5 min

Veille sur les menaces : découvrir ce que le darknet sait déjà

La veille sur les menaces joue un rôle central dans la lutte contre le nombre croissant de cybermenaces ciblant les organisations. Les cybercriminels sont déjà très bien informés, et partagent ce qu’ils savent sur l’Internet clandestin, le darknet. Les organisations doivent comprendre ce qu’est la veille sur les menaces et comment utiliser cette technologie pour améliorer leur sécurité et se protéger efficacement contre les cyberattaques. En fin de compte, elles doivent mettre à profit les connaissances des cybercriminels, pour protéger leur réseau et leurs données.

Cyber risques - Thomas Joos - 08 juin 2023

Maintenir une veille sur les menaces consiste à recueillir et analyser des informations sur les menaces actuelles et potentielles susceptibles de viser les organisations. Cette activité implique de rassembler des données sur différents types de cyberattaques, malware, campagnes de phishing, exploitations de failles, et sur les informations dérobées. Comme les sources d’informations sont accessibles à tous, et pas uniquement aux acteurs malintentionnés, la veille sur les menaces permet aux organisations d’acquérir un savoir précieux sur les tactiques, techniques et procédures des cybercriminels. Elles peuvent ainsi prendre des mesures préventives autant que correctrices, pour renforcer leur sécurité.

C’est sur le darknet que sont échangés les données dérobées, les informations piratées et les outils nécessaires aux activités criminelles. Les hackers utilisent le darknet pour affiner leurs compétences et préparer leurs attaques. L’information qui y circule constitue en soi une menace pour les organisations, parce qu’elle donne une longueur d’avance aux attaquants. Pourtant, ce savoir représente aussi une opportunité dont les entreprises devraient tirer profit.

Par exemple, la vente de données dérobées constitue une menace. Des données volées à une entreprise (fichier clients, données de cartes de paiement, informations commerciales confidentielles ou encore identifiants de connexion) peuvent être mises en vente sur le darknet. Autre exemple : la diffusion de malware. On trouve en vente sur le darknet les outils dont les cybercriminels ont besoin pour diffuser un malware ou exploiter des vulnérabilités afin de s’introduire dans un réseau d’entreprise. Une fois entrés, ils pourront dérober des informations sensibles, lancer une attaque par ransomware, ou paralyser l’infrastructure de l’entreprise.

Le RaaS est une menace majeure, dont les organisations ont intérêt à se protéger

Le ransomware en tant que service (RaaS, Ransomware as a Service) est un modèle économique du cybercrime, dans lequel les cybercriminels louent ou vendent entre eux des kits de ransomware. Dans ce modèle, c’est le fournisseur qui assume la complexité technique de la création et de la diffusion du ransomware. Ce service permet donc à des hackers qui ne maîtrisent pas les compétences requises de mener à bien des attaques par ransomware. Le darknet est souvent la plateforme de choix des opérateurs-fournisseurs de RaaS. Les organisations pourront mieux se protéger si elles comprennent les dangers qui les menacent. En négligeant de s’y préparer, elles s’exposent au risque d’être un jour la victime d’une attaque de ce type.

Dans ce modèle, le fournisseur de RaaS se charge de développer et mettre à jour le rançongiciel, l’infrastructure de paiement, et bien souvent, le support client pour aider les victimes à payer la rançon exigée. Les « clients » du fournisseur de RaaS sont d’autres cybercriminels, qui diffusent le ransomware. Le fournisseur de RaaS touche un pourcentage de la rançon payée par la victime, le pirate informatique « client » encaissant le reste de la somme.

Ce modèle économique a contribué au développement du ransomware, à étendre le périmètre d’action de ce type de cybercriminalité. La veille sur les menaces permet de lutter contre ces attaques.

Les données qui intéressent les cybercriminels peuvent aussi être utiles aux organisations

Les pirates informatiques dévoilent également leurs méthodes d’attaque sur le darknet. On y partage souvent les codes d’accès à des services numériques. Souvent, des cybercriminels cassent des mots de passe ou exploitent des failles de sécurité pour accéder à un compte de messagerie électronique, sur les réseaux sociaux, ou même un compte bancaire. Ces identifiants et codes seront ensuite souvent proposés à la vente. Si les techniciens de sécurité des entreprises découvrent que ces données circulent sur le darknet, ils peuvent protéger leur propre réseau d’une attaque, et prendre des mesures de sécurité.

Parfois, ce sont des informations sur les failles de sécurité des logiciels et systèmes qui sont proposées. L’exploitation de ces failles dites « zero-day » est particulièrement efficace, parce qu’elle tire profit de vulnérabilités qui ne sont pas encore largement connues, et pour lesquelles les développeurs ne disposent pas encore de correctifs. Les professionnels de la sécurité peuvent aussi utiliser ces informations pour analyser leur propre réseau afin d’y repérer d’éventuelles vulnérabilités similaires, détournant à leur avantage les outils disponibles sur le darknet.

La veille sur les menaces permet aux organisations de se protéger contre les attaques

Pour déployer une protection efficace contre ces menaces, les organisations devraient entretenir une activité de veille. En actualisant leur niveau d’information, elles pourront anticiper l’élaboration de leurs stratégies de défense, mettre en place des systèmes d’alerte pour détecter les attaques avant qu’elles ne soient opérationnelles, et développer des réponses ciblées face aux attaques actives. En s’associant avec des prestataires externes de veille sur les menaces, elles pourront bénéficier de leur expertise et de leurs ressources dédiées. En utilisant la veille sur les menaces, elles pourront anticiper, identifier rapidement les menaces et décider de contre-mesures adaptées.

Une étape importante de cette stratégie consiste à surveiller le darknet et à recueillir des informations pertinentes. Des sociétés et prestataires de services se sont spécialisés dans la collecte, l’analyse et l’interprétation d’informations issues du darknet et d’autres sources. Avec ces partenaires à leur côté, les organisations seront en mesure d’accéder en temps réel aux données sur les menaces qui circulent sur le darknet. Elles pourront alors identifier les menaces susceptibles de leur être préjudiciables, et mettre en place des mesures ciblées pour se protéger.

Prendre conscience de ses propres vulnérabilités et vecteurs d’attaque est un autre aspect important de la veille sur les menaces. En analysant les données de cette veille, les organisations peuvent identifier les failles éventuelles de leurs systèmes et réseaux, failles que les pirates informatiques ont pour leur part déjà repérées. Fortes de cette information, elles pourront traiter leurs vulnérabilités et adapter leurs dispositifs de sécurité pour empêcher les attaques.

Les organisations peuvent aussi utiliser la veille sur les menaces pour détecter des attaques et campagnes de phishing ciblées. En suivant les forums de pirates informatiques et d’autres sources sur le darknet, il est possible de repérer des activités suspectes pouvant indiquer que des attaques se préparent. On peut alors prendre des mesures défensives appropriées, par exemple en actualisant ses politiques de sécurité, en formant le personnel à l’identification du phishing, et déployer des solutions de sécurité à même de contrer ces attaques.

Partager cet article avec un ami