Tenter de définir un comportement suspect peut s’apparenter à une énigme tant le sujet est vaste et complexe à quadriller. Pourtant, qu’ils viennent des utilisateurs, des applications ou encore des lignes de codes, interroger les comportements suspects des postes de travail doit faire partie intégrante de la sécurité numérique des entreprises. Explications.
Entre l’avènement du Bring Your Own Device (BYOD), le shadow IT, et à présent la généralisation du télétravail, la sécurité informatique dans les entreprises est mise au défi. Les cybermenaces dans le monde du travail sont multiples et les postes de travail des collaborateurs sont des éléments-clés à prendre en compte dans les procédures de sécurité informatique. Pour cela, ils doivent aussi être observés à la loupe… En effet, entre les accès aux fichiers, aux registres, aux réseaux ou encore les lancements d’applications, ces milliers voire millions d’actions effectuées chaque jour par nos postes de travail sont tout sauf anodines dès lors qu’elles sont corrélées avec un contexte, un métier ou encore un usage. Observer, contextualiser et analyser ces actions permet à une organisation de définir ce qui relève d’un comportement suspect et ce qui relève d’une action légitime d’un poste de travail. Et de réagir en conséquence.
Comment définir un comportement suspect ?
C’est quoi un comportement suspect sur un poste de travail ? Le comportement suspect d’un poste de travail peut se définir comme quelque chose qui s’exécute à l’insu de l’utilisateur, dans le but de réaliser une action malveillante. Un comportement humain suspect serait par exemple une heure de connexion inhabituelle, comme en pleine nuit par exemple, ou encore le fait qu’un utilisateur se connecte subitement à son poste depuis l’étranger. Un comportement technique suspect peut quant à lui se définir comme une anomalie au niveau du poste de travail. Et à ce titre, plusieurs grandes catégories se distinguent. Il y a d’abord la présence de logiciels non répertoriés ou installés à l’insu de la DSI – qui peuvent n’être « que » des expressions du shadow IT. Il y a ensuite le comportement suspect qui est clairement malveillant et qui sort vraiment de l’usage normal d’une application ou d’un poste, comme dans l’exemple d’un ransomware qui s’introduit sur un poste et qui se met supprimer les sauvegardes et à chiffrer les fichiers de manière très rapide. Un autre type de comportement suspect qui est observé est le détournement du fonctionnement normal d’un logiciel ou d’une application, en trompant la vigilance de l’utilisateur. Ces détournements sont plus subtils que les comportements clairement malveillants, c’est le cas notamment du phishing. Enfin, un comportement suspect peut aussi être défini comme un enchaînement d’actions assez communes, et qui agissent discrètement avant de pouvoir être détectées. C’est le cas notamment des APT (Advanced Persistent Threat).
Définir un comportement suspect sert à connaître ce que l’on doit détecter
Thierry Franzetti, Technical Leader Stormshield
L’exercice qui consiste à définir un comportement suspect ne se borne pas à connaître ces trois grandes catégories, et peut même s’avérer assez complexe. En effet, un comportement qui est défini comme suspect par un département ou un métier, ne va pas forcément s’avérer l’être pour un autre département ou métier. « Aujourd’hui ce sont les Responsables IT qui ont la charge de définir un comportement suspect. Mais l’IT ne peut pas tout connaître et certains métiers ont des usages qui peuvent sortir de l’ordinaire et se trouver à la lisière d’un comportement suspect », explique Sébastien Viou, Directeur Cybersécurité Produit et Cyber-Évangéliste chez Stormshield. Au-delà du rôle d’un département IT, il y a donc un intérêt à ce que chaque métier puisse définir ses propres usages et soit acteur de sa sécurité. « La cybersécurité doit tendre à être le sujet de chacun » précise Sébastien Viou. Définir des comportements suspects en fonction des métiers et des usages est une démarche pertinente mais difficile, car il faut à la fois contrôler ces usages tout en garantissant qu’ils restent fluides.
Comprendre un comportement suspect, le définir et ensuite bien le détecter n’est donc pas une mince affaire et cela nécessite aussi beaucoup de recherche et d’analyse. Mais alors, si la tâche est si ardue, pourquoi définir ce qu’est un comportement suspect ? « Définir un comportement suspect sert à connaître ce que l’on doit détecter. Pour les acteurs cyber, cet exercice permet aussi de partager la connaissance au travers d’un langage commun, notamment via la matrice MITRE ATT&CK », informe Thierry Franzetti, Technical Leader chez Stormshield. Ce partage de connaissances permet notamment de recenser les techniques qui sont utilisées à des fins malveillantes. Mais ce travail d’analyse nécessite avant de bien comprendre les techniques d’attaques et notamment les grands vecteurs d’infections des postes de travail.
