Les menaces de cybersécurité augmentent en fréquence, en diversité et en complexité. Obtenez un examen rapide et à jour de 21 menaces de cybersécurité et comment obtenir les informations dont vous avez besoin pour prévenir les violations de données et renforcer votre sécurité de l’information.

Dans ce poste, vous apprendrez :

  • Qu’est-ce que les menaces de cybersécurité
  • 21 cybermenaces : DDoS, MitM, ingénierie sociale, et plus encore
  • Sources communes de menaces de cybersécurité
  • Tendances et défis de la cybersécurité
  • Comment hiérarchiser les menaces : le modèle de menace de l’OWASP
  • Utilisation de la threat intelligence pour la prévention des menaces

Que sont les menaces de cybersécurité ?

Les menaces de cybersécurité reflètent le risque de subir une cyberattaque. Une cyberattaque est un effort intentionnel et malveillant d’une organisation ou d’un individu pour pénétrer dans les systèmes d’une autre organisation ou d’un autre individu. Les motifs de l’attaquant peuvent inclure le vol d’informations, le gain financier, l’espionnage ou le sabotage.

Quels sont les principaux types de menaces de cybersécurité ?

Les principaux types de cybermenaces sont :

  • Déni de service distribué (DDoS)
  • Man in the Middle (MitM)
  • Ingénierie sociale
  • Malware et spyware
  • Attaque par mot de passe
  • Menaces persistantes avancées (APT)

Nous couvrons chacune de ces menaces plus en détail ci-dessous.

Déni de service distribué (DDoS)

L’objectif d’une attaque par déni de service (DoS) est de submerger les ressources d’un système cible et de le faire cesser de fonctionner, en refusant l’accès à ses utilisateurs. Le déni de service distribué (DDoS) est une variante du DoS dans laquelle les attaquants compromettent un grand nombre d’ordinateurs ou d’autres dispositifs, et les utilisent dans une attaque coordonnée contre le système cible.

Les attaques DDoS sont souvent utilisées en combinaison avec d’autres cybermenaces. Ces attaques peuvent lancer un déni de service pour capter l’attention du personnel de sécurité et créer la confusion, tandis qu’elles mènent des attaques plus subtiles visant à voler des données ou à causer d’autres dommages.

Les méthodes d’attaques DDoS comprennent :

  • Botnets-systèmes sous le contrôle de pirates informatiques qui ont été infectés par des logiciels malveillants. Les attaquants utilisent ces bots pour mener des attaques DDoS. Les grands botnets peuvent inclure des millions de dispositifs et peuvent lancer des attaques à une échelle dévastatrice.
  • Attaque de schtroumpf – envoie des requêtes d’écho ICMP (Internet Control Message Protocol) à l’adresse IP de la victime. Les requêtes ICMP sont générées à partir d’adresses IP « usurpées ». Les attaquants automatisent ce processus et l’exécutent à grande échelle pour submerger un système cible.
  • Attaque par inondation TCP SYN : les attaques inondent le système cible de demandes de connexion. Lorsque le système cible tente d’établir la connexion, le dispositif de l’attaquant ne répond pas, ce qui oblige le système cible à passer en temps mort. Cela remplit rapidement la file d’attente de connexion, empêchant les utilisateurs légitimes de se connecter.

Les deux attaques suivantes sont moins courantes aujourd’hui, car elles reposent sur des vulnérabilités du protocole Internet (IP) qui ont été corrigées sur la plupart des serveurs et des réseaux.

  • Attaque en goutte d’eau – fait en sorte que les champs de longueur et de décalage de fragmentation des paquets IP se chevauchent. Le système ciblé tente de reconstruire les paquets mais échoue, ce qui peut provoquer son plantage.
  • Attaque Ping de la mort – envoie un signal à un système cible en utilisant des paquets IP malformés ou surdimensionnés, ce qui provoque le plantage ou le gel du système cible.

Ataque de l’homme du milieu (MitM)

Lorsque des utilisateurs ou des appareils accèdent à un système distant sur Internet, ils supposent qu’ils communiquent directement avec le serveur du système cible. Dans une attaque MitM, les attaquants brisent cette hypothèse, en se plaçant entre l’utilisateur et le serveur cible.

