail hybride Identités Appareils/points de terminaison Applications Réseau Infrastructure Données Personnes
INTRODUCTION : les bases sont importantes

BRET ARSENAULT, RESPONSABLE DE LA SÉCURITÉ DE L’INFORMATION
Nous avons continué à remettre en question nos modes de vie cette année. La plupart des industries ont adopté le LES
travail à distance en raison de la pandémie, en créant de nouvelles surfaces d’attaque exploitées par les cybercriminels,
ORGANISATIONS
notamment les appareils domestiques utilisés à des fins professionnelles. Au cours du premier semestre 2021, trois
attaques importantes ont eu lieu : NOBELIUM (l’attaque de la chaîne d’approvisionnement de SolarWinds), HAFNIUM QUI N’APPLIQUENT
(une attaque de serveur Exchange sur site) et Colonial Pipeline (une attaque de ransomware). PAS OU NE
De nombreux enseignements peuvent être tirés de ces Si les organisations compromises avaient appliqué des Recommandations pour démarrer MAINTIENNENT
attaques. Tout d’abord, les attaques d’e-mails frauduleux mesures d’hygiène élémentaire en matière de sécurité,
constitue un vecteur de menaces continu. En effet, le notamment l’utilisation de correctifs, l’application des mises
avec la stratégie Confiance Zéro : PAS CES PRATIQUES
hameçonnage est responsable de près de 70 % des à jour ou l’activation de l’authentification multifacteur (MFA), • Les identités sont validées et sécurisées avec la MFA
violations de données.91Deuxièmement, les cybercriminels elles auraient pu échapper aux attaques ou être moins en tout lieu. L’utilisation de la MFA élimine la nécessité D’HYGIÈNE
utilisent des logiciels malveillants qui sont considérés touchées. En effet, il est choquant que moins de 20 % de d’utiliser des mots de passe. L’utilisation supplémentaire
comment une mise à jour logicielle légitime pour cibler des nos clients utilisent une authentification forte telle que la de la biométrie (telles que les balayages oculaires ÉLÉMENTAIRES
collaborateurs peu méfiants. Troisièmement, les attaquants MFA93 (qui est gratuite pour nos clients et peut être activée ou les empreintes digitales) garantit également une
de ransomware ont soulevé l’enjeu en se concentrant non
seulement sur les tactiques d’extorsion double ou triple en
par défaut). Les organisations qui n’appliquent pas ou ne
maintiennent pas ces pratiques d’hygiène élémentaires
authentification forte de l’identité d’un utilisateur. SERONT
DAVANTAGE
• Les appareils sont gérés et validés comme étant
termes de paiement, mais proposent également des services seront davantage confrontées aux attaques.
sains. En tant que condition d’accès à toute ressource
de ransomware en tant que service (RaaS), qui utilisent un
de l’entreprise, tous les types d’appareils et systèmes
réseau de partenaires pour lancer une attaque. Il est donc
difficile d’identifier le cybercriminel à l’origine de l’attaque.
Outre les principes de base de la sécurité, Microsoft s’appuie
sur une approche appelée Confiance Zéro,94 qui suppose
d’exploitation doivent être tenus de respecter un état de CONFRONTÉES AUX
santé minimum avant d’être validés.
Enfin, les adversaires ciblent les systèmes sur site. Les
organisations doivent donc transférer l’infrastructure vers le
une violation du réseau. En vertu du principe Confiance
Zéro, nous ne supposons pas de la sécurité d’une identité • La surveillance et les signaux de menace sont
ATTAQUES.
cloud, où la sécurité est plus élevée.92 ou d’un appareil sur notre réseau, nous les vérifions en omniprésents. Veillez à collecter l’ensemble des
permanence. Le principe Confiance Zéro nous aide à trouver journaux, données et signaux disponibles pour
Bien que ces incidents nous aient enseigné des leçons un équilibre en veillant à ce que les collaborateurs puissent comprendre l’état de sécurité actuel, afin que vous
difficiles, il en ressort clairement que les bases sont être productifs, sécurisés et sains au-delà du réseau de puissiez identifier les lacunes en matière de couverture,
importantes. Les portes déverrouillées constituent une l’entreprise, depuis leur domicile, leur bureau ou n’importe détecter les anomalies et améliorer l’expérience des
aubaine pour les cybercriminels. où entre les deux. collaborateurs.
91
Les e-mails frauduleux augmentent en flèche, selon l’entreprise de cyberdéfense Barracuda. Le hameçonnage était responsable de près de 70 % des violations de données.
https://blog.barracuda.com/2020/03/26/threat-spotlight-coronavirus-related-phishing/
92
Jusqu’en 2024, les charges de travail qui tirent parti de la programmabilité de l’infrastructure cloud pour améliorer la sécurité démontreront une meilleure conformité et une réduction minimale de 60 % des incidents de sécurité que ceux observés
dans les datacenters traditionnels. (Comment rendre le cloud plus sûr que votre propre datacenter, Neil MacDonald, Tom Croll [29 avril 2021]) 93Selon la télémétrie de protection Azure Active Directory à partir d’août 2021. 94Modèle et cadre de Rapport sur la défense numérique de Microsoft | Octobre 2021 89
sécurité Confiance Zéro | Microsoft Security
Ce rapport vise à partager des informations issues de nous autorisons sur un lieu de travail et les services qui Travail sur site mondial avant l’épidémie de COVID et migration rapide vers le travail à distance,
nos propres équipes internes qui font ce travail chaque sont disponibles. Une fois qu’un emplacement rouvre suivi d’un retour progressif
jour, pour informer et permettre à d’autres d’améliorer entièrement, nous revenons à des opérations quelque
leurs techniques de cyberdéfense afin de protéger leurs peu normales et des services qui étaient proposés
collaborateurs, leurs entreprises et notre écosystème en avant la pandémie. À mesure que les bureaux de
ligne. Microsoft accueillent à nouveau un nombre croissant
de collaborateurs, nous observons une augmentation
Et sachez que vous ne pourrez pas sécuriser le travail à progressive de l’utilisation de badges par les
l’avenir si vous ne l’avez pas fait auparavant. collaborateurs (qui scannent leurs badges pour entrer
dans un bâtiment) chaque semaine. Ce nombre devrait
La migration vers une main- continuer à croître au fil des réouvertures complètes
des sites. Nous pensons toutefois que ces chiffres
d’œuvre hybride chez Microsoft n’atteindront pas les niveaux de fréquentation avant la
Personne ne sait comment ou quand la pandémie de pandémie. Grâce à notre approche de travail flexible,
COVID-19 prendra fin, même si à un moment donné, nous prévoyons que la plupart des collaborateurs
elle ne constituera plus un fardeau important pour travaillent une partie de leur temps à domicile, même
nos communautés et se présentera davantage comme dans les régions où la COVID-19 ne constitue plus une
un virus endémique, tel que la grippe. Les situations menace importante. Scans de badges uniques hebdomadaires à l’échelle mondiale (janvier-août 2021)
sanitaires locales et les conseils des administrations
locales déterminent le nombre de collaborateurs que
En savoir plus :
Sécuriser un nouveau monde du travail hybride : les connaissances et les actions requises - Microsoft Security (5/12/2021)
Indice des tendances du travail: les dernières recherches de Microsoft sur nos méthodes de travail.
Le travail hybride représente le prochain bouleversement : est-ce que nous sommes prêts ? (microsoft.com)
Sécuriser le réseau de Microsoft grâce à un modèle Confiance Zéro axé sur Internet (4/16/2021)

Une approche entreprises du monde entier d’adopter une approche

Confiance Zéro, en assumant que toutes les activités,
Anticipation des violations
Réduisez la zone d’impact et segmentez l’accès.
1. Identités
Les identités peuvent représenter des personnes, des
Confiance Zéro
même celles des utilisateurs de confiance, sont Vérifiez le chiffrement end-to-end et utilisez l’analyse services ou des appareils IoT. Lorsqu’une identité tente
susceptibles d’être une tentative de violation. Les de données pour obtenir de la visibilité, gérer les d’accéder à une ressource, vérifiez cette dernière à
pour sécuriser le
signaux dans l’ensemble du secteur révèlent que risques internes, renforcer la détection des menaces et l’aide d’une authentification forte et proposez un accès
chaque entreprise doit instaurer une culture de sécurité améliorer les défenses. conforme et adapté à cette identité. Suivez les principes
travail hybride
et moderniser son approche pour garantir sa sécurité. d’accès de privilège minimum.
Une philosophie de sécurité

Principes Confiance Zéro intégrée et une stratégie 2. Points de terminaison
La prévalence croissante des services basés sur le cloud, Une fois que l’accès à une ressource a été accordé à une
de l’informatique mobile, de l’Internet des objets (IoT)
Le principe Confiance Zéro élimine la confiance end-to-end identité, les données peuvent circuler vers différents
inhérente qui est assumée à l’intérieur du réseau
et de l’approche « Apportez votre propre appareil » Les contrôles et technologies Confiance Zéro points de terminaison, qu’il s’agisse d’appareils IoT, de
d’entreprise traditionnel. Une architecture Confiance
(BYOD) dans les environnements de travail hybrides a sont déployés à travers six piliers technologiques smartphones, d’appareils BYOD, d’appareils gérés par
Zéro efficace est conçue pour réduire les risques à la
transformé le paysage technologique des entreprises. fondamentaux. Chaque piliers est une source de signal, des partenaires, des charges de travail sur site ou des
moindre occasion au sein du domaine numérique. En
Les architectures de sécurité qui reposent sur les pare- un plan de contrôle pour l’application de stratégies serveurs hébergés dans le cloud. Cette diversité crée
pratique, cela signifie que chaque transaction entre
feu réseau et les réseaux privés virtuels (VPN) pour et une ressource primordiale à défendre. Ils sont une surface d’attaque très importante. Surveillez et
les systèmes doit être validée et éprouvée avant que
isoler et restreindre l’accès aux ressources et services interconnectées dans une architecture Confiance Zéro appliquez l’intégrité et la conformité des appareils pour
la transaction ne se produise. Nous recommandons
technologiques d’entreprise ne sont plus suffisantes par l’application automatisée de la stratégie de sécurité, garantir un accès sécurisé.
ces principes directeurs pour instaurer une stratégie
pour une main-d’œuvre qui accède régulièrement aux la corrélation entre les signaux et l’automatisation de la
Confiance Zéro efficace :
applications et aux ressources qui se trouvent au-delà sécurité et l’orchestration.
des frontières du réseau d’entreprise traditionnelles.
Depuis qu’Internet constitue le réseau de choix et Vérification explicite
Les opérations d’authentification et d’autorisation Le principe Confiance Zéro au sein du domaine numérique
que les menaces évoluent constamment, Microsoft
a adopté un modèle de sécurité Confiance Zéro. Le sont systématiquement effectuées en fonction de
modèle Confiance Zéro est devenu une priorité des l’intégralité des points de données disponibles,
responsables de la sécurité d’entreprise dans le monde notamment l’identité de l’utilisateur, son emplacement,
entier. l’intégrité de l’appareil utilisé, le service ou la charge de

travail, la classification des données et les anomalies.
Nous sommes confrontés à une prise de conscience

car le monde est témoin d’une augmentation des Accès basé sur les privilèges minimum
attaques de cybersécurité de plus en plus sophistiquées Limiter l’accès utilisateur avec des droits d’accès
et expansives. Cette réalité, associée au travail qui strictement nécessaire et juste-à-temps (JIT/JEA),
entame sa prochaine grande perturbation, le passage des stratégies adaptées aux risques potentiels et
aux environnements hybrides, a permis à toutes les des mesures visant à protéger les données et la
productivité.

3. Applications 5. Infrastructure Adoption du principe Intentions en matière d’environnement de

Les applications et les interfaces de programmation L’infrastructure, qu’il s’agisse de serveurs sur site, travail hybride
d’applications (API) fournissent l’interface sur laquelle de machines virtuelles basées dans le cloud (VM),
Confiance Zéro
les données sont consommées. Elles peuvent être de conteneurs ou de micro-services, représente un Le rapport sur l’adoption du principe Confiance Zéro95
existantes sur site, des charges de travail transférées vecteur de menace critique. Évaluez la version, la illustre le parcours de l’adoption du modèle Confiance
vers le cloud ou des applications modernes de logiciel configuration et l’accès JIT pour améliorer la défense. Zéro sur différents marchés et secteurs d’activité. Nous
en tant que service (SaaS). Appliquez les contrôles et les Utilisez la journalisation et la surveillance pour détecter espérons que les enseignements tirés de cette étude
technologies pour découvrir la pratique informatique les attaques et les anomalies, tout en bloquant et en peuvent vous aider à accélérer votre propre adoption
non conventionnelle ou non approuvée, garantir les marquant automatiquement les comportements risqués de la stratégie Confiance Zéro, à faciliter la progression
autorisations appropriées dans l’application, réguler et instaurez des mesures de protection. collective de vos pairs et à fournir des informations sur
l’accès en fonction des analyses de données en temps l’état futur de ce domaine en constante évolution.
réel, surveiller les comportements anormaux, surveiller 6. Données
les actions des utilisateurs et valider les options de Ce sont les équipes de sécurité qui protègent les Aucun domaine présentant un risque de sécurité
configuration sécurisée. données. Les données doivent rester protégées tout particulier ne constitue le point de départ principal de
au long de leur cycle de vie, même si elles quittent les la stratégie Confiance Zéro. En effet, moins de
4. Réseau appareils, les applications, l’infrastructure et les réseaux 15 % des entreprises commencent par le même
Toutes les données sont finalement accessibles via contrôlés par l’organisation. Utilisez la classification et domaine présentant un risque de sécurité. Les
l’infrastructure réseau. Les contrôles de mise en réseau l’étiquetage des données comme contexte pour chiffrer, entreprises commencent à différents endroits, en
fournissent une surveillance essentielle pour améliorer restreindre l’accès, contrôler le flux et masquer ou fonction de leurs besoins et des ressources internes
la visibilité et empêcher les pirates de se déplacer supprimer les informations sensibles à la fin de leur vie disponibles. La plupart des organisations perçoivent le
latéralement sur le réseau. Segmentez les réseaux (et utile ou prescrite par la loi. principe Confiance Zéro comme une stratégie end-to-
end qui se déroule au fil du temps. Elles cherchent au Le passage à un environnement de travail
procédez à une micro-segmentation plus poussée
final à adopter cette stratégie dans tous les domaines hybride favorise l’adoption d’une stratégie
à l’intérieur du réseau) et déployez une protection En savoir plus :
présentant un risque de sécurité afin de garantir une Confiance Zéro. 81 % des entreprises ont
contre les menaces en temps réel, un chiffrement, une
Le rôle crucial du principe Confiance Zéro dans la protection encore plus grande contre les menaces. commencé à migrer vers un environnement de
surveillance et une analyse end-to-end.
travail hybride, et 31 % ont déjà complètement
protection de notre monde | Blog Microsoft dédié à la
terminé.
sécurité (6/30/2021)
95
Rapport sur l’adoption de la Confiance Zéro 2021 Selon les réponses de plus de 900 décisionnaires de la sécurité familiarisés avec la Confiance Zéro, travaillant dans différents secteurs. Les personnes interrogées résident aux États-
Unis, en Allemagne, au Japon, en Australie et en Nouvelle-Zélande. Rapport sur la défense numérique de Microsoft | Octobre 2021 92
Mise en œuvre actuelle de la stratégie Confiance Zéro – Domaines présentant un risque de sécurité
Identités des conditions de sécurité (la sécurité par défaut,
l’adoption de la MFA, la protection des mots de passe,
le blocage de l’authentification de l’héritage), ainsi
Dans Azure Active Directory, nous observons que nos investissements dans la détection (adresse IP
50 millions d’attaques de mots de passe par jour, malveillante, détection de la pulvérisation de mots de
mais seulement 20 % des utilisateurs et 30 % des passe), ont permis de réduire les attaques par force
administrateurs généraux utilisent des authentifications brute de mots de passe qui utilisent des protocoles
fortes telles que la MFA.96 Les attaques basées sur d’authentification hérités, tels qu’IMAP ou SMTP. Le
les mots de passe demeurent la principale source de volume d’attaques que nous attribuons à la violation
compromission d’identités. Toutefois, d’autres types de la relecture et de la pulvérisation de mots de passe
d’attaques émergent, notamment le hameçonnage de a considérablement diminué, tandis que nous assistons
consentement et les attaques contre les identités non à une forte augmentation des attaques attribuées
humaines. au hameçonnage ou à d’autres techniques plus
sophistiquées, telles que la collecte des informations
d’identification à l’aide de logiciels malveillants. Les
Attaques basées sur les mots données montrent que les cybercriminels ont adapté
de passe leurs tactiques pour continuer à compromettre les
comptes.
Azure AD est la porte d’entrée de tous les services
Il n’existe pas d’approche unique pour la mise en œuvre de la stratégie Confiance Zéro, ce qui permet de cloud de Microsoft. Notre service de connexion
Bien que le blocage de l’authentification héritée et
commencer n’importe où. enregistre 90 milliards de demandes d’authentification
l’activation de la MFA demeurent les défenses les plus
par jour. Nous disposons ainsi d’une grande visibilité
importantes pour toute organisation, la protection
sur les attaques d’identité qui se produisent sur
En savoir plus : contre le hameçonnage est plus importante que
l’ensemble de nos clouds. Les attaques de mots de
jamais. Même si la MFA est activée, les informations
passe sur les identités des utilisateurs demeurent le
Rapport sur l’adoption de la Confiance Zéro (7/27/2021) d’identification des utilisateurs sont toujours exposées
vecteur le plus répandu de compromission d’identités.
au hameçonnage par des outils d’hameçonnage
Ressources pour accélérer votre parcours vers la Confiance Zéro -Microsoft Security (5/24/2021) Même si la pulvérisation de mots de passe et le
intercepteurs en temps réel, qui répliquent la page de
bourrage d’informations d’identification constituaient
Modèle et cadre de sécurité Confiance Zéro | Microsoft Security connexion et relance l’invite de la MFA pour collecter
les plus grands vecteurs de compromission d’identités,
le mot de passe unique envoyé à l’utilisateur. Pour
l’année dernière, nous avons observé un changement
se protéger de ce type d’attaque, les clients peuvent
important des tactiques des cybercriminels. Au cours
adopter des informations d’identification basées sur
des dernières années, mais surtout durant la pandémie,
L’identité est plus importante Microsoft et nos clients ont considérablement
Fido2 (basées sur une paire de clés cryptographiques
de clés publiques), telles que des clés de sécurité ou
investi dans la réduction de la surface d’attaque des
que jamais. cybercriminels qui cherchaient à compromettre les
Windows Hello Entreprise.97
comptes hébergés sur Azure AD. Le renforcement
96
Basé sur la télémétrie de protection Azure Active Directory à partir d’août 2021.97Toutes vos informations d’identification nous appartiennent ! - Communauté technique Microsoft Rapport sur la défense numérique de Microsoft | Octobre 2021 93
Compromissions d’utilisateurs mensuelles par catégorie d’attaque (juin 2020 – juin 2021) Augmentation des e-mails de hameçonnage à l’aide des URL de requête OAuth
Géo-distribution des adresses IP émettant Nouvelles tendances en matière En effet, les jetons d’accès ne nécessitent pas de Microsoft recommande de limiter le consentement
des attaques de mots de passe par force connaître le mot de passe de l’utilisateur, et le mot de l’utilisateur afin de n’autoriser que le contenu de
d’attaques de passe de l’utilisateur n’est jamais partagé avec le l’utilisateur sur les applications provenant d’éditeurs
brute en juillet 2021
Hameçonnage de consentement OAuth pirate. Plus important encore, étant donné qu’il ne vérifiés.
Dans le cas d’un hameçonnage typique, le s’agit pas d’une attaque basée sur les informations
cybercriminel cherchant à voler des informations d’identification, les exigences d’authentification fortes Microsoft a déployé plusieurs défenses pour contrer
d’identification rédige un e-mail convaincant, telles que la MFA n’empêchent pas les attaques qui cette tendance, notamment les détections spécifiques
héberge une fausse page de destination et attend utilisent cette technique. basées sur le Machine Learning pour identifier, isoler
que l’utilisateur tombe dans le piège. Lors d’une et désactiver les applications malveillantes. Les
tentative de hameçonnage réussie, les informations Au cours des six derniers mois, la moyenne mensuelle stratégies qui peuvent prévenir ce type d’attaques
d’identification de l’utilisateur sont transmises au pirate des e-mails de hameçonnage utilisant les URL OAuth sont notamment les stratégies de consentement des
informatique. Le hameçonnage de consentement est a presque doublé. Ces e-mails de hameçonnage utilisateurs granulaires, le blocage des e-mails de
un peu différent. Cette méthode tente de tromper ciblent une variété de services cloud légitimes, tels que hameçonnage relatif au consentement, la détection
les utilisateurs en octroyant des autorisations à une Microsoft, Google et Facebook. Nous observons une des anomalies et la formation de sensibilisation des
application malveillante appartenant au cybercriminel tendance à la hausse du nombre d’e-mails uniques utilisateurs.
et utilise les jetons d’accès obtenus pour récupérer contenant des liens de hameçonnage OAuth.
les données de compte des utilisateurs. Il s’agit d’une
attaque très sophistiquée.

