4 types de surfaces d'attaque en cybersécurité

Des identifiants volés aux terminaux cloud non sécurisés, toutes les ressources de l'environnement informatique peuvent constituer un point d'entrée pour les pirates. Au cours de l'exercice 2023, le gouvernement américain a été la cible de 6 198 attaques de phishing et de plus de 12 000 cas d'utilisation abusive par des utilisateurs légitimes. Ces exemples nous permettent de conclure que même les institutions considérées comme très crédibles et fiables ne sont pas à l'abri d'une infiltration. De plus, plusieurs organisations n'ont aucune connaissance ou une connaissance limitée des types de surfaces d'attaque. Elles restent donc inconscientes de la surface d'attaque, ne parviennent pas à protéger les ressources importantes et à minimiser les cybermenaces.

Afin d'aider les organisations à mieux comprendre, nous expliquerons dans cet article la définition de la surface d'attaque et pourquoi elle doit être réduite. Dans la section suivante, nous décrirons les quatre domaines que sont le numérique, le physique, l'humain et l'ingénierie sociale, et nous donnerons un aperçu des problèmes typiques qui peuvent se poser. Nous fournirons également des exemples concrets de surfaces d'attaque, notamment des violations de données à grande échelle et des menaces nouvellement développées.

Qu'est-ce qu'une surface d'attaque ?

Une surface d'attaque en cybersécurité peut également être décrite comme les différents vecteurs par lesquels un attaquant peut tenter de pirater un système, d'y accéder sans autorisation ou d'en voler des données. Cela peut concerner non seulement les serveurs et les référentiels de code, mais aussi les terminaux des employés, les conteneurs cloud ou même le shadow IT. Dans une enquête menée en 2023, plus de la moitié des personnes interrogées ont déclaré que la sécurité des données était leur principale préoccupation en matière de cybersécurité, d'où la nécessité d'identifier toutes les vulnérabilités possibles.

Dans un monde où les connexions sont fréquentes et rapides, négliger un chemin partiel peut entraîner des menaces critiques, allant de la compromission des identifiants aux mouvements latéraux dans l'architecture des microservices. Par conséquent, l'identification de votre surface d'attaque globale, qui englobe tout, de la couche matérielle au niveau utilisateur, est le point de départ essentiel pour la sécurité. C'est pourquoi ce n'est qu'en répertoriant ces points d'infiltration potentiels que les équipes de sécurité peuvent les sceller ou les isoler afin de réduire les menaces potentielles.

Types de surfaces d'attaque

Si les organisations peuvent regrouper les faiblesses de sécurité sous une seule et même catégorie, les types de vecteurs d'attaque sont quant à eux très différents. Chacune des quatre catégories (numérique, physique, humaine et ingénierie sociale) possède ses propres vecteurs de pénétration et nécessite des mesures de protection spécifiques.

Une fois décomposées, les équipes peuvent plus facilement comprendre quelles défenses elles doivent mettre en œuvre. Nous identifions ici chaque domaine et ses éléments, ses modes de transmission et les stratégies pour l'éviter.

1. Surface d'attaque numérique

À l'ère des API, des charges de travail conteneurisées et de l'expansion vers plusieurs clouds, la composante numérique représente une part importante de la surface d'attaque. Les services web non maintenus, les frameworks vulnérables ou les points de terminaison de développement restants peuvent créer des points d'accès directs aux applications. En identifiant et en créant de manière cohérente une représentation détaillée des périphéries du réseau et en recherchant constamment les menaces, les équipes de sécurité peuvent rester à la hauteur d'un environnement numérique de plus en plus complexe.

Composants

Il s'agit des divers points d'entrée logiciels et réseau des composants numériques. Plus vous disposez de services connectés et de fonctionnalités cloud, plus votre surface numérique est grande. Répertorier chaque actif (domaines, sous-domaines, API ou microservices) permet d'éviter les angles morts qui peuvent être ciblés par les attaquants.