Une fois que l’attaquant a intercepté les communications, il peut être en mesure de compromettre les informations d’identification d’un utilisateur, de voler des données sensibles et de renvoyer des réponses différentes à l’utilisateur.

Les attaques MitM comprennent :

  • Détournement de session – un attaquant détourne une session entre un serveur réseau et un client. L’ordinateur attaquant substitue son adresse IP à l’adresse IP du client. Le serveur croit qu’il correspond avec le client et poursuit la session.
  • Attaque de relecture-un cybercriminel écoute les communications du réseau et rejoue les messages ultérieurement, en se faisant passer pour l’utilisateur. Les attaques par relecture ont été largement atténuées par l’ajout d’horodatages aux communications réseau.
  • Usurpation d’IP – un attaquant convainc un système qu’il correspond avec une entité connue et de confiance. Le système fournit ainsi un accès à l’attaquant. L’attaquant forge son paquet avec l’adresse source IP d’un hôte de confiance, plutôt qu’avec sa propre adresse IP.
  • Attaque par écoute – les attaquants exploitent une communication réseau non sécurisée pour accéder aux informations transmises entre le client et le serveur. Ces attaques sont difficiles à détecter car les transmissions réseau semblent se dérouler normalement.

Attaque d’ingénierie sociale

Les attaques d’ingénierie sociale fonctionnent en manipulant psychologiquement les utilisateurs pour qu’ils effectuent des actions souhaitables pour un attaquant, ou divulguent des informations sensibles.

Les attaques d’ingénierie sociale comprennent :

  • Phishing-les attaquants envoient une correspondance frauduleuse qui semble provenir de sources légitimes, généralement par courrier électronique. L’email peut inciter l’utilisateur à effectuer une action importante ou à cliquer sur un lien vers un site web malveillant, l’amenant à remettre des informations sensibles à l’attaquant, ou à s’exposer à des téléchargements malveillants. Les courriels de phishing peuvent inclure une pièce jointe infectée par un logiciel malveillant.
  • Spear phishing – une variante du phishing dans laquelle les attaquants ciblent spécifiquement les personnes ayant des privilèges de sécurité ou de l’influence, comme les administrateurs système ou les cadres supérieurs.
  • Attaques homographiques – les attaquants créent de faux sites Web avec des adresses Web très similaires à un site Web légitime. Les utilisateurs accèdent à ces faux sites Web sans remarquer la légère différence d’URL, et peuvent soumettre leurs informations d’identification ou d’autres informations sensibles à un attaquant.

Ataque de logiciels malveillants et de logiciels espions

Les attaques utilisent de nombreuses méthodes pour faire pénétrer des logiciels malveillants dans l’appareil d’un utilisateur. Les utilisateurs peuvent être invités à effectuer une action, comme cliquer sur un lien ou ouvrir une pièce jointe. Dans d’autres cas, les logiciels malveillants utilisent les vulnérabilités des navigateurs ou des systèmes d’exploitation pour s’installer à l’insu de l’utilisateur ou sans son consentement.

Une fois que le logiciel malveillant est installé, il peut surveiller les activités de l’utilisateur, envoyer des données confidentielles à l’attaquant, aider l’attaquant à pénétrer d’autres cibles au sein du réseau, et même faire en sorte que l’appareil de l’utilisateur participe à un botnet exploité par l’attaquant à des fins malveillantes.