Attaques ciblant des comptes non humains Le défi des informations d’identification dans le
Nous avons constaté une augmentation importante code n’est pas nouveau. Bien que la plupart des
du volume d’attaques contre les identités d’appli- principaux fournisseurs, notamment Azure DevOps
cations et de principal de service.98Contrairement et GitHub, offrent des mesures de protection pour
aux utilisateurs, ces identités sont souvent plus signaler ces informations d’identification à des fins
vulnérables car les organisations n’appliquent pas sys- de suppression, la pratique persiste. Ces informations
tématiquement les mesures de protection typiques, d’identification fournissent aux pirates un accès
telles que l’authentification forte, la gestion rigou- direct à l’environnement des entreprises tout en
reuse du cycle de vie et la surveillance de la sécurité à passant inaperçues dans les journaux d’audit Azure
cette catégorie de comptes. Ainsi, les pirates exploit- AD. Microsoft recommande aux clients d’auditer leurs
ent des identités d’application qui disposent déjà d’un artefacts d’ingénierie, y compris les référentiels de code
rôle privilégié ou qui bénéficient d’un large ensemble pour les informations d’identification.
d’autorisations. Contrairement à la chaîne d’attaque
typique « Accès initial -> escalade des privilèges », ce
Adoption des conditions de
vecteur d’attaque obtient un accès initial grâce à un
utilisateur compromis ou des informations d’identifi- sécurité
cation d’application volées. Adoption de l’authentification forte
Pour les identités, la vérification signifie explicitement
Certains pirates qui obtiennent un accès initial grâce que les identités utilisent l’authentification forte lors
à un utilisateur compromis utilisent leur privilège de l’accès aux ressources. Les recherches de Microsoft
élevé pour effectuer une reconnaissance en vue démontrent que l’exigence d’une authentification
d’identifier les applications avec des autorisations forte offre une protection de 99,9 % des attaques
À la suite de ces contre-mesures, les applications Pour en savoir plus sur les tendances en matière de
existantes, d’ajouter un nouvel ensemble d’informations d’identité car la majorité des attaques sont associées
désactivées ont augmenté de 89 % entre janvier hameçonnage et les mesures d’atténuation, consultez le
d’identification d’application si nécessaire, et même aux mots de passe. Bien que l’augmentation des mots
et juin 2021, comparé à la période entre juillet et chapitre L’état de la cybercriminalité de ce rapport.
attribuer des rôles privilégiés à l’application. Ainsi, de passe permet de se prémunir contre ces attaques,
décembre 2020. Lors d’une enquête détaillée, nous
l’application se comporte normalement dans l’élimination des mots de passe au même titre que les
avons constaté que les principaux vecteurs malveillants En savoir plus :
l’environnement tout en étant exploitée par le méthodes d’authentification sans mot de passe peuvent
sont passé d’une attaque de hameçonnage multi-
Microsoft offre une solution complète pour lutter contre cybercriminel. Les clients doivent examiner les rôles fournir l’expérience d’authentification la plus utilisable
locataire à un type d’attaque abusif.
la hausse des e-mails de hameçonnage de consentement et les autorisations des applications afin de respecter et la plus sécurisée.
| Blog Microsoft dédié à la sécurité (7/14/2021) le principe du privilège minimum et surveiller leurs
journaux d’audit Azure AD pour détecter une activité À mesure que les entreprises adaptent les conditions
Les pirates ne inhabituelle sur les applications et les principaux de
service.
de sécurité appliquées au travail à distance et à
la main-d’œuvre hybride, nous avons constaté
s’introduisent pas, ils se une augmentation de 220 % de l’utilisation de
connectent. l’authentification forte au cours des 18 derniers mois.
98
Applications et principaux de service dans Azure AD - plateforme d’identité de Microsoft | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 95
Utilisation de l’authentification forte dans Azure AD Croissance de l’utilisation de la stratégie d’accès Confiance Zéro
L’accès conditionnel Azure AD est un moteur de stratégie de sécurité qui procède à une vérification explicite et accorde
un accès de privilège minimum. Au cours de l’année écoulée, le nombre de stratégies d’accès conditionnel déployées
a plus que doublé. En effet, les organisations ont redéfini leurs conditions de sécurité pour les adapter au travail à
distance.
Lorsqu’un utilisateur accède à une application, les administrateurs peuvent utiliser l’accès conditionnel pour configurer
des exigences supplémentaires qui sont appliquées pour accorder l’accès. À mesure que les organisations adoptent
des principes de sécurité Confiance zéro, nous avons constaté une adoption accrue au niveau des appareils gérés et
des exigences d’applications gérées, en plus de la MFA.
Les contrôles d’accès les plus fréquemment requis dans Azure AD (juillet 2020 – juin 2021)
Microsoft active la sécurité par défaut de sécurité pour tous les nouveaux clients afin que chacun dispose d’au moins
un niveau de protection basique, notamment des contrôles comme la MFA pour les administrateurs.99
Activation des locataires dotés de la sécurité par défaut
99
Sécurité par défaut d’Azure Active Directory | Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 96
Protocoles hérités : un point d’entrée privilégié pour les cybercriminels

Heureusement, les utilisateurs et les administrateurs commencent à évoluer et à appliquer une authentification
L’une des principales sources de compromis dans les organisations est l’authentification basée sur des protocoles
moderne au sein de leurs organisations.
hérités, tels qu’IMAP, SMTP, POP et MAPI. Ces protocoles ne prennent pas en charge la MFA. Ils constituent donc
des points d’entrée privilégiés pour les pirates informatiques. En effet, 99 % des attaques par pulvérisation de
mots de passe et 97 % des attaques de bourrage d’informations d’identification utilisent l’authentification héritée, Le monde hybride est largement « hors périmètre », de sorte que l’application de protections autour des identités et
selon les données d’authentification d’Azure AD. Les données d’Azure AD révèlent que le taux de compromis via les des appareils est devenue essentielle. Dans le cadre de la Confiance Zéro, nous envisageons un avenir sans mot de
authentifications à l’aide de clients IMAP est 22 fois plus élevé que celui des authentifications à partir d’un navigateur. passe,100 et cette transition devrait commencer cette année.
Taux de compromis de comptes selon le protocole d’authentification (juillet 2020 – juin 2021) Pourcentage d’authentification héritée parmi les utilisateurs actifs mensuels d’Azure Active Directory
Au cours de l’année écoulée, le pourcentage d’utilisateurs utilisant des clients d’authentification hérités
ont diminué de plus de 30 %, dont près de 10 % sont des utilisateurs Azure AD.
100
Préparation de votre entreprise à l’élimination des mots de passe (microsoft.com) Rapport sur la défense numérique de Microsoft | Octobre 2021 97
Appareils/points de terminaison Recommandations pour atténuer les risques BYOD

Afin d’atténuer les risques accrus de tout modèle BYOD, il est important de procéder à une vérification constante des
normes de sécurité spécifiées, ainsi que la validation de l’identité de l’appareil et de l’utilisateur, afin de contrôler l’accès
Ce que nous voyons aux ressources critiques des entreprises. Vous pouvez par exemple bloquer l’accès à un appareil personnel qui a été
Poussés principalement par la nécessité de s’adapter à l’adoption du travail à distance ou hybride partout dans débridé (modifié pour supprimer les restrictions imposées par le fabricant ou l’opérateur) afin que les applications
le monde, les utilisateurs travaillent en tout lieu, sur tous types d’appareils, plus que jamais auparavant, et les d’entreprise ne soient pas exposées à des vulnérabilités connues.
attaquants ajustent rapidement leurs tactiques pour tirer parti de ce changement. Les entreprises doivent désormais
peser les avantages du modèle BYOD (permettant à leurs utilisateurs d’accéder aux ressources d’entreprise qui Pour en savoir plus sur la sécurisation des appareils, consultez le chapitre Sécurité de la chaîne d’approvisionnement de
nécessitaient traditionnellement un accès VPN ou sur site) contre le risque accru que les mêmes utilisateurs installent ce rapport.
involontairement des ransomwares ou d’autres programmes malveillants, tout en s’adonnant à des activités non
professionnelles sur leurs appareils personnels. Grâce à la mise en œuvre d’une approche BYOD à l’aide d’un modèle En savoir plus :
Confiance Zéro, les entreprises peuvent réduire les coûts et les achats de matériel supplémentaires pour l’utilisation à
domicile. Elles doivent cependant être en mesure de protéger les ressources de l’entreprise sur ces appareils, tout en Protéger les données et les appareils avec Intune | Microsoft Docs
permettant aux utilisateurs d’effectuer des activités non professionnelles sur ces mêmes appareils. Les stratégies de conformité des appareils dans Microsoft Intune - Azure | Microsoft Docs (29/04/2021)
Qu’est-ce que l’accès conditionnel dans Azure Active Directory ? | Microsoft Docs (27/01/2021)
Gestion des appareils mobiles (données Intune)
Augmentation importante de la croissance de la gestion des appareils mobiles à mesure que les
travailleurs ont adoptés le modèle BYOD et les PC à domicile

Applications les données confidentielles. Pour en savoir plus sur

les dernières tendances en matière d’attaques dans ce
domaine, consultez les sections Protocoles hérités et
En savoir plus :
Build 2021 : créez des applications compatibles avec la

Confiance Zéro avec la plateforme d’identité Microsoft-
Passer des applications héritées Hameçonnage de consentement OAuth de ce rapport.
Communauté technique Microsoft (5/26/2021)
aux applications compatibles
Utilisation d’applications et de Protection intégrée contre les menaces | Microsoft Security
avec la Confiance Zéro LES APPLICATIONS
solutions de données modernes Protégez vos ressources multicloud | Microsoft cloud Security
ET LES SERVICES
À mesure que nous passons d’un modèle de sécurité
axé sur le réseau d’entreprise à une approche basée Dans une architecture centrée sur le cloud, nous
sur les identités, des milliers d’applications et de traitons nos applications et nos données différemment.
services présentant des conditions de sécurité internes En raison de l’augmentation des modèles de MODERNISÉS
restent fortement tributaires des pare-feu réseau conception utilisateur, les techniciens ne sont plus
et des VPN pour isoler et restreindre l’accès. Ils ont les seuls développeurs au sein des organisations. Les EXIGENT
été conçus autour de mécanismes d’authentification utilisateurs tirent parti des plateformes et des outils qui
hérités, et demeurent ancrés dans les réseaux proposent des méthodes de développement sans code L’AUTHENTIFICATION
d’entreprise. Ces architectures traditionnelles conçues ou low-code pour créer des solutions professionnelles.
pour les applications héritées ont été conçues Les organisations doivent investir dans la création de DES UTILISATEURS
pour la connectivité latérale plutôt que pour la garde-fous appropriés pour ces nouveaux paradigmes.
micro-segmentation. Elles enfreignent le principe Le suivi des ressources cloud et l’application de
stratégies et de modèles corrects garantissent que
AVANT D’ACCORDER
fondamental de l’accès de privilège minimum et
sont plus vulnérables aux mouvements latéraux d’un les solutions modernes utilisent immédiatement les
contrôles appropriés.
L’ACCÈS.
cybercriminel sur le réseau, en risquant d’exposer
Comment modernisez-vous les applications ? Déployez l’une des trois solutions répertoriées ici :

Réseau organiser les charges de travail et déployer des pare-

feux pour sécuriser le trafic sur les sous-réseaux, les
réseaux virtuels, les environnements sur site et le Web.
Types d’attaques réseau les plus
courants
Les cinq premiers protocoles les plus
couramment utilisés dans les tentatives
d’exploitation du réseau (juillet 2021)
En adoptant une approche Confiance Zéro, les Les clients utilisent des pare-feux pour contrôler et Le pare-feu Azure bloque quotidiennement des
entreprises partent du principe qu’elles sont toujours améliorer la visibilité sur tous les flux de réseau. millions de tentatives d’attaques. Nos signaux
attaquées et qu’un incident de sécurité peut survenir à indiquent que les attaquants ont le plus couramment
utilisé des logiciels malveillants, le hameçonnage, les
tout moment. Pour s’y préparer avec une configuration
Pare-feu d’application Web applications Web et les logiciels malveillants mobiles
qui réduit la zone d’impact d’un tel incident, les réseaux
doivent être segmentés lors de la mise en page. La mise Les pare-feu d’application Web (WAF) ne se dans leurs tentatives d’attaques réseau en juillet 2021.
en œuvre de ces périmètres software-defined avec des concentrent plus uniquement sur les attaques de Le mois de juillet a également été marqué par une
contrôles de plus en plus granulaires augmentera le type injection, telles que l’injection SQL et les scripts augmentation importante de l’utilisation du minage
« coût » de propagation des pirates à travers le réseau, inter-sites, ils ciblent désormais les attaques de robots de cryptomonnaie, un type de logiciel malveillant qui
ce qui réduira considérablement le mouvement latéral malveillants et les violations d’API. S’ils sont associés à utilise le réseau pour exploiter la cryptomonnaie.
des menaces. une protection contre les attaques distribuées de déni
de service (DDoS), les WAF font partie intégrante de la Les protocoles les plus souvent utilisés dans les at-
stratégie de défense en profondeur visant à protéger
Les observations tirées des les ressources Web et d’API.
taques étaient HTTP, TCP et DNS, car ils sont ouverts à
l’Internet.
signaux du pare-feu Azure
Au cours de l’année écoulée, les WAF ont présenté
Les dix plus grandes menaces réseau (juillet 2021)
À mesure que la migration vers le cloud s’accélère, nous
constatons que la plupart des nouveaux déploiements plus de 25 milliards de règles déclenchées chaque
sont hybrides, avec une connectivité de nouveau semaine. Environ 4 à 5 % du trafic entrant en moyenne
locale et configurée pour les passerelles Web (micro est considéré comme malveillant et est bloqué à la
périmètre) à partir d’Azure. Toutes les données sont périphérie du réseau ou au niveau du datacenter
finalement accessibles via l’infrastructure réseau régional, selon la configuration du WAF.
Les clients utilisent la segmentation du réseau pour

Attaques DDoS une augmentation des attaques DDoS contre le Durée des attaques Vecteurs d’attaque, applications et régions
protocole IPv6 cette année. Ainsi, à mesure que le L’équipe de Protection DDoS de Microsoft continue de impliquées
Dans notre rétrospective DDoS 2020,101 nous avons mis constater que la plupart des attaques sont de courte Plus de 35 % du volume d’attaque ciblait le protocole
protocole IPv6 est adopté dans les réseaux d’entreprise,
en évidence les changements dans le paysage très actif durée, dont 75,35 % sont inférieures à 30 minutes ou HTTPS et 10 % le protocole HTTP. Les attaques UDP
le risque d’attaques DDoS sur IPv6 continuera à
des cybermenaces. Avec la pandémie de COVID-19 et moins et 87,60 % durent une heure ou moins. Cette représentaient 43 % des vecteurs d’attaque globaux,
augmenter.
l’augmentation du trafic Internet, les attaques DDoS tendance est similaire à ce que nous avons observé en les attaques d’amplification représentant 11 % des
sur des points de terminaison accessibles via Internet 2020. attaques. Outre les attaques par réflexion DNS et NTP,
Attaques quotidiennes et volumes
ont considérablement augmenté. Nous continuons les attaques par réflexion ciblant les protocoles de
Par rapport à la fin de 2020, le nombre quotidien
à observer des tendances similaires dans le premier bureau à distance (RDP) et la sécurité de la couche
moyen d’atténuations d’attaques au cours du premier
semestre 2021. La tendance est caractérisée par de transport en datagrammes ont considérablement
semestre de 2021 a augmenté de 25 %, tandis que la
nombreuses attaques TCP, principalement des floods augmenté.
bande passante moyenne d’attaques par IP publique a
SYN, SYN ACK et ACK et des attaques par réflexion
augmenté de 30 %. La protection Azure DDoS a atténué
de protocole de datagramme utilisateur (UDP). Les
1 200 à 1 400 attaques DDoS uniques chaque jour dans
jeux en ligne et la verticalité des jeux continuent
le premier semestre de 2021. À partir de juillet 2021,
d’être une cible très prisée par les attaques DDoS. La
la taille moyenne des attaques en 2021 (325 Gbps)
plupart des attaques sur la verticalité des jeux ont été
était supérieure de 25 % comparé à celle de 2020
des mutations des botnets MIRAI et des attaques de
(250 Gbps).
protocole UDP à faible volume. On constate également
Atténuation des attaques DDoS Durée de l’attaque (juillet 2020 – juin 2021) Type d’attaque DDoS (juillet 2020 - juin 2021)
Plus de 96 % des attaques sont de courte durée

(< 4 heures)
Nombre d’attaques DDoS uniques atténuées quotidiennement par Microsoft
101
Protection Azure DDoS — 2020 Year in Review | Blog et mises à jour Azure | Microsoft Azure Rapport sur la défense numérique de Microsoft | Octobre 2021 101
La taille moyenne des paquets de TCP Flood a été En savoir plus : Les 10 principales régions ciblées par les attaques DDoS
beaucoup plus faible par rapport aux paquets d’attaque
Services de protection et d’atténuation DDoS | Microsoft
UDP. Les attaques du fragment UDP présentaient une
moyenne de 1 145 octets par paquet, tandis que TCP Azure
invalid syn présentait en moyenne 512 octets. Les Documentation standard sur la protection DDoS Azure |
vecteurs d’attaque TCP tels que SYN ACK, TCP Zero Seq, Microsoft Docs
FIN-ACK et RST Floods étaient en moyenne inférieurs à
100 octets par paquet.
L’Europe, l’Asie et les États-Unis demeurent les régions

les plus attaquées en raison de la concentration des
services financiers et des industries du jeu. Les Émirats
arabes unis ont été de plus en plus touchés par les
attaques DDoS contre le secteur public, le pétrole et le
gaz, les télécommunications et les soins de santé.
Les principales régions sources des attaques DDoS

sont la Russie, la Roumanie, la Turquie, l’Indonésie, le
Vietnam et les Philippines, en raison de la prévalence
des services d’attaque DDoS en location dans ces
régions.

