Qu’est-ce qu’un threat actor ou acteur de la menace ?

Un threat actor, ou acteur de la menace en français, est un attaquant interne ou externe qui pourrait affecter la sécurité des données. Tout le monde peut être un threat actor, qu’il s’agisse d’un vol direct de données, de phishing, de la compromission d’un système par l’exploitation d’une vulnérabilité ou de la création d’un malware. L’infrastructure de sécurité détecte, contient et éradique les threat actors et leurs diverses attaques.

Il existe plusieurs types de threat actors, c’est-à-dire des personnes qui créent des logiciels malveillants et mènent des attaques contre votre infrastructure et vos applications. En général, chaque type a un objectif spécifique, qu’il soit financier ou simplement de destruction de vos données. Comprendre les différents types de threat actors vous aide à élaborer de meilleures méthodes de détection et à enquêter sur les attaques possibles.

Les cyberterroristes

Les cyberterroristes visent principalement les entreprises, les gouvernements ou l’infrastructure d’un pays. On leur donne ce nom en raison des perturbations que ces threat actors peuvent causer à des communautés entières.

L’objectif d’un cyberterroriste est généralement de nuire aux résidents et aux entreprises d’un pays, ce qui entraîne des dommages économiques et physiques.

Acteurs parrainés par l’État

Comme les cyberterroristes, les threat actors parrainés par l’État sont généralement soutenus par le gouvernement d’un pays et payés pour attaquer l’infrastructure d’un pays adverse. La différence entre un cyberterroriste et un acteur de la menace parrainé par l’État est qu’un acteur de la menace parrainé par l’État cherche généralement à extorquer un gouvernement ou à voler des secrets exclusifs.

Il peut utiliser des ransomwares ou des rootkits pour prendre le contrôle à distance de machines critiques utilisées pour faire fonctionner des infrastructures. Les acteurs parrainés par l’État ciblent également les entreprises et les fournisseurs qui soutiennent les infrastructures gouvernementales et visent à perturber la productivité.

Hacktivistes

Les pirates informatiques ciblent parfois les gouvernements et les entreprises en raison de leur opposition à l’idéologie de leur cible. “Anonymous” est un groupe populaire d’hacktivistes composé de personnes du monde entier, mais d’autres hacktivistes peuvent travailler seuls.

Ces threat actors ne sont généralement pas motivés par des raisons financières et cherchent à endommager des données ou des infrastructures pour des raisons politiques. Il peut s’agir de menaces externes ou internes visant à mener des activités malveillantes et à perturber la productivité normale de l’entreprise.

Insiders

De nombreuses entreprises commettent l’erreur de faire confiance à toute activité provenant d’employés ou de sous-traitants. Par exemple, une menace interne peut être le fait d’un nouvel employé mécontent ou d’une personne qui cible délibérément une entreprise ou un gouvernement.

Des entreprises ou des gouvernements concurrents paient des initiés pour voler des propriétés intellectuelles et des secrets commerciaux, mais certaines menaces d’initiés visent simplement à nuire à leur employeur. Les menaces d’initiés sont devenues plus courantes ces dernières années, infligeant les plus gros dégâts et étant les plus difficiles à détecter puisqu’ils ont un accès légitime aux infrastructures et aux données.

Les pirates informatiques

Tous les acteurs de la menace ne sont pas des attaquants qualifiés. De nombreux scripts, dépôts de code et logiciels malveillants peuvent être téléchargés gratuitement par n’importe qui. Ces threat actors sont appelés “script kiddies” car ils ne savent généralement pas comment coder ou exploiter les vulnérabilités.

Même s’ils n’ont pas de compétences en matière de codage et de piratage, les script kiddies peuvent néanmoins nuire à la productivité et aux données privées d’une organisation. Un script kiddie peut également ajouter sans le savoir des logiciels malveillants à l’environnement, en pensant qu’il télécharge des outils qu’il peut contrôler.

Erreurs des utilisateurs internes

Les threat actors internes n’ont pas toujours des intentions malveillantes, mais leurs dommages peuvent être tout aussi graves que ceux causés par une attaque ciblant intentionnellement l’entreprise.

En général, les dommages involontaires causés par une menace interne sont associés au phishing. Les attaquants externes envoient des courriels de phishing aux initiés, les incitant à ouvrir une pièce jointe malveillante ou à accéder à une page Web qui incite l’employé ciblé à divulguer ses informations d’identification.

Comme l’employé a un accès légitime aux données, les threat actors internes peuvent révéler de nombreuses données sensibles à un attaquant.

Le type de threat actor qui cible votre entreprise a également des motivations spécifiques. La motivation peut ne pas sembler importante lorsque vous construisez une infrastructure de sécurité, mais comprendre les attaquants vous aide à élaborer une meilleure planification. Les outils de sécurité que vous installez sont conçus pour se défendre contre des attaques spécifiques et cibler des threat actors spécifiques.

