Qu'est-ce qu'une surface d'attaque (et comment la réduire) ?

Qu'est-ce qu'une surface d'attaque (et comment la réduire) ?

Des milliers d’entreprises dans le monde s’appuient sur Okta pour gagner du temps et réduire les coûts. Découvrez l’impact que la gestion des identités pourrait avoir sur la vôtre.

Qu'est-ce qu'une surface d'attaque (et comment la réduire) ?

Découvrez pourquoi les principaux analystes du secteur classent systématiquement Okta et Auth0 parmi les leaders de l’identité

La surface d'attaque est l'ensemble de la zone d'une organisation ou d'un système qui est exposée au piratage. Elle inclut tous les points d'accès qu'une personne non autorisée pourrait exploiter pour pénétrer dans le système. Une fois à l'intérieur du réseau, cet intrus peut faire des dégâts en manipulant ou en téléchargeant des données. 

Plus la surface d'attaque est réduite, plus il est facile de protéger l'organisation. L'analyse de la surface d'attaque est une bonne première étape pour réduire le niveau d'exposition ou mettre en place des moyens de protection. L'étape suivante consiste à définir un plan de protection stratégique, pour réduire le risque d'une attaque logicielle ou d'une cyber-extorsion, qui pourrait avoir des conséquences coûteuses. 

Définition rapide de la surface d'attaque

Fondamentalement, la surface d'attaque se compose de tous les éléments du système qui sont orientés vers l'extérieur de votre organisation. Le modèle contient tous les vecteurs d'attaque (ou vulnérabilités) qu'un hacker pourrait utiliser pour entrer dans votre système.

Les vulnérabilités sont partout, et elles sont souvent exploitées. Par exemple, des journalistes ont signalé qu'en 2014 les adresses e-mail et les mots de passe des collaborateurs de près de la moitié des entreprises du classement Fortune 500 ont été rendus publics sur des forums de hackers au cours de l'année.

attack surface vulnerabilities

Avec ces données, un hacker pourrait franchir les pare-feu et accéder à diverses ressources, telles que :

  • Les dossiers du personnel. Numéros de sécurité sociale, adresses personnelles, évaluations et autres données privées conservées dans les dossiers des ressources humaines. Ces informations personnelles sont la cible principale des hackers.
  • Les informations sur le développement des produits. Le lancement d'un produit peut échouer avant même d'avoir commencé, si vos concurrents connaissent à l'avance vos innovations.
  • Les dossiers financiers. Les données salariales personnelles, les contrats de location, les contrats de vente, etc. pourraient échapper à votre protection et se retrouver dans la sphère publique.
  • Les données protégées par un brevet. Votre sauce secrète ou votre innovation de type « boîte noire » est difficile à protéger si votre surface d'attaque est importante.

Une fois les pare-feu franchis, les hackers peuvent également injecter des malwares sur votre réseau. Un logiciel espion (spyware) peut suivre vos collaborateurs tout au long de la journée, en enregistrant toutes leurs frappes. Une bombe à retardement, capable de détruire de vastes volumes de données, pourrait attendre la prochaine décision en ligne.

Les conséquences de ce genre d'attaque, aussi appelés « hacks » sont incroyablement coûteuses. D'après les experts, leurs dégâts représentent quelques 400 milliards USD par an dans l'industrie. 

Qu'est-ce qu'un vecteur d'attaque ?

Les vecteurs d'attaque sont les points de repère sur une surface d'attaque. Chacun d'entre eux représente des vulnérabilités, tels que des points d'accès, des protocoles et des services.

Vous pouvez penser que vous n'avez qu'un ou deux vecteurs critiques. Mais il est beaucoup plus probable que vous en ayez des dizaines, voire des centaines, au sein de votre réseau.

