![\"Comportements](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/stormshield-comportements-suspects-sur-un-poste-de-travail-vfr-300x100.jpg\" "\\"De")
<\/p>\n<\/p>\n
Tenter de d\u00e9finir un comportement suspect peut s\u2019apparenter \u00e0 une \u00e9nigme tant le sujet est vaste et complexe \u00e0 quadriller. Pourtant, qu\u2019ils viennent des utilisateurs, des applications ou encore des lignes de codes, interroger les comportements suspects des postes de travail doit faire partie int\u00e9grante de la s\u00e9curit\u00e9 num\u00e9rique des entreprises. Explications.<\/strong><\/p>\n Entre l\u2019av\u00e8nement du Bring Your Own Device<\/em> (BYOD), le shadow IT<\/em>, et \u00e0 pr\u00e9sent la g\u00e9n\u00e9ralisation du t\u00e9l\u00e9travail, la s\u00e9curit\u00e9 informatique dans les entreprises est mise au d\u00e9fi. Les cybermenaces dans le monde du travail sont multiples et les postes de travail des collaborateurs sont des \u00e9l\u00e9ments-cl\u00e9s \u00e0 prendre en compte dans les proc\u00e9dures de s\u00e9curit\u00e9 informatique. Pour cela, ils doivent aussi \u00eatre observ\u00e9s \u00e0 la loupe\u2026 En effet, entre les acc\u00e8s aux fichiers, aux registres, aux r\u00e9seaux ou encore les lancements d\u2019applications, ces milliers voire millions d\u2019actions effectu\u00e9es chaque jour par nos postes de travail sont tout sauf anodines d\u00e8s lors qu\u2019elles sont corr\u00e9l\u00e9es avec un contexte, un m\u00e9tier ou encore un usage. Observer, contextualiser et analyser ces actions permet \u00e0 une organisation de d\u00e9finir ce qui rel\u00e8ve d\u2019un comportement suspect et ce qui rel\u00e8ve d\u2019une action l\u00e9gitime d\u2019un poste de travail. Et de r\u00e9agir en cons\u00e9quence.<\/p>\n <\/p>\n C\u2019est quoi un comportement suspect sur un poste de travail ?<\/strong> Le comportement suspect d\u2019un poste de travail peut se d\u00e9finir comme quelque chose qui s\u2019ex\u00e9cute \u00e0 l\u2019insu de l\u2019utilisateur, dans le but de r\u00e9aliser une action malveillante. Un comportement humain suspect serait par exemple une heure de connexion inhabituelle, comme en pleine nuit par exemple, ou encore le fait qu\u2019un utilisateur se connecte subitement \u00e0 son poste depuis l\u2019\u00e9tranger. Un comportement technique suspect peut quant \u00e0 lui se d\u00e9finir comme une anomalie au niveau du poste de travail. Et \u00e0 ce titre, plusieurs grandes cat\u00e9gories se distinguent. Il y a d\u2019abord la pr\u00e9sence de logiciels non r\u00e9pertori\u00e9s ou install\u00e9s \u00e0 l\u2019insu de la DSI \u2013 qui peuvent n\u2019\u00eatre \u00ab que \u00bb des expressions du shadow IT<\/em><\/a>. Il y a ensuite le comportement suspect qui est clairement malveillant et qui sort vraiment de l\u2019usage normal d\u2019une application ou d\u2019un poste, comme dans l\u2019exemple d\u2019un ransomware qui s\u2019introduit sur un poste et qui se met supprimer les sauvegardes et \u00e0 chiffrer les fichiers de mani\u00e8re tr\u00e8s rapide. Un autre type de comportement suspect qui est observ\u00e9 est le d\u00e9tournement du fonctionnement normal d\u2019un logiciel ou d\u2019une application, en trompant la vigilance de l\u2019utilisateur. Ces d\u00e9tournements sont plus subtils que les comportements clairement malveillants, c\u2019est le cas notamment du phishing<\/a>. Enfin, un comportement suspect peut aussi \u00eatre d\u00e9fini comme un encha\u00eenement d\u2019actions assez communes, et qui agissent discr\u00e8tement avant de pouvoir \u00eatre d\u00e9tect\u00e9es. C\u2019est le cas notamment des APT (Advanced Persistent Threat<\/em>).