Conclusion
Cyberespionnage : la menace APT

H5842 v1 Article de référence

Conclusion
Cyberespionnage : la menace APT

Auteur(s) : Cédric PERNET

Relu et validé le 23 juin 2021

Cet article est réservé aux abonnés

Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?Se connecter

Présentation

1 - Introduction et définition

Quiz d'entraînement

2 - Phases d’une attaque APT

2.1 - Phase de reconnaissance / collecte d’informations sur la cible
2.2 - Compromission initiale
- Quiz d'entraînement
2.3 - Maintien sur le système d’information et renforcement des accès
2.4 - Recherche et exfiltration des données de la cible
- Quiz d'entraînement

3 - Méthodes de détection d’attaques APT

3.1 - Détection sur les postes de travail et serveurs
3.2 - Détection d’attaques APT sur le réseau
3.3 - Détection par une prévention efficace
3.4 - Détection par une veille continue
- Quiz d'entraînement

4 - Conclusion

5 - Glossaire

Bibliographie & annexes

Présentation

RÉSUMÉ

Cet article propose de faire le point sur les attaques informatiques « APT », acronyme international signifiant « Advanced Persistent Threat ». Ce type d’attaque a pour but de procurer à ses commanditaires un accès sur le réseau informatique d’une entreprise ciblée, afin de lui dérober des informations telles que sa propriété intellectuelle ou ses secrets industriels. Il s’agit d’opérations de cyberespionnage mises en œuvre par des attaquants qui suivent tous le même mode opératoire : prise de renseignements sur la cible, compromission initiale, maintien et renforcement des accès sur la cible, découverte et exfiltration de données. L’article présente également plusieurs méthodes de détection de ces attaques.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

Cédric PERNET : Senior Threat Researcher - Trend Micro

INTRODUCTION

Les attaques APT (pour Advanced Persistent Threat) sont des attaques informatiques ayant pour but la compromission et le maintien dans le système d’information d’une entité à des fins de vol d’informations et de données, cette entité étant généralement une entreprise privée ou une instance gouvernementale. La première de ces attaques a été médiatisée au début de notre siècle, mais la visibilité sur ce type de menace a véritablement explosé à partir de 2010 avec l’Opération Aurora ciblant notamment Google.

Le mode opératoire de ces attaques, décrit dans cet article, varie finalement peu et se résume comme suit. Les attaquants étudient d’abord leur cible, afin d’obtenir des éléments pour mener à bien une première compromission du système. Une fois l’accès obtenu, ils se déploient sur le système en renforçant les accès déjà existants (ajout de portes dérobées, d’outils de contrôle à distance) et obtiennent des droits étendus sur le réseau. Ils ciblent ensuite les informations recherchées et les exfiltrent. Ils maintiennent généralement leurs accès des semaines, des mois, voire des années dans certains cas.

Ce qui rend ces attaques difficiles à détecter et à combattre réside notamment dans le fait que l’adversaire maintient ses accès dans le temps en changeant régulièrement les outils déployés sur le système. Les malwares et les logiciels utiles à l’attaquant sont mis à jour, les serveurs de contrôle de ces malwares changent eux aussi régulièrement.

Nous proposerons malgré tout des solutions pour détecter ce type d’attaques et de maintien sur un système informatique.

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ? Se connecter

MOTS-CLÉS

malware cyberespionnage menace informatique

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5842

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Cyberespionnage : la menace APT > Conclusion

Lecture en cours
Présentation

Page
suivante

Glossaire

Article inclus dans l'offre

"Sécurité et gestion des risques"

(483 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

4. Conclusion

Les attaques APT existent depuis de nombreuses années. Depuis les premières publications sérieuses sur le sujet, elles font le régal des médias et sont entourées d’une aura de mystère alors que, pourtant, en majorité, elles ne sont finalement pas très évoluées techniquement.

Les attaques APT sont au final des opérations d’espionnage et de vol de données stratégiques qui existaient déjà auparavant, hors des réseaux informatiques. L’espionnage « à l’ancienne » semble dépassé de nos jours, et pour cause : il est si peu onéreux et tellement plus rapide de compromettre des réseaux informatiques et d’y dérober des données intéressantes plutôt que d’infiltrer des personnes physiques dans la société ciblée.

Le combat est inégal : d’un côté des groupes d’attaquants structurés, disposant de moyens considérables et de ressources importantes, agissant sans éthique ou limitation légale, face aux « pauvres défenseurs ». Ces derniers agissent dans la faible latitude qui leur est généralement confiée, avec peu de budget, et des contraintes légales et réglementaires fortes.

Cependant, les informations utiles pour combattre ces attaques circulent de mieux en mieux entre les différentes structures concernées (directions informatiques, équipes de réponse à incident, SOC, etc.). Cela améliore un peu les détections de ce type d’attaques, et permet surtout d’y répondre de plus en plus rapidement et efficacement.

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.