Par exemple, des experts ont analysé les vecteurs d'attaque actuels des grandes entreprises et ont identifié les problèmes suivants :

  • Composants Web vulnérables. Dans un quart des 10 000 premiers domaines d'Alexa, des serveurs utilisent au moins un composant faible.
  • Certificats périmés. Les plus grandes entreprises ont accumulé environ 300 de ces vulnérabilités.
  • Sites de développement publics. Plus de 700 de ces sites incluaient un accès Web, ce qui les rendait vulnérables aux attaques.

Les vecteurs d'attaque sont spécifiques à votre entreprise et à votre situation. Il n'y a pas deux organisations qui ont la même surface d'attaque. Mais les problèmes proviennent souvent de différentes sources, notamment :

Vecteur d'attaque

Problème

Solution

API

Les API peuvent suralimenter la croissance de l'entreprise, mais elles la mettent aussi en danger, si elles ne sont pas correctement sécurisées.

Sécurisez toutes les API avec des jetons, le chiffrement, des fichiers de signatures et d'autres moyens pour protéger votre organisation.

Déni de service distribué (DDoS)

Une attaque DDoS inonde de trafic un serveur ou un réseau ciblé dans le but de perturber et de submerger ses ressources pour le paralyser. 

Protégez votre entreprise en réduisant la surface d'attaque. Pour cela, vous devez restreindre l'accès direct aux infrastructures, telles que vos serveurs de base de données. Contrôlez qui a accès à quoi avec un système de gestion des identités et des accès.

Chiffrement

Si vos protocoles sont faibles ou absents, les informations circulent sans protection, et facilitent le travail des voleurs. 

Vérifiez que tous les protocoles sont robustes et sûrs.

Menaces internes

Un employé mécontent est un cauchemar pour la sécurité. Il peut décider de partager tout ou partie de votre réseau avec des personnes extérieures. Il peut aussi donner des mots de passe ou d'autres formes d'accès à des tiers qui mènent des activités d'espionnage indépendant.

Travaillez avec votre équipe RH pour mettre en place des protocoles, afin d'être prêt si cette situation se produit.

Malware

Ce type de logiciel malveillant est conçu pour provoquer des erreurs, ralentir les ordinateurs ou propager des virus. Les logiciels espions (spyware) font partie de la catégorie des logiciels malveillants, mais avec l'objectif supplémentaires de capturer des informations personnelles. 

Le suivi constant des pratiques de sécurité modernes est le meilleur moyen de se défendre contre les attaques de malwares. Vous pouvez faire appel à un fournisseur de sécurité centralisé pour éliminer les failles dans votre stratégie de sécurité.

Mots de passe

Pour un hacker à la recherche d'un accès facile les mots de passe volés ou faibles (tels que 123456) sont de véritables aubaines. Une fois entré dans un système, un malware peut rester inaperçu pendant longtemps et faire beaucoup de dégâts.

Vous devez définir les critères qui garantiront la résistance de tous les mots de passe, ou les exigences de l'utilisation de l'authentification multifactorielle, ou même l'authentification sans mot de passe.

Phishing

Une demande apparemment simple de confirmation d'e-mail ou de mot de passe peut permettre à un hacker de pénétrer directement dans votre réseau. De nombreuses tentatives de phishing (hameçonnage) sont si bien élaborées que les victimes acceptent immédiatement de partager des informations de valeur. 

Votre équipe informatique peut identifier les dernières tentatives de phishing et informer les employés des pièges qu'ils peuvent rencontrer.

Ransomware

Des hackers s'introduisent dans votre réseau, le verrouillent et demandent de l'argent pour le débloquer. En 2019, plus de 205 000 organisations ont été confrontées à ce type de situation. 

Identifiez tous les emplacements critiques de votre système et élaborez une stratégie de sauvegarde efficace. Des mesures de sécurité supplémentaires peuvent encore renforcer vos défenses contre les accès non autorisés.

 

Identifiez tous les emplacements critiques de votre système et élaborez une stratégie de sauvegarde efficace. Des mesures de sécurité supplémentaires peuvent encore renforcer vos défenses contre les accès non autorisés.

