Cybersécurité : comprendre la kill chain pour mieux protéger son SI

En matière de cybersécurité la compréhension de la kill chain est primordiale pour appréhender les scénarios d’attaque. Aujourd’hui, nombre de DSI se reposent encore sur le pare-feu (firewall) afin de prévenir les cyberattaques. Mais est-ce encore suffisant ? Comment protéger efficacement son SI ? Nous allons voir dans cet article comment se déroule généralement une cyberattaque, ses cibles et ses mécanismes.

Nous avons posé ces questions à Jean-François Bérenguer, notre Microsoft MVP et directeur des opérations de notre agence Grand Sud. Et pour y répondre, il convient d’abord de comprendre comment se déroule, en règle générale, une cyberattaque.

JFB. Pour pouvoir se protéger son système d’information, il est important de savoir ce qu’on a à protéger et de savoir comment le protéger, mais surtout aussi savoir de quoi il faut se protéger. C’est, dans le domaine de la sécurité, le plus important.

On va décortiquer une chaine d’attaques, une chaîne classique parce qu’en définitive, quand on parle d’attaques sur le système d’information, ce n’est pas une opération, mais un enchaînement d’opérations qui vont partir très certainement d’un utilisateur jusqu’à aboutir à la prise du contrôle du domaine et l’exfiltration des données. Mais dans tous ces scénarios, le firewall intervient très peu.

Cela veut dire que quand on souhaite reposer sa stratégie de sécurité uniquement sur du firewall, on fait ce qu’on appelle de la défense de périmètre. Aujourd’hui, c’est loin d’être suffisant et c’est d’autant plus du tout ce que l’on va viser.

Phase 1. L’infiltration du système d’information, le début de la kill chain

Lorsque l’on regarde une attaque classique sur un système d’information, bien souvent, elle commence par un flux entrant. Ce flux entrant va atteindre un utilisateur, via le phishing par exemple, qui représentait 80% des cyberattaques sur les entreprises en 2020. C’est un des vecteurs classiques d’amorce d’attaques sur les systèmes d’information. Ça peut être aussi un mail avec une pièce jointe que va ouvrir l’utilisateur. Il est très probable qu’il y ait une macro-commande à l’intérieur qui va exécuter du code malveillant sur le poste. Il se peut aussi que l’utilisateur clique sur une URL. La kill chain commence ici, avec l’infiltration.

Ensuite, bien souvent, du code malveillant va être introduit. Si l’attaque a démarré par du phishing, l’attaquant a récupéré les identifiants de l’utilisateur et prend ainsi contrôle de son poste et peut commencer à installer ce qu’il souhaite.

Si c’est une pièce jointe avec une macro-commande, un bout de code va venir s’installer. Ensuite, un logiciel installé sur le poste va essayer de contacter ce qu’on appelle un C2. Le C2, c’est un pool de serveurs, quelque part sur le net, qui va entrer en communication avec le poste de manière à lui envoyer des instructions et télécharger bon nombre de logiciels supplémentaires. Ensuite, une fois tous les outils installés sur le poste, l’équipe de hack va pouvoir commencer à dérouler le scénario.

L’enjeu pour les DSI va être d’anticiper et de couper les attaques le plus tôt possible. C’est là que le firewall va pouvoir entrer en jeu, mais les équipes de hack vont, par exemple, utiliser des noms de domaines connus avec une très bonne réputation de manière à passer tout ce qui est firewall et proxy.

Phase 2. L’exécution de commandes pour sonder le SI

On a donc un poste compromis, avec un certain nombre de logiciels installés. L’équipe de hack prend le contrôle du poste et c’est comme si elle était maintenant assise derrière le bureau. Elle va pouvoir lancer toutes les commandes qu’elle souhaite pour dérouler son attaque.