Services DDoS de cybercriminel de logiciels de publicité et de stratégies de DDoS a reculé pour atteindre l’équilibre observé En savoir plus :
monétisation de vol bancaire. jusqu’en novembre 2020. Ce changement a
Entre novembre 2020 et mai 2021, le prix moyen d’une Explication de la façon dont Microsoft sécurise désormais
probablement été causé par deux facteurs. L’un d’entre
attaque DDoS a augmenté de plus de 500 %. Les • Certains produits antivirus utilisent des attaques son réseau grâce à un modèle Confiance Zéro - Blog sur
eux est l’augmentation récente de l’offre de charges
raisons de cette augmentation sont multiples : DDoS sortantes pour détecter les logiciels
récentes disponibles à l’achat auprès des services DDoS. les tendances internes (4/22/2021)
malveillants. Par conséquent, le cycle de vie des
Le deuxième est la diminution des publicités pour les Mise en réseau Confiance Zéro : partage des
bots utilisés dans les attaques DDoS est plus court
La hausse du coût des marchandises vendues pour les services DDoS Premium. Les marges des services DDoS
qu’auparavant, ce qui oblige le service DDoS à enseignements destiné aux leaders (microsoft.com)
services DDoS les a rendus plus coûteux et a entraîné étaient compressées par l’augmentation des coûts et
acheter continuellement de nouvelles charges (1/5/2021)
une diminution de l’offre par rapport à la demande. l’absence de demande de services DDoS coûteux. Ainsi,
pour préserver ses capacités.
certains des services DDoS Premium ont évolué d’un Enseignements tirés de l’ingénierie de la mise en réseau
• Le prix des charges qui sont transformées en bots
• Il est plus difficile de mener des attaques de « service accessible au public » dans les forums de Confiance Zéro (microsoft.com) (1/5/2021)
DDoS a augmenté à mesure que la demande de
qualité en raison de l’amélioration des stratégies cybercriminels vers des services privés qui ne font pas
charges pour toutes les stratégies de monétisation
d’atténuation DDoS. l’objet de publicité.
ont dépassé l’offre. (Les charges sont des appareils
récemment infectés qui sont vendus à des tiers,
qui installent leurs logiciels malveillants sur Les cybercriminels qui souhaitent mener des attaques
l’appareil.) Les attaquants ont trouvé des stratégies DDoS utilisent plus couramment ces services DDoS.
plus efficaces pour monétiser les charges qui Ainsi, nombreux sont les pirates qui n’ont plus les
génèrent plus de valeur qu’elles ne le feraient s’ils compétences ou l’infrastructure nécessaires pour mener
les utilisaient pour les attaques DDoS. Il s’agit leurs propres attaques DDoS. En d’autres termes, les
notamment d’acheter des charges pour élaborer coûts augmentent en raison du manque d’alternatives.
des stratégies de ransomware, de logiciels espions, À partir de la fin juin, le coût annoncé des services
Prix moyen des services d’attaque DDoS

Infrastructure et ceux-ci doivent être pris en compte. Il est donc

essentiel de comprendre les différents risques de
sécurité qui existent dans les environnements en
En savoir plus :
L’évolution d’une matrice : la conception d’ATT&CK

Matrice des menaces pour le
stockage cloud
conteneurs, et plus particulièrement dans Kubernetes. pour les conteneurs | Blog Microsoft dédié à la sécurité À mesure que la migration vers le cloud permet de
L’infrastructure représente un vecteur de menace
critique. L’infrastructure IT et d’applications, que ce soit (7/21/2021) sécuriser la main-d’œuvre hybride, les entreprises
sur site, dans le cloud ou dans plusieurs clouds, est L’infrastructure MITRE ATT&CK est une base de Matrice des menaces pour Kubernetes (microsoft.com) deviennent de plus en plus dépendantes des services
définie comme tout le matériel (physique, virtuel, en connaissances des tactiques et techniques connues de stockage dans le cloud. Elles ont besoin d’une
(5/10/2021)
conteneur), les logiciels (open source, internes ou de impliquées dans les cyberattaques. Compatibles dès protection efficace contre les menaces, de stratégies
Sécurisation des environnements en conteneurs avec la d’atténuation et d’outils pour gérer l’accès à leur
tiers, la plateforme en tant que service (PaaS), SaaS, les le départ avec Windows et Linux, les matrices MITRE
fonctions et les API), les micro-services, l’infrastructure matrice de menaces mise à jour pour Kubernetes | Blog stockage dans le cloud. Par exemple, Azure Defender
ATT&CK couvrent les différentes étapes impliquées
de mise en réseau et les installations nécessaires pour Microsoft dédié à la sécurité (3/23/2021) traite les services axés sur les données, tels que les
dans les cyberattaques (tactiques) et élaborent
développer, tester, fournir, surveiller, contrôler ou les méthodes connues dans chacune d’entre elles Attaques de minage de crypto-monnaies ciblant comptes de stockage dans le cloud et les plateformes
prendre en charge les services IT et les applications. Il (techniques). Ces matrices aident les entreprises d’analyse de Big Data, dans le cadre du périmètre de
des clusters Kubernetes via des instances Kubeflow
s’agit d’un domaine où Microsoft a investi d’énormes à comprendre la surface d’attaque dans leurs sécurité. La solution hiérarchise également les menaces
(6/9/2021)
ressources pour mettre au point un ensemble complet environnements et à s’assurer qu’elles disposent des en fournissant des mesures d’atténuation pour le
de fonctionnalités pour sécuriser la future infrastructure Mise à jour : aider à façonner ATT&CK pour les stockage de données. En examinant la surface d’attaque
détections et des atténuations adéquates des différents
cloud et sur site. risques. conteneurs (2/18/2021) des services de stockage, les chercheurs en sécurité
dans le cloud de Microsoft ont constaté des risques
potentiels à prendre en compte lors du déploiement, de
Collaboration avec MITRE sur Lorsque l’équipe Azure Security Center a commencé
la configuration ou de la surveillance d’une charge de
à mapper le paysage de sécurité de Kubernetes, elle a
une matrice de style ATT&CK remarqué que malgré la différence entre les techniques
travail de stockage. Nous avons établi une matrice de
La flexibilité et l’évolutivité des conteneurs encouragent menaces pour le stockage102, afin d’aider les entreprises
d’attaque et celles qui ciblent Linux ou Windows, les
de nombreux développeurs à transférer leurs charges à identifier les lacunes de leurs défenses. Nous nous
tactiques sont similaires. Par exemple, une traduction
de travail vers Kubernetes, un système open source attendons à ce que la matrice évolue dynamiquement
du système d’exploitation en clusters de conteneurs
pour automatiser le déploiement, la mise à l’échelle au fil de la découverte et de l’exploitation de menaces
serait un « accès initial à l’ordinateur », qui devient
et la gestion des applications en conteneurs. Bien que de plus en plus nombreuses, et à ce que les techniques
un « accès initial au cluster ». L’équipe a donc créé la
Kubernetes présente de nombreux avantages, il apporte deviennent également obsolètes à mesure que les
première matrice d’attaque Kubernetes : une matrice
également de nouveaux défis en matière de sécurité infrastructures cloud progressent constamment vers la
de type ATT&CK comprenant les principales techniques
sécurisation de leurs services.
qui s’appliquent à la sécurité de l’orchestration de
conteneurs.
En savoir plus :
Protégez vos ressources multicloud | Microsoft cloud
L’infrastructure représente un vecteur de Security
menace critique.
Matrice des menaces ciblant les services de stockage -
Microsoft Security (4/8/2021)
102
Matrice des menaces ciblant les services de stockage - Blog Microsoft dédié à la sécurité Rapport sur la défense numérique de Microsoft | Octobre 2021 104
Données de vie et le flux de leurs données sensibles dans le

cadre de leurs opérations commerciales facilitent
considérablement la tâche des équipes chargées de la
organisations prospères ayant établi des processus
de confidentialité matures ont intrinsèquement dû
combiner la gouvernance et la sécurité des données
Au fil du temps, il s’agira de restructurer les processus
métier à haut risque et de respecter les principes de
gouvernance et de sécurité des données à mesure
La transformation numérique et l’intensité tech- sécurité des données et de la conformité, qui doivent afin de minimiser leur empreinte de données sur la que l’organisation fait évoluer ses applications et ses
nologique 103
ont conduit à une croissance exponenti- réduire l’exposition et gérer les risques. confidentialité et la surface d’attaque en vue de garantir infrastructures ou entreprend d’autres projets.
elle des données, et les entreprises sont confrontées à une conformité durable. Ces avantages en matière
un volume, une vitesse et une variété de données in- Bien que les données soient très précieuses pour les de sécurité et de conformité peuvent également être En savoir plus
édits. Cette croissance, combinée avec des effectifs de organisations, leur valeur peut chuter plus rapidement obtenus grâce à des approches similaires avec d’autres
plus en plus distants et à la migration vers le cloud, a jeux de données sensibles ou réglementés. Azure Purview pour la gouvernance unifiée des données
que les risques associés.104 L’accumulation des données
créé une expansion complexe des données qui oppose sensibles causée par une gestion négligente n’est | Microsoft Azure
souvent les exigences de sécurité et réglementaires à pas seulement un gaspillage du point de vue du Réduire le risque associé aux données ne consiste Protection et gouvernance des informations |
l’accès dont les entreprises ont besoin pour générer de stockage, mais peut également favoriser la croissance pas seulement à éliminer les anciennes données et Microsoft 365
la valeur à partir de ces données. des risques. Dans un environnement de croissance à les sécuriser à l’endroit où elles sont hébergées
Microsoft Information Protection dans Microsoft 365 -
rapide des données, il est évident que la gouvernance actuellement. Il s’agit également de réévaluer la façon
des données affectera de plus en plus la sécurité des dont l’entreprise mènera ses activités avec les données Conformité Microsoft 365 | Microsoft Docs (8/26/2021)
La gouvernance des données fait données. sensibles à l’avenir afin de garantir un stockage, un Microsoft Information Protection et Microsoft Azure
partie intégrante de la sécurité accès, un flux et un cycle de vie appropriés afin que ces Purview : Plus efficaces ensemble - Communauté
des données Il y a beaucoup à apprendre et à réutiliser dans données sensibles ne persistent pas ou ne se propagent technique Microsoft (12/7/2020)
les récentes initiatives de confidentialité. Les pas de manière incontrôlable.
Les organisations qui gèrent efficacement le cycle
Impact cumulatif de la gouvernance et de la sécurité des données unifiées sur les risques
liés aux données sensibles
Utilisation de la gestion des droits relatifs à l’information (juillet 2020 – juin 2021)
La baisse du graphique est corrélée à la diminution de l’utilisation lors des grandes fêtes
103
Comment l’intensité technologique accélère la valeur commerciale – Microsoft Industry Blogs 104 Mettre en œuvre la
gouvernance des données et de l’analyse de données en 5 étapes pragmatiques. Publié le 6 juillet 2020 – ID G00729295 – par
La gouvernance des données peut optimiser la valeur commerciale des données tout en réduisant les
Guido de Simoni, Saul Judah risques de sécurité et de conformité de ces données. Rapport sur la défense numérique de Microsoft | Octobre 2021 105
Personnes Quelques conseils sur les risques

internes dans le milieu de travail
contrôles de prévention et de détection qui réduisent
les risques à toutes les étapes du chemin d’attaque des
menaces internes. En général, nous devrions supposer
à partager des fichiers) sont les deux initiatives que
Microsoft a entreprises pour atténuer les risques. À
mesure que les organisations élaborent des capacités
Aider les gens à s’adapter à de nouvelles méthodes de hybride que la menace de perte pour l’organisation ou ses de plus en plus avancées au niveau des contrôles de
travail est la clé de toute transformation fructueuse. Comme le décrivent les sections de ce rapport sur parties prenantes augmente à mesure qu’une attaque prévention, les parties prenantes compétentes de
Bien que les organisations permettent à leurs la Confiance Zéro, il est possible de donner aux progresse sur le chemin. Des contrôles de prévention, l’ensemble de l’organisation doivent toujours être
collaborateurs de travailler en toute sécurité quand, collaborateurs un accès transparent aux informations tels que des formations de sensibilisation qui indiquent consultées. Par exemple, avant de mettre en œuvre
où et comment ils le souhaitent, nous avons constaté tout en atténuant les risques de fuites accidentelles. à l’organisation où signaler les problèmes de menaces des contrôles de prévention, il faut vérifier auprès de
que les approches les plus fructueuses étaient celles Concernant les menaces internes malveillantes, internes, ou des contrôles conçus pour limiter les l’entreprise que les protections permettent toujours aux
qui sont également empathiques envers l’expérience l’utilisation d’un cadre de facteurs et de modèles comportements risqués (par exemple, limiter la capacité collaborateurs et aux sous-traitants d’effectuer leurs
utilisateur. communs généralement observés permet d’assurer une des personnes quittant l’organisation activités commerciales légitimes.
détection proactive. Le programme de risques internes
Les sections précédentes de ce chapitre ont présenté de Microsoft a adapté de nombreux
une vision du paysage des menaces à travers les six
piliers fondamentaux de la Confiance Zéro, avec des
Chemin d’attaques malveillantes en interne105
étapes clés que nous recommandons pour garantir une
protection contre celles-ci. Toutefois, il est impératif
de se rappeler que chaque mesure que nous prenons
pour mettre en œuvre des stratégies Confiance Zéro
affecte les collaborateurs au sein de l’organisation, et
que la réussite de la mise en œuvre dépend autant
d’eux que des systèmes et des outils mis en place.
Comment les entreprises abordent le travail à distance
et les questions de sécurité avec leur personnel.
Nous concluons ce chapitre avec une discussion sur
les personnes, l’élément humain de n’importe quelle
entreprise, et finalement notre plus grand atout.
Les attaques malveillantes en interne partagent plusieurs facteurs et modèles communs, qui peuvent être décrits dans une approche de chemin
critique. L’identification des indicateurs entre les différentes phases du chemin critique peut contribuer à une détection plus proactive.
105
Adapté d’Eric Shaw et de Laura Sellers, Application de la méthode de chemin critique pour évaluer les risques internes, études de renseignement, 59, 2. 2021 Rapport sur la défense numérique de Microsoft | Octobre 2021 106
Le programme de risques internes exploite une variété Considérations clés pour détecter les menaces internes
de détections axées sur l’intelligence artificielle (IA) et
le Machine Learning (ML), ou basées sur la signature
L’IA et le ML ne Les détections basées sur les règles et la signature conviennent mieux à
ou les règles, notamment celles de notre solution
permettent pas de certains cas d’utilisation
Gestion des risques internes, pour atteindre les objectifs
tout résoudre
de détection. Même si l’IA et le ML sont des outils
incroyables qui permettent de diminuer une partie du Les données sont la Une solution d’IA ou de ML efficace nécessite la compréhension et l’acquisition
bruit associé aux alertes traditionnelles basées sur des clé des données pour développer, former et enrichir la solution, tout en suivant les
règles, il est essentiel que l’organisation dispose de mesures de performance
personnes compétentes, munies des « connaissances
tribales » du comportement acceptable en entreprise Les interventions L’examen humain des alertes et l’identification des opportunités de
dans les rôles appropriés pour créer des modèles humaines sont encore paramétrage sont essentiels : continuer à « décaler à gauche »
d’IA et de ML dignes de confiance. Cette intervention nécessaires
humaine améliore le Machine Learning standard
supervisé ou non supervisé, qui est alors plus à même Le pool d’experts en Bien que les experts en sécurité demeurent importants, les data scientists
cybersécurité évolue apportent également des compétences précieuses
de prédire les alertes qui sont les plus exploitables
pour les équipes de réponse aux incidents. L’absence
de ces connaissances peut créer un pool d’alertes
bruyantes avec une marge de manœuvre limitée pour
les enquêtes.
L’IA et le ML ne permettent pas de

tout résoudre

L’impératif de l’empathie Pour soutenir le bien-être de vos collaborateurs, il est En savoir plus :
important de créer des canaux et des mécanismes
Le travail flexible perdurera et avec lui, plusieurs défis Pour prospérer dans le travail hybride, il faut proposer
dédiés à l’écoute de leurs préoccupations, afin de
et facteurs de stress. Les équipes sont devenues plus des styles de travail flexible (microsoft.com) (9/9/2021)
leur donner l’occasion d’apporter et de recevoir des
cloisonnées cette année, et l’épuisement numérique
commentaires, tout en facilitant la collaboration. Risques internes : protéger les données de l’entreprise en
est une menace réelle et insoutenable. Une personne
Adopter une approche holistique et intégrée capable instaurant un climat de bonne volonté — Quartz (qz.
interrogée sur 5 lors d’une enquête mondiale a déclaré
de réunir les signaux en une vue cohérente au sein com) ( juin 2021)
que son employeur ne se souciait pas de son équilibre
d’une organisation permet de mieux comprendre les
vie-travail. 106
54 % se sentent surchargés par le travail. Sécurité des données : élimination des risques internes
tendances pertinentes pour l’organisation et de mieux
39 % se sentent épuisés. Et des milliards de signaux de dans le milieu de travail hybride — Quartz (qz.com)
réduire les risques. C’est pourquoi les entreprises
productivité provenant de Microsoft 365 quantifient
se tournent vers le ML pour découvrir les signaux En savoir plus sur la gestion des risques internes -
l’épuisement numérique précis que les travailleurs
cachés des risques sur le lieu de travail, tels que des Conformité Microsoft 365 | Microsoft Docs (3/17/2021)
ressentent.
communications inappropriées, des comportements
menaçants ou les actions susceptibles d’affecter Réduction des risques liés au code de conduite et aux
Une culture d’entreprise positive atténue les risques négativement les collaborateurs et l’entreprise. En violations de la conformité réglementaire - Communauté
Une étude récente réalisée par CyLab, l’Institut de identifiant les modèles et les violations, la technologie technique Microsoft (5/12/2021)
sécurité et de confidentialité de l’Université Carnegie peut signaler les risques alors qu’il est encore possible Favoriser la communication sécurisée au travail - The
Mellon, a révélé que les mesures de dissuasion d’intervenir, tout en préservant notre engagement
Washington Post (11/17/2020)
négatives, telles que les contraintes, la surveillance et envers la confidentialité des utilisateurs.
la punition des collaborateurs ne permettaient pas de Témoignage client Microsoft : Avanade adopte une
réduire les risques internes. 107
Quelle solution : mettre approche plus légère et la Gestion des risques internes de
l’accent sur l’engagement, la relation et le bien-être des Microsoft, afin de réduire les risques internes (3/24/2021)
collaborateurs.
Assumer une intention positive ; des erreurs

se produisent.
106
Indice des tendances du travail : les dernières recherches de Microsoft sur les méthodes de travail 107 Comment une culture de travail hybride positive permet d’atténuer les
risques internes - Microsoft Security (5/17/2021) Rapport sur la défense numérique de Microsoft | Octobre 2021 108
CHAPITRE 6
Désinformation
Introduction
La désinformation comme une menace émergente
Atténuation grâce à l’initiation aux médias
La désinformation perturbe les entreprises
Sécurité des campagnes et intégrité électorale

