Connais ton ennemi
septembre 2023 par Patrick Houyoux LL.M. ULB, Brussels, Trinity College, Cambridge, UK. President – Director PT SYDECO
« Si vous connaissez l’ennemi et si vous vous connaissez vous-même, vous n’avez pas à craindre le résultat de cent batailles. Si vous vous connaissez vous-même mais pas l’ennemi, pour chaque victoire remportée, vous subirez également une défaite. Si vous ne connaissez ni l’ennemi ni ne vous connaissez vous-même, vous succomberez à chaque bataille. » (Sun Tzu, The Art of War, TUTTLE Publishing, chap. 3, 18).
Cette puissante maxime, qui n’a pas pris une ride en 2.000 ans de temps et dont le champ d’application ainsi que celui des autres maximes de « L’Art de la Guerre » de Sun Tzu, manuel chinois de stratégie militaire, s’est étendu à la vie des affaires, doit être faite sienne par chacun dans la vie de tous les jours et particulièrement dans le champ de bataille de l’internet quand il s’agit de se défendre contre les cyber-attaquants.
Le tableau est dressé, votre installation constitue la cible des attaquants et vous, dans votre habit de général chargé de défendre la place, devez prendre toutes les mesures nécessaires pour faire face aux attaques et devez en être victorieux car dans un tel combat il n’y a qu’un gagnant et mieux vaut que ce soit vous.
Et si vous voulez l’emporter, vous devez réfléchir à l’avance, avant que la bataille ne soit engagée « Or, le général qui gagne une bataille fait de nombreux calculs dans son temple avant que la bataille ne soit livrée. Le général qui perd une bataille ne fait que peu de calculs à l’avance. Ainsi, beaucoup de calculs mènent à la victoire, et peu de calculs à la défaite : combien plus aucun calcul du tout ! C’est en étant attentif à ce point que je peux prévoir qui est susceptible de gagner ou de perdre » (Chap. 1, 26). La planification préalable est en effet essentielle pour élaborer une stratégie de sécurité efficace.
Vous devez donc être prêt avant le début des hostilités et comme toute guerre est basée sur la tromperie, il vous faut leurrer l’adversaire, soustraire à ses attaques ce qu’il recherche (Chap. 1 ,18 ; Chap. 6, 8).
En tant que général chargé de la défense de votre système informatique, vous en êtes le rempart et, si cette défense est complète en tous points, votre système informatique sera fort. Dans le cas contraire, il sera faible (chap. 3,11).
Et votre but qui est la forme « la plus élevée du commandement » doit être de contrecarrer les plans de l’adversaire pour pouvoir en suite l’attaquer (Chap. 3,3). La meilleure défense n’est-elle pas l’attaque (Chap. 4,5), n’est-elle pas de dominer l’ennemi en lui imposant vos volontés plutôt que de subir les siennes (Chap. 6, 2) ?
En tant que général chargé de la défense de votre infrastructure informatique, vous avez à votre disposition un ensemble d’outils lesquels, s’ils sont bien utilisés et mis en place avant qu’une attaque n’ait lieu, vous permettront de bien résister et de vous garantir contre la défaite même si vous ne pouvez être certain de vaincre l’ennemi (Chap. 4,3). Dans un combat on n’est jamais certain a 100% d’en sortir vainqueur - c’est une réalité importante à reconnaître -, mais on peut augmenter ses chances de succès grâce à une bonne et intelligente préparation qui englobe également un plan de réponse appropriée à tout incident.
Mais avant toute chose, il convient de vous connaître, de connaître les forces et les faiblesses du système de défense de votre système informatique. Or, cette évaluation ne peut se faire dans l’absolu mais en considérant la façon de laquelle sa sécurité peut être mise en péril et pour cela il vous faut connaitre votre adversaire, sa façon d’opérer au regard de ce que vous avez à protéger et ses probables intentions : Connaître son adversaire permet de mieux cibler ses défenses.
On peut schématiser ainsi que suit les étapes d’une attaque informatique, indépendamment de la famille à laquelle l’attaquant appartient et des objectifs poursuivis.