Même votre bureau à domicile n'est pas à l'abri d'une menace sur sa surface d'attaque. D'après la presse spécialisée, chaque domicile compte en moyenne 11 terminaux connectés à Internet. Chaque terminal connecté est une vulnérabilité susceptible d'entraîner une brèche et une perte de données.

Si une grande partie de votre personnel travaille à domicile toute une journée, constamment connecté à un réseau domestique, votre risque explose. Un terminal de l'entreprise peut être utilisé pour des projets personnels. Des données professionnelles peuvent être téléchargées sur un appareil personnel.

Chaque bureau dans lequel une personne travaille et chaque terminal qui accède au réseau doivent être évalués. 

Analyse de la surface d'attaque : étape par étape 

Pour réduire votre surface d'attaque et le risque de piratage, vous devez préalablement comprendre l'environnement de sécurité de votre réseau. Vous pouvez structurer vos efforts dans un projet de recherche précis et réfléchi.

Une analyse de la surface d'attaque permet d'identifier les risques immédiats et les risques potentiels futurs.

Votre analyse de la surface d'attaque ne résoudra pas tous les problèmes identifiés. Mais elle vous apportera une liste précise de tâches à accomplir pour guider vos efforts et mieux protéger votre entreprise.

Suivez cette feuille de route pour réaliser votre analyse de la surface d'attaque :

  1. Identifier les vulnérabilités. Votre surface d'attaque comprend tous vos points d'accès, et chaque terminal. Elle inclut aussi les chemins d'accès aux données qui entrent et sortent des applications, et le code qui protège ces chemins d'accès critiques. Les mots de passe, l'encodage et bien d'autres choses encore font partie de votre surface d'attaque.
  2. Identifier avec précision les types d'utilisateurs. Qui peut accéder à chaque point du système ? Ne vous concentrez pas sur les noms et les numéros de badge. Pensez plutôt aux types d'utilisateurs et à leurs besoins pendant une journée moyenne.
  3. Effectuer une évaluation des risques. Quels sont les emplacements contenant le plus grand nombre de types d'utilisateurs et le niveau de vulnérabilité le plus élevé ? Ces zones doivent être traitées en premier. Utilisez les tests pour découvrir d'autres problèmes.
  4. Sécuriser vos rapports. Comment savoir si une brèche de données est réelle ? Que fait votre entreprise pour contrer une menace ? Consultez vos règles et règlements pour connaître les autres points à vérifier.

Dans les grandes entreprises, ce processus se mesure en mois et non en heures. Soyez aussi rigoureux que possible. Plus vous découvrirez de problèmes, plus votre entreprise sera en sécurité. 

Stratégies de réduction de la surface d'attaque 

Utilisez la mise en correspondance ou « mapping » pour guider votre projet de nettoyage. Progressez méthodiquement du point le plus vulnérable au moins vulnérable.

Les techniques typiques de réduction de la surface d'attaque sont les suivantes :

  • Accès. Examinez les rapports d'utilisation du réseau. Vérifiez que les personnes qui en ont besoin ont accès aux documents sensibles. Verrouillez les zones où vous constatez un trafic non autorisé ou inhabituel.
  • Nettoyage. Quand inspectez-vous vos ressources à la recherche de certificats expirés ? Si vous n'avez pas de programme de nettoyage périodique, n'attendez plus pour en créer un et l'appliquer avec rigueur.
  • Code. Exécutez-vous encore du code périmé ou inutile ?
  • Mots de passe. Vos employés respectent-ils les bonnes pratiques de création des mots de passe ? Savent-ils ce qu'il faut faire s'ils perdent leurs mots de passe ou leurs noms d'utilisateur ?
  • Analyses techniques. Contrôlez-vous régulièrement l'état de votre réseau ? Quelles alertes sont en place en cas de problème ?

