Il s’agit d’un problème très répandu : Google Cloud indique qu’une protection faible ou inexistante des identifiants est à l’origine de 47 % des intrusions dans le cloud, tandis qu’IBM X-Force attribue près d’un tiers des cyberattaques mondiales à la compromission de comptes.
Alors, qu’est-ce que cela signifie pour les systèmes de défense de votre entreprise ? Voici ce que vous devez savoir pour protéger vos systèmes contre les attaques basées sur les informations d’identification, pour savoir comment réagir si une attaque se produit malgré vos mesures de protection et pour comprendre pourquoi l’analyse de votre Active Directory à la recherche de mots de passe compromis doit faire partie de votre stratégie de sécurité.
Pourquoi les hackers préfèrent-ils les attaques basées sur les informations d’identification ?
Les cybercriminels préfèrent les attaques basées sur les informations d’identification pour plusieurs raisons :
- Elles sont faciles à mettre en œuvre : les attaques basées sur les informations d’identification sont relativement simples à réaliser par rapport aux attaques plus complexes de type « zero-day ».
- Elles sont très efficaces : lorsque les utilisateurs utilisent le même mot de passe pour plusieurs comptes, il est plus facile pour les attaquants d’obtenir un accès généralisé. C’est comme avoir une seule clé pour ouvrir plusieurs portes.
- Le risque de détection est faible : parce qu’ils utilisent des identifiants valides pour leurs attaques, les hackers peuvent se fondre dans le trafic normal, ce qui leur permet d’éviter de déclencher des alertes de sécurité.
- Elles sont bon marché : les attaques basées sur les informations d’identification nécessitent peu de ressources, mais peuvent rapporter gros. Les hackers peuvent facilement (et à moindre coût) acheter un ensemble d’identifiants volés sur le dark web, puis utiliser des outils automatisés gratuits pour tester les identifiants sur plusieurs systèmes.
- Elles sont polyvalentes : les attaques basées sur les informations d’identification peuvent être utilisées partout où des identifiants sont nécessaires, ce qui signifie que les hackers disposent de nombreux points d’entrée potentiels, des applications Web aux services en cloud.
Pourquoi les entreprises deviennent-elles des cibles ?
Votre entreprise Votre entreprise est-elle une cible privilégiée pour les hackers exploitant des informations d’identification ? Si vous présentez l’une de ces failles de sécurité, vos systèmes sont peut-être plus vulnérables que vous ne le pensez. Voici ce qui fait des entreprises des cibles de choix :
- Des politiques de mots de passe faibles ouvrent la voie aux hackers qui peuvent facilement deviner ou craquer des informations d’identification grâce à des outils automatisés et à des listes de mots de passe courants
- L’absence d’authentification multifactorielle expose même les mots de passe les plus robustes au vol
- Une formation inadéquate à la sécurité rend les employés plus vulnérables aux e-mails d’hameçonnage, aux tactiques d’ingénierie sociale et à d’autres types d’attaques
- Une mauvaise segmentation du réseau donne aux hackers un accès libre une fois un point d’extrémité franchi
- Une surveillance insuffisante permet aux attaquants de passer inaperçus pendant des jours, des semaines, voire des mois à l’intérieur de vos systèmes critiques
- La réutilisation des mots de passe par les employés amplifie l’impact de toute violation, car un seul identifiant volé peut donner accès à plusieurs systèmes dans des environnements personnels et d’entreprise.
Voici un scénario de réponse si les informations d’identification sont compromises
Si votre entreprise a été la cible d’une attaque basée sur les informations d’identification, vous savez à quel point les conséquences peuvent être dévastatrices. Cependant, si vous faites partie des quelques chanceux qui ont jusqu’à présent échappé aux attaques des hackers, voici ce qui se passe réellement :
Il est 2 h 37 lorsque votre téléphone sonne. Votre équipe de sécurité a détecté des schémas de connexion anormaux provenant d’adresses IP situées en Europe de l’Est, et ce, alors que votre entreprise est fermée. Le temps que vous vous connectiez à distance, le hacker a déjà accédé à de nombreux fichiers clients sensibles et s’est déplacé latéralement dans votre réseau, compromettant d’autres systèmes. Un sentiment d’impuissance vous envahit : votre entreprise est attaquée en temps réel via des informations d’identification compromises. Que faites-vous maintenant ?
