L'alternative de confiance aux solutions de messagerie instantanée grand public.
Boostez la communication en invitant plusieurs milliers de membres dans des salons de discussions dédiés !
Comment pouvons-nous vous aider ? Vous trouverez l'aide qu'il vous faut.
S'enregistrer ou se connecter directement sur la plateforme Citadel Team
L'application est disponible sur toutes les plateformes.
Cryptobox est la solution de travail collaboratif et de transfert de fichiers agréée Diffusion Restreinte par l’ANSSI qui chiffre vos données de bout en bout, disponible en Cloud ou On Premise. Vos documents sont accessibles de manière totalement sécurisée depuis votre PC, smartphone et tablette.
Contrairement aux solutions grand public, Cryptobox est security by design : chaque fonctionnalité bénéficie nativement du plus haut niveau de sécurité. La solution offre diverses fonctionnalités pour vous permettre d’échanger en interne comme externe en toute confiance
La transformation numérique concerne toutes les organisations, privées ou publiques, des plus petites aux plus grandes. Les outils associés à cette transformation offrent de nombreux avantages : télétravail, partage d’informations simplifié, économies de temps et de coûts … et imposent de nouveaux défis concernant la protection des données collectées, stockées et partagées en interne et en externe.
Vos équipes pratiquent le télétravail ou travaillent à distance lors de déplacements. Vos équipes doivent avoir accès aux mêmes ressources que quand elles sont au bureau. Vos collaborateurs échangent des données sensibles. La DSI de votre entreprise doit pouvoir gérer les connexions à distance quel que soit le nombre de personnes connectées.
Vous stockez des informations professionnelles et personnelles sur votre smartphone Vous voyagez régulièrement à l’étranger et participez à des réunions téléphoniques Vous vous connectez fréquemment à des wifi publics Vous échangez des emails confidentiels via votre smartphone et votre tablette Vous accédez à des applications métier en mobilité Vous avez déjà perdu votre smartphone ou été victime d’un vol
Cybels Hub DR est la première solution cloud homologuée Diffusion Restreinte pour aider tous types d'entités à collaborer en toute sécurité avec des partenaires ! Collaborez en audio ou visio-conférence, échangez des données avec vos partenaires, le tout au niveau « Diffusion Restreinte » sur un cloud opéré et sécurisé par Thales.
Publié le 30 mars 2021
A l’issue d’un webinaire consacré à l’Attribution des cyberattaques, nous avons interrogé l’intervenant Mohamed Ghozzi, Technology Analyst chez Ercom, afin qu’il nous dévoile les tenants et les aboutissants de l’exercice d’investigation mis en œuvre pour retrouver un cybercriminel.
L’attribution d’une attaque informatique est le très complexe processus de recherche visant à déterminer ce qui se dissimule dernière cette attaque ainsi que les motivations du ou des auteurs.
Les enjeux de l’attribution de cyberattaques sont multiples.
Tout d’abord elle sert à dissuader les attaquants en démontrant à la face du monde que leurs méfaits ne resteront pas impunis. Ensuite, l’attribution permet de démanteler des réseaux criminels dont l’activité de piratage informatique n’est qu’une facette. Puis, elle permet de connaître les modes opératoires et les motivations des attaquants pour mieux protéger les systèmes informatiques. Enfin l’attribution permet de consolider une base de connaissances qui aidera à accélérer l’attribution des attaques à venir.
En fonction de la cible de l’attaque informatique, un ou plusieurs des acteurs suivants peuvent avoir autorité à l’attribution.
Les premiers organes sont les services gouvernementaux tels que la police judiciaire ou encore les services de renseignement qui interviennent lors d’une plainte ou lorsque la victime est un OIV (Opérateur d’Importance Vitale).
Ensuite viennent les firmes de sécurité informatique, essentiellement des éditeurs de logiciels antivirus, servant des clients ne voulant pas nécessairement passer par la case investigation policière.
Enfin les institutions de recherche en cybersécurité interviennent souvent dans le cas de problèmes d’attribution non résolus et nécessitant des recherches scientifiques approfondies afin de mieux croiser les données.
L’attribution d’une attaque est un problème impliquant une combinaison de plusieurs analyses ayant pour but d’endiguer cette violation.
Parmi une liste non exhaustive, attardons-nous sur les deux analyses qui me semblent être les plus stratégiques lors de cette résolution.
Premièrement il y a l’analyse forensics, ou technique, qui consiste à exploiter les traces qu’auraient laissé les attaquants sur leur passage en regardant le journal des évènements (events log), les malwares ou tout autre indice. A ce niveau de l’enquête, nous cherchons à savoir quel a été le modus operandi suivi par les pirates pour s’introduire dans le système ainsi que l’éventuelle similarité du malware utilisé par rapport à ceux connus à ce jour.