En tant que hacker, la première chose que je vais essayer de compromettre, c’est le compte qui est sur le poste, si je ne l’ai pas déjà fait avec du phishing. À partir de là, l’équipe de hack pourra lancer des commandes pour collecter les données et découvrir le réseau sur lequel elle est. Ce sont des commandes qui ne nécessitent aucun privilège sur le système d’information, donc tout utilisateur peut les lancer. Elles vont permettre de connaître, par exemple, le plan d’adressage IP, le nom du ou des contrôleurs de domaine, mais aussi les groupes de l’AD (Active Directory).

Ces commandes vont ainsi permettre de savoir qui est admin du domaine et d’obtenir des informations sur la cartographie du réseau.

Phase 3. Le mouvement latéral

Vient ensuite le mouvement latéral. C’est aujourd’hui le passage obligé pour tous les scénarios d’attaque. Pour pouvoir se défendre, il va donc être important de savoir ce que ce qu’est un mouvement latéral et les techniques utilisées par un attaquant pour faire du mouvement latéral.

Le mouvement latéral, c’est une technique qui va permettre à une équipe de hack depuis un poste et un compte utilisateur, de pouvoir rebondir sur d’autres entités de manière à essayer de tomber sur des entités à privilèges plus élevés, d’identifier sur quelle machine ces comptes ont été identifiés et ainsi de suite, jusqu’à arriver à un niveau de privilèges le plus élevé possible, de type « administrateur du domaine ».

Des outils comme Microsoft Defender for Identity vont, par exemple, permettre de repérer les chemins possibles pour des mouvements latéraux pour prendre le contrôle d’un compte de type admin du domaine.

Phase 4. La compromission d’un compte à fort privilège et l’accès aux données

Une fois que le mouvement latéral réussi, l’équipe de hack pourra pratiquer l’escalade vers des comptes à privilèges plus élevés et rebondir ainsi de compte en compte jusqu’à arriver à un compte qui a un très fort privilège. Il sera alors possible de compromettre le domaine, accéder à des données sensibles pour ensuite exfiltrer ces données.

C’est donc ce qu’on appelle la kill chain. C’est un scénario d’attaque assez classique qui va d’abord permettre d’avoir le contrôle sur le domaine et de faire de l’exploration des données, voire de les chiffrer.

La gestion des risques internes, l’angle complémentaire

Un autre scénario à ne pas oublier concerne les risques internes.

Il faut alors se pencher sur l’attitude des collaborateur·ices de l’entreprise. Diverses raisons, peuvent les amener à compromettre le système d’information de leur structure : par distraction, par négligence, mais aussi par mécontentement, stress, désenchantement ou dans la préparation de leur départ pour une autre organisation. Une personne peut ainsi avoir été compromise et faciliter la pénétration du système d’information depuis l’extérieur.

Il faut donc connaître aussi ces différents comportements pour gérer les risques internes, parce que l’utilisateur a potentiellement accès à des données sensibles qui peuvent fuiter sans qu’on en maîtrise la destinée.

Il va ainsi falloir être capable de détecter tout ce qui relève d’une activité anormale par rapport aux utilisateur·ices : des tentatives d’accès à des dossiers auxquels l’utilisateur·ice n’a pas l’habitude d’accéder, du téléchargement en masse, de la suppression en masse de documents dans le OneDrive, voire la création de backdoor au système d’information.

Les bonnes pratiques

L’isolation des comptes. Dans un environnement hybride avec Office 365, l’organisation dispose d’un annuaire local et d’un annuaire Azure Active Directory. Les comptes à privilèges ne doivent pas être synchronisés pour éviter le mouvement latéral entre les deux composantes de l’environnement.
Le principe du moindre privilège. On ne donne des privilèges à des utilisateur·ices que pour faire ce dont ils ont strictement besoin.
Bannir les connexions admins sur les postes des utilisateur·ices. C’est un des scénarios de base pour un mouvement latéral, en récupérant le token de l’admin. En un quart d’heure, on peut alors prendre le contrôle du SI.
Écrire les règles de sécurité, les diffuser et en contrôler la conformité.
Mettre en place les moyens humains et les processus pour assurer des contrôles réguliers.
Mettre en place l’authentification forte.
S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.
Se tenir informé·e et se former.

