Infrastructures sensibles et cybersécurité : la sécurité des données en question

Les organisations essentielles, du secteur public, ainsi que les entreprises opérant dans des secteurs sensibles peuvent être visées par des cybercriminels comme par des organisations soutenues par des Etats. Elles sont ciblées par cyberattaques de nature variée (rançongiciel, tentatives d’intrusion pour espionnage ou sabotage).

Les cyberattaquants peuvent viser directement ces entreprises, mais aussi leurs fournisseurs et sous-traitants, ou encore leurs chaînes d'approvisionnement logicielles (software supply-chain).
Par exemple, la campagne de phishing menée par le groupe Lazarus dans le secteur de la défense en est un exemple ; et par ailleurs, une audition du ministère des Armées français par le Sénat de 2023 a révélé que 80% des entreprises stratégiques françaises visées par des attaques le sont par le biais de sous-traitants.

Dans ce contexte, compter sur des fournisseurs de confiance est donc crucial pour les organisations sensibles, particulièrement pour ce qui concerne le stockage et le traitement des données.

Voyons les enjeux cyber liés aux équipements numériques de ces entreprises et les solutions pour répondre aux impératifs de sécurité des données.

Les tiers ne sont pas dignes de confiance simplement parce que ce sont des entreprises connues

L’audition de Microsoft

L’actualité récente montre que même les solutions fournies par des acteurs majeurs ne font pas disparaître les risques pour la sécurité des données. En effet, en dépit de leur taille, des enjeux business et de sécurité, ces structures n’appliquent pas toujours les bonnes pratiques qu’on pourrait en attendre.

Ainsi, le rapport du Conseil d'examen de la sécurité de la cybersécurité (CSRB) et l'audition du président de Microsoft par le Congrès ont mis en évidence les erreurs substantielles et les mauvaises pratiques de sécurité de Microsoft, victime d’attaques entre 2023 et 2024. Ce rapport mentionne que la cyberattaque menée contre Microsoft en 2023, et qui a fini par toucher des organisations du monde entier, était “évitable” et que “la culture de sécurité de Microsoft était inadéquate et nécessit[ait] une refonte”.

C'est la première fois qu'un incident majeur de cybersécurité est décrit publiquement avec un tel niveau de transparence et directement par l'administration américaine.

Par la suite, Microsoft a dû faire face à une nouvelle attaque potentiellement sponsorisée par un Etat fin 2023, qu'elle a révélée en janvier 2024. Pourtant, la manière dont la firme de Redmond a géré et communiqué sur ce nouvel incident ne laisse pas transparaitre la mise en œuvre de meilleures pratiques, alors même que la protection contre les incidents de cybersécurité qui affectent les clients devrait toujours être une priorité, surtout vu la dépendance des clients à ces fournisseurs.

En conclusion, les organisations de secteurs sensibles ne peuvent pas faire une confiance aveugle à des fournisseurs sous prétexte que ce sont de grandes entreprises qui ont conquis le marché avec leurs produits.

L’affaire Snowflake

Snowflake (Inc.) propose aux entreprises des services de stockage, de traitement et d'analyse de données en tant que fournisseur de “Data-as-a-Service". La firme américaine compte près de 10 000 clients.

En juin 2024, les médias ont rapporté que des centaines de clients de Snowflake avaient été touchés par des cyberattaques ayant entraîné la perte de données privées - parmi les victimes : TicketMaster, AT&T ou encore la banque Santander.
En réalité, il ne s’agit ni d’une attaque, ni d’un piratage. Le réseau et les actifs de Snowflake n’ont pas été directement compromis.

Voici ce qui s’est passé : un attaquant a obtenu sur le marché noir des identifiants valides d’accès aux instance cloud Snowflake, préalablement volés à l’aide d’infostealers tels que Racoon, Redline ou Vidar, sur les ordinateurs personnels d'entrepreneurs, de clients ou d'employés.