Mesures correctives immédiates
Lorsque des informations d’identification tombent entre de mauvaises mains et que des hackers pénètrent dans vos systèmes, chaque minute compte. Cependant, si vous disposez d’un plan d’intervention bien préparé, vous pourrez minimiser les dommages et le temps de réparation. Voici les étapes typiques que suivent les entreprises lorsqu’elles répondent à une attaque :
- Détection initiale et lancement d’une alerte. Le compte à rebours commence dès que vos outils de surveillance détectent l’anomalie et alertent votre équipe de sécurité. Vous devez agir rapidement pour limiter les dégâts.
- Évaluation et triage. Vérifiez qu’il s’agit d’une vraie alerte. Identifiez ensuite les systèmes et les comptes touchés, en évaluant l’impact potentiel sur votre entreprise.
- Isolement et confinement. Coupez les points d’accès des hackers en déconnectant les appareils compromis du réseau. Révoquez l’accès aux comptes compromis et segmentez le réseau pour contenir la menace.
- Enquête minutieuse. Retracez les activités du hacker en analysant les journaux et les données d’investigation numérique. Identifiez la manière dont les hackers ont compromis les informations d’identification et évaluez ce qu’ils ont pu faire pendant qu’ils avaient accès au réseau.
- Communication et notification. Rappelez-vous que la transparence suscite la confiance, tandis que le secret nourrit la suspicion. Dans cet esprit, donnez à toutes les personnes concernées des informations claires et factuelles, y compris à la direction, aux équipes juridiques et aux utilisateurs impactés.
- Éradication et restauration. Commencez à reconstruire vos systèmes de sécurité, en les renforçant. Réinitialisez les mots de passe de tous les comptes compromis, corrigez les vulnérabilités exploitées, restaurez les systèmes à partir de sauvegardes propres et instaurez l’authentification multifactorielle.
- Bilan post-incident. La meilleure défense contre une future attaque est de tirer les leçons d’une violation actuelle. Après une violation, analysez votre processus de gestion des incidents, mettez à jour votre plan d’intervention et adoptez des mesures de sécurité supplémentaires en fonction des leçons tirées de la situation.
Analyser votre Active Directory pour prévenir les futures attaques
S’il est important de répondre rapidement aux attaques basées sur les informations d’identification, il est encore plus important (et rentable) de les prévenir. En mettant en œuvre l’authentification multifactorielle, en appliquant des politiques de mots de passe stricts, en formant régulièrement votre personnel, en auditant votre Active Directory fréquemment et en segmentant correctement votre réseau, vous réduirez la vulnérabilité de votre entreprise. Toutefois, ces mesures ne sont pas suffisantes si des informations d’identification ont été compromises lors de violations antérieures. C’est pourquoi il est important d’inclure dans votre stratégie de prévention l’analyse de votre Active Directory à la recherche de mots de passe compromis.
Specops Password Policy scanne en continu votre Active Directory et le confronte à une base de données recensant plus de 4 milliards de mots de passe uniques compromis. Lorsqu’elle identifie des employés dont les mots de passe ont été compromis, la plateforme les invite immédiatement à créer de nouveaux identifiants sécurisés, éliminant ainsi une vulnérabilité majeure avant que les attaquants ne puissent l’exploiter.
© Shutterstock
En combinant les mesures de sécurité traditionnelles avec une surveillance active des informations d’identification, votre entreprise peut se protéger contre les attaques basées sur les informations d’identification. N’attendez pas qu’une violation se produise pour sécuriser vos systèmes. Identifiez et corrigez les vulnérabilités liées aux mots de passe avant que les attaquants ne les exploitent. Tester Specops Password Policy gratuitement.