Les grands vecteurs d’infection des postes de travail
Lorsqu’un comportement suspect est détecté sur un poste de travail, c’est en général qu’il y a une attaque en cours ou en préparation. Il existe un certain nombre de vecteurs d’infection qui ciblent ces postes, dont quatre qui se distinguent particulièrement.
Le phishing
Le premier grand vecteur d’infection utilisé est le phishing, avec 75 à 80% des malwares qui l’utilisent. Le phishing séduit de nombreux attaquants car il est à la fois simple à réaliser, efficace et permet de toucher un maximum d’individus.
À titre d’exemple, en décembre 2019, des chercheurs de Kaspersky ont découvert que des cybercriminels avaient saisi l’occasion de la sortie d’un des films les plus attendus de l’année, Star Wars, pour mener une campagne de phishing : une trentaine de sites web frauduleux à l’image du film ont été détectés. Par le biais de ces sites, les attaquants ont induit en erreur de nombreux internautes, en leur faisant miroiter une version gratuite du film, téléchargeable depuis ces sites malveillants. Grâce à ce mode opératoire, les attaquants ont pu collecter les données personnelles des internautes piégés. Ces attaques par phishing ont également pris beaucoup d’ampleur ces derniers mois, avec le contexte de la crise sanitaire que les attaquants n’ont pas manqué d’exploiter. Ainsi, de nombreuses campagnes de phishing jouant sur le thème de la santé et de la prévention dans le cadre de l’épidémie de Covid-19 ont été déployées. Par ailleurs, le passage d’une large partie de la population en télétravail n’a fait que renforcer cette tendance. D’après les premiers chiffres, les tentatives de phishing auraient par exemple augmenté de 400% durant la première semaine du confinement.
Les périphériques USB
Un autre vecteur utilisé pour infecter un poste de travail : les périphériques USB. Souris, clés, claviers, etc., ces périphériques sont considérés comme des vecteurs d’infection plus ciblés. Un mode opératoire utilisé consiste à laisser une clé USB avec une charge malveillante par terre, à proximité d’une entreprise ciblée. La curiosité naturelle de certains collaborateurs va faire en sorte que la clé soit assez rapidement récupérée et branchée sur un poste de travail.
Dans une étude sur les attaques via des périphériques USB, le SSTIC fait état de la grande surface d’attaque qu’offrent ces périphériques et notamment les clés (fuites d’informations, élévation de privilèges, etc.) et des modes opératoires qui peuvent être utilisés par les attaquants. Par exemple, un poste de travail peut être infecté au moment où l’utilisateur va ouvrir l’un des fichiers présents sur la clé, ou encore simplement lors du branchement de celle-ci sur un poste.
Les protocoles d’accès distants
Autre vecteur d’infection possible : la compromission des protocoles d’accès distants, les RDP (Remote Desktop Protocol). Ces protocoles permettent d’accéder à des postes ou des machines à distance (bureaux à distance, etc.). Ce vecteur d’infection est par exemple utilisé pour des ransomwares. C’est le cas du ransomware SamSam, découvert en 2015 et qui cible spécifiquement les serveurs Windows. En 2018, le FBI s’est penché sur le mode opératoire de SamSam et révèle que le protocole RDP serait utilisé comme vecteur d’infection pour atteindre les serveurs Windows.
Pour les protocoles RDP, là encore, le contexte lié à la pandémie a amplifié le phénomène, et notamment les attaques de type brute force. En effet, avec le confinement et la généralisation du télétravail, des collaborateurs se sont retrouvés dans la nécessité d’accéder à distance à leur environnement professionnel depuis leurs terminaux personnels et sans être forcément très au fait des règles de sécurité en télétravail. Le nombre de compromissions de protocoles RDP a donc nettement augmenté.
Ces vecteurs d’infection sont autant de risques de cybermalveillance pour les organisations, auxquels s’ajoutent la question de la cybersécurité en télétravail. Les entreprises ont plus que jamais besoin d’être accompagnées par les acteurs cyber afin de limiter les failles de sécurité qui peuvent exister et d’encadrer et de mieux comprendre les comportements dits suspects, pour être mieux armés et lutter contre la cybercriminalité en entreprise.