Les attaques d’ingénierie sociale comprennent :

  • Le virus Trojan – fait croire à un utilisateur qu’il s’agit d’un fichier inoffensif. Un Trojan peut lancer une attaque sur un système et peut établir une porte dérobée, que les attaquants peuvent utiliser.
  • Ransomware-empêche l’accès aux données de la victime et menace de les supprimer ou de les publier à moins qu’une rançon ne soit payée.
  • Malvertising-publicité en ligne contrôlée par des pirates, qui contient un code malveillant qui infecte l’ordinateur d’un utilisateur lorsqu’il clique, ou même simplement regarde la publicité. Le malvertising a été trouvé sur de nombreuses publications en ligne de premier plan.
  • Malware wiper – vise à détruire des données ou des systèmes, en écrasant des fichiers ciblés ou en détruisant un système de fichiers entier. Les wipers sont généralement destinés à envoyer un message politique, ou à cacher les activités des pirates après l’exfiltration de données.
  • Drive-by downloads-les attaquants peuvent pirater des sites Web et insérer des scripts malveillants dans le code PHP ou HTTP d’une page. Lorsque les utilisateurs visitent la page, le logiciel malveillant est directement installé sur leur ordinateur ; ou le script de l’attaquant redirige les utilisateurs vers un site malveillant, qui effectue le téléchargement. Les téléchargements  » drive-by  » s’appuient sur les vulnérabilités des navigateurs ou des systèmes d’exploitation.
  • Les logiciels de sécurité malveillants – prétendent rechercher les logiciels malveillants, puis montrent régulièrement à l’utilisateur de faux avertissements et détections. Les attaquants peuvent demander à l’utilisateur de payer pour supprimer les fausses menaces de son ordinateur ou pour enregistrer le logiciel. Les utilisateurs qui obtempèrent transfèrent leurs données financières à un attaquant.

Attaque par mot de passe

Un pirate peut accéder aux informations de mot de passe d’une personne en  » reniflant  » la connexion au réseau, en utilisant l’ingénierie sociale, en devinant ou en accédant à une base de données de mots de passe. Un attaquant peut  » deviner  » un mot de passe de manière aléatoire ou systématique.

Les attaques par mots de passe comprennent :

  • Devination de mot de passe par la force brute – un attaquant utilise un logiciel pour essayer de nombreux mots de passe différents, dans l’espoir de deviner le bon. Le logiciel peut utiliser une certaine logique pour essayer des mots de passe liés au nom de la personne, à son travail, à sa famille, etc.
  • Attaque par dictionnaire – un dictionnaire de mots de passe courants est utilisé pour accéder à l’ordinateur et au réseau de la victime. Une méthode consiste à copier un fichier crypté qui contient les mots de passe, à appliquer le même cryptage à un dictionnaire de mots de passe régulièrement utilisés et à comparer les résultats.

Menaces persistantes avancées (APT)

Lorsqu’un individu ou un groupe obtient un accès non autorisé à un réseau et reste non découvert pendant une période prolongée, les attaquants peuvent exfiltrer des données sensibles, en évitant délibérément la détection par le personnel de sécurité de l’organisation. Les APT nécessitent des attaquants sophistiqués et impliquent des efforts importants, ils sont donc généralement lancés contre des États-nations, de grandes entreprises ou d’autres cibles de grande valeur.

Sources des cybermenaces

Lorsque vous identifiez une cybermenace, il est important de comprendre qui est l’acteur de la menace, ainsi que ses tactiques, techniques et procédures (TTP). Les sources courantes de cybermenaces comprennent :

    • Les cyberattaques parrainées par des États peuvent perturber les communications, les activités militaires ou d’autres services que les citoyens utilisent quotidiennement.
    • Les terroristes – les terroristes peuvent s’attaquer à des cibles gouvernementales ou militaires, mais parfois aussi à des sites Web civils pour perturber et causer des dommages durables.
    • Les espions industriels – le crime organisé et les espions d’entreprises internationales pratiquent l’espionnage industriel et le vol monétaire. Leur motif principal est financier.
    • Groupes criminels organisés-les groupes criminels infiltrent les systèmes pour obtenir des gains monétaires. Les groupes criminels organisés utilisent l’hameçonnage, les pourriels et les logiciels malveillants pour commettre des vols d’identité et des fraudes en ligne.
    • Pirates informatiques – il existe une vaste population mondiale de pirates informatiques, allant des  » script kiddies  » débutants ou de ceux qui exploitent des boîtes à outils de menaces prêtes à l’emploi, aux opérateurs sophistiqués qui peuvent développer de nouveaux types de menaces et éviter les défenses organisationnelles.
    • Hacktivistes-les hacktivistes sont des pirates informatiques qui pénètrent ou perturbent les systèmes pour des raisons politiques ou idéologiques plutôt que pour un gain financier.

