Usurpation d’identité : Le Saint Graal des cybercriminels

L’usurpation d’identité est une menace croissante dans le paysage numérique d’aujourd’hui. Les cybercriminels se sont rendu compte qu’il était bien plus efficace, plus rapide et moins coûteux de voler des informations d’identification et de se connecter via un compte compromis, plutôt que de tenter de pirater les contrôles techniques.

Une fois qu’ils ont réussi à obtenir les informations d’accès d’un seul employé, les cybercriminels se déplacent latéralement, dérobent davantage d’informations d’identification, élevant leurs privilèges d’accès, compromettant les serveurs et les terminaux, et téléchargeant des données sensibles de l’organisation. Il est désormais bien plus facile pour un cybercriminel de transformer une identité compromise en attaque de ransomware à grande échelle.

Le courrier électronique reste le principal point d’entrée

Les cybercriminels sont conscients que les individus détiennent un accès aux données les plus critiques de l’organisation, et que la plupart d’entre eux peuvent être facilement incités à prendre des décisions qui mettent en danger la sécurité de leur organisation. La plupart de ces attaques commencent d’ailleurs par un simple courrier électronique.

Les attaques par courriel continuent de dominer le paysage mondial de la menace cyber, y compris en France. Selon le rapport State of the Phish 2023 de Proofpoint, 86 % des organisations françaises qui ont été ciblées par des tentatives d’hameçonnage (“phishing”) en 2022 ont été compromises. Parmi ces attaques réussies, 31 % ont entraîné un vol d’informations d’identification et/ou une compromission de compte, où les employés divulguent volontairement, mais sans avoir conscience d’être face à un criminel, leurs informations d’identification, offrant ainsi un accès direct aux données de l’entreprise.

De nombreuses attaques actuelles exploitent ces compromissions d’identités, y compris dans les attaques de rançongiciels. Les données de Proofpoint indiquent que 65 % des organisations françaises interrogées ont été la cible d’une tentative d’attaque par rançongiciel provenant d’un courriel et 66 % d’entre elles ont été infectées.

Il est évident que la sécurité des messageries électroniques est essentielle. En combinant des règles de passerelle de messagerie, une analyse avancée des menaces, une authentification multifactorielle et une visibilité des applications cloud, les entreprises peuvent bloquer la grande majorité des attaques ciblées avant qu’elles n’atteignent leurs employés.

Rompre la chaîne d’attaque

Les cybercriminels continueront d’utiliser la même technique : cibler les employés par le biais de courriers électroniques frauduleux, dans le but de s’infiltrer dans une organisation et de se déplacer latéralement en causant le plus de dommages possible. Ils dépendent de cette technique, car elle fonctionne et continuera de fonctionner, à moins que les organisations ne trouvent des moyens de rompre la chaîne d’attaque.

Lorsque nous examinons les possibilités pour les organisations de briser cette chaîne d’attaque, la première étape consiste à empêcher la compromission initiale. C’est là qu’une stratégie solide de sécurité des messageries électroniques devient cruciale, que ce soit pour contrer des attaques de type « Business Email Compromise » (BEC), la prise de contrôle de comptes dans le cloud, ou l’utilisation de tiers de confiance par des cybercriminels.

Les comptes compromis peuvent souvent passer inaperçus, sans laisser d’indicateur de compromission ni de preuve de présence de logiciels malveillants. Malgré le déploiement de la gestion des comptes à privilèges (PAM) et de l’authentification multifactorielle (MFA), ces attaques continuent d’augmenter.

Pour lutter contre ce problème, les entreprises doivent mettre en place des technologies permettant d’identifier et de répondre aux utilisateurs compromis, ainsi que de supprimer l’accès aux comptes privilégiés dont les attaquants ont besoin pour perpétrer leurs méfaits.

Faire appel à la technologie et insister sur la formation continue

Une approche intégrée de la détection et de la réponse aux menaces liées à l’identité (ITDR) peut aider les entreprises à atténuer les risques associés aux identités privilégiées et à comprendre les conséquences potentielles de la compromission, telles que l’accès aux données sensibles et à la propriété intellectuelle.

En mettant en place de solides contrôles techniques, les organisations peuvent empêcher l’usurpation d’identité initiale et la compromission de comptes utilisateurs. Cependant, comme pour toutes menaces, une combinaison de personnes, de processus et de technologies est essentielle.

La sécurité est une responsabilité partagée. Il faut pouvoir habiliter les personnes à tous les niveaux de l'entreprise à comprendre les enjeux de cybersécurité, et les comportements à risque qui peuvent conduire à des violations de données sensibles. Les programmes de formation et de sensibilisation sont essentiels, mais il n’existe pas de solution unique. Les programmes de formation doivent être axés sur l’utilisateur, en l’adaptant à son travail et à sa vie personnelle.

En France, 64 % des organisations que nous avons interrogé forment certains de leurs employés sur les sujets de cybersécurité, mais seulement 54 % forment TOUS leurs employés.

Selon les données de Proofpoint, plus de 99 % des cybermenaces nécessitent une interaction humaine pour réussir. Lorsque les collaborateurs jouent un rôle aussi important dans une attaque, ils doivent devenir un élément essentiel de défense. Les cybercriminels passent nuits et jours et à essayer de pénétrer les réseaux, les systèmes et les données d’entreprise. Le moins que l’on puisse faire est de les faire travailler un peu plus dur.