Pour de nombreux attaquants, l’objectif principal est le gain financier. Les ransomwares sont un outil précieux pour les acteurs de la menace qui souhaitent extorquer de l’argent aux entreprises et aux gouvernements ciblés. Les ransomwares ciblant les particuliers peuvent demander quelques centaines de dollars en bitcoins, tandis que les ransomwares ciblant les entreprises et les gouvernements demandent généralement des millions de dollars en paiement.

Une fois que le ransomware a chiffré les fichiers, les entreprises ne peuvent pas récupérer leurs données sans payer la rançon ou restaurer les fichiers à partir de sauvegardes. Les ransomwares sont courants et efficaces. Il faut donc mettre en place une infrastructure de sécurité pour les détecter et les arrêter.

Les motivations politiques alimentent les attaquants parrainés par des États et les cyberterroristes. Ces motivations peuvent comporter un élément de gain financier, mais l’objectif principal est de perturber les services commerciaux et de nuire aux gouvernements. Les attaquants se trouvent généralement en dehors du pays qu’ils ciblent, de sorte qu’il est difficile de les localiser, d’enquêter sur eux et de les inculper au pénal.

Certains attaquants le font entièrement pour le plaisir ou la recherche. La recherche de vulnérabilités dans les logiciels est un travail pour certains threat actors, mais ces pirates en chapeau blanc ne causent pas de dommages intentionnels. Ils informent les organisations lorsqu’ils découvrent une vulnérabilité afin de les aider à identifier les problèmes et à appliquer des correctifs à leurs systèmes avant que les attaquants ne volent des données.

Les attaquants qui le font pour le plaisir utilisent les mêmes méthodes que les autres attaquants, mais peuvent causer suffisamment de dommages pour avoir un impact sur la productivité de l’entreprise.

Les acteurs de la menace qui piratent pour le plaisir peuvent également rechercher la notoriété, ce qui les rend plus faciles à cibler s’ils laissent une carte de visite. D’autres le font pour se venger, ce qui pourrait permettre une meilleure identification si l’attaquant fait des erreurs et laisse une piste d’audit. La plupart des attaquants cherchent à dissimuler leurs activités, mais ceux qui cherchent à se venger ou à se faire connaître peuvent laisser volontairement des informations les concernant.

Les motivations peuvent également se chevaucher. Les attaquants parrainés par un État peuvent le faire à des fins politiques, mais aussi pour des raisons financières. Les ransomware peuvent extorquer des millions de dollars aux entreprises et aux gouvernements, mais ils paralysent aussi la productivité des entreprises et peuvent potentiellement paralyser les gouvernements pendant des semaines.

Comme la plupart des attaques sont motivées par des raisons financières, les threat actors ciblent les entreprises et les gouvernements qui ont beaucoup d’argent pour payer des rançons afin de récupérer leurs données. Certains threat actors ciblent les particuliers, mais ces attaques reposent sur le volume au lieu de cibler des entreprises de qualité disposant de revenus importants.

Les attaquants savent que les particuliers disposent de moins de fonds que les entreprises. La plupart des attaques comme les ransomwares visent les particuliers et demandent de petits montants. Les acteurs de la menace ciblent également les particuliers pour obtenir des données financières ou un vol d’identité. Les entreprises et les particuliers doivent être conscients des menaces, mais les entreprises sont spécifiquement ciblées pour les violations de données importantes et les paiements de rançon élevés.

Les petites et grandes entreprises sont les cibles des threat actors. Contrairement aux particuliers, les entreprises comptent également de nombreux employés et sous-traitants qui contribuent aux risques de violation des données en raison d’erreurs humaines. Les menaces internes sont souvent à l’origine d’une violation de données ou d’une infection par ransomware, mais les threat actors externes utilisant divers vecteurs sont également à l’origine de violations de données.

Les threat actors prennent plus de temps pour cibler des entreprises spécifiques, effectuant souvent une reconnaissance pour recueillir des informations sur une cible avant de lancer une attaque. Par exemple, les acteurs de la menace utilisent des techniques de spear-phishing pour améliorer leurs chances de compromettre un compte d’utilisateur à haut niveau de privilège ou de tromper un comptable pour qu’il envoie de l’argent à l’attaquant.

L’attaquant peut être un employé mécontent, un employé payé par un concurrent pour voler des données, ou un acteur externe qui tente de compromettre une violation de données.

Les gouvernements sont la cible de threat actors parrainés par l’État, qui utilisent les mêmes exploits que les threat actors ciblant les entreprises, mais ces attaquants disposent d’un meilleur soutien financier et travaillent généralement en groupe. Ils sont tout aussi dangereux et peuvent provoquer des temps d’arrêt importants pour les agences gouvernementales, dans le but de perturber les infrastructures du pays et de nuire aux résidents.

