Le monde de la cybersécurité a connu de nombreux bouleversements au cours des dernières années. Comme l’indique la dernière édition du Data Breach Investigations Report (DBIR), nous ne pouvons plus être surpris par les événements qui surviennent dans le monde obscur de la cybercriminalité. Heureusement, il est possible de contrer la plupart des cybermenaces les plus courantes grâce à une solution de gestion des identités et des accès (IAM) efficace.
Attaques contre les infrastructures essentielles, violations massives de la chaîne d’approvisionnement, attaques de hackers aux motivations financières, attaques d’États-nations contre d’autres nations… Au total, le DBIR a étudié près de 24 000 incidents de sécurité survenus en 2022, dont plus de 5 200 étaient des violations de données confirmées. En analysant ces incidents, les chercheurs ont identifié sept types d’attaques parmi lesquelles ces violations de données peuvent être classées, ainsi qu’une catégorie « Autres ».
Attaques de base contre les applications Web
Attaques contre une application Web visant à en dérober les données. Le principe est le suivant : « Accéder à l’application, récupérer les données et disparaître rapidement ». Pour s’introduire, les cybercriminels utilisent des identifiants volés, exploitent des failles ou effectuent des attaques par force brute sur les mots de passe.
Attaques par déni de service
Attaques visant à rendre inaccessibles les réseaux et les systèmes. Elles surviennent aussi bien au niveau du réseau que de la couche applicative et restent l’un des types d’incidents les plus courants en matière de cybersécurité.
Ressources perdues et volées
Incidents au cours desquels une ressource à caractère informatif disparaît, que ce soit à la suite d’une erreur ou d’un acte de malveillance. Si la racine du problème est principalement imputable aux collaborateurs ayant égaré leurs ressources, des acteurs externes les utilisent à mauvais escient en revendant les ressources perdues ou volées.
Erreurs diverses
Incidents au cours desquels des actions non intentionnelles ont compromis de manière directe un attribut de sécurité lié à des informations. Cette catégorie concerne le plus souvent des collaborateurs ou des partenaires ayant accès à vos systèmes. « Les individus ne sont pas infaillibles, et peuvent être à l’origine de violations de données ».
Usage abusif de privilèges
Incidents principalement dus à l’utilisation non approuvée ou malveillante de privilèges légitimes. Dans ce cas de figure, les individus utilisent l’accès légitime qui leur a été accordé en tant que collaborateurs pour voler des données. Ils peuvent agir seuls ou à plusieurs.
Ingénierie sociale
Ce terme désigne une compromission psychologique d’une personne qui modifie son comportement et l’amène à effectuer certaines actions ou à violer des règles de confidentialité. Selon le rapport, le facteur humain reste un élément clé dans 82 % des violations.
Intrusion dans le système
Il s’agit d’attaques complexes qui s’appuient sur des logiciels malveillants et/ou le piratage pour atteindre leurs objectifs, y compris le déploiement de ransomwares. Les ransomwares font partie des attaques dont la croissance est la plus rapide, avec une augmentation de 13 % en 2022.
L’IAM à la rescousse
Nous pourrions être surpris de constater que les pratiques décrites ci-dessus se produisent encore, alors qu’il existe tant de solutions, ne serait-ce qu’en utilisant la gestion des identités et des accès (IAM). L’IAM offre une protection adaptée à plusieurs cas d’utilisation. En se penchant sur la cause de ces problèmes, on constate que la plupart d’entre eux peuvent être évités en aidant les utilisateurs à sécuriser leur accès d’une manière plus pratique. Les risques les plus courants concernent la gestion des mots de passe utilisateur, les droits d’accès aux différentes ressources et le partage des identifiants.
L’implémentation d’une plateforme de gestion des identités et des accès Zero-trust vous aide à vous protéger contre ces types d’attaques.
Gestion des mots de passe
Les hackers cherchent la rentabilité. Pour accéder à un système externe le plus simplement possible, plusieurs moyens s’offrent à eux :
- Deviner : cela peut paraître étrange, mais même après 25 ans de sensibilisation des utilisateurs concernant les mauvaises habitudes en matière de mots de passe, le mot de passe le plus utilisé reste « 123456 ». Il existe des listes des mots de passe les plus utilisés et, après quelques recherches sur les réseaux sociaux, les hackers peuvent facilement augmenter leur taux de réussite. Mais le pire est sans doute d’autoriser une solution de type « mot de passe oublié ». Elle consiste à répondre à quelques questions, comme le nom de jeune fille de votre mère, le nom de votre premier animal de compagnie, etc.
