La grande majorité des entreprises aujourd’hui ne gère pas leur informatique en interne, mais fait appel à des compagnies tierces pour gérer, contrôler et administrer leur infrastructure digitale. Le groupe de hackeur APT10 basé en Chine a vu ici une opportunité pour mener leurs attaques.
L’Opération Cloud Hopper, une des plus grandes campagnes d’espionnage mondiales menée par APT10, a eu pour but de s’attaquer aux prestataires informatiques (MSP) afin de pouvoir infiltrer leurs clients et d’accéder à leurs données sensibles
Les victimes de ces attaques sont principalement des entreprises qui ont un lien direct avec la Chine, mais certaines d’entre elles sont européennes. Bien qu’il y ait de fortes suspicions que le groupe APT10 soit lié au gouvernement chinois, leur attaque a commencé par un simple email de phishing.
Généralement, les MSP ont un accès complet à l’infrastructure, détiennent les mots de passe administrateur, contrôlent le firewall, gèrent les antivirus et reçoivent les logs d’événements. Le groupe APT10 a donc vu une belle économie d’échelle en ne devant hacker uniquement le MSP afin de pouvoir pénétrer des centaines voire des milliers d’autres entreprises. De plus, en accédant à ces entreprises par les accès autorisés des MSP, aucunes alertes ni outils de protection n’a pu les bloquer.
Lorsqu’une entreprise fait son analyse de risque et regarde sa surface d’attaque, elle omet souvent de prendre en compte les accès qu’elle donne à des tiers. Il n’y a pas que son entreprise informatique, mais aussi toutes les entreprises tierces qui se connectent à distance pour fournir des services tels que pour l’administration de leur progiciel.
Cette situation utilisée dans un but d’espionnage industriel/gouvernemental va sûrement inspirer les entreprises criminelles spécialisées dans le déploiement de ransomware. Avec un accès administrateur, un hackeur pourra déployer un ransomware et en même temps effacer toutes les sauvegardes afin de s’assurer d’être payé.
L’approche de l’informatique et la cyber-sécurité de ZENData permettrait de changer ce paradigme. En séparant les responsabilités de la gestion de l’informatique et la gestion de la cyber-sécurité, les entreprises seraient protégées contre ce type d’attaque :
Si le MSP se fait pirater et que les hackeurs parviennent à rentrer dans le système de l’entreprise tierce, ZENData détectera le comportement inhabituel et verra des activités malveillantes. D’autre part, comme ZENData n’a aucun accès au système informatique de ses clients, si ZENData se fait pirater, cette attaque ne permettrait pas aux hackeurs de pénétrer les systèmes de la compagnie tierce.
Depuis notre création, nous insistons sur le fait que le travail d’un informaticien et d’un expert en cyber sécurité constituent deux responsabilités différentes. La mission d’un informaticien est de vous fournir un service qui correspond à vos besoins de façon efficace et rapide. Le but de la cyber-sécurité est d’assurer la confidentialité, l’intégrité et la disponibilité de vos systèmes. Les expertises, les connaissances et les compétences de chacun sont aussi bien distinctes.
On peut prévoir une nouvelle tendance chez les hackeurs s’attaquant aux fournisseurs de services informatiques, car ceux-ci détiennent des informations sur d’autres entreprises dans de nombreux secteurs. C’est pourquoi, en répartissant correctement les rôles, votre système informatique est plus efficace et mieux protégé.
ZENData vous encourage à considérer cette nouvelle approche en contactant une entreprise de cyber-sécurité afin d’être protégé contre ce genre d’attaques.