Parce que leur mode opératoire est celui de la dissimulation et de l’effet de surprise, les cyberattaques représentent une menace lourde – et permanente – pour toutes les entreprises. Face à un monde toujours plus informatisé, où la cybercriminalité prolifère et s’épanouit, les structures doivent redoubler d’efforts pour se protéger efficacement.
Avoir la capacité d’anticiper une cyberattaque est un atout stratégique majeur. Mais, concrètement, comment se passe une cyberattaque ?
Étape 1 : L’infiltration du réseau
Quelle que soit la nature précise de l’opération, le déroulement d’une cyberattaque suit toujours le même schéma général : l’intrusion des pirates dans le système informatique de l’entreprise est le point de départ obligatoire de n’importe quelle attaque.
Trouver un point d’entrée pour accéder au système informatique
Il faut imaginer l’infrastructure informatique comme un château fort qui, du fait de son étendue et de la difficulté de verrouiller tous les points d’entrée, peut présenter des failles. Tout l’art des cyberattaquants consiste à repérer les brèches existantes pour prendre place en toute discrétion dans le système !
En règle générale, l’intrusion est permise par l’être humain lui-même ou par l’existence de vulnérabilités externes dans le système informatique.
- Le facteur humain : lorsque les employés sont habilement trompés par un faux mail (phishing) par exemple ou qu’il y a un manque de vigilance ou de sensibilisation à ces dangers. Il s’agit du chemin le plus fréquent emprunté par les cyberattaquants.
- Les failles de l’infrastructure externe : lorsqu’une faille propre au système informatique de l’entreprise ou lié aux services qu’il utilise est exploité.
L’arnaque au phishing : la méthode la plus répandue
Pour s’introduire dans le système informatique d’une entreprise, les criminels misent principalement sur la défaillance des maillons humains : ils procèdent à l’envoi d’e-mails trompeurs, qui reproduisent les caractéristiques d’un message officiel, afin d’extorquer des informations ou une autorisation à un employé. C’est la technique bien connue du phishing ou hameçonnage, qui constitue la technique numéro un utilisée pour les attaques de type cyber.
Le Wifi non sécurisé, une porte d’entrée non négligeable
Peu importent les précautions et remparts déployés au sein d’une entreprise : il suffira qu’un employé se connecte avec son ordinateur professionnel à un réseau Wifi non sécurisé ou simplement mal configuré – dans un café par exemple – pour qu’une cyberattaque soit rendue possible. Toute l’entreprise est dès lors mise en danger. Ce n’est pas sans raison si les conseils de précaution se sont multipliés au moment de la pandémie de Covid-19 et du développement à grande échelle du télétravail !
Les failles visibles aux yeux des attaquants
D’autres vulnérabilités pouvant être présentes au sein de l’infrastructure externe de l’entreprise sont des opportunités en or pour débuter une cyberattaque :
- Une faille dans le code d’un site web ;
- Une mauvaise configuration des serveurs qui permet d'y accéder facilement ;
- Une application qui n’a pas été mise à jour qui ne répond donc plus aux exigences de sécurité ;
- Une fuite de mot de passe.
Dans le cas particulier du cloud, 99 % des intrusions sont liées à des erreurs humaines, selon un rapport Gartner de 2021.
Étape 2 : La capture et l’exploitation de données sensibles
Une fois entré à l’intérieur du système informatique, le cybercriminel est libre d’« explorer les lieux » pour poursuivre son attaque !
Prendre le contrôle sur le système
Après avoir recherché, trouvé et exploité une faille de nature humaine ou provenant d’un des services exposés au monde extérieur, l’attaquant poursuit tout simplement la recherche de failles dans le système informatique interne.
Durant cette phase dite de « pivotement à l’intérieur », l’attaquant poursuit un objectif ultime : obtenir plus de privilèges voire les droits administrateur, c’est-à-dire la véritable clé d’accès aux informations confidentielles de l’entreprise. C’est en mettant la main sur ces droits que le cybercriminel pourra porter un coup maximal à la structure qui est visée.