  • Initiés malveillants-les initiés représentent une menace très sérieuse, car ils ont un accès existant aux systèmes de l’entreprise et une connaissance des systèmes cibles et des données sensibles. Les menaces d’initiés peuvent être dévastatrices et très difficiles à détecter.
  • Le cyberespionnage – est une forme de cyberattaque qui vole des données intellectuelles classifiées, ou sensibles, afin d’obtenir un avantage sur une entreprise concurrente ou une entité gouvernementale.

Principaux problèmes et tendances en matière de cybersécurité

Les menaces et les problèmes auxquels les équipes de sécurité sont confrontées évoluent au même rythme que la technologie. Vous trouverez ci-dessous quelques-unes des principales tendances et préoccupations en matière de cybersécurité aujourd’hui.

Le rôle croissant de l’intelligence artificielle (IA)
L’IA est une arme à double tranchant ; elle améliore les solutions de sécurité en même temps qu’elle est exploitée par les attaquants pour contourner ces solutions. Cela s’explique en partie par l’accessibilité croissante de l’IA. Par le passé, le développement de modèles d’apprentissage automatique n’était possible que si l’on disposait de budgets et de ressources importants. Aujourd’hui, cependant, les modèles peuvent être développés sur des ordinateurs portables personnels.

Cette accessibilité fait de l’IA un outil qui s’est étendu des grandes courses à l’armement numérique aux attaques quotidiennes. Alors que les équipes de sécurité utilisent l’IA pour tenter de détecter des comportements suspects, les criminels l’utilisent pour fabriquer des bots qui passent pour des utilisateurs humains et pour modifier dynamiquement les caractéristiques et les comportements des logiciels malveillants.

Le déficit de compétences en cybersécurité continue de se creuser
Depuis 2018, le déficit de compétences en cybersécurité suscite une inquiétude croissante. Il n’y a tout simplement pas assez d’experts en cybersécurité pour occuper tous les postes nécessaires. À mesure que de nouvelles entreprises sont créées et que d’autres mettent à jour leurs stratégies de sécurité existantes, ce nombre augmente.

Les menaces modernes, des identités clonées aux fausses campagnes profondes, deviennent plus difficiles à détecter et à arrêter. Les compétences en matière de sécurité requises pour combattre ces menaces vont bien au-delà de la simple compréhension de la mise en œuvre d’outils ou de la configuration de cryptages. Ces menaces exigent des connaissances diverses sur une grande variété de technologies, de configurations et d’environnements. Pour obtenir ces compétences, les organisations doivent recruter des experts de haut niveau ou consacrer les ressources nécessaires à la formation des leurs.

Piratage de véhicules et menaces de l’Internet des objets (IoT) en hausse
La quantité de données contenues dans un véhicule moderne est énorme. Même les voitures qui ne sont pas autonomes sont chargées d’une variété de capteurs intelligents. Il s’agit notamment de dispositifs GPS, de plateformes de communication intégrées, de caméras et de contrôleurs d’IA. Les maisons, les lieux de travail et les communautés de nombreuses personnes sont remplis de dispositifs intelligents similaires. Par exemple, les assistants personnels intégrés dans les enceintes sont des dispositifs intelligents.

Les données de ces appareils peuvent fournir des informations sensibles aux criminels. Ces informations comprennent des conversations privées, des images sensibles, des informations de suivi et l’accès à tout compte utilisé avec les appareils. Ces appareils peuvent être facilement exploités par les attaquants à des fins de chantage ou de gain personnel. Par exemple, l’abus d’informations financières ou la vente d’informations sur le marché noir.

Avec les véhicules en particulier, la menace de préjudice personnel est également très réelle. Lorsque les véhicules sont partiellement ou entièrement contrôlés par des ordinateurs, les attaquants ont la possibilité de pirater les véhicules comme n’importe quel autre appareil. Cela pourrait leur permettre d’utiliser les véhicules comme des armes contre d’autres personnes ou comme un moyen de blesser le conducteur ou les passagers.

