Le 6 juillet 2022, pour la première fois, les Directeurs du MI5 britannique et du FBI américain s’exprimaient conjointement face aux leaders du monde entrepreneurial et académique. L’objectif de leur discours était sans détour : mettre en garde vis-à-vis de la menace posée par le Parti Communiste Chinois et son agressivité dans l’espionnage industriel et le vol de technologies. Indéniablement, la Chine n’est pas le seul acteur impliqué dans cette activité et des accusations inverses ont été portées à l’encontre des Etats-Unis. Si l’espionnage industriel est loin d’être un phénomène récent, il a pris une autre forme à l’ère du numérique : le cyber-espionnage industriel.
Les cas de cyber-attaques motivées par le vol de données sont fréquents et proviennent de tous les continents, et il est raisonnable de penser que la majorité d’entre eux ne sont ni découverts, ni portés à l’attention du public. Les auteurs de ces actions sont difficiles à identifier, notamment en raison de la porosité des acteurs étatiques et privés dont les intérêts se superposent. La majorité des activités de cyber-espionnage est menée par des APT (Advanced Persistent Threat), parfois soutenus par un État-nation, caractérisées par la sophistication de leurs attaques et la pérennité de leurs accès dans un réseau compromis.
L’objectif pour l’attaquant est de gagner un avantage compétitif, de faire profit en vendant les informations obtenues, ou de nuire à la réputation d’un concurrent. Toutes les entreprises sont concernées par le risque de cyber-espionnage, bien qu’il y ait une forte prévalence de la menace dans les secteurs stratégiques tels que les centres de recherche ou l’industrie de pointe, notamment dans le domaine militaire. La protection contre le cyber-espionnage industriel est donc un enjeu économique et stratégique.
Selon un rapport de 2017 de l’US Intellectual Property Commission, le vol de données commerciales a coûté aux Etats-Unis entre 180 et 540 milliards de dollars.
Rapport cité par Button, M. Editorial: economic and industrial espionage. Secur J 33, 1–5 (2020) [1]
Comment se prémunir et détecter des indices de compromission d’une tentative d’espionnage industriel ?
1ère étape : identifier les risques
Le risque humain
Le facteur humain est souvent le vecteur initial lors d’une cyber-attaque. En effet, de manière intentionnelle ou non, une faille humaine est souvent à l’origine de la compromission. En fonction de la sensibilité du secteur, des habilitations peuvent être délivrées pour accéder à des documents classifiés. Une enquête de sécurité est menée sur l’individu et son entourage afin de déterminer des leviers qui pourraient être exploités et l’amener à divulguer des informations classifiées.
Malgré cette précaution, un employé ayant accès à des informations d’intérêt peut être la cible d’un concurrent économique ou d’un service de renseignement étranger.
Cette approche peut être menée de façon entièrement virtuelle, sans aucune interaction dans le monde réel. En usant d’ingénierie sociale – via un simple message LinkedIn, ou à travers une attaque BEC usurpant l’identité d’un responsable qui somme d’ouvrir une pièce jointe vérolée, par exemple – il est possible pour un cyber-espion d’obtenir l’accès à un réseau.
« Selon une estimation de ECIPE, […] d’ici 2025, le vol de données commerciales entraînera une perte financière équivalente à 1 million d’emplois en Europe. »
« Study on the Scale and Impact of Industrial Espionage and Theft of Trade Secrets through Cyber” (PwC, 2019) [2]
Le risque matériel et logiciel
Dans le contexte du cyber-espionnage, les potentielles vulnérabilités matérielles et logicielles doivent être rapidement prises en compte. L’équipe responsable de la sécurité des systèmes d’information doit constamment veiller sur les CVE publiées et s’assurer que son parc est correctement mis à jour. Par ailleurs, la cartographie du réseau doit permettre d’identifier les machines particulièrement sensibles (car elles contiennent des informations classifiées, ou parce qu’elles contrôlent une partie ou l’entièreté des machines du réseau…) et de connaître les éventuels points de vulnérabilité. L’utilisation d’un outil, tel que l’EDR de TEHTRIS, peut aider dans cette tâche car il permet de lancer des audits de conformité pour vérifier l’état d’une station en la comparant à un référentiel.
Dans le cas des périphériques USB (notamment sur une machine air-gap, c’est-à-dire isolée physiquement de tout réseau informatique pour limiter les tentatives de piratage à distance), l’utilisation d’une station blanche est indispensable pour s’assurer qu’un malware ne sera pas introduit par ce biais. En effet, toutes les intrusions ne se font pas à distance et une clef USB compromise peut tout à fait contenir un spyware. Les stations blanches ont pour but d’analyser, et – le cas échéant – « nettoyer » les périphériques USB avant de les insérer dans une machine d’entreprise.
2ème étape : prévenir
Une fois les risques identifiés, l’étape suivante consiste à anticiper les menaces. D’une part, il est primordial de sensibiliser et former de manière continue le personnel de l’entreprise. Des exercices réguliers de simulation de cyber-attaque, en menant une fausse campagne de phishing par exemple, vise à faire prendre de meilleurs réflexes aux collaborateurs. Par ailleurs, il ne faut pas négliger l’organisation de campagnes régulières de sensibilisation à la connaissance et à la manipulation des différentes classifications de données au sein de l’organisation, ainsi que la limitation de l’accès à ces données classifiées aux personnes ayant besoin d’en connaître pour limiter le risque de propagation d’informations sensibles.