Tirer parti des vulnérabilités internes
Pour parvenir à ses fins, le cyberattaquant peut exploiter diverses failles internes comme :
- La vulnérabilité des services informatiques de la structure visée : une faille dans le code d’un site internet tout comme la défaillance de sécurité d’une « application métier » installée sur les postes de travail peuvent donner accès à d’autres serveurs. Ces nouveaux accès permettent d’accéder à de nouvelles données. L’attaquant continue d’exploiter les failles internes de manière cyclique jusqu’à ce qu’il trouve ce qu’il cherche : généralement de la donnée sensible à exploiter.
- Une mauvaise configuration du contrôleur de domaine : lorsqu’un cybercriminel réussit à prendre la main sur le contrôleur de domaine – en d’autres termes, l’Active Directory (AD) –, il signe un coup décisif. Pour comprendre l’importance stratégique, il suffit de rappeler que, dans un environnement Windows, le contrôleur de domaine est en réalité le serveur qui centralise les accès, les configurations de comptes utilisateurs et les configurations des différents services et postes de travail. Le cybercriminel règne donc en maître sur le système informatique de l’entreprise : il a accès à toute la donnée, à tous les mots de passe et identifiants.
- La récupération des identifiants d’un salarié : après avoir introduit le système via une vulnérabilité du système informatique, il suffit souvent de dérober un nom et un mot de passe pour poursuivre la cyberattaque. À nouveau, le phishing est une tactique largement répandue. Menée en interne, elle est d’autant plus facile à mener : une fois entré dans le système, le cybercriminel est en mesure d’utiliser une adresse e-mail authentique ! Dans un autre cas, l’attaquant ayant entièrement compromis un premier ordinateur peut obtenir les identifiants de tous les utilisateurs disposant d’un compte sur la machine en question. Les possibilités de nuire sont donc multipliées.
Le nerf de la guerre : la dissimulation
Il est dans l’intérêt des criminels de l’informatique de passer inaperçu le plus longtemps possible. Il est tout à fait possible qu’après s’être introduit dans un système, un cyberattaquant attende plusieurs mois avant de déclencher son attaque. Cela peut lui donner le temps nécessaire pour repérer :
- la faille majeure qui permettra de concrétiser l’attaque ;
- ou le maximum de failles existantes, pour maximiser l’impact de son opération.
Un exemple majeur de cyberattaque
En 2019, Facebook montrait ce à quoi pouvait ressembler une cyberattaque à l’échelle planétaire : 533 millions d’utilisateurs du réseau social – dont 20 millions de Français – ont vu fuiter leurs données personnelles, dont leurs adresses électroniques, dates de naissance et numéros de téléphone.
Étape 3 : La révélation de la cyberattaque
La cyberattaque ne se termine pas avec son repérage par l’entreprise visée ou sa révélation intentionnelle par les cybercriminels.
Une fois l’attaque identifiée, l’entreprise doit être en mesure de réagir et peut subir divers dommages. Parmi les risques encourus, les plus fréquents sont :
- La fuite de données
- Le chiffrement de données
- La fraude au président
La fuite de données
La fuite de données, souvent relayés dans la presse sous le terme de dataleaks : l’impact sur la notoriété et la confiance accordée à l’entreprise peut être dévastateur. Cela est d’autant plus vrai lorsque les données récupérées par les pirates concernent des personnes externes à la structure, à savoir les utilisateurs du service attaqué ou encore les données des prestataires avec lesquels l’entreprise travaille.
Le chiffrement de données
Le chiffrement de données : par ce biais, les cybercriminels bloquent le fonctionnement de l’entreprise, qui se voit demander une rançon pour aboutir à un retour à la normale. Les experts recommandent fortement de refuser le paiement et de remettre le système informatique dans l’état de la dernière sauvegarde réalisée.