Principaux défis de la cybersécurité

En plus des problèmes plus spécifiques couverts ci-dessus, il existe également des défis plus larges auxquels sont confrontées de nombreuses équipes de cybersécurité. Vous trouverez ci-dessous quelques-uns des défis actuels les plus courants.

Les appareils mobiles sont difficiles à gérer et à sécuriser
Même si les gens n’ont pas complètement adopté les technologies intelligentes, presque tout le monde possède un appareil mobile d’une sorte ou d’une autre. Les smartphones, les ordinateurs portables et les tablettes sont courants. Ces appareils sont souvent polyvalents, utilisés à la fois pour le travail et les activités personnelles, et les utilisateurs peuvent connecter les appareils à plusieurs réseaux tout au long de la journée.

Cette abondance et cette utilisation généralisée font des appareils mobiles une cible attrayante pour les attaquants. Le ciblage n’est pas nouveau, mais le véritable défi vient du fait que les équipes de sécurité n’ont pas le contrôle total des appareils. Les politiques de Bring your own device (BYOD) sont courantes mais ces politiques n’incluent souvent pas de contrôle ou de gestion interne.

Souvent, les équipes de sécurité ne sont en mesure de contrôler ce qui se passe avec ces appareils que dans le périmètre du réseau. Les appareils peuvent être obsolètes, déjà infectés par des logiciels malveillants ou dotés de protections insuffisantes. Le seul moyen que les équipes de sécurité peuvent avoir pour bloquer ces menaces est de refuser la connectivité, ce qui n’est pas pratique.

La complexité de l’environnement cloud
Avec les entreprises qui passent quotidiennement aux ressources cloud, de nombreux environnements deviennent plus complexes. Cela est particulièrement vrai dans le cas des environnements hybrides et multi-clouds, qui nécessitent une surveillance et une intégration étendues.

Avec chaque service et ressource cloud inclus dans un environnement, le nombre de points d’extrémité et les risques de mauvaise configuration augmentent. En outre, puisque les ressources sont dans le nuage, la plupart, sinon tous les points d’extrémité sont orientés vers Internet, ce qui accorde un accès aux attaquants à l’échelle mondiale.

Pour sécuriser ces environnements, les équipes de cybersécurité ont besoin d’outils avancés et centralisés et souvent de plus de ressources. Cela inclut des ressources pour une protection et une surveillance 24 heures sur 24 et 7 jours sur 7, car les ressources sont en cours d’exécution et potentiellement vulnérables même lorsque la journée de travail est terminée.

Exploits de phishing sophistiqués
Le phishing est une tactique ancienne mais toujours courante utilisée par les attaquants pour obtenir des données sensibles, notamment des informations d’identification et des informations financières. Dans le passé, les courriels de phishing étaient vagues, se faisant souvent passer pour des figures d’autorité ayant une large base d’utilisateurs. Par exemple, Facebook ou Netflix. Aujourd’hui, cependant, le phishing s’appuie souvent sur l’ingénierie sociale.

De nombreuses personnes rendent volontairement publiques de grandes quantités d’informations les concernant, notamment leur lieu de vie et de travail, leurs loisirs et leur fidélité à une marque. Les attaquants peuvent utiliser ces informations pour envoyer des messages ciblés, augmentant ainsi la probabilité que les utilisateurs se laissent prendre à leurs ruses.

Attaque parrainée par l’État
À mesure qu’une plus grande partie du monde passe dans le domaine numérique, le nombre d’attaques à grande échelle et parrainées par l’État augmente. Les réseaux de pirates informatiques peuvent désormais être exploités et achetés par des États-nations et des groupes d’intérêt adverses pour paralyser les systèmes gouvernementaux et organisationnels.