1. La Reconnaissance :
L’attaquant va commencer par collecter des informations sur vous, votre société, votre infrastructure, vos systèmes, Cela peut inclure la recherche d’informations sur Internet, la surveillance des réseaux sociaux et d’autres méthodes.
2. L’Étape d’Entrée ou la recherche et l’identification de vulnérabilités :
L’attaquant peut alors rechercher et identifier des vulnérabilités connues ou inconnues dans les systèmes, les logiciels ou les applications. Cela peut être fait en analysant le code source, en utilisant des scanners automatisés de vulnérabilités ou en étudiant les informations publiques sur les failles de sécurité.
Il essaie d’exploiter une vulnérabilité ou une faiblesse dans votre système pour gagner un accès initial. Cela peut être fait par le biais de techniques telles que la pêche au hameçonnage (phishing), l’ingénierie sociale, l’injection de code malveillant ou l’exploitation de failles de sécurités logicielles et va rechercher l’existence de potentielles vulnérabilités dans votre système de protection. Il peut s’agir de l’adresse IP, les noms de domaine, vos employés, etc.
3. Le Développement d’un Code d’Exploitation :
Suite à l’identification de la vulnérabilité, l’attaquant créera un code d’exploitation spécifique pour tirer parti de cette vulnérabilité, s’il ne l’a pas déjà sinon il le trouvera sur le darknet. Le code d’exploitation peut permettre à l’attaquant d’exécuter des commandes, de prendre le contrôle de votre système ou d’accéder à des informations sensibles selon le but poursuivi. Les vulnérabilités peuvent prendre différentes formes et les méthodes d’exploitation varient en fonction de la nature de la vulnérabilité.
4. L’Infiltration dans le Système :
En général, pour exploiter une vulnérabilité, un attaquant doit pouvoir pénétrer un système cible et y injecter un code d’exploitation.
5. L’Exécution du Code d’Exploitation :
Une fois que le code d’exploitation est introduit dans le système, l’attaquant le déclenchera pour exploiter la vulnérabilité. Cela peut entraîner diverses conséquences, telles que la prise de contrôle du système, l’exfiltration de données, ou la perturbation des opérations normales du système.
6. L’Établissement d’un Point d’Accès :
Une fois que l’attaquant a un accès initial, il cherchera à établir un point d’accès permanent ou persistant sur votre système. Cela peut inclure l’installation de logiciels malveillants, la création de comptes d’administrateur, ou la modification des configurations pour maintenir l’accès.
7. L’élévation des Privilèges :
L’attaquant peut chercher à obtenir des droits d’accès plus élevés pour accéder à des informations sensibles ou prendre le contrôle total de votre système. Cela implique souvent l’exploitation de vulnérabilités du système d’exploitation ou des logiciels.
8. La Navigation Furtive :
Une fois l’accès obtenu, l’attaquant explorera discrètement votre système pour localiser des données ou des ressources précieuses. Cela peut impliquer la recherche de fichiers sensibles, de bases de données, de mots de passe ou d’autres informations importantes.
9. L’Exfiltration de Données :
L’attaquant transfèrera alors les données volées depuis votre système vers un emplacement contrôlé par lui-même. Cela peut se faire de manière discrète pour éviter la détection.
10. La Dissimulation :
Pour éviter d’être repéré, l’attaquant peut tenter de masquer ses activités en effaçant des traces, en modifiant des journaux d’activité, en utilisant des techniques d’obscurcissement, etc.
11. L’Attaque Éventuelle :
L’objectif final peut varier en fonction de l’attaque. Il peut s’agir du vol de données sensibles, de la destruction de données, du sabotage, de l’extorsion, ou d’autres objectifs malveillants.
12. La Fuite :
Après avoir atteint ses objectifs, l’attaquant tentera de quitter votre système sans laisser de traces. Cela peut impliquer la désinstallation de logiciels malveillants, la suppression des pistes, ou le déplacement vers une nouvelle cible.
13. La Persistance :
Dans certains cas, l’attaquant peut laisser en place des mécanismes pour un accès futur, afin de revenir ultérieurement ou de maintenir un accès continu.
