Connaitre les étapes des cyberattaques et en reconnaitre les signes

Tout le monde le sait, les cyberattaques peuvent causer des dommages considérables aux entreprises et aux particuliers. Ces cyberattaques suivent souvent des étapes bien définies.

Dans cet article, nous revenons sur les étapes typiques d’une cyberattaque et sur les signes permettant de les reconnaître.

Pour s’introduire dans un système et commettre une cyberattaque, les pirates suivent souvent des étapes qui se ressemblent.

1. Une phase de reconnaissance : L’objectif de cette phase est de collecter autant d’informations que possible sur la cible. Les attaquants cherchent à comprendre leur victime ciblée, son domaine d’activité, ses clients, ses projets, la structure de son réseau, les systèmes en place et les éventuelles vulnérabilités. Pour cela, les pirates utilisent notamment des scans de réseau, des recherche d’informations publiques, collecte de données via les réseaux sociaux et de l‘ingénierie sociale.
2. Une phase d’intrusion : Dans cette phase, les attaquants exploitent les vulnérabilités identifiées dans la première phase de reconnaissance pour pénétrer dans le système de la cible. Pour cela, les pirates vont exploiter de failles logicielles, utiliser de mots de passe volés ou injecter de malwares comme des virus, ransomware, chevaux de Troie , spyware….
   La phase d’intrusion n’est pas seulement virtuelle, elle peut aussi prendre une dimension physique si l’attaque nécessite la mise en place d’un dispositif physique (ex: une clé USB) sur votre infrastructure.
3. Une phase d’escalade de privilèges : Une fois à l’intérieur du système, les attaquants vont chercher à obtenir des privilèges plus élevés pour accéder à davantage de ressources et contrôler le système. Pour cela, ils vont exploiter des failles dans le système d’exploitation ou encore mener des attaques par force brute sur les comptes administrateurs ou sur les comptes identifiés par les pirates comme détenant les informations les plus convoitées.
4. Une phase de diffusion : Les attaquants vont explorer le réseau interne, cherchant à accéder à d’autres systèmes ou d’autres serveurs et à étendre leur attaque au plus grand nombre de postes possibles. Pour cela, les pirates peuvent utiliser des outils de gestion à distance ou explorer des objets connectés non sécurisés (imprimante, caméras…) par exemple.
5. Une phase d’installation de portes de dérobées : Les cybercriminels installent des portes dérobées (appelées backdoors) ou des logiciels malveillants pour leur garantir un accès continu au système même si les vulnérabilités initiales sont corrigées, en créant par exemple de nouveaux comptes utilisateurs avec des privilèges élevés. L’objectif pour les pirates, avec ces portes dérobées, est de rester inaperçus.
6. Une phase d’exfiltration des données : Vient ensuite le cœur de l’attaque : les attaquants volent des données sensibles, personnelles, confidentielles, financières ou stratégiques et les transfèrent hors du réseau cible. Les données peuvent être chiffrées et devenir inaccessibles pour l’entreprise sous peine de payer une rançon dans le cadre d’un ransomware ou être vendues sur le darknet, diffusées sur internet ou être utilisées pour faire de l’usurpation d’identité.
7. Une phase d’effacement des traces : Les pirates cherchent évidemment à masquer leurs activités pour retarder ou éviter la détection de leur activité et compliquer l’enquête par la suite. Cela se traduit par des suppressions de logs pour masquer les heures et les adresses IP d’accès ou des modification d’horodatages de fichiers par exemple.

Ces 7 étapes constituent les étapes classiques d’une intrusion. Il existe également des signes permettant de reconnaitre que l’on fait face à une cyberattaque.

1. Des activités réseau anormales : Un pic soudain de trafic réseau, des connexions inhabituelles ou des communications avec des adresses IP inconnues peuvent indiquer une intrusion. Cela peut se traduire par exemple par une augmentation inexpliquée du trafic réseau pendant des heures habituellement creuses. Cela peut laisser pressentir une attaque par déni de service.
2. Des performances système dégradées : Des ralentissements, des blocages fréquents ou des redémarrages intempestifs peuvent signaler également la présence de malwares. Un serveur qui met soudainement beaucoup plus de temps à répondre ou qui tombe en panne sans raison apparente doit vous alerter par exemple.
3. Des comportements anormaux : Des tentatives de connexion inhabituelles, des activités en dehors des horaires de travail habituels, ou des utilisateurs accédant à des ressources qu’ils ne consultent pas normalement. Si une personne qui n’a pas accès habituellement à certaines bases de données tente d’y accéder à plusieurs reprises, cela doit vous alerter.
4. Des modifications non autorisées : Des changements non autorisés dans les configurations système, la création de nouveaux comptes utilisateurs ou des modifications de permissions peuvent également être des signes d’intrusion. Cela peut se traduire, par exemple, par la découverte de nouveaux comptes administrateurs qui n’ont pas été créés par votre équipe IT.
5. Des apparitions de programmes ou de fichiers inconnus : L’installation de logiciels non autorisés, la présence de fichiers inhabituels ou des extensions de fichiers étranges sont également symptomatiques d’une cyberattaque. Par exemple, la présence de fichiers exécutables dans des dossiers qui ne devraient contenir que des documents.
6. Une augmentation des mails de phishing :Une augmentation soudaine de mails de phishing ciblant les équipes d’une entreprise peut indiquer une tentative de cyberattaque en cours.
7. Des alertes de sécurité : Les alertes générées par les systèmes de sécurité, comme les antivirus, les pare-feu ou les systèmes de détection d’intrusion, doivent, bien entendu, être prises au sérieux. Cela peut se traduire par exemple par un antivirus qui détecte et bloque des tentatives répétées d’installation de logiciels malveillants.

L’ensemble de ces signes peut traduire qu’une cyberattaque est en cours. Retrouvez des conseils pour réagir en cas de cyberattaque dans notre article consacrée à la question.