Pour certaines de ces attaques, les résultats sont facilement visibles. Par exemple, de nombreuses attaques ont été identifiées qui impliquaient la falsification d’élections. D’autres, en revanche, peuvent passer inaperçues, en recueillant silencieusement des informations sensibles, comme des stratégies militaires ou des renseignements commerciaux. Dans un cas comme dans l’autre, les ressources finançant ces attaques permettent aux criminels d’utiliser des stratégies avancées et distribuées, difficiles à détecter et à prévenir

Prioriser les cybermenaces : Le modèle de menace de l’OWASP

Le nombre de cybermenaces augmente rapidement, et il est impossible pour les organisations de se préparer à toutes. Pour aider à prioriser les efforts de cybersécurité, l’OWASP a développé un modèle d’évaluation des cybermenaces, résumé comme suit :

Risque = Probabilité + Impact

Pensez à la probabilité d’une cybermenace – est-il facile pour les attaquants de mener une attaque ? Existe-t-il des attaquants ayant les compétences requises ? Quelle est la probabilité que vous soyez en mesure de détecter et d’atténuer la menace ?

En outre, considérez l’impact de la menace – quel est le degré de sensibilité des systèmes susceptibles d’être affectés, quelle est la valeur et la sensibilité des données qui peuvent être perdues, et en général quel serait l’impact financier ou de réputation d’une attaque ?

En combinant la probabilité et l’impact, vous pouvez identifier les menaces qui sont significatives pour votre organisation et vous assurer que vous êtes protégé.

Utiliser le renseignement sur les menaces pour la prévention des menaces

Le renseignement sur les menaces est une information organisée et pré-analysée sur les attaques qui peuvent menacer une organisation. Le renseignement sur les menaces aide les organisations à comprendre les cybermenaces potentielles ou actuelles. Plus le personnel de sécurité dispose d’informations sur les acteurs de la menace, leurs capacités, leur infrastructure et leurs motivations, mieux il peut défendre son organisation.

Les systèmes de renseignement sur les menaces sont généralement utilisés en combinaison avec d’autres outils de sécurité. Lorsqu’un système de sécurité identifie une menace, il peut être croisé avec des données de renseignement sur les menaces pour comprendre immédiatement la nature de la menace, sa gravité et les méthodes connues pour atténuer ou contenir la menace. Dans de nombreux cas, le renseignement sur les menaces peut aider à bloquer automatiquement les menaces – par exemple, les mauvaises adresses IP connues peuvent être transmises à un pare-feu, pour bloquer automatiquement le trafic provenant de serveurs compromis.

Le renseignement sur les menaces est généralement fourni sous forme de flux. Il existe des flux de renseignements sur les menaces gratuits, et d’autres fournis par des organismes commerciaux de recherche en sécurité. Plusieurs fournisseurs proposent des plates-formes de renseignement sur les menaces qui s’accompagnent de nombreux flux de renseignement sur les menaces et aident à gérer les données sur les menaces et à les intégrer à d’autres systèmes de sécurité.

En savoir plus sur les menaces de cybersécurité

Menaces de sécurité de l’information et outils pour y faire face

La valeur de l’information en fait aujourd’hui une marchandise désirable et une cible tentante pour le vol et le sabotage, ce qui expose ceux qui la créent et l’utilisent à des risques d’attaque. Les criminels trouvent constamment de nouveaux moyens de contourner les outils de sécurité et les développeurs de sécurité s’efforcent de garder une longueur d’avance en élaborant des solutions plus intelligentes.

La perte d’informations peut causer un grand préjudice à une entreprise, mais en prenant les bonnes précautions et en utilisant les outils appropriés, le risque peut être grandement minimisé. Lisez la suite pour découvrir quels types de menaces pour la sécurité de l’information vous devez prendre en compte, y compris des exemples de menaces courantes, et comment vous pouvez atténuer vos risques.

Lire la suite : Menaces pour la sécurité de l’information et outils pour y faire face

Drive By Downloads : Ce qu’ils sont et comment les éviter

La plupart des gens ne réfléchissent pas à deux fois aux sites Web qu’ils visitent, cliquant rapidement et ne prêtant pas beaucoup d’attention à savoir si un lien les redirigera ou si un protocole sécurisé est utilisé. Souvent, ce n’est pas un problème, mais s’il vous arrive de visiter un site qui a été compromis, votre système peut être rapidement infecté par un drive by download.