Introduction La désinformation comme une menace émergente Atténuation grâce à l’initiation aux médias La désinformation perturbe les entreprises Sécurité des campagnes et intégrité électorale
la sophistication croissante et la portée de la

INTRODUCTION :
désinformation nécessitent une attention critique

ERIC HORVITZ, DIRECTEUR SCIENTIFIQUE
La désinformation désigne l’utilisation délibérée de fausses informations dans le but d’influencer l’opinion publique. Les CES MÉTHODES
efforts visant à élaborer des mensonges dans le but de manipuler les masses ne datent pas d’hier. Toutefois, de nouvelles
INJECTENT
formes de désinformation ont pris de l’importance au cours de la dernière décennie, grâce aux progrès des méthodes et de
l’infrastructure informatiques qui ont transformé la puissance, la portée et l’efficacité des campagnes de désinformation. UNE NOUVELLE
FORCE DE
Les plateformes et les services de consommation largement utilisés, tels que les réseaux sociaux, les plateformes de
créateurs, les moteurs de recherche et les services de messagerie, fournissent désormais aux acteurs étatiques et PERSUASION AUX
non étatiques des canaux puissants pour répandre la désinformation. Au-delà des canaux, ces services offrent aux CAMPAGNES DE
cybercriminels des outils prêts à l’emploi pour expérimenter, surveiller, itérer et optimiser l’impact des campagnes de
DÉSINFORMATION.
désinformation.
Les plateformes commerciales en ligne ont été exploitées par dans des initiatives de désinformation, en causant souvent individus et des groupes et pour générer des programmes
ces acteurs qui en ont fait des moteurs de désinformation des effets dramatiques. Toutefois, les technologies de personnalisés de désinformation visant à influencer les
pour alimenter des programmes de messagerie axés sur génération de deepfakes fournissent aux acteurs malveillants croyances, les opinions et les actions.
l’influence politique, la polarisation et le chaos. Les stratégies des palettes puissantes et génériques pour fabriquer des
de désinformation sont de plus en plus sophistiquées, et comportements et des événements. Ces méthodes injectent La réaffectation de l’infrastructure informatique de
impliquent désormais l’utilisation concertée de plusieurs une nouvelle force de persuasion aux campagnes de consommation, l’utilisation d’outils pour générer des
services108 pour diffuser les messages sur toutes les désinformation. médias synthétiques et l’exploitation de l’intelligence
plateformes. artificielle pour orienter les opérations psychologiques sont
Les méthodes d’intelligence artificielle (IA) soulèvent préoccupantes, qu’elles soient employées séparément et en
Par ailleurs, les progrès en matière de Machine Learning (ML) un troisième sujet de préoccupation, car elles peuvent synergie. Ensemble, elles suralimentent la désinformation,
et de graphisme ont donné naissance à des outils largement être utilisées par les acteurs étatiques et non étatiques avec de graves implications pour la santé et la vitalité des
disponibles pour concevoir des contenus audiovisuels à pour formuler et générer des opérations psychologiques démocraties qui dépendent essentiellement de citoyens
haute fidélité, appelés médias synthétiques et deepfakes. puissantes qui tirent parti des informations et des données instruits et sensibilisés.
Pendant des décennies, les photos et les commentaires des sur la cognition humaine. Le Machine Learning et le
dirigeants politiques ont été manipulés ou mis hors contexte raisonnement peuvent être utilisés pour établir le profil des
108
Caractérisation du trafic de moteur de recherche vers les propriétés Web de l’Internet Research Agency | Actes de la conférence Web de 2020 (acm.org) Rapport sur la défense numérique de Microsoft | Octobre 2021 110
Que peut-on faire face à cette évolution ? réseau peuvent viser à identifier les emplacements
principaux et les sources organisationnelles La désinformation Le motif général de la propagation de la désinformation
est de nuire à la réputation d’une entité, d’induire les
comme une
Nous devons gérer de manière critique la sophistication de désinformation. Enfin, des développements consommateurs en erreur, ou d’influencer le résultat
croissante et la portée de la désinformation, et nous prometteurs de technologies utilisent un ensemble d’un événement proscrit. Il s’agit de l’une des plus
menace
engager sur plusieurs fronts. Tout d’abord, nous de méthodes, notamment des technologies de grandes menaces à la démocratie, au débat ouvert et à
devons investir profondément dans l’initiation aux cryptographie, de sécurité et de base de données dans la société libre et moderne.
émergente
médias modernes, pour éduquer les masses sur la les outils et les pipelines de production qui servent
façon de comprendre, d’anticiper et de reconnaître la à certifier l’origine et l’historique des modifications Le cloud Computing de base, la recherche open
désinformation. Le travail sur l’initiation aux médias va apportées au contenu des médias en ligne, appelée la source, les outils et les algorithmes d’intelligence
au-delà de l’éducation et implique des initiatives pour provenance109 du contenu. Des progrès intéressants sont La désinformation est une méthode de guerre de artificielle, ainsi que la vitesse et l’échelle des réseaux
fournir de nouveaux types d’outils qui permettent aux réalisés au niveau de la provenance et de l’authenticité l’information en constante évolution, la plus reconnue sociaux ont créé un scénario parfait pour l’essor de la
masses de remettre en question la source et la véracité des médias grâce à de solides collaborations aux États-Unis après l’élection de 2016, mais bien désinformation et des médias synthétiques malveillants
des actualités et des informations. Deuxièmement, interorganisationnelles. connue dans le monde depuis la guerre froide. Cette communément appelés deepfakes.110 Les techniques
nous devons soutenir le journalisme de haute qualité, approche est un enjeu important et efficace pour créer d’intelligence artificielle visant à créer une falsification
y compris les organismes de presse de confiance. Il Nous faisons face à des campagnes de désinformation une discorde sociale, augmenter la polarisation et, numérique hyper réaliste, également connue sous le
est essentiel que des journalistes engagés soient sur sans précédent et à des opérations cybernétiques dans certains cas, influencer le résultat des élections. nom de deepfakes, incluent la manipulation de l’audio,
le terrain pour voir, entendre et signaler avec clarté les associées qui sont l’œuvre d’acteurs étatiques et Les acteurs de l’État-nation qui ont des aspirations de la vidéo, des images et du texte, qui compromet
événements et les incidents. Nous devons également non étatiques. Ces campagnes visent à sensibiliser géopolitiques, les partisans d’idéologies radicales, les sérieusement notre capacité à discerner la vérité du
garantir l’intégrité et le dynamisme du journalisme et à informer le public à l’aide de la désinformation, extrémistes violents et les entreprises motivées par des mensonge. Dans ce rapport, nous utilisons le terme
local. tandis que d’autres ciblent les opérations d’entreprise raisons économiques peuvent manipuler des récits en « deepfakes » pour désigner les médias manipulés par
et la confiance. Il est important de tenir compte des ligne avec une portée et une ampleur sans précédent, l’IA, à des fins malveillantes.
Sur le plan technique, l’application des technologies de développements et de se réunir pour relever les en créant un impact sociétal significatif.
reconnaissance des modèles d’IA pourrait permettre défis liés à la sensibilisation, aux technologies et aux
Mappage du problème
de détecter les modes de communication et le contenu stratégies. Pour relever les défis nouveaux et évolutifs,
qui révèlent une intention trompeuse. Ces travaux nous devrons réaliser des investissements, poursuivre
comprennent des initiatives visant à identifier les l’innovation et agir sur plusieurs fronts. Ce chapitre
médias audiovisuels et textuels fabriqués. Par ailleurs, important examine certains de ces défis et indique
les efforts en matière de technologies de mise en comment procéder pour les relever.
109
Un pas en avant prometteur sur la désinformation – Microsoft On the Issues 110 Malgré son utilisation populaire, ce terme se réfère techniquement à
un type spécifique de Machine Learning (un processus par lequel l’exposition à de nombreuses et diverses quantités de données permet à un ordinateur
d’améliorer ses propres performances) qui utilise des réseaux neuronaux en couches (les processeurs informatiques connectés d’une manière qui imite
la circulation des informations dans le cerveau humain) pour améliorer la précision des algorithmes de Machine Learning. Les deepfakes utilise deux
algorithmes : le premier algorithme crée une vidéo, et le second tente de déterminer si la vidéo est réelle ou non. Si le second algorithme peut détecter
que la vidéo est factice, le premier algorithme réessaie, jusqu’à ce que l’image obtenue soit suffisamment crédible. Rapport sur la défense numérique de Microsoft | Octobre 2021 111
Dans l’économie de l’attention, les sites Web et les Parallèles dans la cybersécurité la polarisation, influencer les résultats électoraux, Deepfakes
plateformes gagnent des revenus grâce au temps que perturber les principes démocratiques, favoriser la
Les cyberattaques compromettent la confidentialité, Les Deepfakes sont des photos, des vidéos ou des
leur consacrent les utilisateurs. Ce modèle commercial fraude financière et menacer la vie et les biens.
l’intégrité et la disponibilité des systèmes numériques. fichiers audio manipulés par l’IA et difficiles à détecter.
basé sur la publicité récompense les moteurs de
La différence entre une attaque de désinformation L’utilisation des deepfakes comme arme peut affecter
recommandation et les échéanciers organisés avec des La désinformation et les cyberattaques sont utilisées
et une cyberattaque est la cible ; la désinformation considérablement l’économie et la sécurité nationale.
titres de clickbait et des informations scandaleuses, par un adversaire pour créer des perturbations. Une
est également une attaque et un compromis de En érodant la confiance du public dans les médias,
des opinions et des mensonges. Les algorithmes de campagne de désinformation bien coordonnée peut
notre être cognitif. Tandis que les cyberattaques sont les deepfakes sapent la crédibilité du journalisme. À
conservation de la chronologie permettent de créer des envahir les canaux de diffusion et de réseaux sociaux
des exploitations de l’infrastructure informatique mesure que cette crédibilité est érodée, les deepfakes
chambres d’écho, des bulles de filtre et un tribalisme de fausses informations et de bruits, en créant des
pour créer des perturbations, la désinformation donnent également naissance au phénomène du
involontaire. En raison des chambres d’écho et des récits qui jouent avec les émotions et noient le
exploite l’infrastructure humaine (nos biais cognitifs « dividende du menteur ». Dans un environnement
bulles de filtre, les utilisateurs voient principalement véritable récit. Cette manœuvre est similaire à une
inhérents, les erreurs logiques et les vulnérabilités où il difficile de distinguer le faux du vrai, il devient
le contenu qui correspond à leurs croyances, leurs attaque distribuée de déni de service (DDoS) qui
psychologiques), et l’attaque compromet la pensée plus facile de décrédibiliser n’importe quelle vérité
préjugés et leurs désirs, renforçant ainsi leur biais de inonde les services et les réseaux cibles de demandes
logique, analytique et critique. incommode ou impopulaire. Les deepfakes pourraient
confirmation et en filtrant les points de vue opposés. superflues pour se connecter et surcharger le système
permettre à une personnalité publique de prétendre
Les acteurs malveillants détournent l’économie de afin d’éviter que les demandes légitimes ne soient
Nous pouvons donc assimiler la menace posée par la que ses véritables actions ne sont que factices.
l’attention et tirent parti du modèle commercial traitées. La désinformation peut également être utilisée
publicitaire pour manipuler les récits des réseaux désinformation et la propagande automatisée à un
pour les menaces sur une échelle de masse. Comme
sociaux, créer des divisions et semer la discorde. piratage cognitif. Un piratage cognitif tente de modifier La prolifération de la technologie de deepfake peut
les attaques d’hameçonnage pour compromettre
les pensées et les actions du public cible à l’aide de nuire directement aux individus. La pornographie
les systèmes informatiques afin d’extraire des
la désinformation pour manipuler la manière dont il Deepfake a été utilisée pour objectiver et victimiser
données, les campagnes de désinformation jouent
« Bulles de filtre » et « chambre d’écho » perçoit la réalité. Les acteurs malveillants effectuent les personnes sans consentement, en particulier les
sur les émotions, en permettant facilement aux
des piratages cognitifs à l’aide de diverses techniques, femmes ou celles qui s’identifient en tant que femmes.
cybercriminels d’escroquer leurs cibles. Les vidéos et
notamment la manipulation, la mise en contexte Cette pornographie de vengeance est devenu un
RÉSEAUX SOCIAUX
ACTUALITÉS
RÉSULTATS DE LA RECHERCHE l’audio deepfakes peuvent inciter les collaborateurs à

RÉSULTATS DE LA RECHERCHE
erronée ou le détournement des informations. Ces problème important : plus de 96 % des vidéos deepfake
RÉSEAUX SOCIAUX RÉSEAUX SOCIAUX divulguer ou partager des informations d’identification
piratages peuvent finalement engendrer une discorde
de connexion, qui peuvent ensuite être utilisées pour
ACTUALITÉS ACTUALITÉS ACTUALITÉS
sociale, exacerber
ACTUALITÉS
accéder au réseau d’une entreprise.

ACTUALITÉS ACTUALITÉS
ACTUALITÉS ACTUALITÉS
ACTUALITÉS
ACTUALITÉS RÉSEAUX SOCIAUX ACTUALITÉS
ACTUALITÉS ACTUALITÉS ACTUALITÉS

RÉSEAUX SOCIAUX
RÉSEAUX SOCIAUX RÉSULTATS DE LA RECHERCHE
ACTUALITÉS RÉSEAUX SOCIAUX

ACTUALITÉS RÉSEAUX SOCIAUX
ACTUALITÉS
ACTUALITÉS
ACTUALITÉS
ACTUALITÉS
RÉSEAUX SOCIAUX
RÉSEAUX SOCIAUX
Dans l’économie de l’attention, les utilisateurs sont de plus en plus exposés uniquement à
des informations qui correspondent à leurs préférences (zones bleues dans le graphique).
Les bulles de filtre représentent des algorithmes qui choisissent le contenu en fonction des
historiques de recherche précédents de l’utilisateur et d’autres activités en ligne.

sont de la pornographie non consensuelle.111 La

réputation d’une personne peut être irrémédiablement Atténuation les universités et les entreprises de réseaux sociaux
ont tous commencé à mettre en œuvre des initiatives
en 2014, le gouvernement a introduit la maîtrise de
l’information sur plusieurs plateformes et une forte
grâce à
endommagée par une seule vidéo deepfake publiée sur d’initiation aux médias, qui incluent des ressources réflexion critique en tant que composant principale
les réseaux sociaux. telles que l’étiquetage, la contextualisation, la fourniture d’un programme national.117
l’initiation aux
Les criminels peuvent et vont tirer parti de l’IA et des de lectures ou de ressources supplémentaires, et même
deepfakes pour augmenter l’efficacité des escroqueries des outils ludiques, tels que des questionnaires en Le programme d’initiation aux médias devrait aider
médias
et d’autres activités néfastes. Nous avons vu des ligne. les individus à comprendre les informations qu’ils
exemples récents de fraude commerciale 112 et de rencontrent, à évaluer la plausibilité, à vérifier la source
stratagèmes de rencontre113 à l’aide de deepfakes L’amélioration de l’initiation aux médias est essentielle et à rechercher d’autres sources fiables sur le sujet,
audio. Même après avoir effectivement démystifier le Le Pew Center Research indique que les gens sont de pour lutter contre la désinformation. Les interventions et à interpréter le contexte. Dans le monde en ligne
deepfake, les dommages demeurent. Les deepfakes plus en plus préoccupés par leur capacité à discerner doivent être contextuelles et adaptées au public, dès d’aujourd’hui, inondé d’informations, ces compétences
présentent également des menaces directes pour des informations fausses et à passer au crible le le plus jeune âge avec un programme de citoyenneté peuvent ne pas être intuitives. Elles peuvent toutefois
la société. Les acteurs de l’État-nation malveillants volume d’informations qu’ils rencontrent dans leur numérique responsable intégré à l’éducation civique être acquises et aiguisées au fil du temps. En outre,
travaillent en permanence pour diffuser des campagnes vie quotidienne. 114
L’initiation aux médias est l’un des standard. Certains États américains, notamment la l’éducation à l’initiation aux médias ne doit pas
de désinformation, qui incluent de plus en plus de outils les plus efficaces pour améliorer la résilience Floride et l’Ohio, ont déjà commencé à piloter et à pour autant être confinée à la salle de classe : ces
deepfakes, pour créer des conflits idéologiques dans individuelle à la désinformation. En aidant les gens à développer des programmes d’initiation aux médias compétences sont universellement importantes, en
les démocraties du monde entier. Ils ont effectivement comprendre les corrections rédactionnelles mineures, dans les salles de classe.116 En Finlande, lorsque le pays particulier pour les non-natifs du numérique, ou toute
utilisé la désinformation et permis à des acteurs à éviter que les fausses informations gagnent en a été ciblé par des opérations d’influence étrangères et personne qui consomme régulièrement des actualités
nationaux de perturber les élections et de saper les popularité et à réduire la probabilité que les influences des campagnes de désinformation provenant de Russie et des informations en ligne.
efforts visant à contenir la pandémie de COVID-19. Les étrangères nuisent à une élection, l’initiation aux
innovations technologiques comme le remplacement Approches pour lutter contre la désinformation
médias protège les individus en leur permettant de
des codecs vidéo par des réseaux neuronaux profonds réfléchir de manière critique aux informations qu’ils
facilitent la création de deepfakes dans les appels vidéo rencontrent.
en direct.
Même une courte intervention relative à l’initiation