1. Applications Web : Les applications Web impliquent des interactions avec les utilisateurs et peuvent inclure l'authentification et même des bases de données. Ainsi, des vulnérabilités telles que l'injection SQL ou le cross-site scripting peuvent permettre à un utilisateur malveillant de modifier des données ou de les transférer à des personnes non autorisées. Ces points d'infiltration peuvent être atténués par des analyses régulières et l'intégration d'un SDLC sécurisé dans les processus d'une organisation.
2. API : Les microservices utilisent des API pour communiquer entre eux et avec des applications externes. Si les points de terminaison ne sont pas authentifiés ou si les jetons utilisés sont anciens, les attaquants peuvent facilement se déplacer. Pour éviter qu'ils ne soient compromis, il est possible d'utiliser une sécurité basée sur des jetons, une limitation du débit et un contrôle des versions.
3. Services cloud et IoT : Des compartiments de stockage inadéquats sur les plateformes cloud ou des appareils IoT non sécurisés sans mises à jour du micrologiciel introduisent de nouveaux vecteurs d'attaque. Les cybercriminels exploitent les ports ouverts ou les transmissions de données non cryptées. Ces risques sont minimisés grâce à des vérifications de configuration régulières, à la mise en œuvre du protocole Transport Layer Security et à des mises à jour du micrologiciel.

Vecteurs d'attaque courants

Certains attaquants ciblent les sites web en recherchant des frameworks web vulnérables, des sous-domaines ouverts aux tests ou des API non sécurisées. L'injection de code reste une méthode d'attaque courante, car elle permet aux criminels de modifier les requêtes de base de données ou les commandes du serveur. Dans le cas de l'IoT, par exemple, le détournement d'appareils ou même l'interception de données peuvent être causés par un cryptage faible. D'autre part, les erreurs de configuration du cloud entraînent des expositions de données si les paramètres d'autorisation ne sont pas suffisamment restrictifs.

Stratégies d'atténuation

L'analyse du code, l'utilisation de directives de code sécurisé et la mise à jour des vulnérabilités aident à gérer les failles logicielles courantes. Les mouvements latéraux sont limités par des architectures " zero trust ", qui isolent les microservices et valident chaque requête. La sécurité est un aspect important du cloud computing, et pour y parvenir, il est essentiel de renforcer les rôles IAM et de crypter les données en transit. Cependant, des analyses régulières de l'environnement permettent d'éviter que des environnements IoT ou de développement temporaires ne soient oubliés.

2. Surface d'attaque physique

Si l'inclusion numérique est plus susceptible d'attirer l'attention des médias, le matériel physique et les appareils sur site restent des points d'entrée communs essentiels. La perte ou le vol d'équipements peut compromettre les données ou les informations de connexion au réseau, qui peuvent contourner même les pare-feu les plus sophistiqués. Il est essentiel de connaître votre environnement physique pour vous protéger contre ce que l'on appelle souvent l'accès " par la porte dérobée ", qui ne respecte pas la sécurité informatique.

Composants

Il s'agit des équipements physiques, à savoir les PC, les serveurs ou les téléphones, ainsi que les structures qui les abritent. Les mesures de sécurité physique garantissent un accès restreint aux centres de données, aux bureaux d'entreprise et au matériel contenant des informations sensibles. Ainsi, en répertoriant chaque appareil ou lieu, le risque de manipulation des appareils sur site est minimisé.

1. Terminaux : Les mots de passe ou les cookies peuvent être stockés dans des ordinateurs portables, des ordinateurs de bureau ou d'autres appareils mobiles. Le vol peut entraîner directement la compromission des données lorsqu'un terminal ne dispose pas d'un cryptage du disque ou lorsqu'il utilise des mots de passe faibles. L'application du chiffrement et du verrouillage des appareils reste une stratégie de base qui permet d'empêcher toute intrusion physique.
2. Serveurs : Les racks sur site ou les serveurs colocalisés contiennent des informations importantes et des services essentiels. L'absence de journaux de caméra ou un accès libre peut permettre à un intrus d'installer un enregistreur de frappe ou même de retirer les disques durs. Les mesures de sécurité physique comprennent des verrous appropriés, un accès par carte d'identité et une surveillance 24 heures sur 24 pour empêcher toute altération.
3. Appareils perdus/volés : Le matériel perdu constitue une voie d'infiltration importante, qu'il s'agisse d'un téléphone personnel contenant des e-mails professionnels ou d'une clé USB contenant des sauvegardes. Les intrus peuvent lire les fichiers locaux ou voler les jetons utilisés pour se connecter. En utilisant des fonctionnalités d'effacement à distance et des codes d'accès forts pour chaque appareil, cette partie de votre surface d'attaque globale est minimisée.

