Cyber

Comment protéger vos données, vos savoir-faire et votre propriété intellectuelle du cyber espionnage à l’heure des attaques sur la Supply Chain ?

Ces derniers mois ont été denses en actualité cyber, avec des attaques par rançongiciels et des révélations d’affaires d’espionnage.

Profitons de ces actualités toujours plus denses et récurrentes pour revenir sur le processus d’attaque, en direct ou par la chaîne de sous-traitance, tout en rappelant les bonnes pratiques pour sécuriser vos systèmes.

Comment se déroule une tentative d’espionnage et comment la détecter ?

Lors d’une tentative d’espionnage sur un réseau ciblé, la chaîne habituelle d’attaque (« kill chain ») est composée de plusieurs étapes :

  1. Tout part d’une compromission initiale effectuée grâce à des vulnérabilités exploitées sur des services, pour aboutir à une confirmation des accès et à une élévation de privilèges. L’attaquant dispose alors d’une capacité à effectuer des déplacements latéraux à travers le réseau sur le parc pour, en finalité, procéder à une exfiltration et/ou au chiffrement des données.
  2. Vos solutions de cybersécurité, comme celles présentes dans la TEHTRIS XDR Platform par exemple, détectent le binaire lors de son exécution.
  3. Celles-ci analysent afin d’identifier s’il s’agit d’une menace connue ou non et le stoppent dès les premiers symptômes. Les différents modules détectent aussi des comportements suspects, comme les escalades de privilèges ou les mouvements latéraux.
  4. L’attaquant est ainsi arrêté avant la mise en place de charge malveillante. Son action est immédiatement stoppée, sans qu’il ait pu faire l’usage de techniques d’offuscation et de persistance menant à la modification de la chaîne de production.
Supply Chain, cible très appréciée du cyber espionnage

Pourquoi cibler en priorité la Supply Chain ?

On parle de Supply Chain pour désigner les flux entre les fournisseurs de services sous-traitant et les grandes entreprises. Les sous-traitants fabriquent des composants ou proposent des services utilisés par les clients finaux dans divers secteurs d’activité (industrie, transports, commerce de détail, finance…). Ces clients reçoivent souvent des éléments et résultats en flux tendus, afin d’éviter les stocks immobilisés et d’optimiser leur besoin en fonds de roulement. Les experts de la Supply Chain travaillent en général avec des entreprises de haute technologie possédant des savoir-faire uniques.

Dans les opérations d’espionnage de grande envergure, les attaquants prennent position sur les réseaux de prestataires afin de récupérer les données, voire d’accéder aux réseaux de leurs clients.

En effet, bien que le système d’information d’une grande entreprise soit correctement géré, dans le cadre de sa sous-traitance, certains de ses partenaires s’avèrent être une cible de choix pour les attaquants. Une pénétration réussie et furtive au sein de cette chaîne offre la possibilité aux pirates informatiques de rebondir vers la société mère via des sous-traitants intermédiaires. L’espionnage se fait à distance et exploite des failles chez ces partenaires qui sont censés être de confiance, et où les règles de sécurité et la surveillance peuvent parfois être moins opérationnelles.

« L’espionnage se fait à distance et exploite des failles chez ces partenaires qui sont censés être de confiance »

Comment TEHTRIS remédie à des attaques de cyber espionnage par la Supply Chain ?

La lutte contre l’espionnage est dans l’ADN de TEHTRIS, c’est un combat permanent et c’est notre engagement que de vous apporter les meilleures armes pour vous défendre.

TEHTRIS est déjà intervenu de nombreuses fois auprès d’entreprises victimes d’affaires d’espionnage de grande ampleur, et a plus particulièrement défendu une grande entreprise française, présente à l’international et victime d’espionnage par le biais de sa Supply Chain. Bien que le groupe n’était pas protégé par nos solutions au moment de l’attaque, nous avons pu déployer la TEHTRIS XDR Platform en un temps record au sein de l’infrastructure afin de combattre au mieux les menaces dont la structure était la cible.

