Il y a quelques semaines, la presse révélait l’attaque dont a été victime le système d’information de l’Élysée. D’après les informations – confirmées par la Présidence – cette attaque aurait frappé entre les deux tours de l’élection présidentielle et entraîné une compromission assez large du SI. Heureusement, elle a pu être détectée et contenue rapidement.
Ce nouveau cas est en ligne avec ce que nous observons actuellement de manière plus globale et confirme deux grandes tendances : l’attaque a lieu en période de faiblesse du système d’information et la compromission des systèmes centraux est quasi systématique.
Attaquer pendant une période de faiblesse
Le cas de l’Élysée montre que les attaquants savent tirer profit de l’actualité de leur cible. L’attaque de l’Élysée a eu lieu entre les deux tours, pendant une période de changement pour cette structure et par conséquent moment privilégié pour s’installer et se « cacher » dans le SI avant l’arrivée du nouvel occupant.
Il est courant pour les attaquants de viser les périodes de faiblesse des organisations. Une majorité d’attaque se déroule le week-end ou pendant les heures non ouvrées. Aujourd’hui la plupart des organisations ne disposent ni des moyens ni des équipes pour assurer un tel niveau de protection et de surveillance. Et les attaquants le savent !
Compromettre les systèmes centraux
On estime souvent qu’il faut protéger en priorité les serveurs métiers les plus critiques. Les attaques récentes montrent cependant que ce sont bien souvent les systèmes centraux de gestion du SI les cibles initiales des attaquants. Nous avons observé une majorité d’attaques sur l’Active Directory mais également sur d’autres éléments tels que la télédistribution. Ces systèmes sont utilisés pour prendre le contrôle de l’ensemble du SI puis par rebond d’accéder aux serveurs métiers et aux précieuses informations qu’ils contiennent. Prendre pied à ce niveau autorise également une installation dans la durée et une capacité d’action sur l’ensemble des postes de travail de l’entreprise.
Rester sur ses gardes et renforcer les processus d’administration
L’évolution des menaces nécessite de reposer certains fondamentaux de la protection. Les équipes sécurité doivent aujourd’hui se doter de moyens pour surveiller le SI et agir 24h sur 24. Si ce n’est possible pour les équipes internes, le recours à un service tiers couplé à une organisation d’astreinte permet de répondre au besoin. Cette surveillance, qui lorsqu’elle existe est souvent centrée sur la périphérie du réseau, doit se réorganiser pour ajouter les systèmes métiers sensibles et les services centraux.
Mais attention : la surveillance ne fait pas tout. Il est nécessaire d’éviter la compromission initiale et sur le volet des systèmes centraux, il reste beaucoup à faire ! En effet, les pratiques d’administration sont souvent génératrices de risques : multiplication des comptes administrateurs et des serveurs, utilisation de poste d’administration pour des usages personnels (messagerie, surf internet…), authentification simple et mot de passe partagé… Un audit sur ce périmètre révèle souvent bien des mauvaises surprises et nécessite d’ajouter une rigueur nécessaire vue la criticité des systèmes manipulés pour l’organisation.
Les attaques se suivent et bien souvent se ressemblent. Il est maintenant grand temps d’agir sur les zones les plus à risque et les retours d’expériences montre clairement où elles se trouvent !