Le monde de la cybersécurité évolue en permanence. La formation continue est donc la clé de la compréhension des nouvelles menaces actuelles. Mais par où pouvez-vous commencer ? Le point de départ est une bonne compréhension de la terminologie. Cependant, connaître tous les termes différents peut sembler impossible. Pas d’inquiétude. Nous sommes là.
Voici quelques-uns des termes importants, types d’attaque, réglementations, questions fréquemment posées et même mesures pour en savoir plus sur les bases de la cybersécurité.
Cybersécurité 101 : définitions à connaître
Qu’est-ce que la cybersécurité ?
Quoi de mieux pour débuter ? La « cybersécurité » est un ensemble de techniques pour empêcher l’infrastructure numérique d’une entreprise, notamment les réseaux, systèmes et applications, d’être compromis par des pirates informatiques et autres acteurs malveillants. La cybersécurité associe technologie, personnel et processus pour créer des stratégies destinées à protéger les données sensibles, à garantir la continuité opérationnelle et à se prémunir contre les pertes financières.
Quels sont les types de solutions de cybersécurité ?
AV
Un anti-virus est un type de logiciel de sécurité informatique qui analyse, détecte, bloque et élimine les logiciels malveillants. Les programmes AV s’exécutent généralement en arrière-plan : ils analysent les signatures de logiciels malveillants connus et les modèles de comportement pouvant indiquer la présence d’un logiciel malveillant.
EDR
L’EDR (Endpoint Detection and Response) est une catégorie d’outils et de solutions se concentrant sur la détection, la recherche et l’atténuation de l’activité suspecte sur les points de terminaison et les hôtes. La valeur de l’EDR réside dans sa capacité à détecter les menaces avancées pouvant ne pas présenter un modèle de comportement ou une signature de logiciel malveillant connu. L’EDR peut également déclencher une réponse adaptative en fonction de la nature des menaces détectées. Les offres de sécurité d’Arctic Wolf complètent les solutions EDR pour fournir un niveau plus élevé de sécurité globale.
MDR
La MDR (Managed Detection and Response) est un composant d’un SOC en tant que service qui offre des solutions globales pour la surveillance continue, la détection des menaces et la réponse aux incidents par un fournisseur tiers. C’est une solution holistique clé en main pour une gestion des menaces avancées en temps réel qui aide les équipes informatiques internes à prioriser les incidents et à améliorer la posture de sécurité de leur organisation.
NOC
Un NOC (Network Operations Center) est un emplacement central à partir duquel les administrateurs réseau gèrent et contrôlent un ou plusieurs réseaux et un serveur primaire sur des sites répartis en plusieurs endroits géographiques. Les ingénieurs NOC traitent les attaques DDoS, les pannes de courant, les pannes réseau et les trous noirs de routage. Un NOC n’est pas une solution de sécurité. Un client disposant d’un NOC ou de services NOC n’est pas protégé contre les cybermenaces avancées.
SOC
Un SOC (centre des opérations de sécurité) est la combinaison du personnel de cybersécurité, des processus de détection des menaces et de réponse aux incidents et de prise en charge des technologies de sécurité constituant les Security Operations d’une organisation. Les grandes entreprises créent et gèrent généralement un SOC en interne. Les entreprises de toute taille peuvent choisir d’externaliser leur SOC auprès d’un fournisseur de SOC en tant que service tel que Groupe TACHE.
SIEM
SIEM signifie « gestion des informations et des événements de sécurité ». Le SIEM est un outil intégré qui collecte et agrège les événements et alertes de sécurité de différents produits de sécurité. Le logiciel SIEM analyse et corrèle ces événements pour identifier des menaces potentielles au sein de l’environnement de l’organisation.
VM
Les solutions de Vulnerability Management (VM) identifient, suivent et priorisent les vulnérabilités de cybersécurité internes et externes, optimisant les activités de prévention des cyberattaques telles que les applications de correctifs, les mises à niveau et les correctifs de configuration. Arctic Wolf Managed Risk est un service VM continu leader du marché.
VA
La Vulnerability Assessment (VA) est le processus d’identification, de classification et de priorisation des vulnérabilités dans les systèmes d’entreprise. Les évaluations peuvent se concentrer sur les vulnérabilités internes, externes et basées sur les hôtes.
Quels sont les différents types de cyberattaques ?
Attaques par force brute
Une attaque par force brute est une tentative par un acteur malveillant pour obtenir un accès non autorisé à des systèmes sécurisés en essayant tous les mots de passe possibles et en devinant le mot de passe correct. Le service Arctic Wolf MDR suit les tentatives et échecs de connexion et peut détecter les attaques par force brute.
Hameçonnage par consentement
Dans cette variante d’attaques par hameçonnage, le pirate tente de tromper les utilisateurs pour qu’ils autorisent une application ou une intégration malveillante. Une fois l’application malveillante autorisée, elle peut être utilisée pour compromettre des comptes, exfiltrer des données ou exploiter d’autres vecteurs d’attaque.
