Quel est le point commun entre l'usurpation d'identité, WhatsApp et un document Microsoft Word malveillant ? Pour répondre à cette question, permettez-moi de revenir un peu en arrière.
Près d'un an après le début de la pandémie de COVID-19, les entreprises pharmaceutiques subissent une pression considérable pour sécuriser leurs données alors que le secteur de la santé devient une cible privilégiée de la cybercriminalité organisée. Le passage simultané au travail et à la collaboration à distance a stimulé l'adoption rapide des services cloud dans tous les secteurs, en particulier dans les organismes de santé où l'on observe une augmentation de la télémédecine et de nouvelles exigences en matière de travail à distance.
Alors que tous les regards se tournent vers le secteur de la santé, nous avons vu les cyberattaquants redoubler d'imagination pour infiltrer les organisations de manière discrète.
Voici un pirate qui se fait passer pour un recruteur et qui utilise un profil LinkedIn frauduleux basé sur celui d'une personne ayant une grande expérience dans le domaine du recrutement. Cet acteur de la menace contacte des personnes en leur faisant miroiter une offre d'emploi lucrative, établissant une relation avec leur cible via WhatsApp pendant plusieurs jours. Enfin, la cible reçoit un document Word infecté qui, une fois ouvert, permet à l'attaquant d'accéder au système d'une organisation. Cette ingénierie sociale a permis aux pirates de cibler et de compromettre le personnel d'une entreprise, tout comme l'employé zéro de Sanofi, une multinationale pharmaceutique, qui ne se doutait de rien. C'est ici que commence notre histoire.
J'ai eu le privilège de m'entretenir avec Jean-Yves Poichotte, responsable de la cybersécurité chez Sanofi, et Richard Webster, responsable du centre d'opérations de cybersécurité chez Sanofi, sur la manière dont cette attaque s'est déroulée et sur les raisons pour lesquelles le partenariat avec Vectra a été essentiel pour prévenir une violation de données.
"Nous avons beaucoup de fournisseurs", a déclaré Jean-Yves. "Rares sont ceux qui se consacrent à un certain niveau de partenariat. Vectra et son équipe apportent un état d'esprit de partenariat."
Ajouter de la valeur avec Vectra
Que se passe-t-il lorsque des comptes sont compromis et qu'un attaquant s'infiltre dans votre organisation par le biais d'outils et de processus tout à fait légitimes ? Le comportement malveillant de l'attaquant est caché parmi le bruit "normal" et n'est pas mis en évidence par les analyses de endpoint . Dans de tels cas, les solutions de détection et de réponse (EDR) de endpoint ont déjà été infectées et ne peuvent plus combattre la menace. C'est précisément le problème que Sanofi a résolu avec Vectra.
Nous avons comblé une lacune spécifique dans le parcours de sécurité de Sanofi, en lui donnant une visibilité et une couverture complètes entre ses déploiements d'entreprise et cloud , y compris son infrastructure AWS. Lors des tests en équipe rouge, Sanofi avait besoin d'une solution capable de détecter les attaques qui contournent les outils existants tels que l'EDR et qui seraient impossibles à trouver dans les systèmes de gestion des informations et des événements de sécurité (SIEM).
La plateforme Cognito détection et réponse aux incidents (NDR) de Vectra applique des algorithmes d'apprentissage automatique dérivés de l'IA pour détecter, hiérarchiser et répondre automatiquement aux comportements de cyberattaques en cours. Cognito offre une visibilité de haute fidélité sur l'ensemble du réseau et sur cloud, ainsi que sur toutes les applications, tous les systèmes d'exploitation et tous les appareils, y compris le BYOD (bring your own device) et l'Internet des objets (IoT).
