Voleurs d'identité : comment leur rendre la vie difficile

Les voleurs d'identité sévissent de plusieurs manières : Les criminels s'emparent des identités principalement par le biais de technologies de phishing (67%) et de logiciels malveillants (33%). C'est ce que révèle le Global Threat Intelligence Report (GTIR) 2019 de NTT Security. Selon le GTIR 2019, les attaques de phishing visent les comptes Google (27%) et surtout Microsoft (45%), Office 365 en tête. Mais les applications Microsoft ne sont pas seulement la cible favorite des attaques de phishing, les campagnes de spam par malware sont également un problème majeur. Plus de 95% des malwares liés à l'usurpation d'identité visent des vulnérabilités dans une application Microsoft Office ou un système d'exploitation Microsoft, dont près de 35% exploitent la faille de sécurité CVE-2017-11882. En ce qui concerne les logiciels malveillants enregistreurs de frappe, le cheval de Troie "Trickbot" (62%) joue un rôle important. Auparavant, Trickbot ne visait que les données bancaires, la nouvelle variante peut également récupérer les mots de passe d'autres applications.

Une usurpation d'identité aux conséquences importantes

L'impact de l'usurpation d'identité sur les entreprises est énorme : les pertes se chiffrent rapidement en millions de dollars lorsque des fraudeurs se font passer pour le chef d'entreprise et ordonnent des paiements sur de faux comptes. L'espionnage économique ou le chantage, y compris les demandes de rançon, peuvent également avoir de graves conséquences financières. Si les entreprises n'ont plus accès aux données importantes, par exemple lors d'une attaque de ransomware, l'activité courante est perturbée ou, dans le pire des cas, arrêtée.

Cinq conseils pour lutter contre l'usurpation d'identité

Cinq mesures permettent toutefois aux entreprises de rendre l'usurpation d'identité plus difficile et de prendre les bonnes mesures en cas d'urgence :

1. Tout d'abord, les entreprises ont besoin de mots de passe forts. Les mots de passe faibles représentent encore souvent le plus grand point faible en matière de sécurité. Si le même login ou un login très similaire est utilisé pour différents comptes, les pirates peuvent réutiliser des données d'accès volées. Pour une véritable protection, les utilisateurs devraient avoir à prouver ou à saisir, en plus du mot de passe, un deuxième facteur d'authentification qu'un pirate ne peut pas connaître ou posséder. Les jetons modernes dans le cadre d'une authentification multifactorielle (MFA) sont une solution efficace. Une sorte de mot de passe unique est généré pour chaque processus d'authentification - par exemple un code envoyé par SMS ou un message push demandant de "confirmer" ou de "refuser". L'authentification multi-facteurs est surtout nécessaire pour les systèmes dont l'accès requiert des droits d'administrateur. Il devient ainsi beaucoup plus difficile pour les pirates d'accéder à des informations et à des réseaux sensibles en utilisant d'anciens noms d'utilisateur et mots de passe. En outre, les données électroniques devraient être cryptées et les documents protégés par des signatures numériques.
2. Chaque collaborateur ne doit pas nécessairement avoir accès à chaque zone du réseau de l'entreprise. Les entreprises devraient segmenter le réseau et définir précisément qui a quels droits. Cela vaut bien sûr et surtout pour les environnements cloud et hybrides. Les criminels qui s'emparent d'un accès moins privilégié ne peuvent ainsi pas s'introduire immédiatement dans l'ensemble du réseau de l'entreprise.
3. La formation des collaborateurs est un point important. Des formations ciblées sur les directives de sécurité, les menaces actuelles et la manière de les gérer augmentent la vigilance et la sensibilisation de chaque utilisateur. Il convient notamment de définir des règles définissant les comportements à adopter en cas de demandes par e-mail concernant des virements bancaires.
4. Une stratégie de réponse aux incidents permet d'avancer en cas d'attaque. Outre la question de la réaction appropriée, il faut surtout se demander si un incident peut être détecté et en combien de temps. Les réponses sont fournies par une vue complète et en temps réel du trafic réseau et par des logiques sophistiquées pour une analyse réussie. Lorsqu'un incident se produit, les responsables doivent d'abord qualifier, évaluer et classer un incident de sécurité. Le contexte et les risques qui y sont liés sont décisifs à cet égard, car tous les incidents ne sont pas des incidents de sécurité et n'ont pas les mêmes conséquences. Une fois le problème identifié, la tâche suivante consiste à stopper la cyberattaque et à limiter les dégâts. Pour ce faire, les collaborateurs IT doivent examiner en détail tous les composants potentiellement concernés, tels que les systèmes d'exploitation, les fichiers de configuration, les applications et les données, à l'aide d'un Security Playbook qui décrit précisément la procédure à suivre, et prendre également les mesures de récupération de données nécessaires en cas de besoin. Dans l'idéal, il existe un plan de récupération après sinistre (Disaster Recovery Plan, DRP) qui décrit précisément comment l'entreprise sinistrée doit gérer un incident de sécurité, quelles mesures doivent être prises et qui est responsable.
5. Une stratégie de gouvernance des identités est indispensable pour contrer les attaques ciblées. Pour simplifier, la gouvernance des identités consiste à combiner la gestion des identités basée sur des politiques et la conformité. Les exigences concrètes comprennent par exemple l'attribution de rôles et d'autorisations à l'échelle de l'entreprise, la régulation de l'accès des utilisateurs et la surveillance du respect des exigences de conformité. Dans un contexte où de nombreuses entreprises perdent la vue d'ensemble des services fonctionnant avec tel compte sur tel serveur ou dans le cloud, le thème de la gouvernance des identités revêt une grande importance.

Pas de protection à 100 pour cent

"Il n'existe pas de protection à 100 % contre le vol d'identité. Il est donc d'autant plus important que les entreprises tiennent compte de points fondamentaux", explique Frank Balow, directeur Identity & Key Management EMEA chez NTT Security. "Avec des identités volées, les pirates peuvent pénétrer de plus en plus profondément dans les réseaux d'entreprise. Même si le nom d'utilisateur et le mot de passe dérobés en premier lieu ne permettent pas encore d'accéder à des domaines hautement sensibles - en combinaison avec l'ingénierie sociale ou avec d'autres mots de passe connus ou obtenus par fraude, les pirates vont plus loin et peuvent, dans le pire des cas, mener des attaques dédiées. Les comptes compromis peuvent en outre être utilisés par les pirates pour lancer des attaques externes contre des partenaires commerciaux et des clients".

Source : NTT Sécurité