Le deuxième point à observer, et non des moindres, c’est le contexte géopolitique et économique de l’attaque. Cette vue d’ensemble permet de déterminer les motivations des attaquants. L’assaillant cherche-t-il à soutirer de l’argent ? Souhaite-il dérober une information industrielle ? Ou veut-il tout simplement nuire à sa victime ? Cette contextualisation nous en dira également plus sur la nature de ces acteurs malveillants : fait-on face à des criminels isolés ou des forces commanditées par des Etats ?
Pour mener à bien cette analyse il faut prendre en considération plusieurs choses parmi lesquels nous pouvons citer l’envergure de l’attaque (quels moyens, humains et matériels, a-t-il mis en œuvre pour mener l’attaque ?), la nature des données exfiltrées par les attaquants (quelle est leur valeur sur le marché ?), le secteur d’activité de l’organisation cible de l’attaque et le contexte géopolitique du pays où se trouve l’organisation cible de l’attaque.
La recherche de l’origine d’une attaque repose à la fois sur l’analyse des traces laissées par les pirates, de leur mode opératoire et de leurs motivations, l’étude du profil des victimes… toutes ces étapes sont délicates à appréhender et ce pour deux principales raisons.
Premièrement, la dimension technique freine énormément les investigations. En effet, les attaquants ont à leur disposition un arsenal d’outils très sophistiqués leur permettant de laisser le moins de traces informatiques possibles et le plus souvent, leur process consiste à « refaire à l’envers» le chemin pour effacer les traces restantes. Le temps est leur allié car, très souvent, l’intrusion est détectée bien longtemps après l’attaque. Dans ce cas, les traces informatiques pourraient être incomplètes, voire non sauvegardées (rotation des fichiers de traces)
Enfin, Les attaquants s’amusent à nous mener sur de fausse pistes en plantant par exemple des « false flags* » au niveau des traces informatiques laissées derrière eux pour faire diversion.
Le second frein est l’aspect juridique. En quoi est-ce un obstacle? Il faut savoir que les attaquants ne mènent pas leurs attaques directement depuis leurs postes informatiques. Ils passent plutôt par plusieurs serveurs intermédiaires avant d’atteindre le réseau de l’organisation cible. Le plus souvent, ces serveurs sont basés dans des pays étrangers qui possèdent des juridictions différentes de celle du pays victime de l’attaque. Pour les besoins de l’enquête il est parfois nécessaire d’accéder à l’historique des traces de ces serveurs. Cet accès nécessite de faire des demandes d’autorisations aux services judiciaires des pays concernés : ces autorisations peuvent être refusées ou au mieux octroyées moyennant de longs délais d’attente.
Il n’y a pas beaucoup de chiffre officiel sur le sujet mais on remarque un intérêt grandissant pour l’attribution du fait de l’explosion ces derniers mois de cyberattaques de plus en plus virulentes et dommageables.
D’après certaines estimations, le coût des dommages imputable à la cybercriminalité s’élèverait à non loin de 6 billions de dollars en 2021 alors qu’il était de 3 billions de dollars en 2015.
Je vous remercie pour votre temps et vous dis à bientôt pour le prochain webinaire!
*false flag : De l’anglais faux drapeau, ce terme vient de l’univers de la navigation et désigne un drapeau utilisé comme ruse en mer lors de l’attaque d’un navire ennemi, pour éviter d’être attaqué avant d’être suffisamment proche de la cible.
Qu’est-ce qu’être Technology Analyst chez Ercom ? Le quotidien du Technology Analyst chez Ercom tourne principalement autour de trois missions. Tout d’abord l’analyste doit fournir le support aux Business Units dans la compréhension technique et scientifique des technologies qui les intéressent : il aidera ainsi à arbitrer de l’intérêt ou non de ces technologies pour leurs business. Ensuite l’expert doit mener une veille technologique sur certains sujets techniques identifiés qui permettront d’alimenter ses futures analyses. Et enfin, il partage sa connaissance sous forme événementielle comme lors d’un webinar, ou en continue sur des forums ou sur l’intranet.
Le quotidien du Technology Analyst chez Ercom tourne principalement autour de trois missions.
Tout d’abord l’analyste doit fournir le support aux Business Units dans la compréhension technique et scientifique des technologies qui les intéressent : il aidera ainsi à arbitrer de l’intérêt ou non de ces technologies pour leurs business.
Ensuite l’expert doit mener une veille technologique sur certains sujets techniques identifiés qui permettront d’alimenter ses futures analyses. Et enfin, il partage sa connaissance sous forme événementielle comme lors d’un webinar, ou en continue sur des forums ou sur l’intranet.
Cet article vous a plu ? N'hésitez pas à le partager