Microsoft Research, en coordination avec l’équipe aux médias s’est révélée importante pour comprendre
chargée de l’intelligence artificielle responsable de la désinformation, identifier les motivations et le
Microsoft et le comité Microsoft AI, Ethics and Effects in contexte, et réduire la crédulité face au contenu
Engineering and Research (AETHER), continue à mettre inauthentique.115Les nouveaux organismes médiatiques,
au point une technologie de formation et de test des les entreprises technologiques,
technologies de détection de deepfakes.
111
The State of Deepfakes: 2019 Landscape, Threats, and Impact (L’État des deepfakes : paysage, menaces et impact en 2019)| Sensity AI 112 Thieves are now using AI deepfakes to trick companies into sending them money (Les criminels utilisent
désormais les deepfakes basés sur l’IA pour tromper les entreprises et leur extorquer de l’argent) – The Verge 113 Un fraudeur utilise les deepfakes pour se faire passer pour un amiral de la Marine et voler près de 300 00 USD à une veuve (msn.com)
114
Many Americans Believe Fake News Is Sowing Confusion (De nombreux américains pensent que les fausses informations sèment la confusion) | Pew Research Center ( journalism.org) 115 A digital media literacy intervention increases discernment
between mainstream and false news in the United States and India (Une intervention d’initiation aux médias améliore le discernement entre la presse grand public et les fausses actualités aux États-Unis et en Inde). (2020) 116 Media Literacy
Around the States (Initiation aux médias à travers les États) | Media Literacy Now 117https://www.theguardian.com/world/2020/jan/28/fact-from-fiction-finlands-new-lessons-in-combating-fake-news Rapport sur la défense numérique de Microsoft | Octobre 2021 113
Microsoft a et continue de mettre au point des

ressources d’initiation aux médias pour aider les La cette désinformation est susceptible de perturber
la prise de décision de l’entreprise, de créer une
publiques grâce à l’évaluation humaine et
des moyens automatisés, sont également
désinformation
consommateurs à discerner les informations. Avant confusion commerciale et de semer le doute dans sujets à des perturbations, à la corruption ou
les élections américaines 2020, nous avons publié l’esprit des collaborateurs, des clients et des marchés. à des modifications nuancées. Pour remédier
perturbe les
deux questionnaires en ligne, « Spot the Deepfake » Les trois domaines suivants couvrent certaines des à cette menace croissante, les décisionnaires
(Identifiez le deepfake) et « Know My News »
118
considérations plus courantes que les entreprises d’entreprise doivent évaluer les processus de
entreprises
(Connaître les actualités),119 afin de sensibiliser les doivent prioriser pour se préparer à atténuer l’effet collecte et de distribution d’informations critiques
individus à la technologie des médias synthétiques disruptif de la désinformation. de l’entreprise susceptibles de bénéficier de
et de leur permettre de comprendre les sources pratiques plus résilientes. Quels sont les points
1. Parallèlement à son effet sur les réseaux
d’informations. Un « questionnaire VaxFacts » 120
a La désinformation traverse une chaîne de diffusion d’inflexion ou les points où les informations sont
sociaux, la désinformation a fait son entrée
également été publié pour sensibiliser les individus à sociale composée d’agents intentionnels et non interchangées ou interprétées, qui nécessitent
dans les charges de travail d’entreprise
la désinformation relative à la COVID-19, à mesure que méfiants. Les acteurs intentionnels sont notamment davantage de rigueur, de contrôles ou d’autres
qui dépendent des pratiques de collecte,
les vaccins étaient proposés au grand public. Microsoft les pirates, les perturbateurs et d’autres agents qui formes de vérifications et de contrepoids ?
d’agrégation et de distribution de données.
a également développé un programme de formation génèrent ou propagent la désinformation. Ces agents Sur la base de cette analyse, des contrôles et
Ces charges de travail et les pratiques de données
sur les menaces hybrides qui met en évidence pourraient inclure des États-nations ciblant une société, même des recoupements et des validations hors
peuvent être automatisés ou manuelles, et
comment les cyberattaquants utilisent de plus en plus un secteur ou un domaine social. Ils peuvent également bande doivent être introduits afin d’atténuer la
des pratiques encore plus avancées, telles que
la cybersécurité et les attaques de désinformation en inclure des agents impliqués dans des activités de menace d’informations polluées ou erronées
celles qui tirent parti des capacités d’intelligence
tandem pour atteindre leurs objectifs. Ces modules de contre-espionnage d’entreprise ou des perturbations susceptible de corrompre le flux de données et
artificielle, sont exposées aux violations. Des
formation ont été personnalisés pour la communauté anticoncurrentielles. Les agents involontaires peuvent les renseignements ultérieurs qui découlent des
algorithmes d’intelligence artificielle sophistiqués
politique, notamment les campagnes politiques, les inclure du personnel, des fournisseurs et d’autres données.
peuvent être trompés, ou leurs modèles sous-
partis et les entités gouvernementales, ainsi que pour partenaires et parties prenantes, des clients et même jacents sont submergés par une désinformation 2. Les signaux et les données de l’entreprise
les journalistes et les organisations de défense des des concurrents qui participent à la propagation de la excessive et d’autres types d’attaques visant pourraient être compromis par des failles
droits de la personne. désinformation, souvent sans s’en rendre compte. Ils l’information, en entraînant des informations de sécurité ou des attaques et exposés à la
deviennent simultanément des victimes et des agents ou des résultats erronés ou anormaux. En désinformation. Les signaux d’instrumentation et
En savoir plus : de désinformation insoupçonnés. Grâce à ces agents général, les pratiques automatisées sont sujettes de menace pour les performances de la résilience
Une mise à jour sur nos efforts pour préserver et protéger et à d’autres moyens de diffusion de l’information, aux menaces de violation et de corruption en d’entreprise sont souvent relayés au second
une vague parallèle et simultanée de désinformation l’absence d’une détection adéquate, d’une plan, sans bénéficier du niveau de surveillance
le journalisme – Microsoft On the Issues (6/16/2021)
traverse ou enveloppe l’entreprise. Cette vague notification en temps opportun, d’un isolement attribué aux services ou aux applications de base
peut être simple et anticipée, comme la montée et d’une expulsion, ainsi que de défenses en ou primaires. La collecte des données et des
d’une marée, ou elle peut avoir l’effet d’un tsunami profondeur. En revanche, les pratiques manuelles, signaux sont parfois reléguées à des applications
imprévisible sur le point de dévaster un village côtier telles que le copier/coller, le fauteuil pivotant et à des systèmes qui sont verrouillés en tant
innocent. Dans ce cas, le village côtier représente la (saisie des données dans un système, puis saisie qu’environnements auxiliaires. Les cybercriminels
communauté d’information d’entreprise. À l’instar des mêmes données dans un autre système), le et les perturbateurs le savent et frappent là où
de son effet de perturbation sur le discours social, screen-scraping et l’agrégation des informations ils ont identifié des vulnérabilités. Les principaux
118
https://www.spotdeepfakes.org/en-US (en partenariat avec l’University of Washington Center for Informed Public) 119 https://www.knowmynews.com/en-us (en partenariat avec NewsGuard) 120
Do you know the Facts about the COVID-19 Vax? (Connaissez-vous le vaccin contre la COVID-19 ?) – NewsGuard (newsguardtech.com) Rapport sur la défense numérique de Microsoft | Octobre 2021 114
domaines de reconnaissance incluent les 3. L’intelligence situationnelle pourrait être les commandes et le traitement constitue une
systèmes de sécurité et de contrôle opérationnels, supplantée par la désinformation ou nuancée menace pour la chaîne d’approvisionnement et
parallèlement à la découverte des failles de de manière à générer des biais ou à semer la confiance dans la disponibilité des produits
code et de configuration, en particulier dans les le doute dans l’esprit des décisionnaires ou et des ressources. L’impact d’une baisse de la
systèmes secondaires ou de support. Les attaques du personnel de première ligne. L’intelligence confiance pourrait augmenter les prix et les coûts
réussies pourraient perturber les signaux de situationnelle inclut les renseignements sur de production. Le doute quant à la capacité de
menace, ou intégrer des données trompeuses, les menaces, les renseignements de crise, les l’entreprise à maintenir une maîtrise des prix, des
si elles parviennent à contourner la détection données sur les catastrophes et d’autres types approvisionnements et des fournisseurs pourrait
d’intrusion. Les décisionnaires d’entreprise d’informations qui améliorent la compréhension exacerber les perturbations et imposer des délais
doivent réévaluer l’étendue et la sécurité de leurs d’une entreprise d’un environnement accélérés ou induire des décisions imprécises
ressources protégées, ainsi que les instruments opérationnel ou concurrentiel. L’une des ou incorrectes. Il peut également introduire
et les signaux associés, et s’assurer que les principales stratégies des perturbateurs consiste une latence ou un doute dans les décisions,
périmètres de détection des intrusions autour à remplacer l’intelligence situationnelle par la telles que la récupération, le basculement ou
des ressources de base ou critiques ont été désinformation. Cette stratégie est souvent les solutions de secours. Les perturbateurs
définis pour englober ces domaines également. déployée dans des environnements considérés pourraient également tenter de diminuer la
Cet examen comprend l’évaluation des contrôles comme hors bande ou au-delà du contrôle et confiance des travailleurs en première ligne
qui mesurent l’efficacité de la segmentation de la portée de l’entreprise. Il peut s’agir des vis-à-vis du leadership en érodant la confiance
du réseau, la validation du respect du schéma plateformes de médias sociaux et autres, des ou en présentant des informations fausses ou
de classification des données et des signaux, sites et des portails publics, ainsi que d’autres inexactes, ainsi que des indicateurs précurseurs
les fonctions et les modèles de trafic entrants types de campagnes susceptibles de cibler ou tardifs. Les entreprises qui dépendent de
et sortants, la classification des données et l’entreprise ou ses chaînes d’approvisionnement sources externes de renseignements pour
des dépendances, ainsi que l’instrumentation complexes et innombrables. Les perturbateurs les fonctions critiques doivent être vigilantes
qui garantit l’intégrité des données circulant à génèrent parfois tellement de désinformation quant aux informations qu’elles ingèrent ou
travers les systèmes, au repos et en sauvegarde. hors bande qu’ils débordent des faits et des consomment. Les collecteurs d’informations et
L’instrumentation et les signaux qui évaluent données autrement fiables. Leurs tactiques de les décisionnaires doivent valider les sources
et indiquent les performances des systèmes perturbation vont au-delà de l’entreprise et de et contre-vérifier les renseignements. Des
critiques doivent être catalogués et soumis à ses informations directes, en s’étendant souvent systèmes et des schémas de cotation doivent
un examen de sécurité et opérationnel pour aux fournisseurs et aux filiales tierces. Leur être utilisés, et la véracité et la provenance des
identifier les vulnérabilités et les causes possibles objectif est de semer le doute dans l’esprit des renseignements doivent être confirmées de
de compromis et d’injection de désinformation. décisionnaires et/ou du personnel de première manière indépendante.
ligne. La désinformation susceptible de perturber
les fournisseurs, la logistique, les livraisons,

Recommandations : plan en • Catégoriser et enregistrer le contenu qui a été 3. Quantifier les conséquences des perturbations. d’accès concurrentiel. Les perturbateurs d’informations
manipulé ou introduit afin d’identifier ou de En examinant les cartes de dépendance du flux et les pirates recherchent de manière agressive des
quatre points destiné aux cadres détecter des modèles. de données, l’analyse et les points sur lesquels installations de sauvegarde, des magasins de données
d’entreprise • Déterminer les moyens de propagation et de
les humains et les systèmes ont été touchés, les inactifs ou des services de données et des données
À mesure que les entreprises développent et dirigeants d’entreprise peuvent estimer ou calculer les non surveillés qui sont censés être obsolètes. Quand
diffusion au sein de l’entreprise.
perfectionnent leur capacité à répondre aux conséquences et les dommages collatéraux causés par ils trouvent une faille dans les contrôles de sécurité,
• Identifier les caractéristiques des acteurs et des la désinformation et les perturbations. L’objectif d’un ils risquent non seulement de violer les données,
perturbations de l’information et à la désinformation,
agents à la meilleure capacité disponible à ce tel examen est de quantifier la zone d’impact de toute mais leurs actions peuvent également déclencher
de nouveaux impératifs émergent dans les domaines
moment-là. perturbation potentielle et d’évaluer sa gravité sur les des incidents potentiellement importants au sujet
des contrôles de sécurité, de la classification des
menaces et de l’analyse. Pour soutenir et améliorer la • Effectuer une identification franche et objective opérations, les fonctions et la réputation de l’entreprise. de la confidentialité. Les équipes chargées de la
capacité des entreprises à améliorer leur réponse, à des fonctions, des processus et des systèmes de La probabilité et l’impact d’une telle perturbation confidentialité et de la sécurité de l’entreprise doivent
hiérarchiser les mesures d’atténuation pour remédier l’entreprise qui ont consommé ou ont été touchés doivent être utilisés pour informer les investissements examiner de plus près les contrôles, notamment les
aux plus hauts risques et à réaliser des investissements par la désinformation. dans les mesures d’atténuation et de contrôle, tout en mesures de sécurité, le chiffrement au repos et en
qui propulsent ou accélèrent leurs objectifs, les permettant de hiérarchiser les mesures de protection transit, les sources de données primaires et toutes
L’impact net de la perturbation ou de l’infiltration
pratiques suivantes peuvent être utilisées comme point qui doivent être mises en œuvre pour munir l’entreprise les sauvegardes ou autres magasins de données.
d’informations doit être évalué et finalement
de départ pour établir des mesures d’atténuation et de la défense la plus appropriée contre les impacts des Les lacunes dans ces environnements et contrôles
pris en compte dans les considérations de
apporter des améliorations durables afin de contrer perturbations et de la désinformation. doivent être signalées à la direction de l’entreprise et
responsabilité de l’entreprise.
les effets de la perturbation de l’information et de la hiérarchisées pour être traitées en temps opportun.
désinformation. 4. Évaluer les conséquences des perturbations sur
2. Évaluer l’impact de la manipulation de
la confidentialité.Les campagnes de désinformation
l’information ou de la désinformation.
1. Répertorier les expositions des entreprises et de perturbation de l’information attaquent ou
La gestion des entreprises et les ressources humaines
à la perturbation, à la manipulation et à la menacent parfois les clients et d’autres données
doivent traiter un domaine émergent : effectuer
désinformation. protégées, en compromettant sérieusement la
des analyses d’impact sur les perturbations et la
Les entreprises doivent commencer par la tâche protection de la vie privée assurée par les entreprises.
désinformation. Les responsables et les services des
ardue de répertorier ou de suivre les attaques de Les sources ou les magasins principaux de ces données
ressources humaines doivent étudier le comportement
désinformation sur leurs systèmes d’information et sont des cibles difficiles car ils sont maintenus au
des collaborateurs, des partenaires et des clients de
leurs données. Ce catalogue doit s’ajouter au catalogue cœur du réseau défensif des contrôles, de la détection
l’entreprise lorsqu’ils réagissent à des perturbations ou
des menaces et des attaques qui font partie des des intrusions et des couches d’authentification et
à la désinformation. Les équipes chargées de la sécurité
contrôles de sécurité des entreprises. d’autorisation. Les contrôles d’entreprise modernes
et de la science des données doivent exécuter des
incluent des approches Confiance Zéro et un accès
• Inclure une classification de la manipulation de tests A/B sur l’intelligence artificielle et les algorithmes
étroitement contrôlé ou restreint aux données
l’information et de la désinformation avec des formés pour vérifier qu’ils n’ont pas été corrompus ou
assujetties à des réglementations, des contrôles et des
indicateurs clairs des résultats ciblés et de l’impact que leurs modèles n’ont pas été falsifiés. Les équipes
directives en matière de confidentialité. Des règles
des attaques. financières et les économistes peuvent étudier les coûts
et des obligations souveraines peuvent également
des perturbations, y compris les coûts d’opportunité,
• Noter les sources des attaques ou des s’appliquer. C’est sous ces contraintes et ces restrictions
et les passifs associés aux répercussions sur la
informations afin d’identifier leur origine et leur que les entreprises sont censées garantir la résilience
confiance des marchés, la croissance des revenus et les
motivation, si elles sont connues. des données, y compris les sauvegardes à chaud et à
augmentations des coûts opérationnels associés à la
froid, ou les modèles actifs-actifs de redondance ou
désinformation.
Sécurité des cybersécurité que nous devons aborder afin de garantir

la sécurité de nos institutions démocratiques.
Il est essentiel que la communauté de sécurité
continue de sensibiliser les individus aux problèmes
À l’approche du cycle de l’élection présidentielle des
États-Unis en 2020, le programme AccountGuard a
campagnes
de cybersécurité et aux bonnes pratiques au sein des également offert des fonctions de protection d’identité
Des défis de cybersécurité campagnes politiques. Pour y parvenir, il suffit d’établir améliorées et des examens de résilience aux clients
et intégrité
des canaux de communication solides entre le personnel impliqués dans l’élection. Les entreprises qui ont profité
uniques dans la sécurité des de la campagne et le secteur privé pour leur fournir un de ces ressources ont constaté une augmentation
électorale
campagnes politiques point de contact si des problèmes surviennent. Il est moyenne de 18 % par rapport à leur service Degré de
La structure et le cycle de vie des campagnes également impératif que les candidats instaurent une sécurisation Microsoft. En plus des clients politiques,
politiques présentent des défis uniques en matière culture de cybersécurité au sein des leurs campagnes, le service est mis à la disposition d’autres groupes à
Les menaces qui pèsent sur les processus démocratiques de cybersécurité. Les organisations de campagne non seulement parmi le personnel informatique, mais haut risque, notamment les organisations des droits
provenant des interférences liées à la cybercriminalité composées d’un mélange de personnel, de bénévoles aussi auprès de tous ceux qui interagissent avec la de la personne, les journalistes et les organisations
constituent une préoccupation majeure. Microsoft a et de consultants sont souvent créées et développées campagne. Des actions relativement simples, telles que médiatiques, ainsi que les organismes de soins de santé.
fermé des douzaines de sites Web largement attribués rapidement une fois qu’une personne a déclaré sa l’activation de l’authentification multifacteur (MFA),
l’utilisation d’un gestionnaire de mots de passe pour des
Distribution d’AccountGuard
aux acteurs de l’État-nation qui ont été utilisés pour candidature. Par conséquent, les membres de l’équipe
cibler les élus et les candidats, les associations de sont souvent invités à utiliser leurs propres appareils mots de passe forts et uniques, et l’utilisation de canaux
défense de la démocratie, les activistes et la presse. personnels, notamment les téléphones portables ou de communication sécurisés pour les communications
Nous avons également observé des tentatives des États- les ordinateurs portables, tout au long de la campagne. de campagne permettront d’optimiser considérablement
nations de cibler et d’exploiter les principaux éléments En outre, en raison des budgets et de l’expertise la résilience de l’ensemble de l’organisation.
constitutifs des systèmes démocratiques, y compris informatique limités, les décisions concernant le
les systèmes de vote et les campagnes politiques. fournisseur de messagerie et de partage de fichiers sont Microsoft a conçu un service pour relever les défis
Nous avons également subi la manipulation calculée plus susceptibles d’être associées à des préférences associés au personnel de la campagne à l’aide
des plateformes de réseaux sociaux dans le cadre personnelles qu’à des évaluations de sécurité et d’appareils personnels et de comptes pour les activités
d’initiatives visant à propager la désinformation. de risques étendues. Étant donné que les individus de campagne. Microsoft AccountGuard121 est un
rejoignent et quittent régulièrement une campagne et service de sécurité qui unifie la détection des menaces
Le programme de défense de la démocratie de utilisent une variété d’appareils personnels pour mener et la notification sur tous les comptes, et est proposé
Microsoft a été créé pour faire progresser la technologie, des activités de campagne, il devient difficile de gérer gratuitement pour les campagnes utilisant les produits
renforcer la cyber-résilience et interagir avec les et de mettre en œuvre des pratiques de cybersécurité Microsoft 365. Lorsqu’une campagne s’inscrit dans AccountGuard est actuellement disponible dans
gouvernements, les campagnes et les parties prenantes efficaces. AccountGuard, la couverture peut également s’étendre 32 démocraties dans le monde entier.
démocratiques afin de lutter contre les menaces ciblant à tous ceux qui interagissent avec la campagne, y
les processus démocratiques liées aux interférences Ces réalités exposent les campagnes politiques à des compris le personnel, les bénévoles, les stagiaires, les
associées à la cybercriminalité. En partenariat avec menaces de cybersécurité importantes, aggravées par consultants, etc. Le service fournit ensuite des conseils En savoir plus :
le reste de la communauté de sécurité Microsoft, l’avantage asymétrique que les acteurs malveillants en matière de notification et de correction en cas de
menace ou de compromission de l’État-nation sur Élargissement des protections AccountGuard pour les
l’équipe de défense de la démocratie a contribué à maintiennent en termes de sophistication, de
les comptes liés à la campagne. Le service protège clients à haut risque dans 31 démocraties – Microsoft On
protéger deux grandes élections américaines et des ressources et de capacités. Les campagnes politiques the Issues (3/9/2021)
douzaines d’élections nationales dans le monde entier. sont des cibles très visibles à forte valeur ajoutée, actuellement plus de 40 000 comptes pour les clients
Ce problème unique et important soulève un ensemble et la cybersécurité est parfois assurée par une seule politiques, notamment les campagnes politiques, les
intéressant d’informations, de défis et de solutions sur la personne. partis politiques, les fournisseurs de technologie et les
services électoraux.
121
https://www.microsoftaccountguard.com/en-us/ Rapport sur la défense numérique de Microsoft | Octobre 2021 117
Menaces à l’infrastructure contre les cyberattaquants à distance. Même si une les élections. Cet événement a permis de rappeler
Nombreux sont les