Credential Stuffing
Les attaques par Credential Stuffing (bourrage d’identifiants) exploitent des combinaisons de nom d’utilisateur/mot de passe compromis provenant de bases de données. Les pirates essaient de se connecter à un compte cible à l’aide des mots de passe précédemment obtenus.
Cross-Site Scripting
Le Cross-site scripting (XSS) ou script intersites est une attaque qui injecte des scripts malveillants dans un site Web légitime et de confiance. Les attaques XSS exploitent les vulnérabilités des applications Web. Le code malveillant s’exécute lorsqu’un utilisateur final sans méfiance visite le site Web, puis accède à des données sensibles et des informations de session rassemblées par le navigateur. Les pirates utilisent également le XSS pour implanter des chevaux de Troie, des enregistreurs de frappe ou d’autres logiciels malveillants.
Violation de données
Une violation de données se rapporte à tout événement où des utilisateurs non autorisés dérobent des informations sensibles d’une société. Souvent, ces informations sont des données à caractère personnel ou des informations financières destinées à la revente.
DDoS
Une attaque par déni de service distribué cherche à faire « planter » un serveur Web ou un service en ligne en l’inondant de plus de trafic qu’il ne peut en traiter. L’attaque est exécutée par étapes : installation d’un logiciel de prise de contrôle (C2) sur les périphériques des victimes et la création d’un réseau de machines zombies (botnets) programmés pour cibler le serveur ou le service en ligne.
DNS Hijacking
Le DNS hijacking, également appelé redirection DNS et empoisonnement du cache DNS redirige les requêtes vers un DNS (Domain Name System), généralement un site Web malveillant qui contient un logiciel malveillant ou des publicités ou d’autres contenus indésirables. Le DNS est l’équivalent d’une série de carnets d’adresses Internet et le DNS hijacking force principalement le navigateur à accéder au mauvais emplacement.
Attaque par drive-by
Dans une attaque par drive-by, l’utilisateur n’a pas à télécharger un logiciel malveillant, cliquer sur un lien malveillant ni effectuer une autre action. À la place, le code malveillant est téléchargé automatiquement sur le périphérique de l’utilisateur, généralement lorsque ce dernier visite un site Web compromis.
Exploit
Un exploit est une application ou un script malveillant qui tire parti d’une vulnérabilité dans les points de terminaison et d’autres matériels, réseaux ou applications. Les pirates utilisent généralement les exploits pour prendre le contrôle d’un système ou d’un périphérique, pour dérober des données ou pour augmenter les privilèges d’accès. Les exploits sont souvent utilisés comme composants d’une attaque multi-couches.
Attaque Golden Ticket
Une attaque Golden Ticket survient lorsqu’un pirate informatique a pris le contrôle d’un KDS (Domain’s Key Distribution Service) qui est conçu pour accorder aux demandes des utilisateurs l’accès à des ressources réseau. Une fois le contrôle pris, le pirate est en mesure de générer des « Golden Tickets » non autorisés lui accordant l’accès aux ressources du domaine.
Logiciel malveillant
Un malware est un logiciel malveillant qui se répand par une pièce jointe présente dans un e-mail ou un lien vers un site Web malveillant. Il infecte les points de terminaison lorsqu’un utilisateur ouvre la pièce jointe ou clique sur le lien.
Rançongiciel
Un rançongiciel est un type de logiciel malveillant (malware) qui empêche l’utilisateur final d’accéder à un système ou à des données. La forme la plus courante est le crypto-rançongiciel qui rend les données ou les fichiers illisibles en les chiffrant et nécessite une clé de déchiffrement pour restaurer l’accès. Une autre forme, le rançongiciel Locker, verrouille l’accès au lieu de chiffrer les fichiers. Les pirates demandent en général un paiement, souvent sous forme de bitcoins, pour déchiffrer les fichiers ou restaurer l’accès.
Attaque de la chaîne d’approvisionnement
Une attaque de la chaîne d’approvisionnement survient lorsqu’un acteur malveillant est capable d’attaquer une cible en compromettant une ressource tierce. Dans de nombreux cas, le fournisseur compromis n’est pas la cible finale mais il est utilisé comme méthode pour exploiter ou obtenir l’accès à la victime visée. Dans certaines situations, une attaque de chaîne d’approvisionnement peut impacter de nombreuses victimes supplémentaires qui n’étaient pas nécessairement la cible finale visée.
Code encoquillé
Un code encoquillé est une technique d’attaque dans laquelle un acteur malveillant est en mesure de charger une interface encoquillée malveillante orientée Web sur un serveur Internet pour y exécuter les commandes souhaitées. Un code encoquillé utilise souvent une vulnérabilité au sein de la cible et permet à l’acteur malveillant d’obtenir une interface de ligne de commande pour l’exécution de la commande.