Les solutions Microsoft pour protéger son SI tout au long de la kill chain

La suite Defender, notamment :
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoints
- Microsoft Defender for Identity
Azure AD Identity Protection
Microsoft Cloud App Security
Le SIEM Azure Sentinel, pour collecter les logs du cloud et on-premises et identifier si un séquencement de tâches correspond à une attaque

Pour aller plus loin

Contactez-nous

Retrouvez nos articles sur la cybersécurité sur le blog

AzureCloud & infraEntreprisesSécurité

L’Active Directory constitue depuis plus de 25 ans un socle important de bon nombre d’environnements informatiques. Son rôle dans la gestion des comptes utilisateurs et des informations associées...

Pourquoi et comment sécuriser un Active Directory ?

17/04/2024

AzureCloud & infraNos servicesSécuritéWebinar

Microsoft Copilot : décuplez votre créativité et automatisez des tâches du quotidien Dans ce webinar présenté par nos expert·es Estelle, Fabrice, Marine, Jean-François et Romaric, vous comprendrez comment...

Décuplez votre créativité et automatisez des tâches du quotidien grâce à Microsoft Copilot

03/04/2024

AzureCloud & infraNos servicesSantéSécuritéWebinar

Optimisez votre transition vers le Cloud Azure avec le marché Cloud de la CAIH Pour ce webinar dédié aux établissements de Santé, notre MVP sur les solutions Azure,...

Optimisez votre transition vers le Cloud Azure avec le marché Cloud de la CAIH

25/03/2024

Azure DefenderAzure SentinelCloud & infraEntreprisesMicrosoft DefenderSécurité

En cybersécurité, le mouvement latéral représente une menace complexe que les DSI doivent absolument comprendre pour mieux se protéger. https://empower.bluesoft-group.com/wp-content/uploads/sites/15/2024/02/Le-mouvement-lateral-v2.jpg Le mouvement latéral dans les chaînes d’attaque classiques...

Mouvement latéral : 1 règle d’or pour se protéger – Cybersécurité

20/03/2024

AzureCloud & infraMicrosoft 365Sécurité

La responsabilité partagée cloud guide la répartition des tâches de sécurité entre une organisation et son fournisseur de services cloud (cloud provider). Qu’il s’agisse des services IaaS, PaaS...

Responsabilité partagée cloud : qui est responsable de quoi dans le cloud ?

06/03/2024

Azure SentinelIntuneMicrosoft DefenderPrivaPurviewSécurité

Aujourd’hui, la réponse de Microsoft à la question complexe de la sécurité informatique prend la forme de Microsoft Security, une suite d’outils composée de six produits distincts, qui...

Microsoft Security, une suite étendue pour une protection intégrée

07/02/2024

Voir plus d’articles sur le blog

Comprendre la kill chain pour protéger efficacement son SI

Phase 1. L’infiltration du système d’information, le début de la kill chain

Phase 2. L’exécution de commandes pour sonder le SI

Phase 3. Le mouvement latéral

Phase 4. La compromission d’un compte à fort privilège et l’accès aux données

La gestion des risques internes, l’angle complémentaire

Les bonnes pratiques

Les solutions Microsoft pour protéger son SI tout au long de la kill chain

Pour aller plus loin

Retrouvez nos articles sur la cybersécurité sur le blog

Pourquoi et comment sécuriser un Active Directory ?

Décuplez votre créativité et automatisez des tâches du quotidien grâce à Microsoft Copilot

Optimisez votre transition vers le Cloud Azure avec le marché Cloud de la CAIH

Mouvement latéral : 1 règle d’or pour se protéger – Cybersécurité

Responsabilité partagée cloud : qui est responsable de quoi dans le cloud ?

Microsoft Security, une suite étendue pour une protection intégrée

Partagez l'article !