Quel est le point commun entre l'usurpation d'identité, WhatsApp et un document Microsoft Word malveillant ? Pour répondre à cette question, permettez-moi de revenir un peu en arrière.
Plusieurs années se sont écoulées depuis le début de la pandémie de COVID-19, et les entreprises pharmaceutiques continuent d'être soumises à une forte pression pour sécuriser leurs données, car le secteur de la santé reste une cible privilégiée de la cybercriminalité organisée. Le passage généralisé au travail à distance et au travail hybride a entraîné une croissance continue de l'adoption du cloud dans tous les secteurs, en particulier dans les organismes de santé où l'on observe une augmentation de la télémédecine et de nouvelles exigences en matière de travail à distance.
Alors que tous les regards sont encore tournés vers le secteur de la santé, nous avons vu les cyberattaquants redoubler de créativité pour infiltrer les organisations sous le radar.
Voici un pirate qui se fait passer pour un recruteur et qui utilise un profil LinkedIn frauduleux basé sur celui d'une personne ayant une grande expérience dans le domaine du recrutement. Cet acteur de la menace contacte des personnes en leur faisant miroiter une offre d'emploi lucrative, établissant une relation avec leur cible via WhatsApp pendant plusieurs jours. Enfin, la cible reçoit un document Word infecté qui, une fois ouvert, permet à l'attaquant d'accéder au système d'une organisation. Cette ingénierie sociale a permis aux pirates de cibler et de compromettre le personnel d'une entreprise, tout comme l'employé zéro de Sanofi, une multinationale pharmaceutique, qui ne se doutait de rien. C'est ici que commence notre histoire.
J'ai eu le privilège de m'entretenir avec Jean-Yves Poichotte, responsable de la cybersécurité chezSanofi, et Richard Webster, responsable du centre opérationnel de cybersécurité chezSanofi, pour discuter du déroulement de cette attaque et des raisons pour lesquelles le partenariat avec Vectra était essentiel pour prévenir une violation de données.
"Nous avons beaucoup de fournisseurs", a déclaré Jean-Yves. "Rares sont ceux qui se consacrent à un certain niveau de partenariat. Vectra et son équipe apportent un état d'esprit de partenariat."
Ajouter de la valeur avec Vectra
Que se passe-t-il lorsque des comptes sont compromis et qu'un attaquant s'infiltre dans votre organisation par le biais d'outils et de processus tout à fait légitimes ? Le comportement malveillant de l'attaquant est caché parmi le bruit "normal" et n'est pas mis en évidence par les analyses de endpoint . Dans de tels cas, les solutions de détection et de réponse (EDR) de endpoint ont déjà été infectées et ne peuvent plus combattre la menace. C'est précisément le problème que Sanofi a résolu avec Vectra.
Nous avons comblé une lacune spécifique dans le parcours de sécurité de Sanofi, en lui donnant une visibilité et une couverture complètes entre ses déploiements d'entreprise et cloud , y compris son infrastructure AWS. Lors des tests en équipe rouge, Sanofi avait besoin d'une solution capable de détecter les attaques qui contournent les outils existants tels que l'EDR et qui seraient impossibles à trouver dans les systèmes de gestion des informations et des événements de sécurité (SIEM).
La plateforme Vectra applique des algorithmes d'apprentissage automatique dérivés de l'IA pour détecter, hiérarchiser et répondre automatiquement aux comportements de cyberattaques en cours. Vectra AI offre une visibilité haute fidélité sur l'ensemble du réseau et du cloud, ainsi que sur toutes les applications, tous les systèmes d'exploitation et tous les appareils, y compris le BYOD (bring your own device) et l'Internet des objets (IoT).
C'est pourquoi l'extension de la détection à tous les environnements, y compris le cloud, était au cœur de la stratégie de Sanofi. Dans le cadre de cet effort, Sanofi s'est appuyé sur Vectra AI pour analyser les comportements dans son environnement AWS - un objectif qui a été réaffirmé avec un engagement renouvelé pour la couverture d'AWS en 2024.
La visibilité sur AWS s'est avérée essentielle. Elle a permis à Sanofi de détecter des comportements que d'autres outils n'avaient pas détectés et de réagir en temps réel avant que l'attaque ne prenne de l'ampleur. En faisant remonter des signaux directement de l'infrastructure AWS, l'équipe a pu enquêter sur des activités qui n'auraient pas été détectées par les seuls outils de endpoint . Ce niveau de compréhension a été essentiel pour retracer les mouvements de l'attaquant et prendre des mesures décisives.
