Ce terme, qui signifie « menace persistante avancée », désigne des cyberattaques particulièrement sophistiquées. Les menaces persistantes avancées sont généralement ciblées et peuvent causer des dommages considérables. D’une part, par la destruction de données (sabotage). D’autre part, par l’espionnage de données particulièrement précieuses, telles que des secrets d’État ou des innovations de produits (espionnage).
Que signifie exactement le terme « menace persistante avancée » ?
Dans le cas d’une menace persistante avancée (APT), les cybercriminels consacrent beaucoup de temps, d’efforts et de savoir-faire pour attaquer une entreprise de manière ciblée. C’est cette détermination qui distingue les menaces persistantes avancées de nombreux autres cyberrisques. Les cibles typiques d’une menace persistante avancée sont notamment :
- Autorités
- Centres de recherche
- Infrastructures critiques d’un pays
- Grandes entreprises et PME, en particulier dans le secteur des hautes technologies
- Les entreprises particulièrement innovantes, par exemple les « champions cachés »
- Les installations militaires, l’industrie de l’armement ainsi que leurs entreprises partenaires et sous-traitantes
Les menaces persistantes avancées se caractérisent par une approche planifiée et à long terme de la part des cybercriminels :
- Tout commence par une première intrusion dans le réseau. Ensuite, des logiciels malveillants, apparemment diffusés au hasard, peuvent être utilisés, par exemple des chevaux de Troie dans une pièce jointe d’e-mail.
- Les cybercriminels tentent ensuite de conserver et d’étendre leur accès au réseau.
- Ils utilisent différentes techniques en fonction de la situation, par exemple : des logiciels malveillants (malware) pour des tâches spécifiques, la mise en place de portes dérobées stratégiques, la création et l’extension d’une infrastructure informatique cachée, ainsi que des réactions en temps réel aux mesures de sécurité du système attaqué
En général, les cybercriminels cherchent à rester indétectables le plus longtemps possible dans le cadre d’une menace persistante avancée. Cela leur permet soit d’espionner en continu des données récentes, soit de causer un maximum de dégâts à un moment ultérieur. Les menaces persistantes avancées persistent souvent très longtemps avant d’être détectées – on parle parfois d’une durée médiane de plus de 400 jours. La plupart des menaces persistantes avancées sont découvertes par des personnes extérieures ou par hasard.
Dans quelles situations suis-je confronté à des menaces persistantes avancées dans mon travail quotidien ?
Les menaces persistantes avancées peuvent vous frapper partout et nulle part. Partout, dans le sens où les cybercriminels peuvent exploiter de très nombreux points d’entrée pour accéder au système informatique de votre entreprise. Notamment par le biais :
- Logiciels malveillants dans les pièces jointes des e-mails (par exemple, chevaux de Troie, enregistreurs de frappe)
- Hameçonnage, hameçonnage ciblé
- Publicité via des applications web compromises
- Ingénierie sociale
- Logiciels malveillants présents sur des supports amovibles, tels que les clés USB ou les cadeaux promotionnels alimentés par USB
- Postes de travail laissés sans surveillance pendant un court instant
- Fraude au président
- Les logiciels malveillants présents dans le « shadow IT » (appareils, services et programmes utilisés à la fois à des fins privées et professionnelles. Ceux-ci ne sont souvent pas pris en compte dans de nombreuses mesures de sécurité et restent, pour ainsi dire, dans l’ombre.)
En aucun cas, dans la mesure où une menace persistante avancée passe généralement inaperçue pour un utilisateur lambda. Les cybercriminels y accordent une grande importance afin d’éviter ce qu’ils considèrent comme une détection prématurée.
Que puis-je faire pour me protéger contre les menaces persistantes avancées ?
Prévention
En règle générale : adoptez une approche en plusieurs étapes. Dans le cas d’une menace persistante avancée (APT), les cybercriminels consacrent beaucoup de temps à identifier et à exploiter les failles de sécurité de votre réseau d’entreprise. Réduisez vos points de vulnérabilité en renforçant au maximum votre cybersécurité, notamment en :
- Mesures techniques telles que les pare-feu, les antivirus, les anti-logiciels espions, le Wi-Fi crypté, l’authentification à deux facteurs
- Mesures de sécurité et d’hygiène : veiller à ce que les systèmes d’exploitation, les logiciels et, en particulier, les antivirus soient toujours à jour grâce aux mises à jour. Effectuer régulièrement des analyses approfondies.
- Mesures axées sur le personnel : formations, actions de sensibilisation, campagnes d’information. Vos collaborateurs constituent un facteur de protection essentiel pour votre entreprise, notamment face aux nombreux logiciels malveillants diffusés par e-mail.
- Mesures organisationnelles et techniques : réseaux distincts pour les différents services, droits d’accès hiérarchisés, suppression rapide de tous les comptes utilisateurs des anciens collaborateurs
- Mesures administratives : surveillance du trafic sortant à la recherche d’anomalies, surveillance des connexions à la recherche d’anomalies (par exemple, un nombre inhabituellement élevé de connexions pendant la nuit), mise sur liste blanche de certains programmes, vigilance particulière en cas de volumes importants de données stockées à des emplacements inhabituels ou dans des formats de compression inhabituels
Si vous détectez une menace persistante avancée
Gardez votre calme. Veillez avant tout à ce que les cybercriminels ne se rendent pas compte qu’ils ont été démasqués. Ne modifiez rien dans votre infrastructure informatique pour l’instant, ne nettoyez aucun système – rien.
- Agissez en dehors de votre infrastructure informatique. Appelez par exemple votre service informatique ou votre prestataire informatique depuis votre téléphone portable afin que la phase d’analyse de la réponse à l’incident puisse débuter dès que possible.
- ATTENTION : en cas de menace persistante avancée (APT), les cybercriminels surveillent probablement l’ensemble de votre réseau, notamment vos e-mails, vos appels VoIP et vos agendas. Ne faites aucune allusion à la découverte de cette menace persistante avancée.
- Faites appel dès que possible à des experts externes en sécurité informatique, tels que Perseus, qui ont l’habitude de gérer les menaces persistantes avancées dans le cadre de la réponse aux incidents.
- Informez également les autorités compétentes. Votre incident cybernétique y sera traité en toute confidentialité. D’une part, cette information est importante pour mieux vous protéger, vous et votre entreprise. D’autre part, il est possible que votre entreprise ne soit pas la cible finale de cette menace persistante avancée, mais qu’elle apporte une contribution importante à l’enquête.
Voici quelques-uns des organismes auxquels vous pouvez vous adresser :
Informations générales intéressantes
Le document de recommandations intitulé « Protégez-vous contre les cyberattaques ciblées menées par des professionnels », publié par l’Office fédéral allemand pour la sécurité informatique (BSI), offre une bonne introduction approfondie à ce sujet.
Le document de travail du BSI intitulé « Premiers secours en cas d’attaque APT » fournit des indications préliminaires sur la manière de réagir après la détection d’une menace persistante avancée (APT). Ce document étant accessible au public, vous verrez apparaître à plusieurs endroits la mention « Contenu supprimé », car ces informations seraient également très précieuses pour les cybercriminels.