Avez-vous une liste d'actions pour savoir où commencer ? Cette liste sera plus ou moins longue en fonction de votre analyse de la surface d'attaque. 

Réduire la surface d'attaque en 5 étapes 

Une fois le nettoyage immédiat terminé, cherchez des solutions pour renforcer vos protocoles et réduire le travail de nettoyage après toutes les analyses de la surface d'attaque.

Cinq étapes pour commencer :

  1. Appliquez le principe de Zero Trust. Aucun utilisateur ne doit avoir accès à vos ressources tant qu'il n'a pas prouvé son identité et la sécurité de son terminal. Les exigences souples sont certes plus faciles à appliquer et il est plus commode d'ouvrir les accès à tous. Cependant, accorder la priorité à la sécurité protégera davantage votre entreprise.
  2. Élaborez des protocoles d'accès utilisateurs robustes. Dans une entreprise moyenne, les membres du personnel changent de poste, arrivent et partent ailleurs à une vitesse alarmante. Chaque employé a besoin d'un accès à votre réseau pour travailler, mais ses droits doivent être supprimés dès qu'il ne fait plus partie de votre organisation. Vous aurez besoin de collaborer avec votre équipe RH pour renforcer les politiques des mots de passe.
  3. Mettez en œuvre des politiques d'authentification forte. Étudiez l'ajout d'une couche de sécurité basée sur l'authentification forte dans vos protocoles d'accès. Utilisez le contrôle des accès basé sur les attributs ou le contrôle des accès basé sur les rôles pour être certain que les personnes pertinentes ont accès aux données dont elles ont besoin.
  4. Protégez vos sauvegardes. Les réplications de code et de données font partie intégrante de la surface d'attaque d'une entreprise classique. Utilisez des protocoles de protection stricts pour garder ces sauvegardes à l'abri de ceux qui pourraient vous nuire.
  5. Segmentez votre réseau. Plus vous ajoutez de pare-feu, plus il sera difficile pour les hackers de pénétrer rapidement au cœur de votre système. Si vous le faites correctement, vous pourrez réduire les contrôles de sécurité à une seule machine ou utilisateur.

Ne sous-estimez jamais l'importance des rapports d'analyse. Même après avoir mis en œuvre toutes ces mesures, vous devez surveiller régulièrement votre réseau pour vous assurer que tout fonctionne, sans élément bloqué ou périmé. Réservez du temps dans chaque journée de travail pour évaluer les menaces actuelles.

Pour vérifier la protection de votre entreprise, consultez notre liste de contrôle : 12 étapes clés pour la protection contre les brèches de données.

Références

« Unwitting Workers Give Hackers Keys to Fortune 500 Firms' Networks: Study », (octobre 2014), NBC News.

« Companies Lose $400 Billion to Hackers Each Year », (septembre 2015), Inc.com.

« Attack Surface Area Larger Than Most Businesses Believe », (juin 2020), Dark Reading.

« Pandemic Giving Ransomware 'Greater Attack Surface' as Tactics Shift, Ex-FBI Agent Says », (août 2020), State Scoop.

« Attack Surface Analysis Cheat Sheet », CheatSheets Series.

« Ransomware Attacks Grow, Crippling Cities and Businesses », (février 2020), The New York Times.

« Cyberattacks Now Cost Companies $200,000 on Average, Putting Many Out of Business », (mars 2020), CNBC.

« The Proposed Solution », (2015), How to Defeat Advanced Malware.

« U.S. Households Have an Average of 11 Connected Devices, and 5G Should Push That Even Higher », (décembre 2019), Variety. 

« Beware This Sinister New ‘Dark Side’ $1 Million Cyber Threat, You Must », (août 2020), Forbes.

« Why Every Small Business Should Care About Cyberattacks, in 5 Charts», Vox Creative.

« 5 Ways to Reduce Your Attack Surface », (août 2018), Security.