Vecteurs d'attaque courants

Le matériel informatique professionnel est un élément essentiel de toute organisation, et les criminels ont recours à la force ou à des effractions pour voler le matériel informatique des entreprises. Ils peuvent rechercher des disques durs ou des documents jetés à la poubelle. Dans certains cas, des employés provoquent intentionnellement la panne d'un rack en déconnectant des câbles ou en installant du matériel malveillant. Laisser des ordinateurs portables dans des voitures ou sans surveillance dans des cafés augmente également le domaine des menaces physiques.

Stratégies d'atténuation

La protection par mot de passe, le chiffrement complet du disque, les mots de passe BIOS/UEFI et le verrouillage des appareils rendent également difficile l'extraction d'informations à partir d'appareils volés. Une autre façon de minimiser l'utilisation des périphériques consiste à désactiver les ports ou les fonctionnalités USB qui ne sont pas essentiels. Des mesures de sécurité physique appropriées, telles que la numérisation des pièces d'identité ou l'utilisation de verrous biométriques pour permettre l'accès au centre de données, minimisent le sabotage. D'autres mesures comprennent la vérification régulière des stocks et le suivi approprié des actifs afin de détecter les objets égarés ou volés, qui sont alors rapidement désactivés.

3. Surface d'attaque humaine

La technologie étant généralement au centre de la défense d'une entreprise, la plupart des pertes de données importantes sont dues à des erreurs humaines. Qu'il s'agisse d'un employé naïf qui se laisse piéger par des liens de phishing ou d'un employé mal intentionné qui divulgue des informations sur l'entreprise, les êtres humains font toujours partie de la surface d'attaque. Pour s'assurer que personne ne commette d'erreur et n'ouvre une brèche à un attaquant, il est essentiel de comprendre comment cela peut arriver aux employés, aux sous-traitants ou aux partenaires.

Composantes

Quant aux risques humains, ils peuvent être définis par les comportements des utilisateurs, le manque d'informations et les incitations. Une mauvaise gestion des mots de passe, une formation insuffisante ou une attaque interne peuvent compromettre même les systèmes de sécurité les plus robustes. Il est essentiel pour les organisations d'évaluer la capacité de chaque utilisateur à soutenir ou à compromettre les défenses.

1. Menaces internes : Le personnel peut saboter intentionnellement l'entreprise en divulguant des identifiants ou en installant des portes dérobées. Même les employés les mieux intentionnés peuvent créer des systèmes informatiques parallèles ou stocker des informations de manière non sécurisée. La réduction des privilèges et l'audit des journaux permettent également de prévenir ou d'identifier les abus internes à un stade précoce.
2. Hameçonnage : Les cybercriminels envoient des e-mails ou des messages qui semblent provenir d'entités officielles afin de tromper leurs cibles et les inciter à fournir leurs identifiants de connexion ou à télécharger des logiciels malveillants. La fréquence des formations dispensées au personnel permet de minimiser ces risques. Associées à des filtres anti-spam et à l'analyse constante des liens, elles réduisent considérablement les possibilités d'infiltration.
3. Mots de passe faibles : Les mots de passe courts ou faciles à deviner restent un point d'entrée très prisé. Cela signifie que si un employé utilise les mêmes mots de passe dans différents systèmes, le piratage de l'un d'entre eux donnera au pirate accès à tous les autres. C'est pourquoi il convient d'encourager l'utilisation de gestionnaires de mots de passe, de créer des mots de passe complexes et de rendre leur réinitialisation obligatoire afin de minimiser la menace de force brute.

Vecteurs d'attaque courants

Les criminels envoient des e-mails de spear-phishing à des employés ciblés en fonction de leur description de poste. Ils peuvent également essayer d'utiliser des identifiants volés lors d'attaques précédentes si les employés les ont réutilisés. Les menaces externes sont celles qui proviennent de l'extérieur de l'organisation, tandis que les menaces internes exploitent un accès direct ou des privilèges non surveillés pour copier des données sans aucune interférence. En l'absence d'une analyse appropriée du comportement des utilisateurs ou d'une authentification multifactorielle, l'environnement reste exposé à ces vecteurs d'attaque centrés sur l'humain.

