📑
Le rapport “Voice of the CISO 2024” de Proofpoint révèle que les trois quarts des RSSI considèrent l'erreur humaine comme le risque principal en matière de cybersécurité. Alors, comment réagir et vous outiller pour faire face à ce vecteur d’attaque que sont les erreurs humaines ? Le point à travers quelques erreurs courantes et ce qu’il faut faire en cas d’incident de sécurité.
L’intelligence artificielle
L’usage de l’intelligence artificielle augmente et les risques pour cybersécurité aussi. Lesquels ?
Premièrement, les campagnes de phishing, de smishing ou de vishing alimentées par l’IA permettent une personnalisation toujours plus poussée, des messages plus crédibles, et des envois toujours plus massifs. Les utilisateurs d’un espace de travail doivent donc redoubler de vigilance.
Ensuite, les utilisateurs d’IA génératives peuvent y divulguer des informations confidentielles pour l’entreprise - soit un risque pour la sécurité des données.
Au-delà des plateformes telles que ChatGPT, Claude ou Gemini, les utilisateurs peuvent aussi être tentés d’installer des logiciels ou des extensions de navigateurs proposant des fonctionnalités d’IA générative, mais qui sont en réalité des infostealers. Ce type de malware peut heureusement être détecté par les solutions de cybersécurité telles qu’un EDR ou un EPP. Quant à l’utilisation de solutions de chat, la sensibilisation sur les risques reste indispensable.
Par ailleurs, les agents IA déployés sur un système d’information peuvent réaliser des actions qui compromettent la sécurité des données - par erreur, du fait d’une mauvaise configuration, ou via une exécution arbitraire de code.
Enfin, pour des entreprises dont les équipes techniques s’appuient sur l’IA pour du développement, il faut avoir en tête que le code généré peut présenter des vulnérabilités. Il doit impérativement être revu avant d’être déployé pour s’assurer du niveau de sécurité requis.
Chargement de fichier malveillant
C’est dans les vieux pots qu’on fait les meilleures soupes : le phishing (et ses dérivés) a toujours le vent en poupe. Comme évoqué plus tôt, et comme le soulignent nos experts, l’IA permet aux attaquants de pousser toujours plus loin la personnalisation des messages de phishing, vishing ou smishing et leur envoi massif, ainsi que le traitement rapide des données récupérées par le biais de leurs actions malveillantes.
Comme les messages sont de plus en plus crédibles, les destinataires ont de plus en plus de chances de tomber dans le piège et d'ouvrir une pièce jointe ou un lien frauduleux qui vont infecter leur poste de travail.
Et c’est sans compter les risques liés à l’usage de périphériques USB contenant des fichiers malveillants.
Pour faire face à ces risques toujours croissants, votre boîte à outils cyber doit inclure :
- Un antivirus pour la détection des fichiers malveillants,
- Une solution de contrôle des périphériques pour protéger les endpoints contre les fichiers malveillants contenus dans des périphériques externes, voire pour interdire totalement leur utilisation,
- Un EDR pour détecter les fichiers, les scripts, les comportements malveillants et les indicateurs de compromission (IOC) sur le système d’information.
Le conseil d’expert
“Des données riches et des fonctionnalités qui visent à faciliter les investigations sont essentielles pour les analystes cyber. Dans ce sens, HarfangLab prévoit un moteur de corrélation pour regrouper en une seule alerte des événements de sécurité liés afin de réduire l’alert-fatigue, ainsi qu’une télémétrie spécifique aux macros Office pour des investigations poussées en cas de compromission. Ce sont des atouts majeurs pour des investigations plus rapides et plus efficaces.”
Benoit Maïzi, Ingénieur CTI - HarfangLab
Les faux CAPTCHA
Des attaquants peuvent créer de pages avec de faux CAPTCHA à des fins malveillantes pour inciter les utilisateurs à exécuter un malware – par exemple, Vidar ou Lumma Stealer -, ou des malwares pouvant servir de point d’accès pour du cybercrime ou du ransomware.
Concrètement, à partir de ces pages, l’utilisateur peut être incité à ouvrir l’exécuteur de commande pour y coller une commande PowerShell qui déclenchera le chargement d’un fichier malveillant, permettant aux attaquants d’exécuter le reste des étapes de leur attaque, jusqu’à l’installation de la charge virale sur l’endpoint - généralement un infostealer.
Pour se prémunir contre ce type d’attaque cyber, au-delà de la sensibilisation, les règles comportementales d’un EDR permettent de détecter l’action de l’utilisateur qui exécute la commande, ainsi que le reste de la chaîne d’exécution.
Le conseil d’expert
“Il existe une configuration de groupe sur un domaine Active Directory/entra qui permet de désactiver le lancement de commandes via Windows + R, et donc de se prémunir contre la plupart des attaques par CAPTCHA.”
