Les risques cyber sont désormais bien connus des entreprises, tout comme les méthodes employées par les pirates informatiques pour dérober des données ou provoquer des interruptions de service – phishing, ransomware, malware, arnaque au président et autres cyberattaques dont les organisations ont appris à se méfier.
Mais savez-vous comment les hackers s’introduisent dans les SI ? Quelles « portes » ils ouvrent pour accéder à vos informations sensibles et dérober vos données ? Ces portes d’entrée sur le système d’information, c’est ce qu’on appelle les « vecteurs d’attaques » : voici les 4 principaux.
1. Les failles logicielles comme vecteurs d’attaques privilégiés
Le vecteur « logiciel » consiste, pour le hacker, à exploiter une faille ou un défaut de paramétrage afin de pénétrer dans le système d’information de l’entreprise.
Ces vulnérabilités constituent des portes d’entrée extrêmement efficaces pour les cybercriminels, en particulier lorsqu’elles touchent aux applications utilisées par les collaborateurs :
- Systèmes d’exploitation (Windows, OS, etc.).
- Outils métiers (CRM, ERP, intranet, etc.).
- Plateformes web (comme des CMS et autres applicatifs sur le Cloud) et extensions installées dessus.
On peut voir ces vulnérabilités comme des serrures détériorées : les pirates informatiques n’ont plus qu’à taper au bon endroit pour les faire tomber et pénétrer dans les lieux.
Le problème étant que le risque est proportionnel au nombre d’applications utilisées, car chaque faille de sécurité représente une porte d’entrée dans le SI.
Comment se protéger contre le vecteur d’attaque logiciel ?
La meilleure protection consiste à éliminer la vulnérabilité en procédant aux mises à jour des logiciels, plateformes web, systèmes d’exploitation et extensions dès que cette option est disponible (idéalement, en activant l’installation automatique).
Ce simple geste est susceptible de corriger la plupart des vulnérabilités, mais pas toutes – car certaines sont inconnues et n’ont donc pas de correctif immédiat. Si jamais un outil ne propose plus de correctif, il est alors préférable d’en changer.
La collaboration sécurisée
Créez, éditez, partagez efficacement vos documents sensibles dans un environnement de confiance.
De plus, l’installation d’un nouvel outil professionnel doit toujours faire l’objet de vérifications préalables : le développeur est-il digne de confiance ? La communauté a-t-elle signalé une faille de sécurité ? Les collaborateurs souhaitant implémenter un applicatif nouveau doivent d’abord en référer à la DSI.
2. Le réseau : un vecteur d’attaque virtuel susceptible d’occasionner de gros dégâts
Un réseau informatique est formé d’un ensemble d’équipements reliés entre eux (l’infrastructure), mais aussi de couches virtuelles intermédiaires : les protocoles et services.
Ces derniers contribuent aux échanges d’informations entre les équipements du réseau grâce à des équipements d’interconnexion comme des routeurs, des commutateurs ou des antennes GSM.
Ce sont ces couches spécifiques qui représentent autant de vecteurs d’attaques à surveiller. Voici quatre exemples de problématiques liées à la sécurité d’un réseau :
- La possibilité pour les pirates informatiques de pousser le réseau à la panne : c’est ce qu’on appelle une attaque par déni de service (DDoS), celle-ci consistant à lancer un gros volume de requêtes vers un serveur dans le but de le surcharger. Une partie du SI devient alors inaccessible.
- L’absence de cryptage des données laisse la porte ouverte à des personnes malintentionnées qui voudraient les consulter ou les intercepter lorsqu’elles transitent entre plusieurs réseaux (comme dans le cadre d’une attaque de l’homme au milieu).
- Les connexions web non sécurisées, notamment lorsqu’un utilisateur se connecte au WiFi dans un lieu public (une gare, une bibliothèque…) : toute communication mal protégée est susceptible d’être interceptée, lue, voire modifiée.
- Les pages web infectées, consultées par les collaborateurs, et qui permettent aux cybercriminels de pénétrer sur une machine donnée, puis sur le réseau.
Comment se protéger contre le vecteur d’attaque réseau ?
On distingue quatre leviers à actionner pour se prémunir contre ces points de passage :
- La mise à jour des logiciels associés aux équipements réseaux.
- L’emploi de protocoles de chiffrement des données (HTTPS pour les sites web, SSH pour l’accès à distance, SFTP/FTPS pour le transfert de fichiers).
- L’utilisation d’un VPN (une solution de réseau privé virtuel).
- La sensibilisation des collaborateurs pour qu’ils apprennent à repérer les pages web non sécurisées.