<\/p>\n D\u00e9finir un comportement suspect sert \u00e0 conna\u00eetre ce que l\u2019on doit d\u00e9tecter<\/em><\/p>\n L\u2019exercice qui consiste \u00e0 d\u00e9finir un comportement suspect ne se borne pas \u00e0 conna\u00eetre ces trois grandes cat\u00e9gories, et peut m\u00eame s\u2019av\u00e9rer assez complexe. En effet, un comportement qui est d\u00e9fini comme suspect par un d\u00e9partement ou un m\u00e9tier, ne va pas forc\u00e9ment s\u2019av\u00e9rer l\u2019\u00eatre pour un autre d\u00e9partement ou m\u00e9tier. \u00ab\u00a0Aujourd\u2019hui ce sont les Responsables IT qui ont la charge de d\u00e9finir un comportement suspect. Mais l\u2019IT ne peut pas tout conna\u00eetre et certains m\u00e9tiers ont des usages qui peuvent sortir de l\u2019ordinaire et se trouver \u00e0 la lisi\u00e8re d\u2019un comportement suspect<\/em>\u00a0\u00bb, explique S\u00e9bastien Viou<\/strong>, Directeur Cybers\u00e9curit\u00e9 Produit et Cyber-\u00c9vang\u00e9liste chez Stormshield. Au-del\u00e0 du r\u00f4le d\u2019un d\u00e9partement IT, il y a donc un int\u00e9r\u00eat \u00e0 ce que chaque m\u00e9tier puisse d\u00e9finir ses propres usages et soit acteur de sa s\u00e9curit\u00e9. \u00ab La cybers\u00e9curit\u00e9 doit tendre \u00e0 \u00eatre le sujet de chacun<\/em>\u00a0\u00bb pr\u00e9cise S\u00e9bastien Viou. D\u00e9finir des comportements suspects en fonction des m\u00e9tiers et des usages est une d\u00e9marche pertinente mais difficile, car il faut \u00e0 la fois contr\u00f4ler ces usages tout en garantissant qu\u2019ils restent fluides.<\/strong><\/p>\n Comprendre un comportement suspect, le d\u00e9finir et ensuite bien le d\u00e9tecter n\u2019est donc pas une mince affaire et cela n\u00e9cessite aussi beaucoup de recherche et d\u2019analyse. Mais alors, si la t\u00e2che est si ardue, pourquoi d\u00e9finir ce qu\u2019est un comportement suspect\u00a0? \u00ab\u00a0D\u00e9finir un comportement suspect sert \u00e0 conna\u00eetre ce que l\u2019on doit d\u00e9tecter. Pour les acteurs cyber, cet exercice permet aussi de partager la connaissance au travers d\u2019un langage commun, notamment via la matrice MITRE ATT&CK<\/a><\/em>\u00a0\u00bb, informe Thierry Franzetti<\/strong>, Technical Leader chez Stormshield. Ce partage de connaissances permet notamment de recenser les techniques qui sont utilis\u00e9es \u00e0 des fins malveillantes. Mais ce travail d\u2019analyse n\u00e9cessite avant de bien comprendre les techniques d\u2019attaques et notamment les grands vecteurs d\u2019infections des postes de travail.<\/p>\n <\/p>\n Lorsqu\u2019un comportement suspect est d\u00e9tect\u00e9 sur un poste de travail, c\u2019est en g\u00e9n\u00e9ral qu\u2019il y a une attaque en cours ou en pr\u00e9paration. Il existe un certain nombre de vecteurs d\u2019infection qui ciblent ces postes, dont quatre qui se distinguent particuli\u00e8rement.<\/p>\n Le premier grand vecteur d\u2019infection utilis\u00e9 est le phishing, avec 75 \u00e0 80% des malwares<\/a> qui l\u2019utilisent. Le phishing s\u00e9duit de nombreux attaquants car il est \u00e0 la fois simple \u00e0 r\u00e9aliser, efficace et permet de toucher un maximum d\u2019individus.