Nous allons voir ici ce qu’est un drive by download, le type de dommages qu’il peut causer, et couvrir certaines stratégies que votre centre d’opérations de sécurité peut utiliser pour minimiser votre risque.

Lire la suite : Drive By Downloads : Ce qu’ils sont et comment les éviter

Cybercriminalité : Types, exemples et ce que votre entreprise peut faire

La cybercriminalité est l’envers de la cybersécurité – un énorme spectre d’activités dommageables et illégales menées à l’aide d’ordinateurs et d’Internet. Cet article vous aidera à comprendre la cybercriminalité et comment défendre votre organisation contre elle.

Lire la suite : Cybercriminalité : Types, exemples et ce que votre entreprise peut faire

Qu’est-ce que MITRE ATT&CK : une explication

MITRE ATT&CK est une base de connaissances accessible à l’échelle mondiale sur les tactiques et techniques des adversaires, basée sur des observations réelles de cyberattaques. Elles sont affichées dans des matrices classées par étapes d’attaque, de l’accès initial au système au vol de données ou au contrôle des machines. Il existe des matrices pour les plateformes de bureau courantes – Linux, macOS et Windows – ainsi que pour les plateformes mobiles.

Lire la suite : Qu’est-ce que MITRE ATT&CK : une explication

Qu’est-ce que MITRE ATT&CK : une explication

Le cadre, le modèle et la taxonomie de MITRE ATT&CK fournissent un catalogue catégorisé et structuré de tactiques (le  » pourquoi  » d’une attaque) et de techniques (le  » comment  » et parfois le  » quoi  » d’une attaque). La relation entre les tactiques et les techniques est organisée et présentée comme la matrice ATT&CK. La philosophie du modèle ATT&CK est qu’en se concentrant sur et en priorisant votre défense contre le comportement documenté des menaces, vous pouvez comprendre, prévenir et atténuer ces menaces et attaques.

Lire la suite : Atténuation des menaces de sécurité avec MITRE ATT&CK

Défense contre les ransomwares : Prévention, protection, suppression

Une attaque par ransomware peut être paralysante pour une organisation. Lors d’une attaque, les cybercriminels bloquent l’accès à vos fichiers ou à votre réseau, affirmant que si vous payez une rançon, votre accès sera rétabli. Une stratégie de défense efficace contre les ransomwares est essentielle pour éviter des dommages importants et doit comprendre trois piliers : la prévention, la protection et la suppression rapide.

Lire la suite : Se défendre contre les ransomwares : Prévention, protection, suppression

Les 5 principales techniques d’ingénierie sociale et comment les prévenir

L’ingénierie sociale profite du maillon le plus faible de notre chaîne de sécurité – notre main-d’œuvre humaine – pour accéder aux réseaux d’entreprise. Les attaquants utilisent des ruses de plus en plus sophistiquées et des manipulations émotionnelles pour amener les employés, même les cadres supérieurs, à livrer des informations sensibles. Découvrez les étapes d’une attaque par ingénierie sociale, quelles sont les principales menaces d’ingénierie sociale selon l’InfoSec Institute, et les meilleures pratiques pour s’en défendre.

Lire la suite : Les 5 principales techniques d’ingénierie sociale et comment les prévenir

Détection d’escalade de privilèges : La clé pour prévenir les attaques avancées

Les attaquants deviennent de plus en plus sophistiqués, et des groupes organisés de pirates mènent des attaques avancées contre des cibles attrayantes. Un élément clé de presque toutes les attaques avancées est l’escalade de privilèges – une tentative de compromettre un compte, puis d’étendre les privilèges de l’attaquant, soit en prenant le contrôle de plus de comptes, soit en augmentant le niveau de privilèges du compte compromis.

Lisez la suite pour comprendre comment fonctionne l’escalade de privilèges, comment la détecter dans votre organisation, et comment protéger vos systèmes et arrêter les attaques avancées avant qu’elles n’atteignent vos actifs les plus sensibles.