La fraude au président
La fraude au président : aussi connue sous le nom de Faux Ordre de Virement (FOVI), cette technique consiste à se faire passer pour le président d’une société-mère, dans le but d’obtenir un virement bancaire auprès d’une société cible qui fait partie du même groupe. Dans de nombreux cas, les pirates repèrent une intention de virement important en scrutant les échanges électroniques de l’entreprise. Lorsque l’échéance du transfert approche, les criminels émettent un e-mail frauduleux qui permet de récupérer la somme sur un compte propre.
Selon les chiffres rapportés par la revue IT Social, en 2020, les entreprises françaises avaient besoin de 21,3 heures en moyenne pour réagir à une cyberattaque. Ce temps de latence de près de 2 jours ouvrables laisse aux pirates tout le temps nécessaire pour chiffrer et exfiltrer plus de données. La sensibilisation et la formation des équipes aux enjeux de cybersécurité est donc plus que jamais de mise !
Qu’est-ce qu’une faille 0 day ?
La vigilance est d’autant plus de mise que de nombreux logiciels et systèmes d’exploitation comportent des failles pour lesquelles aucun correctif n’a encore jamais été publié. C’est le problème des failles zero-day.
Foire aux questions
Quelle est la première étape d’une attaque informatique ?
La situation générale est la même pour chaque cyberattaque : la phase de reconnaissance pour procéder à l’infiltration du système informatique est le premier mouvement des cyberattaquants.
Quelles sont les étapes nécessaires pour effectuer une attaque ?
On repère 3 étapes majeures :
- L’intrusion
- L’accès aux données convoitées
- Le chiffrement, la fuite de donnée, ou autre méthode par laquelle l’attaque se révèle au grand jour.
Quels sont les 4 types d’attaque cyber les plus fréquentes dans le monde ?
Les cyberattaques auxquelles doivent faire face petites et grandes entreprises sont, dans la grande majorité des cas :
- L’Attaque par Déni de Service (DoS) et l’Attaque par Déni de Service Distribué (DdoS), qui visent toutes deux à saturer les capacités d’un serveur ou d’un service informatique.
- Les malwares ou programmes malveillants, notamment le ransomware (ou rançongiciel) qui – comme son nom l’indique – « prend en otage » un service ou des données jusqu’à paiement d’une rançon.
- Le phishing, qui consiste à envoyer des e-mails frauduleux mais en apparence authentiques. Quels sont les objectifs des pirates lors de ces cyberattaques ? Il s’agit de collecter des données confidentielles ou d’inciter une personne à effectuer une action qui sera bénéfique aux attaquants.
- Le Drive by Download (ou téléchargement furtif), qui conduit la victime à télécharger malencontreusement des logiciels malveillants.
Quel est le meilleur rempart lors d’une cyberattaque ?
L’une des portes d’entrée les plus faciles à franchir pour les cyberattaquants est de nature humaine. Une entreprise peut disposer des outils de protection les plus sophistiqués, ceux-ci n’auront aucune utilité si le personnel n’est pas suffisamment vigilant.
La sensibilisation des équipes aux risques cyber, en recherchant de préférence les conseils d’ un expert de la cybersécurité, reste le meilleur rempart contre les pirates.
Sources :
- https://www.ibm.com/downloads/cas/OJDVQGRY
- https://www.usinenouvelle.com/editorial/les-gestes-barrieres-numeriques-meilleurs-remparts-face-a-l-explosion-de-la-cybercriminalite.N961086
- https://www.ssi.gouv.fr/
- https://www.cesin.fr/actu-5eme-edition-du-barometre-annuel-du-cesin-2.html
- https://orangecyberdefense.com/fr/wp-content/uploads/sites/2/2022/02/ficheproduit_cloudsec4.pdf
- https://www.usinenouvelle.com/article/facebook-ou-la-cyberattaque-a-deux-coups.N1079584
- https://itsocial.fr/enjeux-it/enjeux-strategie/dsi/le-temps-moyen-de-reponse-a-une-cyberattaque-est-denviron-213-heures-en-france/