La surface d’attaque (ou d’exposition), est l’ensemble des points exposés d’un système informatique par lesquels un attaquant peut s’introduire pour y exécuter des actions malveillantes. Heureusement, il est possible d’évaluer sa surface d’attaque et ainsi de la réduire, pour mieux protéger le système d’information d’une entreprise, par exemple.
Il existe plusieurs types de vulnérabilités qu'un attaquant peut utiliser pour parvenir à ses fins :
Nous allons aujourd'hui nous concentrer sur le premier point : la surface d’attaque.
La surface d’attaque est la somme des points faibles d’un environnement ; celles par lesquelles un pirate peut potentiellement s’introduire dans un système. Plus il y a de points de faiblesse présents (plus la surface est grande, donc), plus les risques de subir une attaque sont importants. Les intrusions peuvent être de différents types :
Il y a autant d’attaques possibles qu’il existe de points de faiblesse ; il est donc important d’en sécuriser le maximum.
Et pour ce faire, la première étape consiste à connaître sa surface d’attaque, un des points clés pour assurer sa cybersécurité selon l'ANSSI et améliorer son hygiène cyber.
Pour protéger efficacement un environnement, il convient d’en connaître toutes les failles potentielles.
Dans le cas de la surface d’attaque externe, il faut donc lister tous les points d’entrée, ou tous les points de contact, qui peuvent exposer l’environnement informatique d’une entreprise à un accès extérieur. Il faut, en quelque sorte, cartographier sa surface de risque.
Ces accès à lister peuvent comprendre les :
Cette étape est très importante, on ne peut pas protéger un système efficacement si on n’en connaît pas toutes les failles ! Il faut donc prendre le temps de faire le tour de tout ce qui peut donner un accès depuis l’extérieur vers le système interne. Se faire aider par un expert est, dans ce cas, une bonne idée.
Avant d’expliquer comment réduire sa surface d’attaque, voyons en quoi il est important de réduire celle-ci, notamment pour une entreprise comme une PME.
Plus une surface d’attaque est grande, plus il est facile pour un pirate d’y trouver un point d’entrée. Et avoir accès au système d’information d’une entreprise permet notamment à l’attaquant d’y installer des virus, ou ransomwares (logiciel bloquant les données en échange d’une rançon).
Un attaquant peut aussi voler des données sensibles (documents internes, identités des collaborateurs, numéros de carte de paiement, etc.), et les utiliser à mauvais escient, ou les revendre.
Il ne faut pas prendre ces dangers à la légère, tout type d’attaque peut nuire à une entreprise ; voire lui être fatale. Et, aujourd'hui, les pirates informatiques ne visent plus seulement les entreprises possédant des données sensibles, ils peuvent aussi tout simplement chercher à nuire à l’activité de l’entreprise, quelle qu’elle soit. Toute entreprise possédant un système d’information peut en être la cible.
Ainsi, toute cyberattaque peut avoir de lourdes conséquences ; il est donc important de faire de sa surface d’attaque la plus réduite possible.
Une fois les points d’entrée composant la surface d’attaque listés, il est temps de passer à l’étape de la protection : la réduction de la surface d’attaque.
Pour cela, il y a plusieurs éléments clés à mettre en place :
Réduire le nombre de points d’entrée en est le premier. Par exemple, fermer les accès extérieurs d’un service de l’entreprise (la boite mail interne) pour n’en laisser l’accès que depuis l’intérieur du système.
Il est également recommandé d’éliminer les points d’entrées qui ne sont plus, ou peu utilisés. Cela peut être, par exemple, un vieux service web inutilisé qui tourne encore et qui est accessible depuis l’extérieur.
C’est aussi une bonne idée de segmenter les services et réseaux internes d’une entreprise. Plus une chaîne est découpée en blocs, séparée en morceaux plus petits, plus il est difficile de s’infiltrer dans le bloc suivant.
Adopter le principe du moindre privilège est également recommandé. Cela veut dire, donner le minimum de privilèges à chaque usager. Un utilisateur du service A n’a pas besoin d’avoir accès au service B, ni inversement. De cette manière, si le compte du premier utilisateur se fait pirater, l’attaquant n’aura accès qu’à une partie limitée du système.
Le dernier élément important pour réduire la taille d’une surface d’attaque, c’est de sensibiliser les utilisateurs du système. Ceux-ci peuvent en effet, et de manière involontaire, créer des ouvertures vers l’extérieur, qui pourront être exploitées par des attaquants. Un collaborateur sensibilisé à ces risques sera plus à même de détecter lui-même si ses actions créent un potentiel danger ou non.
Enfin, tous les éléments que nous venons de citer doivent être revus régulièrement.
Réduire sa surface d’attaque une fois n’est pas suffisant ; elle bouge en permanence. Installation d’un nouveau logiciel interne, création de nouveaux droits utilisateur, etc. Tout cela va faire varier la taille de la surface d’exposition.
Il convient donc d’analyser cette surface et de vérifier que les bonnes pratiques soient toujours respectées.
D'autres bonnes pratiques de cybersécurité :
Sources :