Qu'est-ce qu'une surface d'attaque ?

Chacune des différentes parties de la surface d'attaque (numérique, physique et sociale) comporte ses propres risques, que les défenseurs doivent connaître et gérer. Ces risques, qui comprennent des vecteurs d'attaque spécifiques, évoluent constamment, en parallèle des technologies et des menaces. Voici quelques exemples ci-dessous.

Risques liés à la surface d'attaque numérique

Toute ressource du réseau ou de données accessible depuis l'extérieur, même si elle est protégée par le chiffrement, l'authentification, les pare-feu ou d'autres mesures, fait partie de la surface d'attaque numérique et est vulnérable face aux menaces suivantes :

• Cyberattaques : des ransomware, des virus et d'autres malware peuvent être injectés dans les systèmes de l'entreprise. Les attaquants peuvent ainsi accéder aux réseaux et aux ressources, exfiltrer des données, pirater des appareils et endommager les actifs et les données.
• Problèmes de codage et erreurs de configuration : les erreurs de configuration des technologies de réseau et cloud, comme les ports, les points d'accès et les protocoles, laissent des « portes » ouvertes pour les attaquants et sont une cause fréquente de violations.
• Technologies exposées : toute technologie connectée à l'Internet public est accessible pour les pirates et vulnérable face aux attaques. Cela peut inclure des applications Web, des serveurs Web, des serveurs et des applications cloud, et bien d'autres éléments.
• Technologies et applications obsolètes : les logiciels, le firmware et les systèmes d'exploitation des appareils doivent être correctement codés et doivent recevoir les correctifs nécessaires pour contrer les vulnérabilités et les menaces connues. Sans cela, ils peuvent permettre aux attaquants de pénétrer au sein d'une organisation. Les appareils anciens qui font toujours partie de l'environnement IT, mais qui ne bénéficient d'aucune maintenance ou qui ne sont pas utilisés activement, peuvent également constituer des points d'accès pratiques pour les attaques, car ils ne sont pas souvent surveillés.
• Shadow IT : les outils utilisés par les employés d'une organisation qui ne font pas partie de l'environnement IT connu ou sanctionné sont considérés comme de l'informatique fantôme, ou « shadow IT ». Ils peuvent créer des vulnérabilités, justement parce que l'équipe de cybersécurité ne les connaît pas. Il s'agit notamment d'applications, de dispositifs de stockage portables, de téléphones et tablettes personnel, et plus encore.
• Mots de passe et chiffrement peu sécurisés : les mots de passe faciles à deviner, que ce soit parce qu'ils sont évidents, trop simples ou réutilisés pour plusieurs comptes, peuvent permettre à des acteurs malveillants d'accéder aux ressources numériques d'une organisation. Les informations d'identification volées sont également très demandées parmi les cybercriminels, pour des raisons similaires. Le chiffrement a pour but de modifier les informations, afin que seules les personnes autorisées puissent les lires. S'il n'est pas assez sécurisé, les pirates peuvent extraire les données, puis les utiliser pour lancer des attaques à plus grande échelle.

Risques liés à la surface d'attaque physique

La surface d'attaque physique comprend des appareils technologiques que des individus possèdent physiquement (comme des ordinateurs portables) ou qui sont accessibles uniquement dans des sites et lieux spécifiques. Ces deux risques importants sont liés à la surface d'attaque physique :

• Cambriolage et vol d'appareil : des vols d'ordinateurs portables et autres ont souvent lieu dans des voitures, des lieux publics s'ils sont laissés sans surveillance, ou même lors de cambriolages de bureaux et d'autres bâtiments. Une fois que les acteurs malveillants se sont emparés de ces appareils, ils peuvent les utiliser, ainsi que les données d'identification stockées dessus, pour entrer dans le réseau de l'entreprise ou accéder à d'autres ressources.
• Appât : avec les attaques par appât, les criminels laissent dans des lieux publics des dispositifs de stockage portables, comme des clés USB, en espérant que quelqu'un branchera le dispositif à un ordinateur pour voir ce qu'il contient. Ces clés USB d'appât contiennent des malware qui se chargent ensuite sur le système de l'utilisateur et lancent une attaque.

Risques liés à la surface d'attaque sociale ou humaine

Les êtres humains sont souvent désignés comme la « première ligne de défense » dans la cybersécurité. En effet, leurs actions peuvent directement renforcer ou affaiblir la surface d'attaque. Les cyberattaques qui ciblent le comportement humain sont nommées attaques d'ingénierie sociale. La surface d'attaque sociale ou humaine correspond au nombre d'utilisateurs dont le cybercomportement pourrait, intentionnellement ou non, nuire à une organisation.

Les risques courants comprennent les suivants :

• Programmes de phishing : ils comprennent les emails d'arnaque, les SMS et les messages vocaux (et même, à présent, les deepfakes et appels vidéo générés par l'IA) qui trompent les utilisateurs et les invitent à se livrer à des actions qui compromettent la cybersécurité. Il peut s'agir de partager des informations sensibles, de cliquer sur des liens menant à des malware, de verser des fonds qui ne devraient pas être payés, et plus encore. L'IA a rendu le phishing plus difficile à détecter et plus ciblé.
• Personnel interne malveillant : Les employés qui éprouvent de la rancune à l'encontre de leur organisation, qui subissent du chantage ou qui sont soudoyés par des acteurs malveillants peuvent utiliser leurs autorisations et leur accès légitimes pour exfiltrer des données de l'entreprise, partager des informations d'identification, installer des malware, endommager les systèmes de l'entreprise ou effectuer d'autres actions malveillantes.