Mieux comprendre les termes de la cybercriminalité

LockBit est une organisation cybercriminelle spécialisée dans les cyberattaques par ransomware, ou rançongiciel. Les personnes affiliées à LockBit étaient en mesure de gérer l'ensemble de leur cyberattaque depuis une interface graphique unique, réduisant fortement le degré de complexité technique nécessaire. Le mode opératoire de ce groupe, calqué sur le « Ransomware-as-a-Service » (RaaS) était comparable à celui d’une entreprise classique :

• Une console centralisée ;
• Des outils intégrés, par exemple pour l’exfiltration et le chiffrement de données, la gestion des victimes… ;
• Un réseau d'affiliés ;
• Un support technique.

En février 2024, l’Opération Cronos menée par les forces de l’ordre à l’échelle internationale, a permis de démanteler et donc d’affaiblir fortement le pouvoir de nuisance de ce groupe de ransomware, ayant connu un pic que l’on peut qualifier d’industriel entre 2022 et 2023. Si l’entité existe toujours, son champ d’action est aujourd’hui fortement réduit et beaucoup plus décentralisé.

Un ransomware ou rançongiciel est un type de logiciel malveillant (« malware ») qui s’immisce dans l’environnement IT d’une entreprise pour rendre inaccessible certains de ses fichiers ou logiciels. En cryptant ces ressources, elle le rend inutilisables. C’est là que la demande de rançon intervient, souvent une forte somme en cryptomonnaie, en l’échange d’une clé sensée déchiffrer les ressources « gelées ». Un procédé criminel qui ne garantit par ailleurs en rien que l’entreprise ne sera pas à nouveau rackettée par la suite. En France la loi oblige les entreprises à signaler tout acte cybercriminel à la CNIL et aux autorités compétentes dans les 72h.

Un rançongiciel est le terme Français utilisé pour désigner un Ransomware

Le phishing – ou hameçonnage - est une fraude en ligne qui s’appuie sur un faux mail ou faux site web pour tromper l’attention d’une personne afin d’obtenir des informations sensibles, telles que ses identifiants, mots de passes ou coordonnées bancaires. Un phishing non détecté qui viendrait tromper la vigilance d’une seule personne peut servir de porte d’entrée à l’ensemble d’un système d’information et causer de sérieux dommages technologiques, financiers et réputationnels. C’est un phishing à l’origine de l’attaque par ransomware qui a impacté Coaxis et paralysé par réaction en chaîne 350 000 entreprises. C’est pourquoi la sensibilisation aux risques de phishing et de cybersécurité est essentielle et doit être prise très au sérieux.

Une tentative d’hameçonnage en ligne est le terme Français de Ransomware. Voir notre réponse à la question « Qu’est-ce qu’un ransomware » ?

Une vulnérabilité « Zero Day » (ou « Zero Day vulnerability ») désigne une faille de sécurité dans un logiciel ou système qui est inconnue de son développeur ou fournisseur au moment où celle-ci est exploitée par les hackers. Les attaquants se servent de ces failles non identifiées pour compromettre des systèmes, avant que des mesures de protection ne soient déployées pour en colmater la brèche.

Un RSSI (Responsable de la Sécurité des Systèmes d'Information) ou CISO en Anglais,   est la personne en charge de la sécurité informatique au sein d'une organisation. Son rôle principal est de protéger les systèmes d'information contre les menaces, de mettre en place des politiques de sécurité, et de gérer les incidents de cybersécurité.

Un compte administrateur de domaine ou « Domain Admin account » est un compte utilisateur disposant des privilèges les plus élevés dans un environnement Active Directory. Il peut créer, modifier ou supprimer n'importe quel objet du domaine. La compromission d'un tel compte donne à un attaquant un contrôle total sur l'infrastructure IT de votre entreprise ou organisation.

Active Directory est le service d'annuaire de Microsoft utilisé par la plupart des entreprises pour gérer les utilisateurs, ordinateurs et ressources réseau. Il centralise l'authentification et les droits d'accès. C'est une cible privilégiée des attaquants car sa compromission donne accès à l'ensemble du système d'information.