- Achat : Troy Hunt, propriétaire de https://haveibeenpwned.com/, vérifie plusieurs listes pouvant être achetées par n’importe qui sur le dark web et contenant des informations sur des comptes, notamment des combinaisons de noms d’utilisateur et de mots de passe. Ce sont ainsi près de 12 milliards de comptes compromis qui sont disponibles sur le site, et il ne s’agit là que de la partie émergée de l’iceberg. Comme la plupart des utilisateurs utilisent le même mot de passe sur plusieurs sites, il est très probable qu’une combinaison nom d’utilisateur-mot de passe utilisée dans votre entreprise soit accessible au public. Même si vous demandez à vos utilisateurs de changer leur mot de passe tous les mois, il y a de fortes chances que les pirates découvrent quels sont les utilisateurs qui ne changent que partiellement leur mot de passe.
- Calcul par force brute : dans une attaque par force brute, un ordinateur essaie toutes les combinaisons possibles de caractères, de manière aléatoire, afin de trouver le mot de passe d’un utilisateur. Dans la mesure où l’ordinateur doit calculer toutes les combinaisons possibles, peu importe que vous utilisiez une lettre, un chiffre ou un caractère spécial dans votre mot de passe. Pour compliquer la tâche de ces algorithmes, il est essentiel d’utiliser des mots de passe longs, voire des phrases entières. Mais cette technique pose deux problèmes : les ordinateurs sont de plus en plus rapides et, avec l’arrivée prochaine des ordinateurs quantiques, les siècles autrefois nécessaires au piratage de longs mots de passe ne prendront plus que quelques minutes. Par ailleurs, les mots de passe longs et complexes ne sont pas faciles à saisir, si bien que les utilisateurs perdent un temps précieux pour accéder à leurs systèmes. Ils peuvent même réussir à se bloquer eux-mêmes en saisissant la mauvaise combinaison.
- Ingénierie sociale : cette méthode d’attaque est celle qui demande le plus d’efforts aux hackers, car ils doivent entrer en contact avec leur victime et la convaincre de communiquer ses identifiants ou d’installer une application sur son PC. Pour limiter les coûts, ils utilisent des méthodes comme le phishing pour rediriger les utilisateurs vers de faux sites Web et les inciter à « donner » leur nom d’utilisateur et leur mot de passe. Cette méthode présente l’avantage de pouvoir être utilisée avec des solutions de base OTP, qui vous permettent de saisir votre mot de passe à usage unique sur le faux site Web.
Si la cible est plus intéressante (il peut s’agir d’une cible financière, mais toute personne pouvant donner accès aux systèmes informatiques d’une entreprise est une cible intéressante), les hackers investiront plus d’argent et utiliseront des méthodes comme le smishing (avec la dernière fuite WhatsApp, 500 millions de numéros de téléphone supplémentaires sont désormais à la portée des hackers). Ils iront jusqu’à prendre leur téléphone en se faisant passer pour l’administrateur informatique de votre entreprise, de votre opérateur de télécommunications, de votre banque… Ils vous incitent ensuite à vous connecter à un (faux) site Web, et récupèrent ainsi vos identifiants.
Le moyen le plus efficace de contrer ces types d’attaques consiste à mettre en œuvre une authentification forte des utilisateurs intégrée, asymétrique et hors bande. Intéressons-nous à la signification des termes « intégrée », « asymétrique » et « hors bande ».
« Intégrée » signifie que vous intégrez la méthode d’authentification forte dans l’application Web ou l’application mobile elle-même. Cela permet d’associer le mécanisme d’authentification au périphérique utilisé par l’utilisateur lors de son inscription. Si une demande d’authentification provient d’un autre périphérique ou d’une autre application, elle peut être signalée comme suspecte et nécessiter des demandes d’authentification supplémentaires.
Avec une méthode symétrique telle que OATH, utilisée par les générateurs OTP de base, il est possible de voler le secret utilisé pour générer l’OTP. Les hackers peuvent ainsi générer des OTP sur un autre périphérique à l’insu de l’utilisateur. L’asymétrie présente un avantage : il existe une combinaison unique entre le client et le serveur d’authentification. Cela signifie qu’un hacker doit également avoir accès au périphérique.
