Liste des menaces les plus courantes et classification des incidents de sécurité informatique
Les cas de violation de données augmentent avec la multiplication des incidents de cybersécurité. Selon une étude menée sur le sujet1, plus de 82 % des violations de données sont dues à des cyberattaques. Phishing, ransomwares, social engineering… les hackers rivalisent d’ingéniosité pour arriver à leurs fins, mettant au point des méthodes toujours plus sophistiquées pour exploiter les vulnérabilités.
#1 Phishing
Les attaques de phishing (hameçonnage en français) deviennent de plus en plus élaborées. Elles consistent à envoyer des emails ciblés ou non, généralement en usurpant l’identité de personnes ou d’entreprises connues. Le but de ces mails est d'amener l'utilisateur sur un site frauduleux qu'il pense légitime. Il peut donc en résulter une installation de logiciel malveillant, la réalisation d'une action sensible ou la récupération de données de l'utilisateur. De telles attaques permettent aux pirates de voler les identifiants de connexion des utilisateurs, leurs informations financières ou encore d’accéder à des bases de données privées.
Les erreurs des employés (intentionnelles ou accidentelles) sont à l’origine de près de 82 % des violations de données1. Le risque de cette menace peut être largement réduit par la sensibilisation des salariés au phishing et aux risques de cybersécurité.
#2 Social Engineering
Le Social Engineering ou l’ingénierie sociale est l’une des techniques de piratage les plus employées par les cybercriminels, en grande partie parce qu'elle repose sur l'erreur humaine plutôt que sur des vulnérabilités liées à des systèmes d'information (le phishing en est un exemple). Le Social Engineering s’appuie sur la manipulation psychologique d’un collaborateur. L’objectif de l’attaquant est d'obtenir un service, un accès informatique ou un partage de données personnelles par ruse. Pour éviter ce type d’attaque, la sensibilisation des employés est encore un élément important.
#3 Vulnérabilité des tiers
Les personnes malveillantes peuvent contourner les systèmes de sécurité en piratant des réseaux moins protégés appartenant à des tiers qui possèdent un accès privilégié à la cible principale du pirate. Or, chaque entreprise utilise des services tiers, que ce soit pour le traitement des paiements ou le partage de manière sécurisé de fichiers sensibles, par exemple. Un scénario de ce type s'est déroulé au début de l'année 2021, lorsque des pirates ont exploité la vulnérabilité liée au système informatique d’une entreprise tierce, Socialarks, afin de divulguer les données personnelles de plus de 200 millions de comptes Facebook, Instagram et LinkedIn.
#4 Ransomware
Les ransomwares sont considérés comme l'une des plus grandes menaces de cybersécurité en 2022 pour les entreprises de toutes tailles. Les attaques de ransomware commencent tout d'abord par l’exploitation d'une vulnérabilité sur votre réseau, puis un vol suivi du verrouillage de vos données jusqu'à ce qu'une rançon soit versée au pirate. Ces cyberattaques entraînent non seulement des pertes financières pour les entreprises, des pertes de productivité ou bien encore des pertes de données. Selon la longévité de l'attaque, la perte d'opportunités commerciales due à l'inaccessibilité des données peut être préjudiciable aux résultats de l'entreprise. L’impact en termes d’images peut être également important.
#5 Erreurs de configuration
Une erreur ou un défaut de configuration d’un logiciel peut créer des vulnérabilités dans la sécurité des systèmes d’information en commençant par le logiciel lui-même. En opérant leur transformation digitale, de nombreuses organisations voient arriver de nouveaux matériels ou logiciels qu'il est nécessaire de configurer pour protéger le système informatique. Malheureusement la multiplication de nouvelles composantes au sein du SI entraîne un risque croissant d'erreurs de configuration. A titre d’exemple, sur les deux dernières années, les erreurs de configuration sont impliquées dans 49% des plus grosses attaques subies par les organismes du secteur public à travers le monde2.
Un moyen de détecter les défauts et possibles erreurs de configuration est l'audit de configuration.