certaine forme de systèmes de vote connectés ou que les vulnérabilités peuvent être annoncées
électorale en ligne commencent à gagner en popularité, ils ne à des moments inopportuns, et la sécurité d’un
Étant donné que les partenaires de la communauté de
sécurité Microsoft protègent l’infrastructure électorale
concernent que la minorité des systèmes. environnement repose sur la possibilité d’appliquer éléments connectés au
des correctifs rapidement. Les clients qui utilisaient
dans les secteurs public et privé, les différences entre
Sécurisation des systèmes électoraux l’infrastructure cloud étaient protégés contre cette sein d’une élection, au-
delà du seul dépôt du
les utilisations du cloud et des systèmes sur site vulnérabilité de manière significative plus rapidement,
ressortent clairement lors des élections, tout comme les MISES À JOUR ET CORRECTIFS souvent automatiquement et immédiatement. Ce
différents types de technologies électorales qui doivent Des recommandations sont appliquées aux n’était pas le cas des clients qui exécutaient des bulletin de vote aux
être sécurisées. Nous formons nos modèles de menaces fonctionnaires électoraux et aux fournisseurs privés qui serveurs sur site qui devaient alors être corrigés.
autour de trois grandes catégories de systèmes, chacun soutiennent les élections sur le plan informatique. Ils urnes, qu’il s’agisse des
avec des considérations de sécurité et des profils de
risque uniques.
doivent notamment disposer d’une stratégie globale
pour corriger les systèmes régulièrement, maintenir
SERVICES PARTAGÉS
Contrairement à une entreprise du secteur privé qui
préoccupations en matière
les logiciels à jour, et utiliser la MFA. Ces mesures sont est généralement responsable de l’ensemble de son d’intégrité des données, de
la désinformation ou de
Les systèmes de vote du monde entier sont légalement particulièrement importantes pour tous les systèmes domaine informatique, les administrations locales ont
tenus d’être toujours déconnectés d’Internet et sont connectés à Internet, tels que les technologies de tendance à partager les systèmes informatiques avec
effectivement des systèmes « entièrement isolés ». support électoral et les systèmes informatiques back- leurs homologues étatiques, régionaux et nationaux. la protection des identités
Bien que cela pose certains défis pour les appareils de office. À l’approche du cycle électoral des États-Unis en Bien que cela puisse être rentable et bénéfique du
maintenance et de mise à jour, il s’agit d’une mesure 2020, la vulnérabilité ZeroLogon (CVE -2020-1472122) a point de vue de la gestion, cette approche propage le en ligne des responsables
d’atténuation extrêmement efficace été annoncée, moins de trois mois avant risque d’intrusions informatiques d’une organisation
gouvernementale non apparentée dans un service
électoraux.
Systèmes de vote • Systèmes de vote (appareils de marquage de bulletins de vote électroniques, électoral. Par exemple, en cas de compromis d’un
Bien que la plupart

« machines à voter ») laboratoire de recherche dans une université gérée
• Appareils de dépouillement du scrutin (scanners de bulletins de vote papier) par l’État, les cybercriminels pourraient se déplacer
latéralement en raison des systèmes informatiques
de ces éléments sont
Systèmes de • Bases de données d’inscription sur les listes électorales partagés, et attaquer le portail d’information des
support électoral • Sites de rapport sur les résultats du soir d’élection électeurs d’une élection de comté. En outre, la invisibles pour les électeurs
connectés • Cahiers du scrutin électroniques (tablettes d’inscription sur les listes électorales)
• Portails d’informations
responsabilité de la maintenance et de la sécurité est
souvent partagée entre les prestataires de services
moyens, chacun offre
• Non réglementé, connecté à Internet, propriété partagée
élevé
Risque le plus privés et les administrations locales. Le partage des un chemin potentiel aux
services met en évidence la nécessité de segmenter
le réseau, dans la mesure du possible, afin de limiter cybercriminels qui ciblent
IT back-office • Portails d’informations des électeurs
électoral • Postes de travail quotidiens et infrastructure de serveur
l’impact d’un incident de cybersécurité qui commence
au sein d’une organisation électorale ou qui pourrait
l’intégrité d’une élection.
• E-mails et fichiers
migrer vers celle-ci.
122
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472 Rapport sur la défense numérique de Microsoft | Octobre 2021 118
PETITES ÉQUIPES ET PETITS BUDGETS Intégrité des élections • Garantit que le système enregistre correctement DÉLAISSER LA THÉORIE ET MISE EN PRATIQUE
Dans certains pays, y compris aux États-Unis, les les votes sans les modifier. LORS D’ÉLECTIONS RÉELLES
Pour répondre aux préoccupations croissantes
élections ne sont pas gérées par le gouvernement • Permet aux organisations de surveillance ElectionGuard a effectué sa première élection pilote
relatives à la confiance des électeurs envers les
fédéral ; chaque municipalité est responsable de tierces intéressées de vérifier que le comptage dans le monde réel à Fulton, dans le Wisconsin en
systèmes électoraux, et pour promouvoir les principes
l’exécution et de la gestion de sa propre infrastructure a été correctement effectué et que le système février 2020, date à laquelle il a été ajouté à l’écran
de l’indépendance logicielle, de la vérifiabilité des
électorale. La menace asymétrique des cybercriminels fonctionne sans erreur. tactile des appareils de marquage de bulletins de
élections, de la sécurité et de la cryptographie,
avancés ciblant les bureaux électoraux locaux, limités vote de VotingWorks lors d’une élection municipale
Microsoft a développé et lancé un projet appelé
par le temps et les ressources est très préoccupante. dans le comté de Rock. Des centaines de citoyens ont
ElectionGuard. Microsoft ElectionGuard est un kit En savoir plus :
Comme nous l’avons vu précédemment dans ce voté pour la première fois sur des appareils exécutant
gratuit de développement logiciel open source conçu LinkedIn post : en quoi consiste ElectionGuard ?
rapport, les acteurs de la menace persistante avancée ElectionGuard. Une fois les votes exprimés, chaque
pour renforcer la sécurité, l’efficacité et la vérifiabilité (Microsoft on the Issues) (3/27/2020)
ont des connaissances informatiques et des ressources électeur a reçu un code de vérification qu’il pouvait
des systèmes de vote. Pour ce faire, la solution applique
monétaires qui dépassent les budgets annuels des ramener à domicile pour vérifier en ligne que son vote
les principes de la vérifiabilité end-to-end et répond à
municipalités locales. Par conséquent, les secteurs privé unique avait été inclus dans le décompte de l’élection
la question suivante : Comment puis-je faire confiance à
et public doivent prendre des mesures pour concentrer finale.
l’exactitude d’un résultat électoral si je doute du logiciel,
les talents et les ressources de la cybersécurité
du matériel, de l’infrastructure de transmission ou du
de manière à contrebalancer et à équilibrer cette ElectionGuard est un logiciel gratuit, open source
personnel responsable de la tenue de l’élection ?
asymétrie. et sans redevance, et tout le code source est visible
publiquement sur GitHub.123 Microsoft estime que la
Contrairement au logiciel bancaire ou à d’autres
Pour aider les organisations électorales à répondre sécurité des élections
secteurs de haute sécurité, les élections au scrutin
à ces préoccupations, l’équipe de défense de la
secret exigent que les données d’un individu (les votes)
démocratie se concentre fortement sur la sécurisation
soient secrètes pour toutes les parties, et que l’identité
et la prise en charge des clients utilisant les services
d’une personne et son vote ne soient pas directement
cloud pour soutenir leurs élections, dans les secteurs
liés, à l’exception du fait qu’un électeur ait exercé son
public et privé. Notre souhaitons utiliser l’expertise
droit de vote.
en cybersécurité de Microsoft pour compenser les
menaces asymétriques auxquelles sont confrontées les
ElectionGuard met en œuvre ces fonctions vérifiables
élections locales ou les élections de petite envergure.
end-to-end :
• Permet à chaque individu de vérifier que son vote

En savoir plus :
est inclus dans l’élection finale, avec un code de
Protéger les votes : dans les coulisses de l’élection 2020 - vérification unique.
On the Issues (microsoft.com)
• Garantit le secret du vote d’un individu spécifique.
Protéger les campagnes politiques contre le piratage -
Microsoft On the Issues (5/06/2019) • La cryptographie garantit qu’aucun vote ne peut
être modifié une fois effectué sans être détectable.
• Garantit le secret du vote d’un individu spécifique.
123
https://github.com/microsoft/electionguard Rapport sur la défense numérique de Microsoft | Octobre 2021 119
ne doit pas exister dans le vide, et les chercheurs en Formations en tant que mesure Contre-mesures nécessaires Les contre-mesures techniques ne sont pas simples.
sécurité indépendants doivent être en mesure de Le développement technologique des médias
confirmer l’intégrité du logiciel. Pour ce faire, nous
d’atténuation Pour garantir l’accès à des informations crédibles et
synthétiques continue à dépasser ce qui est possible
À ce jour, Microsoft a formé plus de 1 500 participants préserver la liberté d’expression, nous devons adopter
avons mis en œuvre un programme bounty bug où grâce à des algorithmes et à d’autres technologies.
issus des secteurs politique, de la société civile, une approche multipartite et multimodale. L’objectif
Microsoft récompensera la communauté de sécurité Les solutions techniques pour les deepfakes sont
des médias et des droits de la personne sur des principal de toute contre-mesure est d’atténuer l’impact
pour la recherche de vulnérabilités dans le logiciel réparties dans deux catégories : (1) la détection et
sujets couvrant la cybersécurité et les menaces de sociétal négatif de la désinformation.
ElectionGuard. Depuis son lancement en octobre 2019, l’authentification et (2) la provenance. La détection des
le programme a accordé des dizaines de milliers désinformation. Ces formations ont été adaptées aux deepfakes et de la désinformation sont difficiles. La
de dollars en primes à des chercheurs répartis sur audiences du monde entier, y compris le personnel des L’approche doit être double, notamment lorsqu’il s’agit collaboration entre l’homme et l’intelligence artificielle
plusieurs continents. Ainsi, des problèmes de sécurité campagnes politiques, les partis politiques et d’autres de médias synthétiques malveillants : (1) pour réduire peut aider, mais le contexte, les différences culturelles
ont été découverts et signalés de manière responsable entités gouvernementales dans les pays démocratiques. l’exposition à des deepfakes malveillants, et (2) pour et l’intention complexifient le déchiffrement objectif
par la communauté, tous les correctifs ont été émis Avant les élections américaines en 2020, Microsoft minimiser les dommages qu’ils peuvent infliger. de la désinformation. À long terme, les solutions de
dans les 90 jours suivant le signalement, et le code s’est associé au Brennan Center for Justice de provenance seront utiles. L’authentification des médias,
potentiellement vulnérable n’a jamais été utilisé par les l’université de New York et à la CISA pour former plus Les initiatives d’initiation aux médias peuvent être le contenu faisant autorité et les normes analogues à
électeurs dans les systèmes électoraux en production. de 400 responsables électoraux américains sur divers améliorées pour cultiver un public éclairé. Les SSL/HTTPS pour le trafic Web doivent être développés
La confiance du public dans les élections dépend en sujets, tels que les ransomwares, les préparatifs liés à deepfakes auront un impact négatif limité si les pour les médias. La technologie qui peut aider à
partie de la vérifiabilité indépendante des systèmes la pandémie, les renseignements sur les menaces et consommateurs de médias démontrent une pensée « signer » les médias pour trouver l’éditeur de médias,
et des processus qui soutiennent nos élections. Nous un exercice de simulation d’une journée électorale. En logique et du bon sens pour faire la différence entre les empreintes digitales lisibles par machine et la
continuons d’accueillir le point de vue avisé des outre, Microsoft a collaboré avec PolitiFact au Poynter la fiction et la réalité. Les deepfakes ont un impact technologie de réalisation de filigranes dans les médias
chercheurs en sécurité dans le monde entier pour Institute pour développer un programme de formation potentiellement dévastateur car de nombreuses inviolables pourraient réduire la manipulation des
suggérer des améliorations du service et pour tester de sur les menaces hybrides explorant l’intersection de personnes présument qu’une vidéo, une photo ou un médias pour lutter efficacement contre la propagation
manière indépendante la sécurité et la cryptographie la cybersécurité et de la désinformation. En effet, enregistrement audio est réel(le) si son contenu reflète des deepfakes.
d’ElectionGuard. ces vecteurs de menace se chevauchent de plus en ses préjugés et ses biais. De même, les individus croient
plus, notamment au niveau des attaques contre les souvent que le contenu a été inventé de toute pièce s’il
En savoir plus : organisations politiques et médiatiques. contredit leurs croyances.
Nous n’insinuons pas
Hart et Microsoft annoncent un partenariat pour
renforcer la sécurité et la vérifiabilité des élections -
En savoir plus : Nous avons besoin de réglementations pertinentes et
de lois appropriées pour gouverner la désinformation
qu’ElectionGuard permet
d’éliminer complètement le
Microsoft On the Issues (6/3/2021) Programme de défense de la démocratie – On the Issues
et les deepfakes, afin que les auteurs des crimes soient
Microsoft souhaite renforcer la fiabilité des votes. Son (microsoft.com)
piratage des machines à voter ;
à tout le moins tenus responsables. En l’absence de
partenariat avec Hart Intercivic y contribuera – CNN
législation et de recours légaux, les individus sont
(6/3/2021)
Microsoft espère que cette technologie permettra
vulnérables aux campagnes de désinformation et à la nous affirmons que grâce à
pornographie de vengeance basée sur les deepfakes,
d’organiser les élections américaines (cnn.com) à la fraude et à d’autres méfaits. Bien sûr, la législation ElectionGuard, il est inutile de
(2/22/2020)
doit adopter une approche équilibrée en matière de
liberté d’expression et de discours.
pirater les machines à voter.

CHAPITRE 7
Informations exploitables
Introduction
Résumé des enseignements tirés des rapports
Conclusion
Introduction Résumé des enseignements tirés des rapports Conclusion
INTRODUCTION : cinq changements de paradigme de la cybersécurité

ANN JOHNSON, VICE - PRÉSIDENTE SENIOR, SÉCURITÉ, CONFORMITÉ ET IDENTITÉ
En collaborant avec des organisations du monde entier, nous reconnaissons la nécessité de permettre aux NOUS SAVONS
collaborateurs de travailler de façon productive et sécurisée, à partir de divers emplacements non traditionnels et sur
différents appareils. Grâce à ces interactions, nous avons beaucoup appris sur le rôle que joue la cybersécurité pour
QUE LA CYBER-
garantir la continuité de service à mesure que les entreprises s’adaptent au monde du travail hybride. Ainsi, nous RÉSILIENCE
prévoyons cinq changements de paradigme de la cybersécurité qui soutiendront l’évolution du travail d’une manière
DOIT ÊTRE
qui se concentre sur l’inclusivité des personnes et des données.
INTÉGRÉE DANS
1. L’essor de l’empathie numérique
Lorsque nous envisageons de renforcer la sécurité
diversifiées et de leurs capacités variées. Par
exemple, plutôt que d’obliger les individus à faire
2. Le parcours vers la Confiance Zéro est de plus en
plus important
UNE APPROCHE
dans l’expérience de la productivité, on peut avoir
tendance à privilégier la sécurité du point de vue
des choses non naturelles pour interagir avec la
sécurité, et également d’augmenter le risque qu’ils
La Confiance Zéro est une condition de sécurité
basée sur les failles potentielles124 qui traite
GLOBALE DE
purement technologique. Toutefois, en période de
perturbation et de changement constants, lorsque
se laissent distraire lorsqu’ils sont occupés, la prise
en compte de l’empathie numérique conduit à
chaque étape sur le réseau et chaque demande
d’accès aux ressources comme un risque unique
LA RÉSILIENCE
les personnes sont susceptibles de présenter
davantage de réactions au stress, l’importance
l’inclusion de professionnels de la sécurité avec un
éventail plus large de capacités, de compétences
à évaluer et à vérifier. Ce modèle commence par
une authentification forte des identités en tout
OPÉRATIONNELLE.
de l’empathie numérique croît considérablement. et de perspectives, pour accroître la diversité et lieu. L’authentification multifacteur (MFA), qui, nous
L’empathie numérique consiste à réfléchir à la façon l’efficacité des solutions de cybersécurité. Il s’agit le savons, empêche 99 % du vol d’informations
dont les gens se comportent et interagissent avec la également de développer une technologie capable d’identification125 et d’autres méthodes
technologie. De cette manière, les considérations de de pardonner les erreurs. d’authentification intelligentes 126 facilitent et
sociologie et de sciences humaines sont essentielles sécurisent l’accès aux applications comparé aux
L’empathie numérique sera essentielle à la façon
à l’évolution de la technologie et de la cybersécurité. mots de passe traditionnels.
dont notre secteur progresse. Qu’il s’agisse d’une
L’empathie n’est pas réservée aux interactions en organisation, ou d’une personne, notre capacité à Au-delà de la pandémie, à un moment où la
personne. En appliquant l’empathie aux solutions faire preuve d’empathie nous aidera à comprendre main-d’œuvre et les budgets rebondissent, la
numériques, nous pouvons rendre ces solutions et à nous adapter au cours de périodes de Confiance Zéro deviendra le plus grand domaine
plus inclusives. Dans le domaine de la cybersécurité, changement constant. d’investissement pour la cybersécurité. Cela signifie
cela implique de créer des outils qui répondent qu’à l’heure actuelle, chacun d’entre nous a entamé
à une plus grande diversité de personnes et à son parcours vers la Confiance Zéro, que nous le
l’évolution de leur situation, de leurs perspectives sachions ou non.
124
Modèle et cadre de sécurité Confiance Zéro | Microsoft Security 125 Une action simple que vous pouvez entreprendre pour éviter 99,9 % des attaques sur vos comptes (microsoft.com) 126 Connexion sans mot de passe Azure Active Directory
| Microsoft Docs Rapport sur la défense numérique de Microsoft | Octobre 2021 122
3. La diversité des données est importante