Avec l’authentification hors bande, il existe un fossé entre le périphérique qui génère et valide l’authentification, et l’application elle-même. Cela peut être réalisé par une notification push ou en scannant un code QR crypté.
Cette démarche peut sembler compliquée, mais elle présente deux avantages :
- Expérience utilisateur : lors de l’enregistrement du compte, les utilisateurs sont automatiquement inscrits dans un mécanisme d’authentification forte en enregistrant leur navigateur ou leur application mobile. Ils n’ont plus besoin de créer un mot de passe, il leur suffit d’ajouter un code PIN et d’activer la biométrie. Lors de leur prochaine connexion, ils n’auront plus qu’à saisir leur code PIN ou à utiliser leurs données biométriques pour accéder à l’application. L’intégration sera plus rapide et les utilisateurs seront moins frustrés lorsqu’ils accèderont à l’application.
- Sécurité : les utilisateurs n’ayant pas besoin de créer un mot de passe lors de l’inscription, ce dernier ne risque pas d’être compromis. Le chiffrement du mot de passe peut être utilisé pour chiffrer de manière unique les données utilisateur, de sorte que le hacker doit obtenir chaque clé pour accéder à ses données, même en cas de violation.
Authentification unique (SSO)
Pour limiter le nombre de mots de passe par utilisateur, il est préférable d’implémenter des protocoles compatibles avec l’authentification unique, plutôt que de créer de nouveaux comptes avec mots de passe pour chaque utilisateur. S’ils y sont contraints, les utilisateurs utiliseront les mêmes identifiants pour toutes les applications. Si une application est compromise, le hacker pourra accéder à n’importe quelle application. C’est particulièrement le cas lorsque vous intégrez des applications tierces dans votre écosystème. La meilleure manière de sécuriser ces systèmes est d’utiliser des protocoles comme l’OIDC, qui prennent en charge l’authentification à l’aide d’un token. L’authentification se déroule sous le contrôle de votre entreprise, tandis que l’accès est automatiquement accordé en partageant un token sécurisé généré en temps réel. L’utilisateur n’a qu’à cliquer sur le lien menant à la ressource qu’il recherche, tous les processus d’authentification et d’autorisation se déroulant en arrière-plan. Si une ressource spécifique doit être mieux sécurisée que la ressource originale pour laquelle l’utilisateur a été autorisé, des systèmes tels que l’authentification par paliers peuvent être instaurés afin de renforcer la sécurité avec un minimum d’efforts.
Profilage progressif
La plupart des utilisateurs accèdent à votre application sur le même périphérique, depuis le même emplacement. En rassemblant toutes ces données, vous pouvez créer des profils de session qui augmenteront la sécurité des sessions suivantes. Si une demande d’accès provient d’un périphérique inconnu ou d’un emplacement différent, cela déclenche un score de risque. Vous pouvez alors renforcer les mécanismes de sécurité, par exemple en demandant une authentification renforcée ou en limitant l’accès aux ressources.
Partage de mots de passe
Autre risque important lié aux mots de passe : les utilisateurs communiquent leurs identifiants afin d’aider leurs collègues. En tant qu’administrateur, vous souhaitez sécuriser l’accès aux ressources et limiter le nombre de personnes y ayant accès. Cependant, cela peut amener les utilisateurs à partager leurs identifiants. Si vous ne pouvez pas mettre en œuvre un mécanisme d’authentification forte, cela signifie que vous n’avez aucun contrôle sur les personnes pouvant accéder à ces ressources. Un système de gestion des accès doté d’une bonne gestion des identités avec personas et délégation permet aux utilisateurs d’accorder un accès temporaire à d’autres utilisateurs. Ces utilisateurs n’ont alors qu’à utiliser leurs identifiants, et si le système est correctement implémenté, ils peuvent être gérés par les utilisateurs eux-mêmes selon les règles que vous avez définies en tant qu’administrateur. Un bon système d’audit et de reporting vous permet de conserver une trace des ressources consultées et des personnes qui y ont accédé.
En appliquant ces mesures, il est possible d’éviter la plupart des violations mentionnées dans le DBIR. En adoptant une solution IAM efficace, le rapport DBIR 2023 sera beaucoup moins pessimiste que les éditions précédentes.
