Afin d’optimiser cet attrait intrinsèque de l’être humain pour le travail d’équipe, les entreprises du monde entier ont adopté des applications de logiciel en tant que service (SaaS), qui facilitent le partage de l’information entre utilisateurs. Hébergées par des centres de données centralisés sur le cloud et non sur le matériel local, ces applications offrent des avantages financiers et techniques aux entreprises de toute taille, qu’il s’agisse de réaliser des économies de stockage ou de se doter d’une connectivité fiable pour des débits soutenus. C’est précisément leur dimension collaborative qui a placé les logiciels SaaS au cœur de l’entreprise moderne.
Parallèlement, l’interactivité des services cloud en fait une cible parfaite pour des cybercriminels expérimentés, qui leur permet, à partir du seul certificat d’un utilisateur SaaS, de s’attaquer à des dizaines d’autres comptes. Si les grands fournisseurs d’applications SaaS respectent des standards de sécurité très stricts, les défenses qu’ils mettent en œuvre n’en présentent pas moins une faiblesse commune : l’erreur humaine du côté utilisateurs. Désormais, les auteurs d’attaques sophistiquées, telles que celles présentées dans les études de cas ci-dessous, font de plus en plus souvent irruption dans les services cloud par la porte d’entrée. Cette évolution des modes opératoires nécessite une approche diamétralement différente de la sécurité, permettant d’identifier des divergences, y compris les plus minimes, dans les comportements attendus des utilisateurs.
Étude de cas 1 : accès aux fichiers sensibles
L’un des principaux défis de la sécurité des logiciels SaaS consiste à mettre dans la balance le confort d’un accès ouvert à l’information et l’obligation de protéger les ressources de l’entreprise. En effet, lorsque des centaines voire même des milliers d’employés partagent à tout moment une multitude de fichiers et de bases de données, il devient extrêmement difficile de préserver les applications SaaS par des outils de sécurité classiques, fondés sur des règles fixes et des signatures, qui ne permettront de contrer que des attaques externes déjà identifiées. Pour être à même d’identifier les incursions d’utilisateurs habilités dans des zones non autorisées des applications, il faut plutôt des systèmes de sécurité fondés sur l’intelligence artificielle (IA), à même de discerner de manière suffisamment fine un comportement en ligne habituel pour déceler des anomalies subtiles. Et comme les responsabilités et les privilèges des utilisateurs évoluent inévitablement, ces systèmes doivent être à même de s’adapter « au fil de l’eau ».
L’urgence d’une approche de la cyberdéfense fondée sur l’IA s’est récemment imposée comme une évidence après la découverte d’une grave menace pour le réseau d’une banque européenne. Après avoir volé les certificats et autres clés d’accès à un service SaaS, les cybercriminels exécutent généralement des scripts permettant d’identifier les fichiers contenant des mots-clés tels que « mot de passe ». Dans le cas de cette attaques, il s’agissait d’un fichier Office 365 SharePoint contenant des mots de passe non chiffrés. Ayant réussi à s’introduire dans le réseau et à contourner les contrôles de sécurité classiques, les hackers comptaient en toute logique parvenir à leurs fins.
Pourtant, s’ils étaient vraisemblablement en situation d’exploiter les mots de passe non chiffrés pour renforcer leurs privilèges et ainsi poursuivre leur infiltration du réseau bancaire, c’était sans compter l’intelligence artificielle qui a considéré anormale une activité non conforme au modèle suivant : « SaaS / Unusual SaaS Sensitive File Access ». L’intelligence artificielle a ensuite affiné et étoffé sa compréhension de ce qui constituait un comportement « inhabituel » pour chacun des utilisateurs et dispositifs critiques de la banque, tout en considérant que cet aspect suspect aurait pu être bénin dans d’autres circonstances.
Étude de cas 2 : attaque d’ingénierie sociale
Les attaques sur le cloud les plus difficiles à contrer sont peut-être celles qui reposent sur l’ingénierie sociale. Celles-ci consistent en effet à amener les salariés à communiquer volontairement leurs certificats et autres informations lucratives. La détection d’anomalies par l’IA constitue dans ce cas la stratégie de sécurité optimale puisqu’elle vise, en préservant les salariés de leurs propres erreurs, à contrecarrer les menaces d’ingénierie sociale avant qu’il ne soit trop tard.
En 2018 une tentative de connexion d’un appareil du réseau d’une société de promotion immobilière britannique vers un domaine externe rare a été détectée, à peine deux secondes après un accès à office365.com. Ledit domaine portait un nom suspect et offrait des connexions HTTP à un formulaire contenant des données sensibles transmises en texte simple, vulnérables pour une attaque intermédiaire de type MITM (man-in-the-middle). De plus amples recherches ont montré qu’un salarié de la société de promotion immobilière s’était laissé piéger par l’URL abrégée contenue dans un courriel d’hameçonnage destiné à l’attirer vers le domaine suspect depuis une page de connexion Office 365.
Bien que l’utilisateur ait cliqué activement sur l’URL pour accéder à cette page, l’événement avait été identifié comme une menace du fait même de la rareté du domaine de destination par rapport à l’activité normale de l’entreprise. L’intelligence artificielle a invariablement démontré sa capacité à offrir un filet de sécurité en cas d’erreur humaine — par le repérage de connexions suspectes et de domaines rares, quelle que soit leur similitude apparente avec les domaines légitimes, trompeuse pour l’utilisateur.
Des attaques fondées sur l’ingénierie sociale aux menaces internes visant à voler des certificats, les risques inhérents aux applications SaaS sont largement liés aux utilisateurs. De ce fait, tout outil de sécurité visant à protéger les applications SaaS doit cerner les habitudes de travail et les modes de collaboration des utilisateurs ainsi que leur évolution. En effet, ce sont précisément les interconnexions qui en découlent et la nature collaborative des plateformes SaaS qui en font des cibles aussi prisées des attaquants, une seule et même brèche de sécurité leur permettant potentiellement de compromettre la sécurité de tout un réseau d’entreprise. L’efficacité qui va de pair avec les applications SaaS ne s’exerce plus nécessairement au détriment de la sécurité car les cyberdéfenses alimentées par l’intelligence artificielle permettent désormais de mettre en lumière les trafics les plus nébuleux sur le cloud.
Commentaire