Exfiltration de données

prise en charge du Hero Banner

Qu’est-ce que l’exfiltration de données ?

L’exfiltration de données est la suppression non autorisée de données sensibles d’une entreprise par des cybercriminels ayant des intentions malveillantes. L’exfiltration de données, ou ransomware 3.0, augmente le rayon d’action d’une attaque par ransomware. En effet, les acteurs malveillants ne se contentent pas de chiffrer les données de production (ransomware 1.0) ou de verrouiller les données de production et de sauvegarde (ransomware 2.0). Ils chiffrent et dérobent des données précieuses (les données à caractère personnel de clients, ou des informations de santé protégées) pour les rendre publiques ou les vendre sur le dark web, à moins que l’entreprise ciblée n’accepte de payer une rançon.

Pourquoi est-ce important de comprendre ce qu’est une exfiltration de données ?

Les entreprises doivent connaître les techniques et méthodes d’exfiltration de données ainsi que les solutions pour les prévenir et les détecter en raison des risques qu’elles impliquent. Si des acteurs malveillants communiquent des informations sensibles à des parties non autorisées étrangères à l’entreprise, celles-ci peuvent en faire un usage abusif et causer des dommages irréparables à vos clients, employés ou partenaires ainsi qu’à votre entreprise.

Les cybercriminels utilisent aujourd’hui couramment les ransomwares pour faire des profits. Selon un rapport de FortiGuard Labs, ce type de cyberattaque a augmenté de 1 070 % entre juillet 2020 et juillet 2021. Les entreprises apprennent à contrer les ransomware, mais les acteurs malveillants se montrent de plus en plus créatifs. Elles doivent donc désormais être attentives à leurs environnements informatiques et les renforcer contre des attaques plus malveillantes, notamment par des logiciels malveillants qui chiffrent les données de sauvegarde, les systèmes de sauvegarde et les données de production, non seulement pour éliminer les sauvegardes, mais aussi pour voler ou exfiltrer les données à des fins lucratives. Les entreprises ciblées sont alors sommées de payer une rançon pour éviter que leurs données ne soient divulguées publiquement.

À quoi sont dues les exfiltrations de données ?

Les exfiltration de données sont le plus souvent le fait de cybercriminels, notamment d’auteurs d’attaques par ransomware, ainsi que d’employés mal intentionnés qui ont accès à des données sensibles. Ces acteurs malveillants ciblent généralement les systèmes informatiques très vulnérables qui présentent peu de correctifs, notamment les bases de données, les partages de fichiers et le trafic réseau.

Quels contrôles permettent de se défendre contre une exfiltration de données ?

L’exfiltration de données est la suppression non autorisée de données sensibles d’une entreprise par des cybercriminels ayant des intentions malveillantes. Plus vite une entreprise découvre une intrusion, moins celle-ci causera de dommages, et moins les pros de l’informatique et de la sécurité devront travailler la nuit et le week-end pour récupérer les données.

Les entreprises peuvent tirer parti d’une gestion des données moderne, dotée de capacités robustes de sécurité des données, de détection des exfiltrations de données et de surveillance, pour réduire la portée des ransomwares. Parmi les technologies clés que les entreprises devraient avoir mises en place, on trouve :

  • L’intelligence artificielle/le machine learning (IA/ML) : automatisation qui compare les modèles avec des alertes qui signalent des anomalies, ce qui permet aux équipes de découvrir des informations et d’éviter de payer une rançon
  • Le chiffrement : norme de chiffrement AES-256 pour les données en vol et au repos, qui garantit qu’elles ne peuvent pas être consultées à des fins lucratives
  • L’authentification multifacteur (MFA, multi-factor authentication) : processus d’authentification en plusieurs étapes destiné à prévenir la perte de données. La personne doit prouver son identité en fournissant une information qu’elle « connaît » et quelque chose qu’elle « possède »
  • Les contrôles d’accès basés sur les rôles (Role-based access controls, RBAC) : accorder à chaque personne un niveau minimum d’accès à toutes les données de l’entreprise dont elle a besoin pour effectuer un travail particulier et, en même temps, répartir les processus et fonctions de données critiques entre les rôles informatiques, pour éviter qu’un seul administrateur (ou initié) ne compromette toute une entreprise

Quelques exemples typiques d’exfiltration de données

Les fuites de bases de données et de fichiers partagés ainsi que le détournement du trafic réseau par des acteurs malveillants sont des exemples courants d’exfiltration de données.

Comment détecter une exfiltration de données ?

Il est difficile de savoir quand un acteur malveillant cherche à exfiltrer vos données. Cependant, les équipes informatiques peuvent remplacer une surveillance humaine par une solution de gestion des données nouvelle génération, capable de suivre en permanence les opérations normales du système, de détecter les activités anormales des utilisateurs, et ainsi de signaler rapidement les irrégularités susceptibles d’indiquer une attaque par ransomware.

Associées à des alertes, ces capacités permettent non seulement de signaler un danger potentiel, mais également de lancer une procédure de correction. Grâce à une détection des anomalies en temps quasi réel, les équipes peuvent découvrir rapidement les attaques de type chiffrement et exfiltration de données en cours, et ainsi limiter la portée des ransomwares.

Faut-il mettre en place des défenses contre l’exfiltration de données ?

