En 2023, une entreprise française sur deux (49 %) a subi au moins une cyberattaque significative. C’est 4 points de plus qu’en 2022. Le phishing reste, de loin, le principal vecteur d’attaque (60 %)[i], mais les pirates informatiques sont de plus en plus nombreux à passer par un tiers moins sécurisé pour atteindre leur cible principale. Décryptage…
Qu’est-ce qu’une cyberattaque par rebond ?
Une cyberattaque par rebond, ou « pivot attack », consiste pour un pirate informatique à utiliser un système ou un réseau compromis comme tremplin pour atteindre sa cible principale.
Ce type de cyberattaque commence généralement par une phase d’infiltration où le pirate cherche à obtenir un accès à un système moins sécurisé, qui ne constitue pas nécessairement sa cible principale.
Une fois cet accès établi, le système compromis sert de point d’ancrage pour explorer et exploiter d’autres ressources au sein du même réseau ou dans d’autres réseaux auxquels le système initial est connecté.
Cyberattaque par rebond : quel risque pour l’entreprise ?
La transformation numérique des entreprises, notamment l’adoption du Cloud, a multiplié les interconnexions entre les systèmes d’information des entreprises avec leurs tiers, qu’il s’agisse de clients, fournisseurs, prestataires, sous-traitants, etc.
Aussi, la démocratisation du télétravail a poussé les entreprises à ouvrir leurs réseaux et systèmes internes à des environnements potentiellement moins sécurisés, par exemple des réseaux wifi publics ou des connexions résidentielles peu sécurisées.
Dans la pratique, les petites entreprises représentent souvent des cibles privilégiées pour les cybercriminels, non pas en raison de leur propre valeur intrinsèque, mais en raison de leurs connexions à des organisations plus importantes et donc potentiellement plus lucratives pour le pirate informatique, par exemple leurs clients ou fournisseurs.
Quel intérêt pour un cyberattaquant de procéder « par rebond » ?
Pour le pirate informatique, les attaques par rebond présentent de très nombreux avantages :
- En utilisant un collaborateur à distance ou une TPE comme intermédiaire, le pirate informatique peut dissimuler son point d’entrée et rendre plus difficile la traçabilité de l’attaque ;
- Les petites structures sont souvent moins sécurisées (et moins sensibilisées) mais peuvent avoir des relations de confiance établies avec des grandes entreprises (en tant que fournisseurs ou partenaires). L’attaquant peut exploiter ces relations pour contourner les mesures de sécurité mises en place par les grandes structures ;
- Les cyberattaques qui atteignent les grandes structures sont lucratives. Elles peuvent déboucher sur l’accès à des ressources critiques, notamment des informations financières, des secrets commerciaux ou encore des données clients qui peuvent être monétisées ou exploitées pour d’autres activités malveillantes ;
- Le rebond permet une grande surface d’attaque. Le piratage des systèmes d’une seule TPE peut donner accès aux données sensibles de nombreuses structures partenaires.
Au-delà des risques métier, les grandes structures touchées peuvent se retrouver en violation du RGPD, avec le risque d’essuyer une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé.
L’état des lieux des attaques par rebond en France
Les cyberattaques par rebond sont devenues très médiatisées dans l’Hexagone suite à deux incidents majeurs survenus en 2019, à quelques jours d’intervalle :
- Airbus a été victime d’une série de cyberattaques en 2019, où les pirates informatiques ont ciblé des sous-traitants qui fournissaient des pièces aérospatiales et des services d’ingénierie à l’aviateur, principalement par des techniques de phishing. Ils ciblaient manifestement des données techniques liées à des projets militaires et civils d’Airbus.
- En janvier 2019, Altran Technologies a été victime d’une cyberattaque par rebond via un ransomware de type LockerGoga, ciblant notamment les données de ses clients dans les secteurs de l’aérospatiale, la défense et les télécommunications.
Plus récemment, en septembre 2023, Airbus a de nouveau subi une cyberattaque par rebond (via un poste de travail chez Turkish Airlines) qui a débouché sur le vol des données personnelles de 3 200 clients. Trezor, Signal et Mailchimp ont également été touchés, avec comme point d’entrée des ESN partenaires et des prestataires de service.
Mais les attaques par rebond ne ciblent pas exclusivement les grandes structures. Le Mag IT rapporte par exemple une cyberattaque ciblant un petit prestataire de gestation de paie, avec un préjudice de 70 millions de dollars et un dépôt de bilan.
Selon le baromètre 2023 du Club des experts de la sécurité de l’informatique et du numérique (CESIN), les attaques indirectes par rebond via un prestataire représentent aujourd’hui plus de 24 % des signalements de cyberattaques dans les entreprises françaises[ii].
« C’est un chiffre important », relève Alain Bouillé, délégué général du CESIN, dans une interview accordée au magazine Le Monde Informatique[iii]. « Les entreprises externalisent de plus en plus et sont rarement attaquées directement. Elles le sont via leurs prestataires qui, souvent, n’ont pas le même niveau de sécurité que leurs clients ».
Ne devenez pas le maillon faible de vos clients
Les TPE et PME qui ne prennent pas des mesures de cybersécurité adéquates risquent de devenir le maillon faible de leur clients, avec un impact potentiellement fatal sur leur activité :
- Les entreprises qui servent de vecteur pour une attaque perdent la confiance de leurs clients et partenaires commerciaux. Cette négligence majeure peut éroder l’image de l’entreprise, lui faire perdre des contrats et compliquer sa prospection ;
- Les coûts associés à une cyberattaque sont généralement élevés. Il faut gérer la remédiation des systèmes affectés, les frais juridiques, les amendes potentielles pour non-conformité au RGPD, la communication de crise, etc. Comme nous l’expliquons ici, le coût global médian d’une cyberattaque est de 50 000 € ;
- Les cyberattaques peuvent menacer la continuité de l’activité, avec un impact direct sur la productivité et les revenus de l’entreprise.
De leur côté, les grandes entreprises doivent sécuriser leurs propres systèmes, sensibiliser leurs équipes sur les techniques de cyberattaque les plus utilisées (phishing notamment) et gérer le risque « cyber » lié aux différents acteurs de leur écosystème (clients, fournisseurs, sous-traitants, prestataires, indépendants…).
Fort de plus de 20 ans d’expérience, le groupe DFM vous aide à sécuriser votre infrastructure informatique pour développer votre activité en toute sérénité. Nos équipes réalisent un audit de sécurité informatique complet pour élaborer une stratégie de cybersécurité sur mesure, dont nous assurons l’exécution dans les règles de l’art.
[i] https://www.linkedin.com/posts/equipagesit_infographie-barom%C3%A8tre-cybers%C3%A9curit%C3%A9-cesin-activity-7161305182960533504-i_6o/?originalSubdomain=fr
[ii] https://www.lemondeinformatique.fr/actualites/lire-barometre-cesin-la-cyber-resilience-des-entreprises-s-ameliore-89372.html
[iii] https://www.lemondeinformatique.fr/actualites/lire-barometre-cesin-la-cyber-resilience-des-entreprises-s-ameliore-89372.html