<\/p>\n \u00c0 titre d\u2019exemple, en d\u00e9cembre 2019, des chercheurs de Kaspersky ont d\u00e9couvert que des cybercriminels avaient saisi l\u2019occasion de la sortie d\u2019un des films les plus attendus de l\u2019ann\u00e9e, Star Wars, pour mener une campagne de phishing<\/a>\u00a0: une trentaine de sites web frauduleux \u00e0 l\u2019image du film ont \u00e9t\u00e9 d\u00e9tect\u00e9s. Par le biais de ces sites, les attaquants ont induit en erreur de nombreux internautes, en leur faisant miroiter une version gratuite du film, t\u00e9l\u00e9chargeable depuis ces sites malveillants. Gr\u00e2ce \u00e0 ce mode op\u00e9ratoire, les attaquants ont pu collecter les donn\u00e9es personnelles des internautes pi\u00e9g\u00e9s. Ces attaques par phishing ont \u00e9galement pris beaucoup d\u2019ampleur ces derniers mois, avec le contexte de la crise sanitaire que les attaquants n\u2019ont pas manqu\u00e9 d\u2019exploiter<\/a>. Ainsi, de nombreuses campagnes de phishing jouant sur le th\u00e8me de la sant\u00e9 et de la pr\u00e9vention dans le cadre de l\u2019\u00e9pid\u00e9mie de Covid-19 ont \u00e9t\u00e9 d\u00e9ploy\u00e9es. Par ailleurs, le passage d\u2019une large partie de la population en t\u00e9l\u00e9travail n\u2019a fait que renforcer cette tendance. D\u2019apr\u00e8s les premiers chiffres<\/a>, les tentatives de phishing auraient par exemple augment\u00e9 de 400% durant la premi\u00e8re semaine du confinement.<\/p>\n Un autre vecteur utilis\u00e9 pour infecter un poste de travail\u00a0: les p\u00e9riph\u00e9riques USB. Souris, cl\u00e9s, claviers, etc., ces p\u00e9riph\u00e9riques sont consid\u00e9r\u00e9s comme des vecteurs d\u2019infection plus cibl\u00e9s. Un mode op\u00e9ratoire utilis\u00e9 consiste \u00e0 laisser une cl\u00e9 USB avec une charge malveillante par terre, \u00e0 proximit\u00e9 d\u2019une entreprise cibl\u00e9e. La curiosit\u00e9 naturelle de certains collaborateurs va faire en sorte que la cl\u00e9 soit assez rapidement r\u00e9cup\u00e9r\u00e9e et branch\u00e9e sur un poste de travail.<\/p>\n Dans une \u00e9tude<\/a> sur les attaques via des p\u00e9riph\u00e9riques USB, le SSTIC fait \u00e9tat de la grande surface d\u2019attaque qu\u2019offrent ces p\u00e9riph\u00e9riques et notamment les cl\u00e9s (fuites d\u2019informations, \u00e9l\u00e9vation de privil\u00e8ges, etc.) et des modes op\u00e9ratoires qui peuvent \u00eatre utilis\u00e9s par les attaquants. Par exemple, un poste de travail peut \u00eatre infect\u00e9 au moment o\u00f9 l\u2019utilisateur va ouvrir l\u2019un des fichiers pr\u00e9sents sur la cl\u00e9, ou encore simplement lors du branchement de celle-ci sur un poste.<\/p>\n Autre vecteur d\u2019infection possible\u00a0: la compromission des protocoles d\u2019acc\u00e8s distants, les RDP (Remote Desktop Protocol<\/em>). Ces protocoles permettent d\u2019acc\u00e9der \u00e0 des postes ou des machines \u00e0 distance (bureaux \u00e0 distance, etc.). Ce vecteur d\u2019infection est par exemple utilis\u00e9 pour des ransomwares. C\u2019est le cas du ransomware<\/a> SamSam, d\u00e9couvert en 2015 et qui cible sp\u00e9cifiquement les serveurs Windows. En 2018, le FBI s\u2019est pench\u00e9 sur le mode op\u00e9ratoire de SamSam et r\u00e9v\u00e8le que le protocole RDP serait utilis\u00e9 comme vecteur d\u2019infection pour atteindre les serveurs Windows.<\/p>\n Pour les protocoles RDP, l\u00e0 encore, le contexte li\u00e9 \u00e0 la pand\u00e9mie a amplifi\u00e9 le ph\u00e9nom\u00e8ne, et notamment les attaques de type brute force. En effet, avec le confinement et la g\u00e9n\u00e9ralisation du t\u00e9l\u00e9travail, des collaborateurs se sont retrouv\u00e9s dans la n\u00e9cessit\u00e9 d\u2019acc\u00e9der \u00e0 distance \u00e0 leur environnement professionnel depuis leurs terminaux personnels et sans \u00eatre forc\u00e9ment tr\u00e8s au fait des r\u00e8gles de s\u00e9curit\u00e9 en t\u00e9l\u00e9travail. Le nombre de compromissions de protocoles RDP a donc nettement augment\u00e9<\/a>.