D’autre part, utiliser une protection logicielle de cybersécurité est indispensable pour protéger son parc des cybermenaces. L’équipe chargée de la sécurité des systèmes d’information peut mener les actions suivantes dans le cadre de la prévention :
- Vérifier que l’authentification multi-facteur (MFA) est bien activée. Bien que le MFA ne soit pas infaillible, le but de cette démarche de sécurisation est de rendre la tâche plus difficile pour un attaquant.
- S’assurer de la présence de l’EDR (Endpoint Detection Response) sur tous les endpoints de l’entreprise pour, d’une part, obtenir une visibilité suffisante sur le réseau et, d’autre part, bénéficier d’une capacité de réponse dans le cas d’une détection d’attaque. Le but est de ne pas avoir d’angle mort sur ses postes.
- Configurer le SIEM pour qu’il intègre des sources à hautes valeurs ajoutées. En effet, il faut que ce qui rentre et sort du réseau interne soit logué. Par exemple, les logs de connexion VPN doivent être sauvegardés – pour analyse ultérieure en cas d’incident, ou pour mettre en place des alertes en cas d’événements inhabituels. L’étude des logs dans un outil SIEM permettra de corréler et de contextualiser des événements pour déterminer s’ils sont sujets à caution : une tentative de connexion d’une IP provenant d’un secteur géographique anormal, la création d’un nouvel utilisateur bénéficiant des droits administrateurs sur la machine, la suppression de logs de sécurité…
- Mettre en place une protection réseau avec le DNS Firewall qui se place en surcouche d’un firewall traditionnel et pourra empêcher un logiciel espion d’établir la connexion vers son serveur de command and control (C2) pour exfiltrer des données.
- Déployer un réseau honeypots (leurres informatique) afin de détecter les scans et les tentatives d’exploitation de vulnérabilités par des attaquants. Ces informations sont précieuses car elles permettent de détecter au plus tôt les menaces et de porter une attention particulière aux appareils et applications dans le viseur des hackers.
3ème étape : détecter et entraver
Les attaques visant à exfiltrer des données sensibles se caractérisent par leur discrétion. Le cyber-espion veut éviter d’être détecté pour rester le plus longtemps possible sur le réseau ciblé. Toutefois, des outils de cybersécurité, tels que les solutions TEHTRIS, peuvent aider à détecter et entraver une opération de cyber-espionnage.
L’EDR de TEHTRIS permet une remontée et une remédiation automatique des attaques, notamment grâce à TEHTRIS Cyber Threat Intelligence qui identifiera un binaire ayant un comportement suspect. En activant la remédiation automatique sur la base de seuils que l’analyste aura défini en amont, aucune action humaine n’est nécessaire pour protéger de la menace. Par ailleurs, il est possible de configurer une remontée d’alerte sur des actions plus fines et plus discrètes, de type Living off the land (attaques utilisant les outils déjà à disposition sur la machine). Par exemple, un attaquant peut utiliser un procdump (outil de la suite Sysinternals) au lieu d’utiliser un malware pour effectuer des actions malveillantes. Cet outil peut être utilisé par les administrateurs de manière légitime et se trouve donc souvent déjà sur les serveurs. TEHTRIS EDR vous apporte une vision complète de ce qui se passe sur votre parc, à tout moment et vous permet d’éclairer votre jugement sur les actions à prendre sur les outils « gris » (outils d’administration qui peuvent être détournés à des fins malveillantes).
Le module Autostart de l’EDR TEHTRIS est un atout dans la surveillance du parc car il permet de garder un œil sur les processus lancés au démarrage de la machine (en levant une alerte, ou en mettant en quarantaine le binaire). Contrairement à la durée d’une attaque de ransomware qui se compte en heures ou en jours, dans le cadre du cyber-espionnage industriel, l’attaquant cherche la persistance pour se maintenir plusieurs mois voire années. Si une trace de persistance est découverte sur le parc, le module Autostart permet d’investiguer sur une période rétroactive pour identifier le début de la compromission.
La combinaison des outils TEHTRIS assure une protection renforcée de votre parc informatique face au cyber-espionnage. La plateforme XDR qui unifie ces outils permet d’éliminer les angles morts sur votre réseau où les espions se terrent.
Bien qu’il soit difficile de faire un bilan sur les activités de cyber-espionnage car elles sont par nature discrètes et sensibles, cette menace est réelle et lourde de conséquences pour les industries dont l’activité dépend de la protection de ces brevets et avancées en R&D. Sans négliger le facteur humain, choisir des outils robustes de cybersécurité est indispensable pour se protéger. Une combinaison d’outils complémentaires est primordiale pour obtenir la plus grande visibilité possible sur la sécurité du système d’information d’une industrie. L’utilisation de TEHTRIS XDR, une solution unifiée intégrant différentes technologies (protection des endpoints, analyse des requêtes DNS, collection des logs via un SIEM…) permet à l’analyste d’avoir une vue d’ensemble de son parc informatique qui l’aidera à anticiper, détecter et remédier les tentatives de cyber-espionnage.
[1] https://doi.org/10.1057/s41284-019-00195-5
[2] https://www.pwc.com/it/it/publications/docs/study-on-the-scale-and-Impact.pdf