#6 Vulnérabilités du cloud
Les vulnérabilités du cloud ont augmenté de 150 % au cours des cinq dernières années, selon une étude menée par IBM3. Par conséquent, la sécurité du cloud est aujourd’hui le segment de marché de la cybersécurité qui connaît la plus forte croissance. Les services cloud sont vulnérables à divers types de cyberattaques, notamment la prise de contrôle de comptes et les attaques par déni de service (DoS), qui empêchent les entreprises d'accéder à leurs données.
#7 Non-conformité des procédures de sécurité
Le simple fait de satisfaire aux exigences de conformité ne suffit pas à se prémunir des cybermenaces, encore faut-il mettre en place des pratiques de sécurité efficaces et les appliquer tout au long de l’année. Aujourd'hui, les normes de référence en matière de conformité pour la sécurité sont ISO 27001 et SOC 2 Type II. Cependant, de nombreuses entreprises certifiées pour leur conformité à ces normes lors d'un audit ne suivent pas les directives par la suite.
#8 Matériels et composants obsolètes
L'une des failles les plus faciles à exploiter pour les cybercriminels dans un SI d'entreprise est l’exploitation d’un composant obsolète. Une des raisons à cela est que le hardware obsolète ne dispose pas des logiciels les plus récents ni des correctifs de sécurité, ce qui le rend vulnérable. L’exemple le plus connu à ce niveau est l’attaque par ransomware WannaCry de 2017 : les cyberattaquants ont pu exploiter une vulnérabilité liée au système d'exploitation Windows non à jour pour accéder aux données des utilisateurs. Il s'agit d'une attaque qui a affecté plus de 200 000 ordinateurs et serveurs dans 150 pays du monde.
#9 L'internet des objets (Internet of Things – IoT)
L'internet des objets devient chaque jour plus présent. Selon Statista, le nombre d'appareils connectés à l'IoT devrait atteindre 75 milliards à l’horizon 2025. L'internet des objets (IoT) est un terme utilisé pour décrire comment des millions d'appareils du monde entier se connectent à Internet. Il comprend les ordinateurs portables et les tablettes, bien sûr, mais aussi les routeurs, les webcams, les appareils électroménagers, les montres intelligentes et même les systèmes de sécurité domestiques. De nombreuses personnes et organisations utilisent cette technologie en développement en raison de sa praticité. Cependant, l'interconnexion qu'offre l'IoT permet également aux pirates d'accéder plus facilement à vos informations en cas de mauvaise configuration.
#10 Mauvaise gestion des données
La gestion des données ne se résume pas au maintien des systèmes de stockage et d’organisation. Une étude menée sur le sujet a montré que le volume de données créées par les consommateurs double tous les quatre ans4, mais que plus de la moitié de ces nouvelles données ne sont jamais utilisées ou analysées, ce qui les rend vulnérables aux cyberattaques.
La classification des incidents par l'eCSIRT
Il existe plusieurs manières de classifier les incidents de cybersécurité, notamment par typologie ou par sévérité. L’eCSIRT, l’équivalent du CSIRT européen, préconise de classifier les incidents selon la typologie suivante5 :
-
Le contenu abusif, qui comprend les spams, des discours haineux ou encore le contenu inapproprié (pornographie enfantine, glorification de la violence…) ;
-
Le code malicieux, qui comprend tous les programmes déposés afin de nuire intentionnellement comme les virus, les vers, les trojans, les spyware… ;
-
La collecte d’informations, qui comprend les scans, le social engineering (ingénierie sociale)… ;
-
Les tentatives d’intrusion comprennent les tentatives de connexion répétées ;
-
Les intrusions : ce type d’incident est la résultante d’une tentative d’intrusion réussie. Ils peuvent être causées à distance par une vulnérabilité connue ou nouvelle, mais aussi par un accès local non autorisé ; dans la classification des incident cyber de l’eCSIRT, cela inclut l’appartenance à un réseau botnet ;
-
La disponibilité : dans ce type de cyber incident un système est bombardé de paquets, ce qui résulte en un blocage du système (DoS, DDoS, sabotage…) ;
-
La sécurité du contenu de l'information, qui comprend l’accès non autorisé à l’information ou la modification non autorisée de l’information.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lyse, Nancy, Natacha, Nicolas, PierreG, Sébastien, Yann, et bonne visite !