Le phénomène « post-SUNBURST » : les bonnes pratiques cybersécurité pour prévenir et se relever d’une attaque particulièrement sophistiquée

Par :
Tony Lee

lun, 01/02/2021 - 16:06

Alors que vient le moment de faire le point sur 2020, l’attaque de grande envergure contre la chaîne d’approvisionnement de SolarWinds vient s’ajouter à la longue liste des leçons à retenir de cette année particulièrement étrange. Avec plus de 18 000 organisations touchées, cette attaque d’ampleur demande toujours d’importants efforts de détection et de nettoyage aux organisations, et tout indique qu’ils devront être poursuivis en 2021. Tout en effectuant une veille continue et une surveillance constante, beaucoup d’entités poursuivent les investigations pour déterminer leur degré d’exposition.

Furtive et sophistiquée, cette attaque a été particulièrement complexe à détecter ce qui a grandement favorisé sa dissémination. L’incertitude autour de la date de la première infection n’ayant pas été levée, les entreprises et autres entités sont contraintes de passer au crible l’ensemble de leurs fichiers – y compris leurs archives, pour y déceler d’éventuelles traces de compromissions. C’est en effet un bon point de départ mais pour une meilleure efficacité, il est essentiel de coupler cela à des mesures proactives que nous listons ci-dessous. Nul doute que les conséquences de SUNBURST seront encore visibles sur les prochains mois et que ses effets mettront du temps à s’estomper. D’autres victimes, parfois indirectement touchées, pourraient se faire connaitre dans les prochaines semaines, faisant ainsi remonter régulièrement cette attaque à la surface.

Apprendre, et agir en conséquence

Compte tenu de l’envergure de l’attaque, les annonces régulières de nouvelles compromissions n’ont rien de surprenant. D’autres acteurs viendront en effet s’ajouter à la liste déjà conséquente de victimes. Beaucoup d’entre elles seront frustrées d’avoir été la cible – ou parfois, malgré elle la cause - d’attaque de ce type. La seule chose à espérer est que l’énergie tournée vers la cybersécurité sera orientée davantage vers la recherche de solutions sur le long terme plutôt que sur la simple détection de la menace. En effet, même si des mesures sont prises (notamment au niveau législatif), les acteurs malveillants ne se laisseront pas décourager si facilement. Après tout, ces entreprises attaquées sont des mines d’or : elles ont de l’argent et sont des sources inépuisables de renseignements.

Outre la mise en place d’une législation appropriée, il est nécessaire pour les organisations d’investir dans des couches de sécurité supplémentaires efficaces pour atténuer les risques relatifs à la cybersécurité. Cependant, même s’il s’agit d’une bonne initiative, la qualité des solutions mises en place dépend de l’implication et de l’engagement de ceux qui les utilisent, tiennent compte de leurs alertes et prennent les mesures qui s’imposent. A dire vrai, ces solutions, bien qu’utiles, ne sont pas miraculeuses et ne font pas, à elles seules, le poids contres des attaques sophistiquées et furtives touchant directement la chaine d’approvisionnement comme ce fut le cas de SUNBURST.

Les efforts des entreprises et des organisations devraient désormais être davantage tournés vers la prévention et la détection continues des menaces. La surveillance de la cybersécurité doit aller au-delà des horaires de bureau, et elle doit être assurée 24 heures sur 24, 7 jours sur 7, 365 jours par an. Les acteurs malveillants sont répartis dans le monde entier et ne prennent pas de vacances, et il devrait en être de même pour les systèmes de défense des organisation. En outre, elles devraient mettre en place un système de « threat intelligence » applicable à l’ensemble des données et chercher à détecter pro activement toute menace ayant pu infiltrer leurs environnements. Si une entreprise n’a pas les ressources internes pour mener seule ces actions, elle doit alors chercher renfort auprès de prestataires spécialisés.

Enfin, une sécurisation des endpoints, adaptative et basée sur l’IA est essentielle. L’authentification continue et un environnement basé sur le Zero Trust font d’ailleurs partie des meilleurs outils pour assurer une cybersécurité optimale des dispositifs. Si un acteur malveillant infiltre votre réseau, il est indispensable de s’assurer de sa détection et de sa mise en quarantaine dans le plus court délai possible pour éviter qu’il ne se répande.

L'amélioration continue de la sécurité et une vigilance constante sont clés pour les entreprises, non seulement pour détecter les effets persistants du malware SUNBURST, mais aussi pour prévenir toute potentielle prochaine attaque.

A propos de l'auteur

Tony Lee
Vice President, Global Services Technical Operations chez BlackBerry