Stratégies d'atténuation

Les tests de sensibilisation à la sécurité, tels que les fausses attaques de phishing fréquentes, permettent d'évaluer la sensibilisation du personnel et d'identifier les besoins en formation. L'utilisation de l'authentification multifactorielle réduit considérablement l'impact d'un mot de passe piraté. Ces méthodes comprennent la surveillance des transferts de données volumineux ou des temps de connexion, qui sont révélateurs d'activités suspectes de la part d'un utilisateur. La mise en œuvre du principe du " privilège minimum " signifie que les membres du personnel n'ont accès qu'au niveau de droits nécessaire.

4. Surface d'attaque par ingénierie sociale

Étroitement liée aux vices humains, la ingénierie sociale vise à manipuler les personnes, par exemple par le biais de prétextes ou d'appâts. Ce domaine illustre comment les stratégies et techniques psychologiques permettent de contourner les contre-mesures techniques strictes. Grâce à la manipulation, par exemple en jouant sur la confiance ou en invoquant des questions urgentes, les criminels contraignent les employés à leur fournir un accès non autorisé ou des informations.

Composantes

Les composantes de l'ingénierie sociale comprennent des éléments psychologiques de contrôle qui traitent de la manipulation ciblant les vulnérabilités affectives ou cognitives. Les escrocs sont très sélectifs quant aux données de base qu'ils obtiennent sur le personnel ou les processus afin de rendre leurs histoires plausibles. Par conséquent, même les analyses de réseau les plus sophistiquées ne sont pas très efficaces pour lutter contre la crédulité humaine.

1. Manipulation : Les escrocs prennent leur temps pour créer une image de crédibilité ou un sentiment d'urgence, par exemple lorsqu'ils prétendent appartenir au service des ressources humaines de l'entreprise et demandent un changement de mot de passe. Ils s'appuient sur des messages qui incitent le personnel à agir sans remettre en question la véracité de leurs déclarations. Une façon de prévenir l'usurpation d'identité consiste à encourager le scepticisme parmi le personnel afin qu'il puisse facilement identifier ces stratagèmes.
2. Prétexte : Dans le cas du prétexte, les criminels inventent toutes sortes d'histoires pour se couvrir, par exemple en se faisant passer pour un développeur partenaire qui a besoin des identifiants de la base de données. Ils peuvent obtenir vos informations personnelles à partir de votre profil LinkedIn ou d'autres informations accessibles au public afin de paraître authentiques. Ces tentatives peuvent être efficacement contrées par un protocole de vérification rigoureux, tel que la possibilité d'appeler un numéro interne connu.
3. Le baiting : Un exemple de baiting consiste à placer des clés USB infectées portant la mention " Bonus_Reports " dans un couloir de bureau. Cette technique repose sur la curiosité qui pousse les employés à les brancher. Des règles formelles interdisant de brancher des appareils inconnus peuvent considérablement limiter le nombre d'approches de ce type.

Vecteurs d'attaque courants

Hameçonnage Les e-mails contenant des liens vers des codes malveillants pour une approche plus convaincante ou les appels téléphoniques provenant d'escrocs se faisant passer pour des spécialistes du support informatique sont encore monnaie courante. Les cybercriminels créent également des messages qui sont envoyés au personnel pour lui demander de saisir à nouveau ses informations de compte. Ils peuvent ensuite prendre le contrôle total du réseau des victimes. La tromperie, notamment en se déguisant en livreur, permet à l'intrus de contourner les mesures de sécurité et d'accéder librement au bâtiment.

Stratégies d'atténuation

Une formation continue du personnel et des rappels réguliers des politiques peuvent inciter les employés à rester vigilants face à des problèmes potentiels, tels que les appels externes. Expliquez au personnel qu'il est essentiel de confirmer toutes les demandes urgentes par les voies officielles. Pour l'accès physique, utilisez des contrôles d'identité ou un registre des visiteurs strict. La combinaison d'exercices répétés en continu, de procédures d'escalade familières et d'un état d'esprit axé sur la sécurité permet d'atténuer les intrusions par ingénierie sociale.