Que se passe-t-il pendant une attaque par rançongiciel ?
Pendant une campagne de rançongiciel, les pirates utilisent souvent l’hameçonnage et l’ingénierie sociale pour que l’utilisateur d’un ordinateur clique sur une pièce jointe ou un lien vers un site Web malveillant. Certains types d’attaques par rançongiciel, cependant, ne nécessitent aucune intervention de l’utilisateur car elles exploitent les vulnérabilités du site Web ou de l’ordinateur pour déposer la charge malveillante. Une fois votre ordinateur infecté, vous savez que vous êtes la victime car l’attaque déclenche une notification à l’écran avec la demande de rançon.
Hameçonnage/attaque par spear-phishing
L’hameçonnage est un e-mail malveillant qui trompe les utilisateurs pour qu’ils communiquent leurs identifiants. L’e-mail peut sembler légitime, comme s’il provenait de votre banque, et vous demande de réinitialiser votre mot de passe. Dans une attaque par spear-phishing, un e-mail personnalisé cible un cadre clé ou un responsable. Arctic Wolf MDR peut détecter et vous avertir de l’hameçonnage et du spear-phishing.
Mauvaises configurations de sécurité
Les mauvaises configurations de sécurité résultent de l’échec de la mise en œuvre correcte des contrôles de sécurité sur des périphériques, réseaux, applications cloud, pare-feu et autres systèmes, et elles peuvent aboutir à des violations de données, des accès non autorisés et d’autres incidents de sécurité. Les mauvaises configurations s’appliquent à tous les niveaux, depuis les identifiants administrateurs par défaut, des ports ouverts et des logiciels non corrigés jusqu’aux pages Web non utilisées et aux fichiers non protégés.
Injection SQL
Une injection SQL est une technique qui insère du code SQL (Structured Query Language) dans la base de données d’une application Web. Les applications Web utilisent le langage SQL pour communiquer avec leurs bases de données, et une injection SQL tire parti d’un utilisateur amené à entrer des informations, telles que des identifiants de connexion. Les pirates peuvent utiliser les injections SQL pour effectuer des actions telles que la récupération ou la manipulation des données de la base de données, l’usurpation de l’identité de l’utilisateur et l’exécution de commandes à distance.
Virus/chevaux de Troie
Un cheval de Troie adopte un aspect légitime mais il s’agit d’une application ou d’un code malveillant pouvant être utilisé pour une variété d’opérations néfastes, notamment pour dérober, supprimer ou modifier des données, et perturber des ordinateurs ou un réseau. Les chevaux de Troie se répartissent en différentes catégories, telles que exploits, portes dérobées ou rootkits.
Quels sont certains des différents types de réglementations de conformité de cybersécurité ?
CCPA
Le California Consumer Privacy Act s’applique à toutes les entreprises vendant des produits et des services aux californiens, qu’elles soient physiquement implantées ou présentes dans l’État. Le CCPA permet aux consommateurs de demander des informations sur les données collectées par l’entreprise à leur sujet ainsi que leurs finalités. Les entreprises qui ne respectent pas certains seuils minimums sont exemptées.
CMMC
La Certification du modèle de maturité de la cybersécurité (CMMC) est une norme unificatrice pour la cybersécurité au sein des sous-traitants du Ministère de la défense. Elle fournit cinq niveaux de sécurité et de certification. Respecter et obtenir le certificat pour le niveau CMMC correct est de plus en plus nécessaire pour répondre aux appels d’offres sur les contrats du Ministère de la défense et faire des affaires avec le Ministère.
DFARS
Le Defense Federal Acquisition Regulation Supplement (DFARS) à la Federal Acquisition Regulation (FAR). Le DFARS est géré par le Ministère de la défense (DoD) et s’applique aux sous-traitants DoD qui traitent, stockent et transmettent des informations non confidentielles et non publiques.
4) Mesures d’intervention
Plus vous intervenez vite, meilleures sont vos chances de limiter l’« onde de choc », c’est-à-dire les dommages qu’une attaque peut infliger à votre entreprise, et d’empêcher l’exfiltration de données. En plus des analystes pour surveiller les alertes, votre équipe de sécurité a besoin d’acteurs pour prendre rapidement des décisions afin de minimiser un incident. L’automatisation de certaines mesures d’intervention accélérera également le cycle de résolution.
5) Récupération
La restauration est la dernière étape après un incident, et la préparation à la restauration ne se limite pas à la sauvegarde des données. Après une attaque, vous devez restaurer rapidement les systèmes et opérations affectés et vous assurer que la menace est éradiquée. Il est vivement recommandé d’inclure des processus et des procédures de récupération des données dans votre plan de reprise après sinistre.
Vous devez être connecté dans pour poster un commentaire.