Microsoft suit plus de 24 milliards de signaux
les entreprises à élaborer une stratégie de cyber-
résilience complète et à se préparer un large Résumé des
enseignements
quotidiens provenant d’un ensemble diversifié éventail d’éventualités moins compliquées en
de produits, de services et de flux dans le monde raison de leur évolutivité.
tirés des rapports

entier. Nous avons été en mesure d’identifier de
5. Un accent accru sur la sécurité intégrée
nouvelles menaces liées à la COVID-19, parfois
Le premier semestre de 2021 nous a durement
en une fraction de seconde, avant qu’elles
montré l’agilité et l’insensibilité de nos
n’atteignent les clients. Ce n’est qu’un exemple de Une conclusion s’est imposée lorsque nous avons
adversaires. Pour découvrir l’évolution des
la façon dont la puissance et l’échelle du cloud compilé ce rapport : la technologie s’intègre à tout ce
techniques des cybercriminels et les arrêter avant
constituent un avantage évident dans la lutte que nous faisons. Nous ne pouvons pas nous permettre
qu’elles ne nuisent réellement, les entreprises
contre les menaces. de traiter la technologie et le risque cybernétique
doivent être en mesure d’obtenir une visibilité
À titre d’exemple, au cours de l’année écoulée, complète sur l’ensemble de leurs applications, comme des éléments distincts et cloisonnés, ni laisser
la diversité des données nous a également points de terminaison, réseau et utilisateurs. les équipes informatiques et de sécurité les gérer par
permis de comprendre les attaques liées à Face à une nouvelle réalité économique, les elles-mêmes. Les exemples de ce rapport indiquent
la COVID-19 dans un contexte plus large. La organisations seront également amenées que les criminels chercheront à exploiter toutes les
cyberdéfense de Microsoft a déterminé que les à réduire les coûts en adoptant davantage technologies que nous développons et introduisons.
pirates ajoutaient principalement de nouveaux de fonctionnalités de sécurité intégrées aux Le défi consiste à comprendre sous quelle forme se
leurres associés à la pandémie à des logiciels plateformes cloud et de productivité de sera. Étant donné que nous ne pouvons pas toujours
malveillants familiers. 127
leur choix. Afin d’optimiser l’efficacité des prédire comment la technologie sera exploitée,
organisations de sécurité, les outils doivent être nous devons supposer que tout ce que nous créons
4. La résilience d’une entreprise est liée à sa
entièrement intégrés pour améliorer l’efficacité et ou utilisons constituera une cible potentielle. Nous
cyber-résilience
fournir une visibilité end-to-end. devons également nous préparer à être aussi résilients
Les cyberattaques sont de plus en plus fréquentes
que possible.
et sophistiquées et ciblent délibérément les
principaux systèmes d’entreprise afin d’optimiser Bien que l’accélération numérique continuera d’influer
l’impact de l’attaque ou la probabilité de sur les changements de paradigme qui façonnent L’enseignement pratique clé de tous les éléments de
réussite d’un ransomware. Dans ce contexte, notre secteur, une constante demeure : la technologie ce rapport est le suivant : pour minimiser l’impact
nous savons qu’une approche globale de la de sécurité consiste fondamentalement à améliorer la des attaques, nous devons vraiment pratiquer une
résilience opérationnelle doit inclure la cyber- productivité et la collaboration grâce à des expériences bonne hygiène informatique, mettre en œuvre des
résilience.128Chez Microsoft, nous bénéficions utilisateur sécurisées et inclusives. architectures qui prennent en charge les principes de
d’une stratégie qui se concentre sur quatre Confiance Zéro et garantir l’intégration de la gestion
scénarios de menaces de base : les événements des risques cybernétiques dans tous les aspects
planifiés tels que les incidents météorologiques, de l’entreprise.
les événements imprévus tels que les
tremblements de terre, les événements juridiques La section suivante résume certains des enseignements
tels que les cyberattaques et les pandémies clés étayés par les conclusions et les informations
comme la COVID-19. La technologie cloud aide du rapport.
127
Exploitation d’une crise : le comportement des cybercriminels lors de l’épidémie – Microsoft Security 128 Résilience opérationnelle dans le monde du travail à distance (microsoft.com) Rapport sur la défense numérique de Microsoft | Octobre 2021 123

Hygiène informatique Appliquer l’accès de privilège minimum et Sécuriser et gérer les appareils (maintenir à jour) sécurisés. Dans les systèmes où cela n’est pas possible,
sécuriser les informations d’identification les plus Un élément essentiel d’une bonne hygiène l’environnement doit alors être protégé des autres
C’est en prenant des précautions de sécurité de base
informatique consiste à maintenir les appareils à jour et systèmes et surveillé pour détecter tout trafic inattendu
que votre organisation pourra se préparer et atténuer sensibles et les plus privilégiées
correctement configurés. Utilisez le logiciel de gestion ou tentative de compromettre les systèmes.
l’écrasante majorité des cyber-menaces modernes, tout Lorsque les attaquants compromettent une
organisation, ils recherchent des informations de points de terminaison pour appliquer des stratégies
en s’adaptant à l’évolution des menaces à mesure que
d’identification privilégiées leur permettant d’accéder garantissant que les paramètres de configuration Utilisez des outils anti-logiciels malveillants et de
la technologie progresse. La « courbe en cloche de la
à des informations et à des systèmes sensibles. En appropriés sont déployés et que les systèmes exécutent
cybersécurité » indique les activités qui auront le plus protection des charges de travail
plus d’utiliser la MFA pour protéger la connexion à le dernier logiciel. Chaque fois que cela est possible,
d’impact sur la réduction des menaces. Certaines de ces Les technologies anti-logiciels malveillants, de détec-
une identité et s’assurer qu’ils disposent des privilèges adoptez une approche durable pour vous assurer que
actions, leur impact et les recommandations de mise en tion et de réponse doivent être déployées dans l’en-
minimum pour accéder aux systèmes, les informations tous les appareils exécutent constamment la dernière
œuvre sont décrits ici. semble de l’écosystème pour prévenir les attaques et
d’identification qui prennent en charge cette identité version du logiciel. Il s’agit notamment de garantir la
signaler les éventuelles anomalies ou menaces suscep-
et fournissent un accès doivent être sécurisées. Cela mise à jour de chaque logiciel ou application afin qu’il
tibles de tenter de compromettre l’environnement. Cela
Activer l’authentification multifacteur n’y ait pas de dépendances qui vous empêchent de
permettra, entre autres, de minimiser l’impact et inclut les environnements OT et IoT. Pour les systèmes
Il s’agit d’une recommandation qui est toujours aussi mettre en œuvre les mises à jour et les correctifs les
l’ampleur des attaques de type « Pass The Hash » dans cloud, la protection des charges de travail doit être
importante que l’année dernière. La MFA peut arrêter plus récents. Interdisez aux appareils qui ne disposent
l’éventualité où le code malveillant s’exécute déjà sur déployée sur tous les systèmes, des machines virtuelles
les attaques basées sur les informations d’identification pas des correctifs critiques d’accéder aux ressources
une machine ou un réseau local. Il faut donc sécuriser et des conteneurs aux algorithmes de Machine Learn-
avant qu’elles ne surviennent. Sans accès au facteur sensibles.
le matériel de la même manière qu’avec un module ing (ML), aux bases de données et aux applications.
supplémentaire, l’attaquant ne peut pas accéder au
de plateforme de confiance ou un module de sécurité
compte, ni à la ressource protégée. L’introduction de la La même approche doit être adoptée pour les
matérielle ou utiliser des services d’authentification
technologie et des architectures sans mot de passe faci- Protéger les données
cloud qui protègent les informations d’identification. services cloud, à l’aide de la gestion des mesures de
lite l’utilisation des collaborateurs et des clients, tout en Une bonne hygiène informatique, telle que décrite
sécurité dans le cloud pour garantir la configuration
offrant une sécurité accrue par rapport aux approches dans les quatre étapes précédentes, peut protéger
Des comptes distincts doivent être utilisés pour l’accès appropriée des systèmes. Il est plus facile de maintenir
textuelles (SMS) ou vocales traditionnelles. La MFA les données, mais il est également important que les
privilégié, et non pas l’accès à l’Internet général et les logiciels et les systèmes à jour dans le cloud, car
doit être activée sur tous les comptes qui la prennent organisations identifient les données sensibles qu’elles
aux e-mails. Les postes de travail dédiés et sécurisés les domaines de mise à jour permettent la migration
en charge, de manière à ce que tous les utilisateurs détiennent, en s’assurant qu’elles ont mis en œuvre les
doivent être utilisés pour les comptes privilégiés et vers une infrastructure mise à jour pour effectuer les
puissent facilement l’utiliser. Il est également important mesures appropriées pour les protéger. Il est fréquent
pour effectuer des tâches privilégiées afin d’éviter les tests en ayant la possibilité d’annuler facilement les
de s’assurer que les individus comprennent qu’ils ne qu’une obligation réglementaire exige de le faire.
risques d’infection via l’activité générale sur Internet et modifications si des problèmes surviennent.
doivent pas approuver une requête MFA, à moins qu’ils Le règlement général sur la protection des données
le courrier électronique. L’utilisation des systèmes JIT/ (RGPD), exige par exemple une approche basée sur
ne tentent de se connecter ou d’accéder à un système,
JEA garantit qu’ils n’obtiendront que les droits requis Pour les systèmes, tels que l’OT, où la mise à jour
de nombreuses personnes cliquent automatiquement les risques pour protéger les données des résidents
pour effectuer une tâche, et seulement aussi longtemps des logiciels n’est pas aussi facile, il est nécessaire
pour approuver les fenêtres contextuelles qu’elles de l’espace économique européen (EEE). Pour adopter
que nécessaire pour l’entreprendre. Cela doit être d’effectuer un inventaire efficace des systèmes
reçoivent. L’empathie numérique peut être utile pour une approche basée sur les risques, il est important
associé à des stratégies adaptatives basées sur les pour identifier les équipements existants et leur
comprendre ce comportement et inciter les individus à de connaître vos données, d’identifier les informations
risques qui refusent l’accès aux ressources si l’hygiène vulnérabilité à certaines attaques. Intégrez des modules
prendre des décisions moins risquées. sensibles et celles qui sont susceptibles d’être soumises
du compte ou de l’appareil est douteuse. complémentaires ou remplacez le matériel pour vous
à des exigences réglementaires. Bien qu’il existe des
assurer qu’il présente les sept propriétés des appareils

normes en matière de gouvernance et de protection Isoler les systèmes hérités Intégrer la cybersécurité à la et la responsabilité des risques réside dans la fonction
des données depuis plus de 30 ans, de nombreuses d’entreprise. Comme le montrent les chapitres de ce
organisations parviennent difficilement à les appliquer.
Tous les systèmes ne sont pas capables d’exécuter les prise de décision commerciale rapport, pour remédier aux menaces auxquelles nous
outils compatibles avec la Confiance Zéro. Par exemple,
À mesure que nous évoluons dans un monde où la Maintenant que la technologie est un élément essentiel sommes confrontés, nous avons besoin d’un ensemble
de nombreux systèmes de technologie opérationnelle
collaboration et le partage de données prennent des opérations commerciales, un processus qui n’a été de technologies, de stratégies et de compétences, tout
(OT) présentent un long cycle de vie technologique et
de l’ampleur, nous devons absolument identifier accéléré que depuis 18 mois, la cybersécurité doit être ce qui est également nécessaire à la prise de décisions
peuvent exécuter des systèmes d’exploitation et des
les données en notre possession, les classer avec un facteur dans la prise de décisions commerciales commerciales.
logiciels qui ne peuvent pas être mis à jour.
précision et appliquer les étiquettes de confidentialité globale, sans être cantonnée au service de la
si nécessaire. Cette pratique nous permettra d’utiliser technologie. Chaque leader de l’organisation doit réfléchir à la
les technologies de protection des informations et de Le réseau doit être segmenté pour restreindre l’accès façon dont il propose aux collaborateurs et aux clients
prévention contre la perte des données pour protéger à ces systèmes. En procédant ainsi, la technologie
les données en toute confiance. opérationnelle n’est pas exposée aux risques liés au Traiter l’informatique comme une meilleure expérience numérique, tout en tenant
compte de ce qui est nécessaire pour atténuer les
travail hybride, et les appareils et les capteurs de un risque commercial risques associés. Il doit notamment consulter l’équipe
l’Internet des objets n’ont accès et ne sont connectés de cybersécurité pour savoir comment gérer les risques
En cas de violation, ces pratiques permettent aux La cybersécurité ne doit plus être considérée comme un
qu’aux écosystèmes intelligents qu’ils prennent en qui surviennent lors de la transformation numérique.
équipes de sécurité de localiser les données les plus risque spécialisé qui ne relève que de la compétence du
charge. Comme le montre ce rapport, il existe des risques
sensibles et de savoir si elles ont été exposées aux service informatique. L’expertise technologique réside
pirates. au sein du service IT, tout comme l’expertise en matière inhérents dans toutes les nouvelles technologies et
Cela signifie que, plutôt que d’essayer d’exécuter les de gestion des risques financiers réside généralement pratiques commerciales que nous adoptons. Ces
éléments modernes et hérités les uns avec les autres,
Adopter les principes de nous pouvons isoler ces systèmes de l’exposition aux
au sein du service financier, mais la responsabilité risques doivent tenir compte de toutes les décisions
concernant les technologies, les stratégies ou les
ultime
Confiance Zéro risques qui proviennent d’une infrastructure connectée pratiques commerciales.
moderne et éviter que cette technologie héritée
Ce rapport a mis en évidence la sophistication et Le rôle de la cybersécurité dans la transformation numérique
ne limite les architectures modernes. Cela permet
la complexité de la plupart des attaques que nous
également de surveiller l’environnement qui héberge
observons et la raison pour laquelle il est de plus en
les technologies opérationnelles et les appareils
plus difficile de se préparer à contrer ces attaques.
de l’Internet des objets (IoT), afin de se concentrer
La Confiance Zéro est importante pour réduire
fortement sur la détection et la réponse à une activité
l’exposition des données sensibles en limitant la
inhabituelle dans un environnement où il peut ne pas
confiance inhérente au sein d’une organisation qu’un
être possible d’installer un logiciel sur le système.
cybercriminel pourrait exploiter, en particulier lorsque
des personnes se connectent en tout lieu, et qu’elles
ne proviennent pas nécessairement d’un emplacement
« de confiance ». C’est pourquoi l’adoption d’une
approche Confiance Zéro est devenue une priorité
absolue pour la plupart des organisations. Dans un
monde où il est plus difficile de prédire ou d’empêcher
les attaques, il est important de supposer qu’elles se
produiront et de limiter leur impact.

Les décisionnaires de la sécurité doivent véritablement Créer un programme de Utiliser l’empathie numérique que la formation explique les risques dans le contexte
adopter une mentalité de gestion des risques lorsqu’ils du travail des collaborateurs, et fournit le contexte
déterminent les mesures visant à protéger l’entreprise, risque tiers pour mettre en œuvre des et les outils dont ils ont besoin pour déterminer le
tout en contribuant à la réalisation des objectifs Les partenaires, les fournisseurs et les sous-traitants contrôles de sécurité comportement approprié, reconnaître les attaques et
opérationnels. interagissent tout le temps avec les données et les signaler une activité inhabituelle. Une culture fondée
À mesure que nous connectons de plus en plus de
applications connectées à notre environnement sur l’autonomisation, la confiance et l’engagement
systèmes, la sécurité peut devenir plus complexe,
La cybersécurité est intégrée à d’entreprise. Les cybercriminels ciblent de plus en plus
les fournisseurs tiers pour accéder à leurs systèmes et
mais nous devons veiller à valoriser la diversité des
permettra d’améliorer considérablement les rapports et
le déclenchement d’alertes plus rapidement.
la résilience réseaux en vue d’accéder à leurs clients.
compétences, les domaines d’expertise, les modes
de travail et d’apprentissage et le contexte, entre
Dans le monde connecté d’aujourd’hui, la résilience autres choses. N’attendez pas ou n’exigez pas de Intégrer la sécurité à la productivité.
doit être considérée comme un facteur clé de réussite Vérifiez que l’entreprise dispose d’un solide processus tous les collaborateurs qu’ils soient des experts de Lorsque vous mettez en œuvre des contrôles de
dans tout ce que nous entreprenons. La transformation d’assurance de chaîne d’approvisionnement, fondé sur la technologie, au sens traditionnel du terme, pour sécurité, réfléchissez à l’impact sur l’expérience de ceux
numérique apporte une complexité croissante à nos la compréhension de l’exposition de vos fournisseurs leur demander de s’impliquer dans la sécurité de ces qui les utilisent, qu’il s’agisse de collaborateurs ou de
solutions de sécurité, notamment une collaboration aux cyberattaques, sur la façon dont ils configurent systèmes. clients. Quels sont leurs antécédents, leur expertise
accrue avec des tiers et l’espoir que les systèmes seront leurs systèmes pour se protéger et sur les mesures et leur expérience culturelle ? Tous les contrôles
disponibles 24 h/24 et 7 j/7. Les plateformes que nous qu’ils prennent pour protéger les informations que vous que vous mettez en œuvre doivent tenir compte de
Lorsque vous mettez en œuvre des contrôles de
concevons pour soutenir les entreprises doivent être partagez avec eux. Vérifiez que gérez vos risques tiers l’expérience de ceux qui n’ont pas bénéficié d’une
sécurité, appliquez l’empathie numérique pour vous
entièrement résilientes contre les attaques. à l’aide d’accords de niveau de service, d’attestations formation en technologie. Sont-ils intuitifs, peuvent-
assurer que les contrôles mis en œuvre tiennent
La cybersécurité et la résilience doivent être et d’évaluations partagées robustes, comme ils être compris et s’intègrent-ils dans leur charge de
compte de l’environnement dans lequel les personnes
examinées ensemble. La planification de la résilience SSAE 18 SOC 1 et SOC 2, PCI-DSS, RGPD et ISO 20001. travail le plus naturellement possible ? Si les contrôles
qui utilisent le système travaillent, en leur permettant
opérationnelle doit inclure la compréhension des d’interagir facilement avec l’environnement. Voici un compromettent trop les activités, sans que les
menaces de cybersécurité pour le système et les L’accès de tiers aux systèmes doit également suivre les exemple : collaborateurs comprennent la raison de leur mise en
investissements appropriés pour garantir la réussite principes de la Confiance Zéro que vous appliquez à œuvre, ils seront tentés de contourner la technologie
continue. votre propre organisation pour limiter l’exposition aux ou d’ignorer les processus pour effectuer leur travail.
Investissez dans les formations des utilisateurs,
attaques provenant d’un compromis de leurs systèmes.
afin de les éduquer et de les informer.
Même s’il est essentiel de mettre en œuvre des Si, en plus de former les collaborateurs, nous veillons
Mettez en œuvre une formation de sécurité qui aide
solutions de sauvegarde et de récupération solides, il à intégrer la sécurité à leurs pratiques de travail plutôt
les collaborateurs à comprendre les risques auxquels
est tout aussi important que les organisations planifient qu’à celles d’un professionnel de la technologie ou
ils sont confrontés, en leur inculquant la meilleure
la façon dont les décisions opérationnelles seront prises de la cybersécurité, nous augmentons les chances
façon de contribuer à la protection de l’entreprise.
en cas de cyberattaque, en appliquant leur processus qu’ils comprennent les risques et prennent les
Cette formation doit être continue et conçue de
de gestion de crise et d’intervention, ainsi que leur mesures appropriées. Dans la mesure du possible, la
manière à favoriser l’engagement. La formation
réponse technique aux incidents. cybersécurité doit être invisible pour les utilisateurs,
des utilisateurs n’est pas seulement une activité de
sauf si elle peut les inciter à prendre les mesures
conformité. Elle fait partie intégrante de la détection
appropriées pour gérer les risques.
précoce et de la réponse à une attaque. Assurez-vous