Exemples concrets de surfaces d'attaque

Même les organisations qui disposent de cadres solides ne sont pas à l'abri d'attaques telles que l'exposition des terminaux ou le vol d'identifiants. Les cinq exemples suivants montrent comment le manque d'attention porté à un aspect particulier peut entraîner des violations de données massives :

Chaque exemple souligne que les menaces connues évoluent constamment et doivent être surveillées, quelle que soit la taille de l'organisation.

1. Chivo Wallet au Salvador (2024) : Le portefeuille national du Salvador portefeuille de cryptomonnaie, Chivo, a été piraté en avril de l'année dernière, et les pirates ont volé 144 Go de données personnelles et partagé le code source. Cela illustre bien comment des terminaux numériques non sécurisés ou des référentiels de code ouverts peuvent constituer une porte d'entrée vers une organisation. Des mesures de sécurité laxistes, telles que l'absence de contrôles d'accès stricts ou de tests de pénétration réguliers, ont exposé le gouvernement à davantage de risques au lieu de les réduire. À l'avenir, la prévention passera par la mise en œuvre stricte du DevSecOps, la ségrégation des environnements basée sur des jetons et des revues de code multiples.
2. PlayDapp (2024) : L'année dernière, une société de jeux blockchain, PlayDapp, a été victime d'une attaque qui a compromis son environnement et permis à des pirates informatiques de créer 1,79 milliard de jetons PLA d'une valeur de 290 millions de dollars. La mauvaise gestion d'une clé cryptographique a conduit à une violation par les attaquants. On ne sait toujours pas comment la falsification répétée de jetons aurait pu être évitée par des cadres multi-signatures ou un stockage de clés basé sur du matériel. En tant qu'exemple de vecteur d'attaque, cela montre qu'un seul élément cryptographique compromis peut entraîner la défaillance de toute une plateforme.
3. Government Accountability Office (GAO) (2024) : L'année dernière, 6 600 personnes connectées au GAO ont été touchées par une violation qui visait Atlassian Confluence dans l'environnement d'un sous-traitant. Cet angle d'infiltration démontre comment les failles des logiciels tiers augmentent la surface d'attaque globale qu'une agence ne peut pas contrôler directement. Il est également important d'appliquer les correctifs dès que possible et de s'assurer que les tiers sont évalués correctement. Pour empêcher les mouvements latéraux, même les organismes fédéraux doivent tenir un registre détaillé des paramètres des logiciels partenaires.
4. Vulnérabilité d'exécution de code à distance de FortiManager (2024) : FortiManager Vulnérabilité d'exécution de code à distance (CVE-2024-47575) et plusieurs autres dans les pare-feu Palo Alto Networks ont affecté des organisations dans le monde entier. Les attaquants ont exploité ces vulnérabilités avant que les correctifs ne soient disponibles ou connus, prouvant ainsi que des menaces transitoires peuvent compromettre l'ensemble d'une solution de sécurité périmétrique. Il est toujours essentiel de disposer de correctifs rapides ou d'un mécanisme de détection plus sophistiqué qui relie un type de terminal numérique à un autre. La synergie entre les alertes en temps réel et l'agilité du DevSecOps permet de réduire au minimum les fenêtres d'infiltration.
5. Snowflake (2024) : Snowflake, l'un des principaux services de traitement de données basés sur le cloud, a subi une violation qui a touché environ 165 grands clients tels que AT&T et Ticketmaster. Le groupe de cybercriminels a utilisé les identifiants volés d'employés pour lancer des attaques, puis les a mis en vente sur un forum dédié à la cybercriminalité. Cela montre à quel point l'utilisation efficace de l'authentification multifactorielle aurait pu empêcher l'escalade latérale de se produire. Comme l'un des exemples de surface d'attaque, cela montre que même les solutions cloud qui ont été largement adoptées peuvent être vulnérables à des failles d'identité basiques.

Comment réduire et sécuriser votre surface d'attaque ?

Il est désormais clair que chacun des quatre types de surfaces d'attaque courantes présente des opportunités différentes pour qu'une violation se produise. Cependant, une telle approche de la gestion des risques peut réduire considérablement l'exposition globale au risque ou la surface qu'un attaquant peut exploiter.