Les remontées de données sur la console unifiée nous ont permis de localiser les attaquants dans le parc via la recherche d’IoC fournis par des tiers et d’en savoir plus sur les techniques utilisées par les attaquants. Nous avons aussi rapidement estimé les dommages effectués, notamment la compromission de l’AD (Active Directory) ou le vol de données. Une fois la prise d’informations réalisée, TEHTRIS EDR a expulsé l’attaquant hors du réseau en travaillant conjointement avec l’entreprise et les parties concernées. La mission de sauver l’infrastructure de l’organisation en limitant considérablement les dommages liés à l’attaque était donc réussie.

Quelles recommandations préconiser ?

Les principes de base à appliquer de manière générale sont les suivants :

  • Administrer de manière sécurisée les systèmes d’information
  • Mettre en œuvre une veille sur les vulnérabilités pouvant impacter les systèmes d’information, pour assurer le maintien en condition de sécurité (MCS) à travers les mises à jour de sécurité
  • Mettre en place une capacité de supervision de la sécurité
  • Réaliser un inventaire des interconnexions avec ses clients et partenaires et en assurer la supervision
  • Pour les fournisseurs de service, mettre en place un cloisonnement entre les différents clients
  • Pour les grandes entités faisant appel à des prestataires, appliquer le principe du moindre privilège pour les accès octroyés aux prestataires (comptes, interconnexions, approbations).

Si vous pensez que votre organisation, un de vos clients ou prestataire, puisse être touché, il est tout d’abord primordial d’utiliser les indicateurs de compromission connus et les journaux d’activité des utilisateurs pour suivre les mouvements latéraux et déterminer si l’organisation est véritablement touchée ou non.

Nous vous conseillons ensuite de prendre contact avec votre fournisseur de sécurité pour vous informer rapidement sur les mises à jour et les flux d’analyse suggérés. Vous pouvez faire appel à un organisme de réponse aux incidents qualifié qui peut être engagé dès le premier signe de compromission.

Il vous faudra également renouveler ou nettoyer votre parc informatique afin que les hôtes et les justificatifs d’identité qui s’y trouvent soient sécurisés. Par la suite, nous vous recommandons d’engager une surveillance plus active de vos réseaux pour y repérer de potentielles anomalies.

Il est important de disposer d’une fonction de gestion des risques de la chaîne d’approvisionnement si possible ; au minimum, disposer d’une liste documentée des fournisseurs et vendeurs critiques dans le cas où une infraction est signalée.

Dans le cadre d’une crise de cybersécurité impliquant de l’espionnage, la priorité est de déployer sur votre parc une solution comme un EDR combinée à un EPP. L’objectif de ces dernières est d’obtenir une visibilité globale sur votre système d’information afin de détecter, d’analyser et répondre aux menaces en les éliminant. Parallèlement, nos experts vous recommandent vivement d’installer une solution telle qu’un SIEM pour avoir une vision étendue de vos périphériques (VPN, etc.). Enfin, nous vous conseillons des solutions de type DNS Firewall pour repérer d’éventuels contacts persistants avec les serveurs « command and control » des attaquants, ou encore notre Deceptive Response avec l’installation de honeypots pour tromper les attaquants.

TEHTRIS, expert en cyber sécurité, lutte contre le cyber espionnage.

Chez TEHTRIS, nos experts œuvrent au quotidien pour analyser l’état de santé des systèmes d’information de nos clients. Nos technologies déployées sur l’ensemble d’un parc permettent de détecter, d’analyser et de neutraliser une menace en quelques secondes.

Dès l’instant où le périmètre est couvert par nos solutions, l’organisation est protégée, du fournisseur de service au grand groupe international, qu’il soit privé ou public. Nos solutions détectent depuis plusieurs années des opérations de cyber espionnage furtif fileless et sans malware.

Nous réalisons régulièrement des tests d’intrusion sur nos technologies, sur toutes les intégrations et effectuons des audits pour garantir à nos clients la meilleure protection possible.