Par la suite, ces identifiants ont été utilisés pour accéder aux instances gérées par les clients et hébergées par Snowflake.

Cet indicent aurait pu être évité si des bonnes pratiques de sécurité pourtant essentielles avaient été appliquées : activation de l'authentification à double facteur (MFA), changement des mots de passe, whitelists pour accepter uniquement les connexions de confiance...
Il faut garder à l’esprit que l'effort de sécurité doit toujours être proportionnel à la valeur de l'actif protégé. En l’occurrence, les plateformes de données sont souvent alimentées par toutes les données d'une organisation. L’enjeu est donc capital !

Le cas “Uber breach”

L'attaque d'Uber illustre l'impact des failles de sécurité liées à des services tiers.

En 2022, la firme a été victime d’une attaque par ingénierie sociale qui a permis l’accès au système de gestion des accès privilégiés (PAM).
La suite est malheureusement facile à imaginer : les attaquants ont alors accédé à de nombreux services critiques pour Uber tels qu’AWS, VMware, Google Drive, Slack... et même la console de leur solution de sécurité SentinelOne.

"Les failles de sécurité de vos tiers = vos failles de sécurité"

Même en confiant une partie de la charge de travail et des considérations de sécurité à des fournisseurs tiers, il faut impérativement rester vigilant sur les bonnes pratiques de sécurité, les failles et la configuration de tous les actifs qui composent le parc informatique.
D’ailleurs, dans l’une des éditions de sa newsletter “Venture in Cybersecurity”, Ross Haleliuk estime qu’il n’existe que deux sources de problèmes en sécurité : les bugs et les défauts de configuration !
En outre, il faut noter que les failles de type 0-day restent un vecteur largement exploité, comme le souligne un rapport de Sophos qui a documenté plus de 5 années de bataille contre des acteurs de la menace chinois ciblant des dispositifs réseau dans le monde entier.

En somme, à travers les cas évoqués plus tôt, nous avons pu voir que les fournisseurs ne font pas forcément les efforts de sécurité requis, et c’est également une réalité pour les fournisseurs de services Cloud en général qui n'apportent pas le niveau de sécurité espéré et qui peuvent offrir un faux sentiment de sécurité.

Il revient donc aux organisations de mettre en place les mesures nécessaires pour assurer un niveau de sécurité optimal.

Afin d’aider les organisations à prendre les mesures de sécurité nécessaires, l’ANSSI et la CISA remontent les vulnérabilités connues et les solutions pour y remédier, les menaces, alertes et incidents visant tous types de secteurs, dont les secteurs critiques.

Ces incidents qui ont visé des entreprises américaines ont évidemment eu un impact en dehors des frontières, et si les réglementations nationales et européennes peuvent fixer un cadre en matière de cybersécurité, elles n'ont que peu d'effet sur les géants du numérique en dehors du territoire qu’elles visent.

Voyons à présent d’autres vecteurs de risque pour la sécurité des données : les législations non-européennes à portée extraterritoriales.

Les législations non-européennes : un danger évident pour les données des entreprises

Nous avons mentionné les risques liés à l’espionnage industriel et au vol de données et dans le cadre de menaces avancées ou APT, mais il faut savoir que les Etats n’ont pas forcément besoin de mener des attaques pour capter les données convoitées : ils peuvent directement les collecter par le biais de techniques de renseignement.

Les conflits géopolitiques peuvent faire de certaines entreprises, en particulier celles des secteurs sensibles, une cible privilégiée pour l'espionnage d'État - cf. l'incident WikiLeaks de 2012.

Les USA ont alors donné ordre à leur agence de renseignement techniques – la NSA - de “collecter des informations sur toutes les ventes françaises et le financement de projets importants liés aux télécommunications, à la production d'électricité, au gaz, au pétrole, à l'énergie nucléaire et renouvelable, ainsi qu'aux technologies de l'environnement et de la santé”, et prévoyaient aussi “l'interception et le signalement de toutes les négociations et de tous les contrats d'entreprises françaises d'une valeur supérieure à 200M$”.
Les résultats de l'espionnage devaient ensuite être communiqués à diverses agences commerciales, politiques et de renseignement américaines.