Conclusion Un certain nombre de thèmes clés surgissent dans

les différentes sections de ce rapport et nous vous
encourageons à les prendre en compte pour améliorer
• N’importe quel élément peut être utilisé
comme vecteur d’attaque. Les cybercriminels
rechercheront le maillon le plus faible dans
• La Confiance Zéro est un principe architectural.
Les menaces que nous avons observées
soulignent l’importance de la Confiance Zéro
À mesure que la technologie s’intègre à notre société, vos conditions de sécurité : l’écosystème d’une organisation. Nous devons dans la conception et la gestion des risques au
les cybercriminels cherchent de plus en plus à exploiter donc le gérer de manière holistique. Le maillon sein d’une organisation. L’année écoulée nous
• Établissez de bonnes bases.
ce changement culturel. Qu’il s’agisse des cybercrimi- le plus faible peut être un réfrigérateur connecté a démontré pourquoi ne pas accorder d’accès
Bon nombre de ces chapitres présentent un thème
nels ou des groupes de l’État-nation, ces organisations ou un système de gestion de bâtiments utilisé illimité aux applications, utilisateurs ou appareils
récurrent : bien que les cyber-attaques gagnent en
sophistiquées et bien informées disposent des ressou- pour accéder au réseau de l’entreprise, ou un de confiance. Le risque et le contexte de chaque
sophistication, une bonne hygiène informatique
rces, des investissements et de la recherche néces- utilisateur ou un appareil compromis via un e-mail connexion doivent être pris en compte avant
et la mise en œuvre des mesures de sécurité
saires pour déployer des attaques complexes et bien d’hameçonnage dans le but d’obtenir l’accès à la d’autoriser l’accès aux ressources. La Confiance
basiques constituent souvent le meilleur moyen de
informées contre une organisation. Il s’agit d’entreprises technologie opérationnelle fonctionnant dans une Zéro n’est pas une technologie, mais une approche
perturber, prévenir et détecter ces attaques.
professionnelles disposant de leurs propres chaînes usine ou un site de production. Nous devons tenir de la gestion des risques. Lorsqu’elle est mise en
• Adoptez une vision holistique. compte de l’intégralité de la surface d’attaque de œuvre correctement, elle peut nous permettre
d’approvisionnement sophistiquées et de leurs propres
Trop souvent, la façon dont nous organisons l’organisation et la gérer. de libérer le potentiel de la technologie moderne
leurres bien informés et bien conçus qui cherchent à
la sécurité et les risques est dictée par notre tout en limitant notre exposition dans un monde
exploiter la façon dont votre entreprise fonctionne. • Pensez aux collaborateurs.
propre structure organisationnelle et nos hyperconnecté.
Les individus interagissent avec la technologie
silos. Les cybercriminels rechercheront des
Notre travail s’effectue de plus en plus en ligne, tout et peuvent être utilisés pour accéder à
vulnérabilités dans ces silos. Nous devons donc
comme celui des criminels et des pirates de l’État- l’environnement numérique. Réfléchissez à la
prendre en compte les risques et déterminer
nation. Vous devez tenir compte de cette tendance à façon dont vous pouvez communiquer avec
la meilleure approche pour les atténuer au
mesure que vous planifiez des activités numériques. eux afin de les aider à comprendre les risques
niveau organisationnel. Pour y parvenir, il peut
Avant de créer une nouvelle entreprise, réfléchissez à la auxquels ils sont confrontés. La compréhension,
être nécessaire de normaliser ou de traduire
menace et aux opportunités, et déterminez comment l’engagement et l’éducation des collaborateurs
les approches entre les différentes équipes
vous pouvez gérer les risques pour l’ensemble de votre leur permettront de devenir une ligne de défense
d’une organisation. Les normes sont donc très
entreprise. clé contre les menaces modernes, qu’il s’agisse
importantes et nous devons les appliquer pour
d’une désinformation visant à influencer les
harmoniser les entreprises, ce qui est de plus en
Ce type de réflexion nécessitera des changements décisions des individus et à saper la démocratie ou
plus important pour gérer les risques liés à la
fondamentaux dans notre façon de travailler. Nous les e-mails d’hameçonnage cherchant à accéder
chaîne d’approvisionnement.
devons envisager le risque dans son ensemble et aux ressources numériques d’une organisation et à
au sein de l’organisation, plutôt que dans une vision les compromettre.
cloisonnée ou selon des points de vue individuels. Nous
devons déterminer la façon de modifier nos méthodes
de travail et comment améliorer nos processus.

Les équipes impliquées chez Microsoft

Équipes impliquées
Les équipes impliquées chez Microsoft

Les informations contenues dans ce rapport, ainsi que les enseignements exploitables susmentionnés, ont été
fournis par un groupe diversifié d’individus axés sur la sécurité appartenant à des dizaines d’équipes différentes
chez Microsoft. Leur objectif commun consiste à protéger Microsoft, les clients Microsoft et le monde en général
contre les menaces de cyberattaques. Nous sommes fiers de partager ces informations en toute transparence,
avec un objectif commun : faire du monde numérique un endroit plus sûr pour tous.
Mise en réseau Azure, base

Une équipe chargée de la mise en réseau cloud axée sur le réseau étendu de Microsoft, les réseaux de datacenter, et
l’infrastructure de réseau Software-defined d’Azure. Il s’agit notamment de la plateforme DDoS, de la plateforme de
périphérie de réseau et des produits de sécurité réseau tels que le Pare-feu Azure et Azure WAF.
Équipe de recherche sur la sécurité dans le cloud

Une équipe chargée de sécuriser le cloud Microsoft et de créer des produits de sécurité, dans le but de protéger et
de responsabiliser les clients afin de transformer leurs organisations en toute sécurité. L’équipe se concentre sur la
recherche et la production de fonctionnalités pour Azure Defender, Security Center et Azure Sentinel.
Sécurité et confiance des clients (CST)

Une équipe pluridisciplinaire qui favorise l’amélioration continue de la sécurité des clients dans nos produits et services
en ligne. En travaillant avec des équipes d’ingénierie et de sécurité de l’ensemble de l’entreprise, la mission du CST est
de garantir la conformité, tout en améliorant la sécurité et la transparence afin de protéger nos clients et de promouvoir
la confiance envers Microsoft à l’échelle mondiale. Cette équipe élabore et préconise la stratégie de cybersécurité à
l’échelle mondiale, fait progresser la paix numérique grâce à une collaboration multipartite, se concentre sur la sécurité
numérique pour protéger les clients contre les contenus en ligne nuisibles et collabore avec des organisations publiques
et privées pour perturber les cyberattaques et soutenir les efforts de dissuasion.

Cyber Defense Operations Center (CDOC)

Le site Microsoft dédié à la cybersécurité et à la défense est un centre de fusion qui réunit des professionnels de la
sécurité de l’ensemble de l’entreprise pour protéger l’infrastructure de notre entreprise et l’infrastructure cloud à laquelle
les clients ont accès. Les personnes qui interviennent en cas d’incident côtoient les data scientists et les ingénieurs de
sécurité des différents groupes de services, de produits et d’appareils de Microsoft pour protéger, détecter et répondre
aux menaces 24 h/24 et 7 j/7.
Équipe chargée de la défense de la démocratie

Une équipe Microsoft qui collabore avec les parties prenantes, y compris les administrations, les organisations
non gouvernementales, les milieux universitaires et le secteur dans les pays démocratiques du monde entier pour
protéger les campagnes contre le piratage, augmenter la transparence de la publicité politique en ligne, explorer les
solutions technologiques pour préserver et protéger les processus électoraux et se défendre contre les campagnes de
désinformation.
Équipe de détection et d’intervention (DART)

Une équipe Microsoft dont la mission est de répondre aux incidents de sécurité et d’aider les clients Microsoft à devenir
cyber-résilients. Le DART exploite les partenariats stratégiques de Microsoft avec les organisations de sécurité du
monde entier et avec les groupes de produits Microsoft internes pour réaliser les enquêtes les plus complètes et les
plus détaillées possibles. L’expertise du DART a été exploitée par des entités gouvernementales et commerciales dans le
monde entier pour sécuriser leurs environnements les plus sensibles et critiques.
Sécurité et résilience numériques (DSR)

Une organisation établie au sein de Microsoft en vue de permettre à Microsoft de créer les appareils et les services les
plus fiables, tout en protégeant l’entreprise et ses données. Le DSR met à jour en permanence la stratégie de sécurité
dans l’ensemble de l’entreprise et prend des mesures pour protéger les ressources Microsoft et les données de nos
clients.
Unité de sécurité numérique (DSU)

Une équipe d’avocats chargés de la cybersécurité et d’analystes de cyber-intelligence stratégiques qui fournissent une
expertise juridique, opérationnelle, géopolitique et technique en la matière pour protéger Microsoft et nos clients.
L’analyse du DSU et les solutions proposées aux problèmes complexes de sécurité numérique contribuent à renforcer la
confiance dans les capacités et les défenses de sécurité des entreprises fournies par Microsoft contre les cybercriminels
avancés dans le monde entier.

Gestion des risques dans l’entreprise (ERM)

Une équipe axée sur les principaux risques liés aux objectifs commerciaux de Microsoft, l’équipe ERM travaille dans
toutes les unités commerciales pour initier des discussions sur les risques prioritaires avec les dirigeants de Microsoft
et le conseil d’administration. L’équipe gère l’évaluation interne du Cadre de cybersécurité du NIST de l’entreprise et le
cadre de gestion du risque de l’entreprise, qui implique plusieurs équipes de risques opérationnels, et coordonne avec
la fonction d’audit interne de l’entreprise.
GitHub Security Lab

Une équipe de recherche en sécurité axée sur les logiciels open source. Sa mission consiste à sécuriser le code à
l’échelle mondiale et à tisser des liens entre les communautés de recherche en sécurité et de développement logiciel
grâce à diverses contributions, notamment la recherche sur la sécurité, les outils et les réunions.
Stratégie de cybersécurité globale

Une équipe qui collabore avec les administrations, les ONG et les partenaires du secteur pour promouvoir la politique
publique de cybersécurité qui permet aux clients de renforcer leur sécurité et leur résilience à mesure qu’ils adoptent et
utilisent la technologie Microsoft.
Comité de l’IA et de l’éthique en ingénierie et en recherche de Microsoft (AETHER)

Un conseil consultatif chez Microsoft qui garantit que les nouvelles technologies sont développées et déployées de
manière responsable.
Solutions des clients et des partenaires de Microsoft

L’organisation de commercialisation unifiée de Microsoft responsable des rôles sur le terrain, tels que les spécialistes et
les conseillers en matière de sécurité et de vente technique.
Microsoft Defender for IoT

Une équipe composée d’ingénieurs inverses en la matière et de data scientists. L’équipe réalise en permanence des
activités d’ingénierie inverse et analyse de grandes quantités de données relatives aux menaces et aux acteurs de la
menace IoT afin d’accroître la visibilité sur le paysage de l’IoT et de découvrir les tendances et campagnes associées.

Microsoft Defender Team

La plus grande organisation mondiale de Microsoft, constituée de chercheurs en sécurité axés sur les produits, de
scientifiques appliqués et d’analystes des renseignements sur les menaces. L’équipe Defender offre des fonctionnalités
innovantes de détection et de réponse dans les solutions de sécurité M365 et Microsoft Threat Experts.
Microsoft Digital Crimes Unit (DCU)

Une équipe d’avocats, d’enquêteurs, de data scientists, d’ingénieurs, d’analystes et de professionnels de l’entreprise qui
luttent contre la cybercriminalité à l’échelle mondiale grâce à l’application innovante de la technologie, des analyses
légales, des actions civiles, des poursuites criminelles et des partenariats publics/privés, tout en protégeant la sécurité et
la confidentialité de nos clients.
Microsoft Security Response Center (MSRC)

Une partie de la communauté des défenseurs sur la ligne de front de l’évolution de la réponse de sécurité. Depuis plus
de 20 ans, le MSRC collabore avec des chercheurs en sécurité en vue de protéger les clients et l’écosystème élargi. Ce
centre fait partie intégrante du Cyber Defense Operations Center (CDOC) et du MSRC de Microsoft et regroupe des
experts de la sécurité de l’entreprise. Sa mission consiste à protéger, détecter et réagir en temps réel face aux menaces.
Microsoft Threat Intelligence Center (MSTIC)

L’équipe centralisée de Microsoft, axée sur l’identification, le suivi et la collecte de renseignements sur les adversaires
les plus sophistiqués et les plus avancés ciblant les clients de Microsoft, notamment les menaces de l’État-nation, les
logiciels malveillants, l’hameçonnage, etc. Les analystes des renseignements sur les menaces et les équipes d’ingénierie
du MSTIC collaborent étroitement avec les équipes de produits de sécurité de Microsoft pour concevoir et affiner des
détections et des défenses de haute qualité intégrées à notre portefeuille de produits de sécurité.
Équipe chargée du développement de la sécurité, de la conformité et de l’identité de l’entreprise

Une équipe qui soutient les équipes de produits de sécurité Microsoft en fournissant des informations sur le marché sur
les dernières tendances en matière de cybersécurité pour éclairer les décisions de développement de produits. L’équipe
établit des partenariats avec des fournisseurs de logiciels indépendants travaillant avec l’écosystème de sécurité de
Microsoft.

© 2021 Microsoft. Tous droits réservés.

Rapport Sur La Défense Numérique de Microsoft

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport Sur La Défense Numérique de Microsoft

Transféré par

Droits d'auteur :

Formats disponibles

Rapport sur la défense

numérique de Microsoft OCTOBRE 2021

CHAPITRE 1 CHAPITRE 4 100 Réseau

3 Introduction d’approvisionnement, 106 Personnes

5 Nos domaines d’intérêt pour 2021 de l’IOT et de l’OT

CHAPITRE 2 71 Introduction Désinformation

Rapport sur la défense numérique de Microsoft | Octobre 2021 2

Signaux de sécurité Microsoft

Rapport sur la défense numérique de Microsoft | Octobre 2021 4

Nos domaines d’intérêt pour 2021

Rapport sur la défense numérique de Microsoft | Octobre 2021 5

Sécurité de la main-d’œuvre Désinformation Informations exploitables

Rapport sur la défense numérique de Microsoft | Octobre 2021 6

L’économie et les services de la cybercriminalité

E-mails de hameçonnage et autres e-mails malveillants

Machine learning adverse

Rapport sur la défense numérique de Microsoft | Octobre 2021 7

INTRODUCTION : La menace croissante de la cybercriminalité

Parmi les services disponibles, y compris pour les INFORMATIONS À RETENIR :

Rapport sur la défense numérique de Microsoft | Octobre 2021 9

Rançongiciels et criminelles plus larges a permis de maximiser l’impact

Taxonomie des rançongiciels

Rôle principal Description

Développe Écrit le logiciel malveillant

Déploie Envoie des e-mails de hameçonnage, déploie des rançongiciels

Connexion signalée Une connexion publique existe

Réaction post-violation cette dernière peut être obligée de divulguer

Une fois qu’une bande organisée de rançongiciel a

Rapport sur la défense numérique de Microsoft | Octobre 2021 11

Les parties prenantes et les rôles impliqués dans la réponse post-violation

Rapport sur la défense numérique de Microsoft | Octobre 2021 12

L’économie criminelle : un Chat de négociation de rançongiciel

Le chat de négociation, à droite, avec un district scolaire

Rapport sur la défense numérique de Microsoft | Octobre 2021 13

Hachage des transactions et adresses des portefeuilles

Le portefeuille de rançon de la victime est montré à l’extrême gauche. Les

Site de récupération de rançon Session de chat après le chargement de la note de rançon

Site Conti News

Rapport sur la défense numérique de Microsoft | Octobre 2021 16

Nombre de machines rançongiciels par pays (juillet 2020-juin 2021) DONNÉES DART

Engagements de DART en matière de rançongiciels par secteur (juillet 2020-juin 2021)

Les enjeux ont changé. Les rançongiciels et

Rapport sur la défense numérique de Microsoft | Octobre 2021 18

Déployer la protection contre les rançongiciels

E-mails de Dans le cadre de nos enquêtes sur les réseaux criminels

Les pages web de hameçonnage utilisées dans ces attaques

Rapport sur la défense numérique de Microsoft | Octobre 2021 21

Rapport sur la défense numérique de Microsoft | Octobre 2021 24

Utilisation abusive d’une infrastructure légitime

Les attaquants utilisent abusivement des

FAUSSES RÉPONSES ÉVASION DÉFENSIVE

Faux e-mail de réponse

Un e-mail de type BEC

Rapport sur la défense numérique de Microsoft | Octobre 2021 26

Rapport sur la défense numérique de Microsoft | Octobre 2021 27

Kits de hameçonnage et collecte des informations d’identification

Rapport sur la défense numérique de Microsoft | Octobre 2021 29

Que contient la boîte à outils de Micro- Tendances chez Microsoft, 2020-2021

soft pour la défense contre le hameçon-

Qu’y a-t-il dans notre boîte à outils ?

Grâce à ces méthodes, nous avons constaté

Rapport sur la défense numérique de Microsoft | Octobre 2021 30

Formation suivie de simulations, de renforcement et de simulations ciblées