Cinq conseils contre l'usurpation d'identité

Les criminels s'emparent des identités principalement au moyen de technologies de phishing (67%) et de logiciels malveillants (33%). C'est ce que révèle le Global Threat Intelligence Report (GTIR) 2019 de NTT Security. Les attaques de phishing visent, selon GTIR 2019 sur Google (27%) et surtout sur les comptes Microsoft (45%), Office 365 en tête. Mais les applications Microsoft ne sont pas seulement la cible favorite des attaques de phishing, les campagnes de spam de malwares sont également un problème majeur. Plus de 95% des malwares liés à l'usurpation d'identité visent des vulnérabilités dans une application Microsoft Office ou un système d'exploitation Microsoft, dont près de 35% exploitent la faille CVE-2017-11882.

Parmi les logiciels malveillants enregistreurs de frappe, le cheval de Troie "Trickbot" (62%) joue un rôle important. Auparavant, Trickbot ne visait que les données bancaires, la nouvelle variante peut également récupérer les mots de passe d'autres applications.

L'impact de l'usurpation d'identité sur les entreprises est énorme : les pertes se chiffrent rapidement en millions de dollars lorsque des fraudeurs se font passer pour le chef d'entreprise et ordonnent des paiements sur de faux comptes. L'espionnage économique ou le chantage, y compris les demandes de rançon, peuvent également avoir de graves conséquences financières. Si les entreprises n'ont plus accès aux données importantes, par exemple en cas d'attaque par ransomware, l'activité courante est perturbée ou, dans le pire des cas, arrêtée.

Cinq mesures

Avec cinq conseils de NTT Security les entreprises peuvent toutefois rendre l'usurpation d'identité plus difficile et prendre les bonnes mesures en cas d'urgence :

1. Tout d'abord, les entreprises ont besoin de mots de passe forts. Les mots de passe faibles représentent encore souvent le plus grand point faible en matière de sécurité. Si le même login ou un login très similaire est utilisé pour différents comptes, les pirates peuvent réutiliser des données d'accès volées. Pour une véritable protection, les utilisateurs devraient avoir à prouver ou à saisir, en plus du mot de passe, un deuxième facteur d'authentification qu'un pirate ne peut pas connaître ou posséder. Les jetons modernes dans le cadre d'une authentification multifactorielle (MFA) sont une solution efficace. Une sorte de mot de passe unique est généré pour chaque processus d'authentification - par exemple un code envoyé par SMS ou un message push demandant de "confirmer" ou de "refuser". L'authentification multi-facteurs est surtout nécessaire pour les systèmes dont l'accès requiert des droits d'administrateur. Il devient ainsi beaucoup plus difficile pour les pirates d'accéder à des informations et à des réseaux sensibles en utilisant d'anciens noms d'utilisateur et mots de passe. En outre, les données électroniques devraient être cryptées et les documents protégés par des signatures numériques.
2. Il n'est pas nécessaire que chaque collaborateur ait accès à chaque zone du réseau de l'entreprise. Les entreprises devraient segmenter le réseau et définir précisément qui a quels droits. Cela vaut bien sûr et surtout pour les environnements cloud et hybrides. Les criminels qui s'emparent d'un accès moins privilégié ne peuvent ainsi pas s'introduire immédiatement dans l'ensemble du réseau de l'entreprise.
3. Un point important est la formation du personnel. Des formations ciblées sur les directives de sécurité, les menaces actuelles et la manière de les gérer augmentent la vigilance et la sensibilisation de chaque utilisateur. Il convient notamment de définir des règles définissant le comportement à adopter en cas de demandes par e-mail concernant des virements bancaires.
4. Une stratégie de réponse aux incidents permet d'aller plus loin en cas d'attaque. Outre la question de la réaction appropriée, il faut surtout se demander si un incident peut être détecté et en combien de temps. Les réponses sont fournies par une vue complète et en temps réel du trafic réseau et par des logiques sophistiquées pour une analyse réussie. Lorsqu'un incident se produit, les responsables doivent d'abord qualifier, évaluer et classer un incident de sécurité. Le contexte et les risques qui y sont liés sont décisifs à cet égard, car tous les incidents ne sont pas des incidents de sécurité et n'ont pas les mêmes conséquences. Une fois le problème identifié, la tâche suivante consiste à stopper la cyberattaque et à limiter les dégâts. Pour ce faire, les collaborateurs IT doivent examiner en détail tous les composants potentiellement concernés, tels que les systèmes d'exploitation, les fichiers de configuration, les applications et les données, à l'aide d'un Security Playbook qui décrit précisément la procédure à suivre, et prendre également les mesures de récupération de données nécessaires en cas de besoin. Dans l'idéal, il existe un plan de récupération après sinistre (Disaster Recovery Plan, DRP) qui décrit précisément comment l'entreprise sinistrée doit gérer un incident de sécurité, quelles mesures doivent être prises et qui est responsable.
5. Une stratégie de gouvernance de l'identité est une condition préalable à la défense contre les attaques ciblées. Pour simplifier, la gouvernance des identités est la combinaison de la gestion des identités basée sur des politiques et de la conformité. Les exigences concrètes comprennent par exemple l'attribution de rôles et d'autorisations à l'échelle de l'entreprise, la régulation des accès des utilisateurs et la surveillance du respect des exigences de conformité. Dans un contexte où de nombreuses entreprises perdent la vue d'ensemble des services fonctionnant avec tel compte sur tel serveur ou dans le cloud, le thème de la gouvernance des identités revêt une grande importance.

"Il n'existe pas de protection à 100 % contre le vol d'identité. Il est donc d'autant plus important que les entreprises tiennent compte de points fondamentaux", explique Frank Balow, directeur Identity & Key Management EMEA chez NTT Security. "Avec des identités volées, les pirates peuvent pénétrer de plus en plus profondément dans les réseaux d'entreprise. Même si le nom d'utilisateur et le mot de passe dérobés en premier ne permettent pas encore d'accéder à des domaines hautement sensibles - en combinaison avec l'ingénierie sociale ou avec d'autres mots de passe connus ou obtenus par fraude, les pirates vont plus loin et peuvent, dans le pire des cas, mener des attaques dédiées. Les comptes compromis peuvent en outre être utilisés par les pirates pour lancer des attaques externes contre des partenaires commerciaux et des clients".

Source : NTT Security