"Nous sommes des clients de longue date d'AWS et de Vectra. Nous utilisons Vectra pour surveiller notre réseau d'entreprise et notre plan de gestion du cloud , la capacité de Vectra à détecter les menaces et son puits de données pour la criminalistique et l'investigation apportent un contexte et font de Vectra une capacité puissante. Elle apporte une visibilité essentielle sur les comportements d'attaque au niveau du réseau, de l'identité et du cloud. Plus précisément, nous avons constaté, lors de tests agressifs en équipe rouge, de puissantes capacités de détection cloud . Et la page d'investigation instantanée montre toutes les actions qu'un compte a effectuées à travers notre locataire, une fonction d'investigation efficace. Dans les incidents réels et complexes, cela apporte un contexte énorme".
La capacité de Vectra à fournir ce type de couverture, ainsi que l'ajout des données AWS VPC Traffic Mirror, rend presque impossible le contournement par les attaquants. La priorisation des menaces à haut risque avec un degré élevé de certitude permet une approche confiante de l'automatisation de la surveillance des menaces. Selon Richard, c'est la technologie Vectra qui a permis à l'organisation de détecter et d'arrêter l'attaque.
La NDR complète le SOC
Bien que l'architecture de sécurité de Sanofi soit conçue pour gérer des opérations complexes, cette attaque particulière a réussi à échapper aux outils déjà en place. Richard a déclaré : "Je dis toujours à mon équipe que nous devons constamment mettre en place de nouveaux réseaux de détection. Nous ajoutons couche après couche des réseaux de détection, mais seuls deux d'entre eux ont fonctionné pour cette attaque." Les deux réseaux en question sont Endpoint detection and response (EDR) et NDR.
Lorsque j'ai demandé à Jean-Yves et Richard de choisir entre EDR et NDR, Richard a répondu que les deux étaient essentiels au maintien d'un environnement sécurisé. "Pour moi, ce n'est pas l'un ou l'autre, j'ai besoin des deux.Je veux autantde visibilité que possible, et je veux faire des analyses approfondies avec l'EDR et la NDR". Il a expliqué comment des adversaires pouvaient compromettre l'appareil endpoint et désactiver la solution EDR, alors qu'ils ne pouvaient pas faire de même avec la solution NDR. "Il est plus difficile de vaincre la NDR,", a-t-il déclaré.
Si l'EDR est important pour les terminaux, le NDR est essentiel pour le réseau. Sanofi a utilisé Detect et Recall en tandem pour détecter les menaces et suivre la progression de l'attaque. Alors que Detect a apporté son aide en temps réel, Recall a aidé l'équipe de Sanofi à effectuer des analyses médico-légales par la suite. Richard fait remarquer : "Dans cette attaque particulière, nous pouvions aller sur Recall et nous pouvions voir ligne par ligne exactement ce qu'était l'énumération des parts.Nous pouvionsvoir les fichiers ouverts, les fichiers lus, les noms des fichiers, le nombre d'octets". Cette visibilité totale de la progression de l'attaque a permis d'éduquer et d'informer l'équipe, qui a créé des cadres de détection pour empêcher des tactiques similaires à l'avenir.
Sanofi et Vectra: Mieux ensemble
Jean-Yves, Richard et moi-même avons conclu en renforçant la force du partenariat entre nos organisations. Cette attaque a démontré que lorsqu'un attaquant parvient à voler des informations d'identification et à contourner les solutions traditionnelles endpoint , NDR comble efficacement le fossé.
La mise en échec de cette attaque illustre également les avantages découlant d'une coopération enthousiaste entre nos équipes. Vectra offre la plateforme tandis que Sanofi apporte ses cas d'utilisation uniques, ce qui nous permet d'innover ensemble, de résoudre des problèmes et d'échanger notre expertise technique.
Alors que Sanofi continue à faire évoluer ses opérations de sécurité et à étendre son empreinte sur cloud , Jean-Yves et Richard ont déclaré qu'ils se réjouissaient d'un partenariat continu avec Vectra. Jean-Yves commente : " Vectra apporte son innovation et sa grande valeur technique. Mon équipe chez Sanofi apporte le retour d'expérience de la solution. Et la combinaison est la voie du progrès et de la maturité."
Nous avons terminé notre conversation par une excellente séance de questions-réponses, au cours de laquelle nous avons répondu aux questions posées par l'auditoire. Bien que nous n'ayons pas pu répondre à toutes les questions en direct, nous y avons répondu dans ce document, avec les commentaires non édités de Jean-Yves et Richard.
Découvrez les méthodes utilisées par les cybercriminels pour mener à bien leur attaque - en exploitant LinkedIn, WhatsApp et Microsoft Word - et comment Sanofi a utilisé Detect et Recall à partir de Vectra pour stopper l'attaque dans son élan.