Benoit Maïzi, Ingénieur CTI - HarfangLab
Les macros dans les documents Office
Les macros sont censées faire gagner du temps en automatisant certaines tâches répétitives. Mais elles présentent aussi un risque pour la sécurité d’un espace de travail car elles peuvent être utilisées pour exécuter du code malveillant à l’ouverture d’un document. Les attaquants peuvent alors s’en servir pour corrompre ou voler des données, et s’infiltrer sur le système d’information à partir du document corrompu. Les macros malveillantes pouvant être intégrées à des macro légitimes, leur détection peut être difficile.
Comment protéger les endpoints ? Pour une sécurité à la fois proactive et réactive :
- un antivirus pour détecter et bloquer automatiquement les fichiers malveillants connus avant qu’ils ne soient déposés sur un endpoint,
- des capacités de détection statiques pour identifier les fichiers malveillants présents sur le système d’information, soit par signatures, soit par IA,
- des capacités de détection des comportements suspects des macros et de leurs contenus, par exemple par un moteur de détection comportementale.
L’exploitation des vulnérabilités des outils de l’espace de travail
Les attaquants sont en quête perpétuelle de vulnérabilités à exploiter, présentes sur les systèmes d’exploitation ou les applications métiers.
En 2025 par exemple, Sharepoint a été au cœur d’une crise massive qui a consisté à exploiter des vulnérabilités en vue d'exécuter de code à distance et d’usurper des serveurs sur des instances On-Premises.
Les vulnérabilités peuvent être détectées à l’aide d’outils d’Attack Surface Management. Dans le cas où la vulnérabilité n’est pas connue, et dans l’attente de la publication des correctifs si la vulnérabilité est connue, un bouclier cyber performant est indispensable pour détecter les comportements suspects et limiter l’impact de l’exploitation de ces vulnérabilités. Dans le cas de Sharepoint, l’EDR aura permis de détecter et bloquer l'exécution de processus PowerShell, empêchant ainsi l'écriture de la charge utile pour protéger contre l'exploitation de la vulnérabilité.
Comment HarfangLab vous aide concrètement en cas d’incident de sécurité
La plateforme d’HarfangLab présente plusieurs atouts majeurs pour les experts cyber pour prévenir, identifier et résoudre les incidents en limitant l’impact des attaquants sur un poste de travail.
Comme nous l’avons vu, l’outil d’Attack Surface Management permet de détecter non seulement les vulnérabilités mais aussi le Shadow IT ; l’EPP permet de bloquer proactivement les menaces connues avec son antivirus, son pare-feu et son outil de contrôle des ports USB ; et nous allons voir en détails comment l’EDR permet de réagir pour détecter les menaces et y remédier.
Des règles transparentes, accessibles et personnalisables pour une détection fine
HarfangLab intègre des règles YARA et Sigma génériques qui visent à détecter les fichiers et les comportements malveillants, avec la possibilité de les personnaliser en fonction des besoins précis de l’espace de travail : qui doit avoir accès à quoi, quelles connexions réseau sont légitimes ou non, les endpoints ou groupes d’endpoints qui ont l’autorisation ou non de se connecter à Internet ou une IP donnée, de télécharger des fichiers, de contenir tel ou tel logiciel...
En outre, la plateforme est accessible via API et toutes les données sont exportables pour des investigations poussées tout en choisissant l’environnement dans lequel exploiter les données.
Enfin, cet accès ouvert et transparent à 100% de la plateforme et des données (configuration, règles de détection et télémétrie) facilite des investigations efficaces et rapides à la suite d'une alerte, et permet d’identifier les signaux faibles afin de réagir en temps utile en cas d’incident de sécurité. Il favorise également une intégration fine et fluide dans un écosystème cyber existant.
L'IA pour détecter les menaces inconnues et accélérer les investigations et la remédiation
HarfangLab intègre un moteur basé sur l’IA, Ashley, pour détecter les menaces inconnues, notamment les comportements suspects qui peuvent se révéler malveillants – avant même la publication des indicateurs de compromission ou des vulnérabilités.
L’IA reste au centre de la démarche de remédiation avec son assistant LLM Kio. Les analystes peuvent rechercher des informations dans la documentation de la plateforme et demander des analyses détaillées sur les incidents en langage naturel.
Plus d'articles
Compromission système : qualifier et endiguer un incident
Comment réagir en cas de compromission d’un système informatique ? De la qualification à l’endiguement, InterCERT France propose une série…
Qualifier et endiguer la compromission d’un équipement de bordure réseau
Un équipement de bordure réseau est un équipement physique ou virtuel incluant les pares-feux en périmètre d’organisation, les passerelles VPN ou encore…
Déploiement ou changement d'EDR, un travail d'équipe(s)
Qui impliquer dans un projet de déploiement ou de changement d'EDR, avant et pendant la mise en place d'un chantier…
Gestion des alertes en cybersécurité : les faux positifs
Pouvoir réagir au plus vite en cas d’incident de sécurité est crucial, mais encore faut-il disposer des bonnes informations au…