Cyberattaque entreprise : ce que les attaquants savent déjà sur vous

Marc Béhar, consultant chez XMCO, publie une tribune dans laquelle il révèle une réalité que beaucoup d’entreprises sous-estiment : avant même de tenter d’accéder à un système d’information, les attaquants savent déjà beaucoup. Voici ce que l’on en retient.

Lorsqu’une entreprise subit une cyberattaque, l’attention se porte naturellement sur la faille technique exploitée. Pourtant, l’attaque a souvent commencé bien avant parfois des semaines plus tôt, sans qu’aucun système n’ait encore été touché.

Avant toute tentative d’intrusion, les attaquants consacrent en effet une phase importante à collecter des informations sur leur cible. Cette étape repose sur l’exploitation de données publiquement accessibles sur Internet, une pratique connue sous le nom d’OSINT Open Source Intelligence. Dans les exercices Red Team, qui simulent des attaques réalistes pour évaluer le niveau de protection d’une organisation, cette phase de renseignement constitue systématiquement le point de départ.

À partir d’informations accessibles à tous, il est souvent possible de reconstituer une partie significative de l’infrastructure numérique d’une organisation. Un simple site vitrine permet ainsi d’identifier les principaux noms de domaine d’une entreprise autant de portes d’entrée potentielles vers son système d’information.

En croisant différentes sources ouvertes, les attaquants repèrent les services accessibles depuis Internet et les solutions technologiques utilisées. Ils identifient également des ressources qui n’existent plus aujourd’hui, mais dont les traces subsistent dans les archives du web.

Par ailleurs, des informations confidentielles se retrouvent parfois exposées publiquement de manière involontaire. Du code publié en ligne, des données issues de bases compromises, des identifiants ou des adresses électroniques autant d’éléments qui facilitent considérablement le travail d’un attaquant. Autant d’éléments qui facilitent considérablement le travail d’un attaquant.

Au-delà de l’infrastructure technique, les sources ouvertes permettent de cartographier l’environnement humain d’une organisation. Les réseaux sociaux professionnels, les sites institutionnels et les communications publiques livrent des informations précieuses : noms des collaborateurs, fonctions, responsabilités.

Ces données servent à préparer des attaques d’ingénierie sociale ciblées. Un attaquant s’appuie sur des événements récents ou des projets en cours pour élaborer des messages crédibles. C’est ainsi que le phishing ciblé devient redoutablement efficace.

L’environnement physique n’est d’ailleurs pas épargné. Les services de cartographie en ligne et les photographies publiées en ligne fournissent des indications sur l’aménagement des locaux ou certains dispositifs de sécurité. Prises isolément, ces informations semblent anodines. Croisées entre elles, elles permettent de construire une vision précise de l’organisation.

Pour conclure la tribune de Marc Béhar met en lumière une réalité inconfortable : sans jamais interagir directement avec les systèmes d’une entreprise, un attaquant peut collecter un volume important de données exploitables.

La surface d’exposition des organisations est ainsi souvent bien plus large qu’elles ne le pensent. Surveiller les informations accessibles publiquement, sensibiliser les collaborateurs au partage de données en ligne et cartographier son exposition numérique ne sont donc plus des options ce sont des prérequis.

Car dans de nombreux cas, la cyberattaque ne commence pas par une intrusion. Elle commence par l’observation de ce que l’entreprise laisse déjà apparaître.

L’article complet ici : https://www.journaldunet.com/cybersecurite/1549647-cybersecurite-tout-ce-que-les-attaquants-savent-deja-sur-votre-entreprise/