La capacité de Cognito à surveiller en permanence l'ensemble du trafic réseau et cloud , ainsi que l'ajout des données du miroir de trafic AWS VPC, rendent impossible le contournement par les attaquants. La hiérarchisation des menaces à haut risque avec un degré élevé de certitude permet une approche confiante de l'automatisation de la surveillance des menaces. Selon Richard, c'est la technologie Cognito qui a permis à l'organisation de détecter et d'arrêter l'attaque.
La NDR complète le SOC
Bien que l'architecture de sécurité de Sanofi soit conçue pour gérer des opérations complexes, cette attaque particulière a réussi à échapper aux outils déjà en place. Richard a déclaré : "Je dis toujours à mon équipe que nous devons constamment mettre en place de nouveaux réseaux de détection. Nous ajoutons couche après couche des réseaux de détection, mais seuls deux d'entre eux ont fonctionné pour cette attaque." Les deux réseaux en question sont Endpoint detection and response (EDR) et NDR.
Lorsque j'ai demandé à Jean-Yves et Richard de choisir entre EDR et NDR, Richard a répondu que les deux étaient essentiels au maintien d'un environnement sécurisé. "Pour moi, ce n'est pas l'un ou l'autre, j'ai besoin des deux.Je veux autantde visibilité que possible, et je veux faire des analyses approfondies avec l'EDR et la NDR". Il a expliqué comment des adversaires pouvaient compromettre l'appareil endpoint et désactiver la solution EDR, alors qu'ils ne pouvaient pas faire de même avec la solution NDR. "Il est plus difficile de vaincre la NDR,", a-t-il déclaré.
Si l'EDR est important pour les terminaux, le NDR est essentiel pour le réseau. Sanofi a utilisé Detect et Recall en tandem pour détecter les menaces et suivre la progression de l'attaque. Alors que Detect a apporté son aide en temps réel, Recall a aidé l'équipe de Sanofi à effectuer des analyses médico-légales par la suite. Richard fait remarquer : "Dans cette attaque particulière, nous pouvions aller sur Recall et nous pouvions voir ligne par ligne exactement ce qu'était l'énumération des parts.Nous pouvionsvoir les fichiers ouverts, les fichiers lus, les noms des fichiers, le nombre d'octets". Cette visibilité totale de la progression de l'attaque a permis d'éduquer et d'informer l'équipe, qui a créé des cadres de détection pour empêcher des tactiques similaires à l'avenir.
Sanofi et Vectra: Mieux ensemble
Jean-Yves, Richard et moi-même avons conclu en renforçant la force du partenariat entre nos organisations. Cette attaque a démontré que lorsqu'un attaquant parvient à voler des informations d'identification et à contourner les solutions traditionnelles endpoint , NDR comble efficacement le fossé.
La mise en échec de cette attaque illustre également les avantages découlant d'une coopération enthousiaste entre nos équipes. Vectra offre la plateforme tandis que Sanofi apporte ses cas d'utilisation uniques, ce qui nous permet d'innover ensemble, de résoudre des problèmes et d'échanger notre expertise technique.
Alors que Sanofi continue à s'adapter au site cloud et à développer la sécurité de son entreprise, Jean-Yves et Richard ont déclaré qu'ils se réjouissaient d'un partenariat continu avec Vectra. Jean-Yves commente : "Vectra apporte son innovation et sa grande valeur technique. Mon équipe chez Sanofi apporte le retour d'expérience de la solution. Et la combinaison est la voie du progrès et de la maturité."
Nous avons terminé notre conversation par une excellente séance de questions-réponses, au cours de laquelle nous avons répondu aux questions posées par l'auditoire. Bien que nous n'ayons pas pu répondre à toutes les questions en direct, nous y avons répondu dans ce document, avec les commentaires non édités de Jean-Yves et Richard.
Découvrez les méthodes utilisées par les cybercriminels pour mener à bien leur attaque - en exploitant LinkedIn, WhatsApp et Microsoft Word - et comment Sanofi a utilisé Detect et Recall à partir de Vectra pour stopper l'attaque dans son élan.