En d’autres termes, l’attaquant doit pouvoir pénétrer votre réseau (phase 1) pour y insérer un code d’exploitation (phase 2) sans lequel il ne pourra rien faire. Une fois ce code inséré, il devra le déclencher (phase 3) et selon ses objectifs il pourra crypter vos données (et vous forcer à payer une rançon s’il insère un Ransomware) ou encore les subtiliser en les transférant sur un de ses serveurs s’il pratique l’espionnage industriel ou d’Etat (phase 4).
Face à ceci, qu’avez-vous ?
Connaissant les tactiques de l’adversaire, en tant que bon général, rempart de votre infrastructurel informatique, vous aurez certainement pris les mesures adéquates pour vous protéger en tous points contre toute tentative ennemie et vous menez votre inspection de routine.
Pour vous prémunir contre toute intrusion, soit la phase 1 de la tactique adverse, vous aurez appliqué à vous-mêmes et à votre personnel les règles d’un bon usage de l’internet. L’éducation et la connaissance des sournoiseries de l’adversaire prennent une part indispensable dans votre système de défense et, comme il ne suffit pas à lui-même, surtout qu’il est le maillon faible de tout système de défense car comme tout le monde le sait, l’erreur est humaine, étant bien avisé, vous aurez placé en première ligne de défense un pare-feu, mais pas n’importe lequel : Un pare-feu de nouvelle génération qui étend sa protection bien à l’intérieur des lignes de défense et qui vous permet de visualiser l’état de progression de l’attaque pour pouvoir intervenir et prendre les mesures adéquates à tout moment, en temps réel.
En seconde ligne de défense, en tant que bon tacticien rusé, comme il se doit, vous aurez certainement placé un honeypot en vue de leurrer votre adversaire pour que, ce qu’il peut envoyer et qui aurait pu percer la première ligne, se perde dans un labyrinthe de faux accès à votre système.
Les deux premières lignes de défense étant en place, vous portez votre attention sur la troisième ligne de défense que vous aurez installée et vous allez vérifier si les règles que vous avez installées dans vos systèmes de détection d’intrusion (IDS) et de prévention d’intrusion (IPS) sont bien adaptées pour interdire à votre adversaire d’aller plus loin et de mener à bien la deuxième phase de son attaque.
Il s’agit de l’empêcher d’introduire dans votre infrastructure un code d’exploitation et pour vous assurer de réussir dans votre tâche, vous aurez certainement amplifié l’efficacité de vos IDS et IPS en leur adjoignant un système de détection en profondeur des paquets (portion de données véhiculées par l’internet) qui passent (DPI) lequel va percer les systèmes de camouflages que votre ennemi aura utilisés pour échapper à votre vigilance. Votre ennemi ne devrait en aucun cas réussir à mener à bien la phase 2 de son attaque.
Mais, comme l’expérience l’a appris, avec notamment SolarWinds, Microsoft Echanger, MeetMindful, FaceBook, Volkswagen, Audi, Colonial Pipeline, Kaseya et tant d’autres, la liste des victimes des ransomware est sans fin, on n’est jamais sûr de rien. Vous ne laissez donc rien au hasard, vous vérifiez que votre adversaire ne puisse en aucun cas exécuter les codes malveillants qu’il aurait réussi à introduire dans votre infrastructure. Il ne peut absolument pas remporter la troisième manche du combat et vous en êtes totalement conscient. C’est d’ailleurs pour cela que vous avez intégré une stratégie de défense en profondeur composée de solutions anti-malware, antivirus et de sécurité de points finaux et que vous avez vérifié que vos systèmes de détection et de prévention sont suffisamment bien armés pour empêcher et bloquer toute exécution d’un code malveillant dans votre infrastructure.
Comme vous avez également effectué des sauvegardes régulières de vos données et développé une stratégie de reprise après sinistre, même si l’attaquant parvient à chiffrer vos données, vous pouvez facilement accéder à vos sauvegardes et restaurer les systèmes concernés. A ce propos vous n’avez pas oublié de vérifier que vos sauvegardes sont réellement fonctionnelles et que vous pouvez à tout moment restaurer toutes vos données.
Vous vous êtes enfin judicieusement assuré que vos bases de données et vos serveurs de fichiers sont fortement sécurisés et que vous disposez de mécanismes d’authentification et de contrôles d’accès solides.
