peshkova - stock.adobe.com
Les organisations à l’affût des attaques par rebond
En ne visant pas directement le SI des entreprises, les attaquants contournent leurs protections et ne laissent que peu de traces. On parle d’attaques par rebond. La France et l’Europe sont en pointe sur le sujet.
Le Cybersecurity Act, en définissant un cadre européen de certification de cybersécurité qui vise à renforcer la sécurité du marché unique numérique européen, devrait contribuer à compliquer le travail des cybercriminels. Et aider notamment contre les attaques par rebond. Celles-ci constituent une technique en pleine croissance qui consiste à ne pas attaquer directement la cible, mais à l’atteindre au travers d’un intermédiaire. Cette méthode englobe des cyberattaques très variées :
- Une entreprise compromise au travers d’un de ses partenaires. Les interconnexions entre les SI des sociétés sont une porte d’entrée commode pour les pirates.
- L’attaque d’un sous-traitant informatique, qui permet de remonter dans le SI de ses clients pour en extraire des informations intéressantes.
Les attaques par rebond ne sont néanmoins pas l’apanage des grands groupes. Les petites entreprises peuvent également en être victimes. Ce fut le cas d’un prestataire de gestion de paye en septembre 2019. Le piratage a généré un préjudice de 70 millions de dollars et la fermeture de la société.
Les particuliers peuvent également faire l’objet de ce genre d’attaque. Certains pirates vont ainsi utiliser la technique du SIM swapping. En arrivant à convaincre l’opérateur de renouveler une carte SIM (sous prétexte de perte ou de vol), ils vont accéder au numéro de téléphone de leur victime et pourront s’en servir pour modifier les mots de passe de ses comptes web.
Comment se prémunir des attaques par rebond ?
Du point de vue de la gouvernance, il est important de s’assurer que ce risque est bien identifié et pris en compte par le RSSI. Du point de vue technique, les bastions se chargeront de sécuriser les points d’entrée et de sortie du SI.
Dans le cas d’une infogérance offshore, il faudra également vérifier le cadre réglementaire du pays du partenaire. Certains ne sont en effet pas aussi stricts que l’Union européenne, quant aux obligations de sécurité et d’information des clients en cas de compromission.
Malgré toutes ces précautions, un incident peut survenir. C’est ce qui a amené l’ANSSI à aborder ce sujet dans son rapport annuel publié le 15 avril 2019. L’agence veut répondre à ce problème au travers d’une liste blanche de prestataires d’administration et de maintenance sécurisée (PAMS). Une liste d’acteurs vertueux en matière de sécurité du SI, sur lesquels les entreprises pourront s’appuyer en toute confiance.
Une réponse institutionnelle à la hauteur
Cette proposition de l’ANSSI mène la voie à une institutionnalisation du traitement de la problématique des attaques par rebond. Aujourd’hui au travers de la liste blanche PAMS. Et demain par le biais d’une certification ?
C’est la voie qui semble en tout cas se dessiner depuis l’entrée en vigueur du Cybersecurity Act européen le 27 juin 2019 (règlement 2019/881). Ce texte donne un mandat permanent à l’agence européenne chargée de la sécurité des réseaux et de l’information (AESRI, ou ENISA en anglais).
L’une de ses nouvelles prérogatives sera de définir le cadre de certifications européennes en matière de cybersécurité. Elles porteront sur les produits IT, les services et les processus, avec l’attribution d’un certificat qui sera reconnu dans l’ensemble des pays de l’Union européenne.
Ce cadre réglementaire est une excellente nouvelle : c’est le signe que les autorités prennent le sujet de la cybersécurité à bras le corps, avec une vision globale de cette problématique. La mise en place de ces certifications devrait permettre de limiter l’impact des attaques par rebond en s’assurant du sérieux – mais surtout de la capacité à réagir en cas d’incident – des fournisseurs et prestataires informatiques auxquels font appel les entreprises.