Les solutions Endpoint à la rescousse
Les solutions de sécurité permettant de détecter et de surveiller des comportements suspects ont évolué. Auparavant, la solution utilisée pour se protéger des attaques cyber était l’antivirus. Une approche qui s’est assez vite avérée insuffisante, puisque l’antivirus ne détecte pas de comportements mais bien des codes malveillants connus. « Certaines techniques d’attaques cherchent à se cacher des antivirus, donc il faut imaginer des solutions qui viennent compléter ce type de détection et qui envisagent aussi la détection d’usages non-standards », précise Thierry Franzetti. Sont ensuite arrivées des solutions de sécurité plus évoluées, avec d’abord l’utilisation des Endpoint Protection Plateforms (EPP), qui permettent de détecter les comportements suspects clairement malveillants, et qui ont des fonctions de protection des postes de travail. Puis les solutions Endpoint Detection & Response – EDR – ont fait leur apparition. Ces solutions EDR, elles, répondent à cette demande de détection des comportements suspects puisqu’elles sont dans une logique de détection proactive de menaces non encore connues, en « écoutant » tout ce qui se passe sur un poste et en détectant les signaux faibles, comme le lancement soudain de nombreuses opérations sur un même poste par exemple. Les solutions EPP et EDR apportent chacune des niveaux de protection et de détection intéressants, et surtout complémentaires en fonction des usages des entreprises. L’intelligence artificielle (IA) est une solution qui va souvent de pair avec l’EDR. « L’IA apporte notamment une puissance de calcul plus forte permettant d’identifier des comportements inattendus et de leur donner une note pour ensuite pouvoir les classifier et mieux y réagir », explique Sébastien Viou. Une IA qui commence en effet à être de plus en plus intégrée dans des briques de solutions de cybersécurité, et dont les chercheurs semblent tomber d’accord sur sa pertinence. À titre d’exemple, les renseignements britanniques ont récemment mené une étude sur l’intérêt de l’IA pour lutter contre les menaces cyber et, l’identification de comportements suspects ressort comme l’un des domaines dans lequel le déploiement de l’IA pourrait avoir une vraie valeur ajoutée.
Au-delà des solutions Endpoint, d’autres solutions sont envisagées comme le sandboxing, qui permet d’ouvrir des fichiers ou exécuter des éléments inconnus ou suspects dans un environnement de test cloisonné, sans prendre le risque de compromettre le poste de travail.
Mais s’il existe un certain nombre de solutions de sécurité pour répondre aux enjeux de cybersécurité en entreprise et plus particulièrement aux enjeux liés aux comportements suspects, ces solutions doivent être implémentées en tenant compte des contextes auxquels elles s’appliquent. Le rôle des éditeurs est de bien définir en amont les comportements suspects recherchés. « Une solution de sécurité n’est qu’un outil, ce qui est primordial c’est la manière dont on le configure et dont on le maintien », précise Sébastien Viou. Les éditeurs doivent donc ainsi être en mesure de pré-configurer leurs solutions en embarquant l’ensemble des mesures et des règles (règles paramétrables qui s’adaptent à chaque contexte ou métier) qui vont permettre d’apporter le bon niveau de détection. Mais également de fournir un environnement facile à configurer pour les administrateurs. Pour être efficaces, les solutions doivent donc embarquer des jeux de protection (gestion de périphériques, élévation de privilèges, etc.), ainsi que des patterns de comportements associés. Par ailleurs, les solutions Endpoint ne sont pas infaillibles et les faux positifs existent. « Bien que l’on arrive à définir des éléments de base de protection, la variété des comportements suspects et non suspects sur un poste de travail est tellement grande qu’il va toujours y avoir des exceptions », analyse Thierry Franzetti. Pour limiter les faux positifs, l’idéal est de pouvoir définir une whitelist (ou allowlist), afin de ne pas bloquer des usages légitimes. Pour être pleinement efficace, il est intéressant de pouvoir décliner cette approche par métier, et ainsi adapter la protection aux différents comportements.
Afficher une fenêtre dans son navigateur Internet, ouvrir un document Word ou PDF, télécharger des fichiers… Tous ces gestes du quotidien en entreprise n’ont pas fini d’alimenter les réflexions liées aux enjeux de la sécurité des SI. Et les comportements suspects, sujet majeur de la cybersécurité en entreprise, n’ont pas fini de donner du fil à retordre.