Aussi, à travers les dispositifs juridiques tels que le Foreign Intelligence Surveillance Act (FISA) ou encore le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), l’Etat américain peut récupérer des données par l’intermédiaire des grands acteurs du numérique, et la NSA peut réquisitionner les logiciels utilisés par des acteurs impliqués sur un marché qui les intéresse.

De l’autre côté du globe, la Chine dispose de législations similaires, notamment avec la Loi sur le renseignement de 2017 qui oblige toute entreprise, organisation ou individu lié à la Chine à collaborer avec ses services de renseignement.

De ce fait, en dehors de son propre territoire, une organisation peut voir ses données exposées à des compétiteurs étrangers.

Dans cette perspective, les solutions numériques qui collectent des données critiques, doivent pouvoir être déployées en environnement privé sans qu’aucune donnée ne soit partagée à l’extérieur.

Et s’il n’est pas toujours possible de protéger légalement, il est possible de le faire sur le plan technique à l’aide de solutions On-Premises !

Le On-Premises pour garantir la maîtrise totale et la protection des données

Si l’EDR et l’EPP représentent une première barrière face aux menaces que représentent le cybercrime comme les attaques avancées, l’EDR est aussi un outil essentiel pour mener des investigations. Néanmoins, dans les secteurs sensibles, les solutions SaaS ne sont pas toujours envisageables malgré les garanties proposées en matière de sécurisation des données (y compris la qualification SecNumCloud en France, par exemple).

Le On-Premises s’impose pour assurer une maîtrise totale des données face au risque d’espionnage industriel et stratégique.

Dans cette perspective, HarfangLab propose une solution On-Premises avec des fonctionnalités à iso-périmètre avec sa solution SaaS pour répondre aux besoins des organisations qui doivent à la fois :

bénéficier d’une solution EDR et EPP parmi les plus performantes du marché en matière de détection et de blocage, comme en attestent les évaluations MITRE ;
se conformer aux exigences techniques et légales liées à leur secteur d’activité, notamment en ce qui concerne la maîtrise et la sécurisation des données,
permettre aux analystes SOC de travailler dans des conditions optimales quel que soit l’environnement, même en Cloud privé.

HarfangLab On-Premises garantit ainsi le contrôle total des données via une installation complète et la conservation des données de télémétrie directement sur les serveurs du client. Les mises à jour peuvent être effectuées à distance ou par intervention sur site.

Les avantages d’HarfangLab On-Premises en 3 points clés

HarfangLab protège plusieurs centaines de milliers d’endpoints en environnements fermés et peut être déployé pour des systèmes d’information complexes.

HarfangLab peut fonctionner en mode totalement déconnecté pour assurer la protection d’environnements air-gapped, sans aucun traitement des données dans le Cloud.
Les agents sont embarqués sur les endpoints en incluant 100% des moteurs de détection pour une protection complète.
Les utilisateurs ont une maîtrise totale des données générées par l’EDR et ils en restent propriétaires.

Ils témoignent

“Les EDR sont des outils critiques : ils permettent de prendre, d’une certaine manière, la main sur les postes de travail et serveurs.
Par exemple, il est possible d’isoler un poste de travail, de mettre en place une blacklist sur un élément critique d’un serveur (par exemple svchost.exe) et entraîner ainsi un blocage de l’ensemble du système d’information, de faire un dump de la mémoire de certains processus, comme lsass.exe, etc.
Il peut alors se transformer en formidable plateforme d’attaque.
Il est donc essentiel pour une activité critique de placer l’infrastructure de l’EDR On-Premises, de la maîtriser et de la sécuriser, ce que nous permet HarfangLab.”
SOC Manager – Industrie de la défense