L’infrastructure de sécurité est coûteuse, mais être victime d’une violation de données l’est encore plus. La plupart des entreprises stockent des informations sur leurs clients et doivent se conformer à au moins une réglementation. La non-conformité entraîne le paiement d’amendes élevées si l’entreprise est victime d’une violation de données due à une vulnérabilité non conforme. La plupart des règlements de conformité exigent que les organisations disposent d’une infrastructure raisonnablement sécurisée pour protéger les données des consommateurs.

Perdre des données et payer des amendes pour non-conformité ne sont pas les deux seules conséquences de l’ignorance des acteurs de la menace. Après une violation de données, les dommages causés à votre marque pourraient avoir des conséquences à long terme.

Si les consommateurs perdent confiance en votre marque, l’organisation pourrait voir une baisse des ventes et une perte de la fidélité des clients. Les coûts des litiges sont également à long terme, car les recours collectifs et les actions en justice des consommateurs sont une possibilité réelle. Ces poursuites peuvent durer des années après la violation initiale des données.

La protection des données nécessite des mises à jour quotidiennes et une maintenance continue. L’infrastructure de cybersécurité doit rester à jour car le paysage de la cybersécurité change quotidiennement et les threat actors continuent à modifier leurs méthodes pour surmonter les défenses actuelles.

Les systèmes de renseignement sur les menaces se concentrent sur l’évolution de la cybersécurité et les changements dans les méthodes des acteurs de la menace. Ces systèmes font partie intégrante des défenses appropriées pour toute organisation, afin de garantir que ses données sont protégées contre les menaces actuelles et futures.

Les normes actuelles de cybersécurité conseillent aux entreprises de passer d’une approche réactive de la sécurité des données à une approche plus proactive. Les contrôles proactifs surveillent, détectent et contiennent automatiquement une menace avant qu’elle n’entraîne une violation des données.

Les anciens modèles de sécurité fournissaient des informations aux analystes pour examiner une éventuelle violation de données, mais la détection, la prévention et la surveillance des intrusions sont bien plus efficaces pour réduire les risques et assurer la sécurité des données.

Les administrateurs peuvent prendre plusieurs mesures pour arrêter les threat actors et les attaques qu’ils lancent pour voler des données. Voici quelques façons dont les entreprises peuvent s’appuyer sur Proofpoint pour les aider :

• Éducation : Les employés doivent savoir à quoi faire attention lorsqu’ils reçoivent des e-mails suspects, et les programmes de formation à la sensibilisation à la sécurité sont un excellent moyen d’y parvenir. En donnant aux employés les moyens d’identifier les threat actors, les messages malveillants et les sites Web malveillants, ils apprendront comment éviter d’interagir avec eux.
• Authentification multifactorielle (MFA) : Les threat actors concentrent la plupart de leurs attaques initiales sur les courriels de phishing. Si un employé tombe dans le piège d’une attaque de phishing et divulgue des informations d’identification, l’authentification multifactorielle empêchera l’attaquant de poursuivre sa campagne.
• Surveillance du réseau : Les outils de surveillance sont requis pour certaines normes de conformité, mais ils jouent également un rôle essentiel dans une infrastructure de cybersécurité proactive. La surveillance de l’activité des employés arrêtera les threat actors internes ayant des intentions malveillantes ou des erreurs.
• Détection et prévention des intrusions : Des outils automatisés dotés d’une activité technologique d’intelligence artificielle surveillent l’environnement d’une organisation et contiennent automatiquement une menace avant qu’elle ne conduise à une violation de données.

Proofpoint propose plusieurs services qui traquent les acteurs de la menace et surveillent votre environnement et votre activité. La protection contre les attaques ciblées (TAP - Targeted Attack Protection) de Proofpoint offre une visibilité sur l’environnement d’une organisation, les objectifs d’un attaquant (par exemple, déployer un ransomware ou tenter d’accéder à des points d’extrémité), sa technique (par exemple, une macro ou un script PowerShell) et sa progression (par exemple, les employés qui ont cliqué sur un lien malveillant).

Les services gérés fournissent aux organisations les ressources d’un centre opérationnel de sécurité au niveau de l’entreprise pour aider les administrateurs à se protéger contre les acteurs de menaces externes et internes. La technologie n’est qu’un élément d’une bonne cybersécurité. De bons experts et analystes sont nécessaires pour configurer la technologie, la maintenir et prendre des mesures à partir des alertes. Proofpoint offre à votre organisation la technologie nécessaire pour stopper les menaces et former les employés à la gestion de leur infrastructure de cybersécurité.