Lisez la suite : Détection de l’escalade de privilèges : La clé pour prévenir les attaques avancées

Concepts de la SSIEM : Incidents de sécurité

Les incidents de sécurité indiquent l’échec des mesures de sécurité ou la violation des systèmes ou des données des organisations. Cela inclut tout événement qui menace l’intégrité, la disponibilité ou la confidentialité des informations. Les causes des incidents de sécurité comprennent les brèches dans le périmètre, les cyberattaques et les menaces de l’intérieur.

Les incidents exigent généralement qu’un administrateur informatique prenne des mesures. La réponse aux incidents (RI) est un processus organisé par lequel les organisations se défendent contre les incidents de sécurité.

Lire la suite : Concepts SIEM : Incidents de sécurité

Voir nos guides supplémentaires sur la sécurité de l’information

Pour des guides plus approfondis sur des sujets de sécurité de l’information supplémentaires tels que les violations de données, voir ci-dessous :

Guide de sécurité SIEM

La sécurité SIEM fait référence à l’intégration du SIEM avec des outils de sécurité, des outils de surveillance du réseau, des outils de surveillance des performances, des serveurs et des points d’extrémité critiques, et d’autres systèmes informatiques.

Voir les meilleurs articles de notre guide de la sécurité siem

  • 7 SIEM open source : Caractéristiques contre limites
  • Solutions SIEM : Comment elles fonctionnent et pourquoi vous en avez besoin
  • Combattre les cyberattaques avec SOAR

Guide de l’analyse du comportement des utilisateurs et des entités

UEBA signifie User and Entity Behavior Analytics qui est une catégorie d’outils de cybersécurité qui analysent le comportement des utilisateurs, et appliquent des analyses avancées pour détecter les anomalies.

Voir les meilleurs articles de notre guide sur l’analyse du comportement des utilisateurs et des entités

  • Qu’est-ce que l’UEBA et pourquoi elle devrait être une partie essentielle de votre réponse aux incidents
  • L’analyse du comportement des utilisateurs (UBA/UEBA) : La clé pour découvrir les menaces de sécurité initiées et inconnues
  • Le profilage comportemental : La base de l’analyse de sécurité moderne

Guide des menaces d’initiés

Une menace d’initiés est une activité malveillante contre une organisation qui provient d’utilisateurs ayant un accès légitime au réseau, aux applications ou aux bases de données de l’organisation.

Voir les meilleurs articles de notre guide des menaces d’initiés

  • La lutte contre les menaces d’initiés avec la science des données
  • Indicateurs de menaces d’initiés : Trouver l’ennemi intérieur
  • Comment trouver les initiés malveillants : S’attaquer aux menaces d’initiés en utilisant des indicateurs comportementaux

Guide des centres d’opérations de sécurité

Un centre d’opérations de sécurité (SOC) est traditionnellement une installation physique auprès d’une organisation, qui abrite une équipe de sécurité de l’information.

Voir les meilleurs articles de notre guide des centres d’opérations de sécurité

  • Comment construire un centre d’opérations de sécurité pour les petites entreprises
  • Rôles et responsabilités du centre d’opérations de sécurité
  • SecOps : 7 étapes pour : Taking DevOps One Step Further
  • Data Breach Guide

DLP Guide

La DLP est une approche qui vise à protéger les informations de l’entreprise. Elle empêche les utilisateurs finaux de déplacer des informations clés en dehors du réseau.

Voir les meilleurs articles de notre guide DLP

  • Modèle de politique de prévention des pertes de données
  • Outils de prévention des pertes de données
  • Bris de sécurité : Ce que vous devez savoir

Guide de réponse aux incidents

La réponse aux incidents est une approche de la gestion des violations de sécurité.

Voir les principaux articles de notre guide de réponse aux incidents

  • Le guide complet de l’organisation CSIRT : Comment constituer une équipe de réponse aux incidents
  • Comment déployer rapidement une politique de réponse aux incidents efficace
  • Plan de réponse aux incidents 101 : comment en construire un, modèles et exemples

.