Par où commencer pour faire face à l’augmentation de la cybercriminalité et répondre aux obligations réglementaires de cybersécurité ? Connaître les méthodes des cybercriminels peut vous aider à prioriser les actions à mener. Car la majorité du temps d’une cyberattaque se concentre sur la phase amont de reconnaissance de la cible. Cette première étape peut aussi être votre premier réflexe de défense, pour réduire l’exposition de votre entreprise au risque. Voici les conseils de l’équipe cybersécurité de Naitways (Certifié ISO 27001 et HDS) pour mener cette opération de reconnaissance « cyber ».
Quelles sont les étapes d’une cyberattaque ?
On distingue 5 étapes ou temps dans le déroulement d’une cyberattaque. Nous insistons dans cet article sur la 1ère étape de la reconnaissance de la cible, car elle permet de comprendre la mentalité des cybercriminels. Ils n’hésitent pas à dédier du temps et du budget à évaluer la « rentabilité » potentielle d’une attaque et la « facilité » d’accès à la cible.
Précisons que les PME-PMI sont hélas des cibles de choix pour les cybercriminels. Parce qu’ils savent que les ressources techniques et financières des plus petites entreprises sont contraintes. Les petites entreprises représentent ainsi 34% des victimes d’attaques par rançongiciel (ANSSI – Panorama de la cybermenace 2023).
Les étapes suivantes sont :
2. Le scanning (l’entrée en contact avec la cible, via le scan des ports réseaux);
3. L’accès aux ressources (via les failles logicielles connues et inconnues);
4. Le maintien de l’accès (sur plusieurs semaines, voire mois), et le rebond vers des clients ou fournisseurs de l’entreprise ;
5. La couverture des traces numériques, pour empêcher toute enquête.
Pour explorer ces concepts, téléchargez gratuitement le Manuel de reconnaissance pour dirigeant de PME. Réalisé par l’équipe Cybersécurité de Naitways, ce guide présente 5 scénarios de véritables attaques. Vous y trouverez également des conseils pour protéger vos données.
Comment réaliser un audit de « reconnaissance » en cybersécurité ?
Les cybercriminels sont donc prêts à enquêter pendant plusieurs semaines pour jauger si une entreprise serait une bonne cible, rentable et facile à attaquer. Vous pouvez détourner cette approche à votre avantage. En effet, un audit de sécurité vous permet de mener votre propre auto-évaluation. Vous mesurez ainsi votre surface d’attaque et pouvez corriger des failles dans votre système d’information, avant que les pirates ne les exploitent.
La première ressource de reconnaissance à la disposition d’un attaquant est l’OSINT (l’Open-source intelligence) ou collecte de « renseignement de sources ouvertes ». Vous pouvez, vous aussi, mener une veille proactive sur Internet et les réseaux sociaux. L’idée est ainsi d’identifier si des documents confidentiels ou des détails sur votre organisation interne circulent en ligne. Nous conseillons également d’y sensibiliser vos collaborateurs. Par exemple, des annonces d’emplois peuvent donner beaucoup trop d’informations sur les technologies et logiciels employés dans votre entreprise.
De plus, les cybercriminels peuvent utiliser des fuites de données personnelles et des renseignements fournis par d’anciens salariés, mécontents ou imprudents. Vous voulez donc connaître votre inventaire logiciel et matériel pour anticiper par quelle porte ou fenêtre une attaque pourrait survenir.
En effet, le shadow IT peut sembler anodin. Un marketeur qui utilise tout seul un logiciel SaaS d’e-mailing ou un membre du CODIR avec une montre connectée sur le réseau wifi de l’entreprise n’ont pas conscience des dangers. Mais si le département informatique ne sait pas que vos équipes utilisent un logiciel ou un objet connecté, il ne peut pas évaluer sa sécurité ni patcher ses failles.
Pourquoi et comment faire réaliser un test de pénétration ?
L’audit de sécurité vous permet d’identifier les forces et faiblesses de votre système d’information. Une approche complémentaire est de simuler une véritable cyberattaque avec un « pentest » (test de pénétration ou intrusion dans votre SI). L’entreprise peut ainsi éviter des zones d’ombres dans sa stratégie de sécurité en bénéficiant d’une expertise extérieure et terrain.
Les tests sont ainsi recommandés pour vérifier la conformité aux obligations réglementaires comme le RGPD. Audits et Pentests permettent aussi d’anticiper un renforcement des obligations de cybersécurité. En effet, la directive Européenne NIS2 (Network and Information Security) va concerner les PME françaises sous-traitantes. Elle entrera en vigueur en octobre 2024, mais les détails de la mise en application ne sont pas encore communiqués.
Ces tests d’intrusion font appel à des méthodes d’ingénierie sociale, comme le phishing, et des approches techniques comme le scan de ports ou l’injection de code SQL dans des bases de données. La variété des méthodes employées permet bien souvent à l’entreprise de découvrir des vulnérabilités qu’elle n’avait pas envisagées.
Attention, une démarche de « pentest » ne peut être menée que par des spécialistes en cybersécurité. Il est donc rare de pouvoir la mener soi-même en interne, surtout dans un contexte de PME-PMI. Les « pentests » sont le plus souvent externalisés à des cabinets de conseils en cybersécurité, comme Naitways, ou bien des experts indépendants.
Il est également possible de faire appel à des communautés de « White hats » ou « hackers éthiques » pour mener des pentests « crowdsourcés ». Leurs compétences et méthodologies doivent être reconnues, par exemple avec les certifications CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), ou encore CompTIA Pentest+.
Faites confiance à Naitways pour votre cybersécurité
Faire appel aux experts cybersécurité Naitways permet de bénéficier de compétences pointues et variées, rares sur le marché. Nos équipes sont formées et certifiées (ISO 27001 et HDS).
De plus, Naitways est expert dans l’accompagnement des PME, car nous connaissons leurs besoins et contraintes. Nous sommes également membres de l’initiative gouvernementale France Num. Mise en œuvre par la Direction générale des entreprises (DGE) pour accompagner les TPE et PME dans leur transformation numérique, cette démarche inclut le volet cybersécurité.
Enfin, notre présence quotidienne sur le terrain, aux côtés de centaines de PME et ETI françaises, vous permet de bénéficier d’une veille permanente sur l’évolution des cybermenaces.
Besoins de mesurer votre exposition au risque cyber ?
Téléchargez le Manuel de reconnaissance pour dirigeant de PME