<\/p>\n Ces vecteurs d\u2019infection sont autant de risques de cybermalveillance pour les organisations, auxquels s\u2019ajoutent la question de la cybers\u00e9curit\u00e9 en t\u00e9l\u00e9travail. Les entreprises ont plus que jamais besoin d\u2019\u00eatre accompagn\u00e9es par les acteurs cyber afin de limiter les failles de s\u00e9curit\u00e9 qui peuvent exister et d\u2019encadrer et de mieux comprendre les comportements dits suspects, pour \u00eatre mieux arm\u00e9s et lutter contre la cybercriminalit\u00e9 en entreprise.<\/p>\n <\/p>\n Les solutions de s\u00e9curit\u00e9<\/a> permettant de d\u00e9tecter et de surveiller des comportements suspects ont \u00e9volu\u00e9. Auparavant, la solution utilis\u00e9e pour se prot\u00e9ger des attaques cyber \u00e9tait l\u2019antivirus. Une approche qui s\u2019est assez vite av\u00e9r\u00e9e insuffisante, puisque l\u2019antivirus ne d\u00e9tecte pas de comportements mais bien des codes malveillants connus. \u00ab\u00a0Certaines techniques d\u2019attaques cherchent \u00e0 se cacher des antivirus, donc il faut imaginer des solutions qui viennent compl\u00e9ter ce type de d\u00e9tection et qui envisagent aussi la d\u00e9tection d\u2019usages non-standards<\/em>\u00a0\u00bb, pr\u00e9cise Thierry Franzetti. Sont ensuite arriv\u00e9es des solutions de s\u00e9curit\u00e9 plus \u00e9volu\u00e9es, avec d\u2019abord l\u2019utilisation des Endpoint Protection Plateforms<\/em> (EPP), qui permettent de d\u00e9tecter les comportements suspects clairement malveillants, et qui ont des fonctions de protection des postes de travail. Puis les solutions Endpoint Detection & Response<\/em> \u2013 EDR \u2013 ont fait leur apparition. Ces solutions EDR, elles, r\u00e9pondent \u00e0 cette demande de d\u00e9tection des comportements suspects puisqu\u2019elles sont dans une logique de d\u00e9tection proactive de menaces non encore connues, en \u00ab \u00e9coutant \u00bb tout ce qui se passe sur un poste et en d\u00e9tectant les signaux faibles, comme le lancement soudain de nombreuses op\u00e9rations sur un m\u00eame poste par exemple. Les solutions EPP et EDR apportent chacune des niveaux de protection et de d\u00e9tection int\u00e9ressants, et surtout compl\u00e9mentaires en fonction des usages des entreprises. L\u2019intelligence artificielle (IA) est une solution qui va souvent de pair avec l\u2019EDR. \u00ab\u00a0L\u2019IA apporte notamment une puissance de calcul plus forte permettant d\u2019identifier des comportements inattendus et de leur donner une note pour ensuite pouvoir les classifier et mieux y r\u00e9agir<\/em>\u00a0\u00bb, explique S\u00e9bastien Viou. Une IA qui commence en effet \u00e0 \u00eatre de plus en plus int\u00e9gr\u00e9e dans des briques de solutions de cybers\u00e9curit\u00e9, et dont les chercheurs semblent tomber d\u2019accord sur sa pertinence. \u00c0 titre d\u2019exemple, les renseignements britanniques ont r\u00e9cemment men\u00e9 une \u00e9tude sur l\u2019int\u00e9r\u00eat de l\u2019IA<\/a>\u00a0pour lutter contre les menaces cyber et, l\u2019identification de comportements suspects ressort comme l\u2019un des domaines dans lequel le d\u00e9ploiement de l\u2019IA pourrait avoir une vraie valeur ajout\u00e9e.<\/p>\nComment d\u00e9finir un comportement suspect\u00a0?<\/h2>\n
Thierry Franzetti,<\/strong> Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
Les grands vecteurs d\u2019infection des postes de travail<\/h2>\n
Le phishing<\/em><\/h3>\n
Les p\u00e9riph\u00e9riques USB<\/em><\/h3>\n
Les protocoles d\u2019acc\u00e8s distants<\/em><\/h3>\n
Les solutions Endpoint \u00e0 la rescousse<\/h2>\n