Mode de fonctionnement
Les menaces visant les terminaux pénètrent généralement dans l'organisation par les méthodes suivantes :
- Appareil infecté introduit dans le réseau de l'entreprise, qui propage ensuite du code malveillant latéralement.
- Appareil mobile infecté.
- Utilisateurs qui téléchargent et installent un logiciel malveillant en pensant qu'il s'agit d'un antivirus, d'un nettoyeur de disque ou autre utilitaire.
Certains attaquants peuvent déposer une clé USB infectée sur le parking de l'entreprise en espérant qu'un employé la ramasse et la connecte à un système relié au réseau. Organiser une telle attaque se révèle toutefois onéreux et bien plus risqué pour leurs auteurs, en particulier lorsque, ne résidant pas dans le même pays, ils doivent faire appel à un tiers entraîné pour les aider sur place.
Protéger les terminaux est devenu plus difficile depuis que les utilisateurs connectent leurs propres appareils personnels au réseau de l'entreprise et qu'ils sont de plus en plus nombreux à travailler à distance. L'entreprise doit accepter que tout le trafic des appareils des utilisateurs ne passe pas entièrement par ses contrôles de sécurité et, dans la plupart des cas, elle ne dispose même pas d'un contrôle de sécurité imposant obligatoirement une certaine solution de sécurité sur ces terminaux.
Pour compromettre les terminaux des utilisateurs, les auteurs d'attaques opportunistes et ceux qui tentent de menacer les entreprises ont tendance à exploiter les messages envoyés depuis les réseaux sociaux aux comptes de messagerie de l'entreprise.
Cette stratégie est à la fois facile à appliquer et peu onéreuse puisque les attaques sont perpétrées à distance, visent de nombreux utilisateurs et interviennent à différents moments.
Selon le rapport 2013 de Verizon sur les violations de données, avec une campagne incluant seulement trois messages de phishing ciblés, l'auteur de l'attaque a une chance sur deux de voir un utilisateur cliquer sur le piège, donc de compromettre son ordinateur. En envoyer dix garantit quasiment qu'au moins un utilisateur tombera dans le piège.
Une fois compromis, le terminal peut transmettre une montagne d'informations sur l'entreprise, de même que les identifiants qui permettent de se connecter au réseau, donc aux systèmes et données sensibles. Le risque d'exposition augmente encore lorsque le terminal compromis se connecte au réseau et autorise les attaques à se propager latérallement dans les autres terminaux du réseau de l'organisation.
La meilleure défense consiste à adopter une approche à plusieurs couches, incluant l'installation de solutions de sécurité de premier plan sur le terminal pour rechercher les comportements malveillants et vérifier les signatures, et d'autres solutions capables d'inspecter le trafic qui entre et sort de ce terminal. Par ailleurs, pour intercepter un grand nombre des menaces introduites dans l'entreprise par les terminaux, il est essentiel de détecter et de se protéger des menaces qui passent par la messagerie électronique très tôt dans le cycle.