Dans la section suivante, nous présentons cinq approches qui intègrent l'analyse, la politique et la supervision constante pour une protection efficace :

1. Gérer chaque actif sur la carte et le surveiller en permanence : Commencez par répertorier chaque sous-domaine, instance cloud ou appareil qui touche votre environnement, même de manière marginale. Les outils de suivi quotidiens ou hebdomadaires permettent d'identifier les nouveaux terminaux éphémères qui apparaissent chaque jour ou chaque semaine. Intégrez les informations sur les actifs à un système SIEM ou à des solutions EDR telles que SentinelOne Singularity révèle de nouvelles extensions ou des vulnérabilités nouvellement découvertes. Le fait de maintenir l'inventaire à jour élimine les angles d'attaque provenant de sources cachées ou de systèmes obsolètes.
2. Adoptez la micro-segmentation Zero-Trust : Au lieu de permettre à un attaquant de prendre le contrôle total d'un sous-réseau entier, isolez les microservices ou les utilisateurs de manière à ce que, même s'ils sont compromis, ils ne puissent pas se déplacer librement. Le trafic interne nécessite également une réauthentification, des vérifications de jetons ou une sorte de restriction qui empêche les utilisateurs de se déplacer latéralement. Appliquez un contrôle d'accès strict basé sur les rôles aux conteneurs, aux fonctions ou aux serveurs s'ils sont hébergés sur site. Cette intégration garantit qu'une faille dans un coin ne compromettra pas l'ensemble de votre structure.
3. Contrôle d'accès strict et gestion des identifiants : Mettez en place une authentification multifactorielle pour tous les comptes disposant d'un accès administratif et des cookies de session à durée de vie courte. Ne permettez pas aux utilisateurs de réutiliser leurs mots de passe et enregistrez les tentatives de connexion afin de détecter toute menace pour la sécurité. Pour les intégrations tierces, le programme doit disposer de ses propres identifiants ou clés API afin de surveiller l'utilisation. La sécurisation de chaque élément à l'aide d'une authentification forte réduit considérablement les points d'entrée potentiels pour ceux qui ont obtenu ou deviné les identifiants.
4. Audits de sécurité et cycles de correctifs : Au minimum, il est recommandé d'effectuer une analyse statique du code et des tests de pénétration dynamiques au moins une fois par trimestre ou par mois. Intégrez des outils de gestion des correctifs à une politique interne qui exige l'application de tout correctif dès qu'il est pertinent. Cette synergie permet de traiter immédiatement les vulnérabilités connues. L'application tardive des correctifs est l'une des principales sources de menaces permettant aux criminels d'infiltrer le système.
5. Promouvoir une culture de la sécurité & formation continue : Les formations en ligne, notamment sur le phishing, l'ingénierie sociale et l'utilisation des appareils, rappellent constamment au personnel comment une infiltration peut se produire. Encouragez une culture du " signalement immédiat " si les employés pensent avoir reçu un e-mail suspect ou s'ils tentent de contourner les politiques relatives aux appareils. Cette approche garantit que chaque utilisateur constitue une couche de protection supplémentaire et non un point de vulnérabilité. À long terme, cela se traduit par une main-d'œuvre vigilante qui minimise la possibilité de stratégies de piratage manipulatrices réussies.

Conclusion

Il n'a jamais été aussi crucial de s'assurer que les multiples vecteurs d'attaque dans les terminaux numériques, le matériel physique et les erreurs commises par les utilisateurs sont éliminés. Des exemples concrets, tels que le vol de portefeuilles électroniques gouvernementaux et les attaques zero-day, démontrent que tout maillon faible peut entraîner des fuites de données massives ou des ransomwares. Pour prévenir de telles attaques, les organisations doivent adopter une approche multicouche consistant à identifier tous les terminaux, à appliquer rapidement des correctifs aux vulnérabilités connues et à sensibiliser les employés aux techniques d'ingénierie sociale.

Lorsque ces bonnes pratiques sont associées à des mesures de sécurité de haut niveau, elles permettent de créer une structure organisationnelle dotée d'un bon niveau de sécurité. L'analyse continue, la micro-segmentation et la vigilance des utilisateurs fonctionnent de concert pour réduire les angles d'infiltration à travers chaque type de surface d'attaque.

FAQs