3. L’humain : un vecteur majeur (mais trop souvent négligé) des cyberattaques
Les vecteurs d’attaques ne sont pas exclusivement techniques. L’humain joue un rôle majeur dans la survenue des actes de malveillance : 74 % des brèches de données ont une origine humaine, selon le rapport 2023 de Verizon. Quelles sont les principales faiblesses liées à ce vecteur ?
- Un mot de passe trop faible, donc très facile à hacker. Le danger est démultiplié lorsque le même mot de passe est utilisé pour se connecter à plusieurs services.
- Un email trompeur reçu par un collaborateur. C’est le principe du phishing – le pirate se fait passer pour un tiers (collègue de travail, organisme privé, etc.) pour s’attirer la confiance du destinataire, qui clique sur un lien ou télécharge une pièce jointe, avec de gros dégâts à la clé. C’est le vecteur d’attaque le plus fréquent pour 73 % des entreprises (7ème baromètre du CESIN).
- L’ingénierie sociale. Cette technique de manipulation vise à obtenir d’une personne des informations confidentielles qui permettront au cybercriminel d’instaurer un climat de confiance et de collecter des données concernant l’entreprise.
- La menace d’initiés se produit lorsqu’un collaborateur livre des données confidentielles à des tiers malveillants, que ce geste soit accidentel (pour répondre à une fausse menace externe) ou intentionnel (la vengeance d’un employé mécontent).
Comment se protéger contre le vecteur d’attaque humain ?
Évidemment, il est impossible de « patcher » le comportement humain… mais on peut sensibiliser les collaborateurs aux vecteurs d’attaques cyber.
Des formations visent à leur apprendre à concevoir des mots de passe plus forts et à les changer régulièrement, à adopter les bons réflexes lorsqu’ils reçoivent des emails suspects, à lancer des procédures de vérification lorsqu’un tiers les incite à divulguer des informations, etc.
Autres mesures à prendre :
- Moduler les droits d’accès aux applications en fonction des besoins des utilisateurs et du degré de sensibilité des données échangées.
- Installer toutes les mises à jour dès qu’elles sont disponibles.
- Protéger les serveurs de messagerie avec des outils dédiés.
70 % des risques sont réduits lorsque des investissements sont réalisés dans la formation et dans la sensibilisation (KnowBe4).
4. Le vecteur physique ou matériel : lorsque le risque s’introduit dans les locaux
Terminons ce tour d’horizon des vecteurs d’attaques avec les dangers matériels. Au sens strict, puisqu’il s’agit essentiellement des équipements amenés de l’extérieur par les collaborateurs, susceptibles de contribuer à l’implantation d’un virus informatique dans le SI de l’entreprise.
Cette menace se focalise sur le matériel que les employés peuvent connecter aux machines, à l’image d’une simple clé USB : porteuse d’un malware, elle est capable d’infecter le système d’information en quelques instants.
Autre exemple : le téléphone portable, via lequel les collaborateurs sont amenés à échanger des informations professionnelles (et parfois sensibles) sans pour autant penser à mal. Le simple fait de répondre à un email depuis une messagerie non sécurisée sur un smartphone peut avoir des répercussions.
De fait, le Shadow IT n’est pas qu’une menace virtuelle : près d’une cyberattaque sur cinq est causée par l’utilisation de ressources informatiques non autorisées par la DSI (Bankinfosecurity).
Enfin, le risque d’une attaque sur site ne doit pas être négligé. Ces intrusions sont rares (nous ne sommes pas dans Mission : Impossible !), mais elles adviennent malgré tout : un tiers malveillant pénètre dans les locaux et accède à un ordinateur ou à un serveur, afin d’en extraire des données ou d’injecter un malware dans le système.
Comment se protéger contre le vecteur d’attaque matériel/physique ?
Pour la partie matérielle, c’est simple : il faut proscrire absolument toute utilisation d’appareils personnels au sein de l’entreprise en l’absence d’une autorisation donnée par la DSI. Ce qui passe par des mesures de sensibilisation.
Pour la partie physique, il s’agit d’éviter les intrusions en limitant les accès aux sections sensibles de l’entreprise (la salle des serveurs, notamment), voire en fermant totalement les locaux aux personnes non autorisées.
Les vecteurs d’attaques cyber sont aussi variés que mal connus. Ils méritent d’être mis en avant par le biais de campagnes de sensibilisation, car nombre d’entre eux s’appuient directement sur le facteur humain.
Il faut aussi en réduire le spectre au maximum, c’est-à-dire limiter la « surface d’attaque » en éliminant les vecteurs les plus dangereux : ceux qui donnent accès aux données sensibles et stratégiques de l’entreprise.
Pour cela, il est indispensable d’utiliser des outils offrant des niveaux de sécurité adaptés aux besoins de l’organisation – comme le font les solutions collaboratives d’Oodrive.