nito - stock.adobe.com
Cybercriminalité : qu’est-ce qu’un courtier en accès initial ?
Le courtier en accès initial, ou « initial access broker » (en anglais), joue un rôle clé dans l’écosystème cybercriminel. À quoi cela correspond-il ?
Pour mettre en perspective la fonction d’un « Initial Access Broker » dans le contexte d’une entreprise légitime, il est possible de le comparer à un agent immobilier spécialisé dans la revente de propriétés.
Tout comme un agent immobilier identifie des propriétés attrayantes et négocie l’accès pour les acheteurs potentiels, un Initial Access Broker détecte des faiblesses dans les systèmes d’information et vend cet accès à des cybercriminels. La différence majeure, bien entendu, est que le courtier en accès initial opère dans l’illégalité, exploitant et monnayant non pas des biens immobiliers, mais des accès non autorisés à des systèmes informatiques.
Lorsque l’on parle « d’Initial Access Broker » ou courtier en accès initial, on fait référence à un acteur clé dans l’écosystème de la cybercriminalité. Imaginez un marché noir où les biens échangés sont des portes dérobées permettant d’accéder illégalement aux systèmes informatiques d’entreprises.
Un Initial Access Broker est avant tout un courtier. Son rôle est de valoriser un actif à sa disposition, à savoir un accès à un système d’information. Pour cela, il doit qualifier les victimes potentielles auxquelles ces accès appartiennent, en s’appuyant sur des services en ligne tels que ceux de ZoomInfo et de Dun & Bradstreet.
Au lieu de dérober des données ou d’installer des logiciels malveillants lui-même, le courtier vend cet accès initial à d’autres cybercriminels, qui ont des intentions spécifiques, telles que le déploiement de ransomware et/ou l’exfiltration de données sensibles, notamment.
Pourquoi est-ce important ?
Parce que l’achat de cet accès initial peut considérablement réduire le temps et les efforts nécessaires pour un cybercriminel pour compromettre une entreprise.
Cela signifie que les menaces peuvent venir de plusieurs fronts : non seulement des attaquants qui ciblent directement une entreprise donnée, mais aussi de ceux qui achètent un accès initial pour lancer des offensives plus ou moins sophistiquées.
C’est un peu comme si quelqu’un copiait les clés d’une maison et vendait la copie à un cambrioleur. L’occupant légitime ne verrait pas le danger venir, car l’accès a été obtenu et vendu en secret. Accessoirement, rien ne dit que plusieurs copies n’aient pas été faites et que l’accès n’ait pas été ainsi vendu à plusieurs personnes malveillantes.
La prévention et la détection sont donc cruciales, et cela implique une vigilance constante, des mises à jour régulières de ses systèmes, une formation approfondie des employés sur les risques de sécurité, et l’adoption de solutions de sécurité avancées pour détecter et bloquer les intrusions avant qu’elles ne se transforment en violations majeures de la sécurité.
La sécurité informatique n’est pas qu’une question de produits, c’est aussi une question de processus, de ressources humaines, et plus loin de stratégie et de gestion des risques.