L’approche « Zero trust » (Confiance zéro) est un modèle de sécurité informatique qui repose sur le principe qu’aucune entité, interne ou externe au réseau de l’entreprise, ne doit être considérée comme digne de confiance. Chaque demande d’accès doit faire l’objet d’une vérification et d’une authentification strictes et continues. L’objectif est de limiter la surface d’attaque et les risques d’intrusion malveillante.

La Multi-Factor Authentication (MFA) ou authentification multi-facteurs est une méthode de sécurité qui exige plusieurs preuves d'identité avant d'accorder l'accès à un système. Elle combine généralement quelque chose que vous connaissez (mot de passe), quelque chose que vous possédez (téléphone, token) et / ou quelque chose que vous êtes, via l’identification biométrique : empreinte de votre doigt ou reconnaissance faciale.

Les outils de surveillance et de gestion à distance ou « Remote Monitoring and Management » (RMM) comme MeshAgent, Atera ou Splashtop sont des logiciels légitimes utilisés par les équipes IT pour administrer des systèmes à distance.
Les attaquants les exploitent car cet accès les rend difficilement détectables.
En compromettant un outil de surveillance et de gestion à distance RMM, les hackers peuvent maintenir un accès prolongé à un réseau. Enfin ces outils permettent de déployer rapidement des logiciels ou mises à jour malveillantes sur plusieurs machines du réseau.

Le patch management, ou gestion des correctifs, est un processus qui consiste à administrer et simplifier le déploiement et l’installation des mises à jour logicielles (patchs) sur l’ensemble du parc informatique d’une entreprise. Plus l’environnement IT d’une organisation est vaste et complexe, plus un patch management solide est crucial pour apporter des correctifs sur les vulnérabilités du système d’information, assurer sa sécurité, sa stabilité et son niveau de conformité. 

La sauvegarde d’un serveur – server backup – est une copie à l’identique d’un serveur, contenant l’intégralité de ses fichiers, données, applications et configurations. En cas de compromission suite à une cyberattaque, d’une panne, d’un incident technique ou d’une erreur humaine, c’est une ressource essentielle pour restaurer ces éléments. La sauvegarde peut être effectuée régulièrement afin d’optimiser la continuité d’activité et la protection de données critiques.

Un Endpoint Detection and Response (EDR) est une solution de sécurité qui surveille en continu les terminaux (postes de travail, serveurs) pour détecter et répondre aux menaces avancées. Contrairement à un antivirus classique, un EDR analyse les comportements suspects et conserve une trace forensique des activités.

Un Security Operations Center (SOC) ou Centre Opérationnel de Sécurité est une équipe centralisée qui surveille, détecte, analyse et répond aux incidents de cybersécurité en temps réel. Le SOC collecte et corrèle les événements de sécurité provenant de l'ensemble du système d'information pour identifier les menaces avant qu'elles ne deviennent critiques. Orange Cyberdefense dispose ainsi de 36 SOC à travers le monde, répartis dans 12 pays. Un maillage qui facilite la protection 24/7 de nos clients, en France et à l’international.

Le Vulnerability Operating Center (VOC) ou Centre Opérationnel des Vulnérabilités est un service dédié à la détection et gestion des vulnérabilités au sein d’un système d’information.

Un Computer Security Incident Response Team (CSIRT) est une équipe spécialisée dans la gestion des incidents de sécurité informatique. Contrairement au SOC dont le rôle est de surveiller toute activité suspecte en continu, le CSIRT intervient lors d'incidents confirmés pour contenir, analyser et remédier aux attaques. Pour faire une anlogie, l’équipe CSIRT endosse le rôle d’un enquêteur intervenant sur le terrain après un « crime cyber », pour comprendre le mode opératoire du crime en question.  Elle analyse la méthode et chemins de compromission employés par les hackers pour compromettre le système, en fournissant des rapports forensiques détaillés afin que les vulnérabilités au cœur de l’attaque ne soient plus exploitées.