Malheureusement avec l’imagination sans fin dont ils sont dotés, les attaquants, également au fait des règles de l’Art de la Guerre, pourraient, malgré toutes les mesures de précautions prises, remporter la troisième phase vous laissant sans défense contre leurs visées et il vous faudra alors recourir au système D pour minimiser l’étendue des dégâts qu’ils pourraient causer, si pas les en empêcher d’une façon ou de l’autre.
Mais comme vous avez déjà tout prévu, votre système de MICRO-SEGMENTATION de votre réseau créé sur un mode de ZERO TRUST et agrémenté d’un serveur VPN, limitera considérablement l’impact négatif de l’attaque de votre adversaire, surtout si chacun des segments est protégé par votre pare-feu de nouvelle génération doté de l’IDS, IPS et du DPI. Vous avez d’ailleurs intelligemment mis en place des politiques de gestion des groupes de sécurité afin que seuls ceux qui ont besoin d’accéder à une ressource y aient accès pour empêcher toute connexion non autorisée et éloigner les intrus. Et comme vous avez également prévu d’empêcher toute exfiltration non autorisée de vos données, même si vous n’êtes pas vainqueur, vous n’aurez pas perdu le combat, remportant la quatrième et dernière manche.
Toutes ces mesures de précaution prises, mises en place et dont l’état de fonctionnement est vérifié et mis à jour, vous pouvez attendre sereinement le combat qui ne manquera pas d’intervenir, étant certain de bien résister et d’être garanti contre la défaite même si vous ne pouvez être certain de vaincre l’ennemi (Chap. 4,3).
Et si, en votre qualité de général avisé, soucieux de la sécurité de votre infrastructure, vous n’êtes pas totalement certain de l’efficacité de votre système de protection, vous pouvez toujours vous renseigner, rechercher et comparer les solutions existantes sur le marché.
PT SYDECO peut certainement vous aider, apportant une solution globale et complète de défense en profondeur de votre infrastructure grâce à ARCHANGEL Integrated Protection System qui comporte 3 Pare-feu de Nouvelle Génération dotés des instruments de détection et de prévention les plus poussés, régulièrement et automatiquement mis à jour, assistés par des agents intelligents capables de déjouer les manœuvres de diversion et de camouflage des attaquants empêchant également toute exfiltration non autorisée des données de votre système informatique. Le Pare-feu de Next Génération ARCHANGEL©2.0 est flexible et s’adapte à toutes les situations. Il peut protéger tant l’ensemble de l’infrastructure que chacun de ses secteurs, et ce même en un mode en sens unique indispensable pour protéger les zones les plus sensibles.
Des lors que l’inspection de votre système de défense vous a permis de vérifier votre état d’éducation et de préparation dans la façon d’utiliser l’internet et celui de vos agents ainsi que la mise en place et l’état de mise à jour des différentes lignes de défense qui doivent contrer avec succès toute intrusion malicieuse et toute exécution de programmes malveillants au sein de votre infrastructure, vous pouvez vous considérer comme le meilleur général de votre génération.
Vous avez en effet compris que la sécurité informatique est un domaine en constante évolution avec des attaquants qui développent constamment de nouvelles tactiques et qu’il est important de maintenir à jour vos défenses et de disposer d’un plan de réponse aux incidents en cas de violation de la sécurité et vous avez fait vôtres les composantes essentielles de la sécurité informatique que sont l’Education, la Planification, la Défense en profondeur et la Réactivité.
En résumé, votre défense contre les cyberattaques repose sur une stratégie globale basée sur la connaissance de l’adversaire, la mise en place de contrôles de sécurité, le suivi et l’analyse de l’activité, la réponse aux incidents et l’amélioration continue. Votre capacité à vous défendre avec succès dépend de votre volonté de vous adapter et de répondre en permanence aux nouvelles menaces et tactiques tout en garantissant que vos principes et contrôles de sécurité fondamentaux sont solides et efficaces. Avec cette stratégie de défense, vous pouvez gagner la bataille pour la sécurité de votre système et en sortir victorieux.
Bravo !