Comment les cibles des APT sont-elles choisies ?

Selon le rapport Q3 First Half Data Breach Analysis de l’organisme spécialisé Identity Theft Resource Center, entre janvier et septembre 2021 le nombre de violations de données signalées dépassait déjà de 17 % le nombre total d’événements similaires enregistrés pendant toute l’année 2020. Même si toutes les organisations ne sont pas touchées, il y a de grandes chances qu’un partenaire de celle-ci ou un fournisseur de chaîne d’approvisionnement n’y ait pas échappé. Les APT sont généralement conçues pour des opérations ayant des répercussions à l’échelle nationale, comme des campagnes d’espionnage à des fins politiques, de vol de propriété intellectuelle ou de destruction d’infrastructures. En définitive, les organisations ciblées dépendent de ce que les adversaires cherchent à obtenir. Au cours des dernières années, la plupart des attaques lancées par des États-nations visaient à recueillir des renseignements. Elles ne concernaient pas un secteur en particulier et avaient surtout pour objectif de s’en prendre aux infrastructures essentielles, le plus souvent à des agences gouvernementales : dans ce cas, les attaquants exploitent – ou fabriquent de toutes pièces – des vulnérabilités afin de collecter autant de données sensibles que possible avec un minimum d’efforts.

Y a-t-il lieu de s’inquiéter ?

Les campagnes de piratage nécessitant des mois de préparation et les connaissances d’experts en informatique pour forcer les lignes de défense et pénétrer dans les réseaux sans être repéré étaient auparavant réservées aux acteurs soutenus par des États. Aujourd’hui, ces ressources sont accessibles à tous, vendues et achetées sur le Dark Web sous forme de malwares prêts à l’emploi ou de services à louer. Ce qui a changé ce n’est pas tant la nature des APT, mais plutôt le nombre de personnes ayant accès aux outils nécessaires pour lancer de puissantes attaques. De plus en plus souvent, les entreprises exportent des données sensibles dans le cloud et intègrent des objets connectés à leurs opérations. Cela augmente la surface d’attaque, et ce facteur s’ajoute à la menace que représentent les APT.

Les organisations doivent rester raisonnablement vigilantes et orienter les différents aspects de leur politique de cybersécurité (budget, personnel et autres ressources) vers la détection et le traitement des APT. Les grandes entreprises ont sans doute plus de ressources, mais toutes les organisations, quelle que soit leur taille, sont dans la ligne de mire. Les petites entreprises doivent donc se tenir prêtes car elles sont pour de nombreuses APT le point de départ d’attaques de plus grande envergure.

Comment se protéger contre les APT ?

La mise en place d’une protection d’une organisation comporte plusieurs étapes. Dans un premier temps, il faut définir précisément les menaces auxquellesl l’organisation peut-être exposée. Évaluer l’environnement de celle-ci et déterminer quels sont les facteurs de risque sont des étapes très importantes. Cela permet de miser sur les outils qui protégeront le plus efficacement contre ces menaces spécifiques. Par exemple, le déploiement précoce d’une solution de détection et de réponse étendues (XDR) peut aider les analystes de sécurité et les plus grands SOC à comprendre comment mettre à profit la corrélation des menaces et la détection des schémas. Il peut-être aussi bénéfique de faire appel à une solution de détection et de réponse infogérées (MDR) pour bénéficier 24 h/24 et 7 j/7 d’une assistance et de services de gestion des environnements et de chasse aux menaces, et augmenter ainsi des capacités existantes en matière de sécurité pour adopter une approche plus automatisée et plus analytique. En règle générale, le meilleur moyen de se protéger contre les APT est d’être proactif. Cela suppose d’accepter un certain degré de danger, de comprendre ce qu’il représente pour l’organisation et d’aller au-devant du risque. Dans le même temps, il faut veiller à ne pas trop compter sur la technologie. Cet excès de confiance s’est déjà retourné contre des entreprises plusieurs fois au cours des dernières années. Si cette dernière n’a pas les capacités de détection et de réponse nécessaires, il faut qu’elle sollicite un partenaire de sécurité qui peut les mettre à sa disposition. Et enfin, attention à tous les fondamentaux. Les stratégies de sécurité peuvent être complexes, mais elles sont plus faciles à gérer si les infrastructures de base fonctionnent correctement. Il est indispensable de bien comprendre son réseau, de savoir précisément à quoi ressemble son état normal et de développer les capacités nécessaires pour repérer rapidement les éventuelles anomalies.

Et ensuite ?

Une chose est sûre, l’année qui commence apportera son lot de nouvelles menaces et de stratégies d’attaque innovantes. Malheureusement, cela signifie que toutes les opérations des entreprises présentes en ligne, tous secteurs confondus, sont à risque. Pour bien se défendre contre les APT, les dirigeants et les équipes de sécurité doivent prévoir un budget couvrant de manière équilibrée les technologies de prévention, détection et réponse et la rémunération du personnel qualifié chargé de la surveillance continue, de l’élimination des menaces et de la limitation des répercussions d’une éventuelle attaque réussie.