Selon Cybersecurity Ventures, les coûts des dommages causés par les ransomwares dans le monde (perte de revenus et de productivité ainsi que reconstruction) devraient dépasser 265 milliards de dollars d’ici 2031. L’exfiltration de données n’est pas la seule technique de ransomware, mais elle devient de plus en plus populaire. Grâce à des solutions comme la gestion des données nouvelle génération, les équipes peuvent mieux défendre leurs données contre les auteurs d’attaques par ransomware, qui cherchent à voler et à revendre les données au plus offrant, à moins que la victime ne paie une rançon pour les récupérer.

Que signifie exfiltration ?

Le terme exfiltration vient du vocabulaire militaire. Il désigne un moyen de soustraire subrepticement quelqu’un (par exemple, un agent de renseignement, un soldat, etc.) d’un territoire hostile. Dans le domaine informatique, il est devenu synonyme de ransomware et de subtilisation insidieuse et illégale de données d’un ordinateur, d’un réseau ou d’un autre système informatique (exfiltration), dans le but de demander une rançon à l’entreprise.

À quoi sert une DLP ?

Une prévention des pertes de données (Data loss prevention, DLP) peut être à la fois une stratégie et une solution pour protéger les données d’une entreprise et éviter que l’on y accède sans autorisation.

Que signifie DLP en matière de sécurité ?

Une prévention des pertes de données (DLP) désigne généralement une technologie qui surveille les données sensibles (DCP, PCI, PHI, IP) pour détecter toute transmission non autorisée. Les solutions DLP surveillent les systèmes de fichiers pour garantir que les données classifiées ou sensibles ne sont pas envoyées à l’extérieur de l’entreprise ou copiées sur des supports amovibles qui violeraient les stratégies de sécurité de l’entreprise.

Comment les auteurs de menace dérobent-il vos données ?

Les auteurs de menaces accèdent aux données et les volent, ou les exfiltrent, pour obtenir une rançon, de plusieurs façons :

  • Exploiter des systèmes non corrigés, en particulier les logiciels hérités comme les anciennes versions de l’infrastructure de sauvegarde, les partages de fichiers, les bases de données, les systèmes d’exploitation et les navigateurs
  • Utiliser des identifiants d’utilisateur compromis. Cela peut se produire lorsqu’une personne fournit par inadvertance ses identifiants de connexion à quelqu’un d’autre, lorsqu’une personne extérieure à l’entreprise s’introduit dans un système, ou lorsqu’un employé autorisé ayant des intentions malveillantes exploite les privilèges administrateur

Pour contrer ce dernier scénario, également connu sous le nom de menace d’initié, les entreprises peuvent utiliser des mécanismes tels que la technologie WORM (write once, read many). Elle permet de créer et d’appliquer un verrou limité dans le temps sur les données au moyen de stratégies, puis de les attribuer à des tâches sélectionnées pour renforcer l’immuabilité des données protégées. Une fois ce mécanisme en place, ni les responsables de la sécurité, ni les administrateurs de la sécurité, ne peuvent modifier ou supprimer ces stratégies. Cela permet donc de déjouer les attaques potentielles des employés en interne.

Qu’est-ce qu’une exfiltration de données par un initié ?

Les cybercriminels ne viennent pas tous de l’extérieur. Des personnes mal intentionnées travaillent parfois dans l’entreprise. On parle d’exfiltration de données par un initié lorsqu’une personne ayant accès aux systèmes de l’entreprise transmet des informations sensibles à des parties non autorisées extérieures à l’entreprise, et les restitue contre le paiement d’une rançon.

Cohesity et l’exfiltration de données

Pour être compétitives, les entreprise ont besoin de données et des informations précieuses qu’elles fournissent. Cependant, les données augmentant de manière exponentielle, les équipes ne peuvent plus savoir ce qui compte le plus, car les anciens produits de gestion des données ne peuvent pas réaliser de filtrage par motif et classer les données de manière efficace. 

La solution de gestion des données nouvelle génération de Cohesity est efficace pour contrer l’exfiltration des données et permettre aux entreprises de ne pas payer de rançon. Elle est en effet alimentée par des informations issues de l’intelligence artificielle et du machine learning (IA/ML), qui permettent aux entreprises de détecter plus précisément les variations et de réduire les faux positifs sans augmenter le personnel. 

Les entreprises informatiques peuvent tirer parti des solides capacités de sécurité des données intégrées à la plateforme Cohesity, notamment le chiffrement, le MFA, le RBAC et le Quorum, pour dissuader les cybercriminels et se protéger contre les menaces internes. Elles peuvent également bénéficier des techniques d’IA/ML que Cohesity utilise pour établir des correspondances avec des ensembles de données « connues et correctes », et le faire de manière plus efficace et efficiente, car les « données sensibles connues » sont mises en correspondance et renvoyées à l’algorithme d’IA/ML.

You may also like

esg thumbnail
Guide d'achat

Se préparer face aux ransomwares : Guide d’évaluation détaillé

En savoir plus
X
Icon ionic ios-globe

Vous êtes sur le point de visualiser du contenu en anglais, souhaitez-vous continuer ?

Ne pas afficher cet avertissement

Icon ionic ios-globe

Vous êtes sur le point de visualiser du contenu en anglais, souhaitez-vous continuer ?

Ne pas afficher cet avertissement