Votre panier est actuellement vide !
L'incident Fortinet
Analyse de l'incident Fortinet à travers MITRE ATT&CK et EBIOS RM
L’incident de Fortinet, impliquant une fuite de 440 Go de données suite à un accès non autorisé à un environnement SharePoint basé sur Azure, met en lumière les risques de l’exposition des données cloud. L’attaque, revendiquée par un acteur surnommé “Fortibitch”, soulève des questions sur la sécurité des environnements SaaS et l’utilisation de mécanismes de protection adéquats. Cette présentation analyse cet incident à travers deux prismes : le cadre MITRE ATT&CK pour comprendre les étapes de l’attaque, et l’approche EBIOS RM pour anticiper et gérer les risques.
Contexte de l'attaque
- Faits marquants:
- Fuite de 440 Go de données depuis un environnement SharePoint Azure.
- Impliquait des données financières, RH, et des informations clients.
- Pas de rançongiciel ou de cryptage observé.
- Implication: Exposition aux risques accrus liés aux environnements SaaS et à la gestion des accès.
2. MITRE ATT&CK Analysis
| Accès initial | T1078 (Comptes valides) | Utilisation d'identifiants volés pour accéder à SharePoint. | Les attaquants ont probablement utilisé des informations d'identification volées via des méthodes comme le phishing ou le credential stuffing. | Sensibilisation continue des utilisateurs (M1017) : Formation et évaluation des utilisateurs Authentification multifacteur (M1032) : Mise en œuvre de l’authentification multifactorielle pour limiter l'usage de comptes compromis. |
| Découverte | T1083 (Découverte de fichiers et de répertoires) | Exploration des répertoires et des fichiers présents dans SharePoint. | Après avoir obtenu l'accès, l'attaquant a recherché des fichiers sensibles. | Moindre privilège (M1029): Limiter les privilèges d'accès aux fichiers sensibles à un nombre restreint d'utilisateurs légitimes. |
| Collection | T1114 (Collecte d'emails) | Extraction des fichiers et données sensibles, comme les informations financières. | L'attaquant a récupéré des documents sensibles pour les exposer ou les vendre. | Prévention de la perte de données (DLP) (M1021) : Utilisation de solutions DLP pour surveiller et restreindre la collecte non autorisée de données sensibles. |
| Exfiltration | T1041 (Exfiltration via un canal de commande et de contrôle) | Transfert des données extraites vers un serveur externe. | Les données ont été exfiltrées avant d’être divulguées sur BreachForums | Détection et prévention des intrusions réseau (M1037) : Déploiement de systèmes de détection d'intrusions pour identifier et bloquer le trafic exfiltré. |
| Impact | T1486 (Données chiffrées pour impact) | (Non utilisé dans ce cas précis) Cryptage des données pour perturber les opérations. | Bien que l'attaque n'ait pas impliqué de rançongiciel, cette technique est courante dans d'autres types d'attaques. | Sauvegardes régulières (M1053) : Sauvegarde régulière des données pour permettre une récupération rapide en cas d'impact négatif sur les données. |
Étape 1 : Accès initial
- Techniques possibles:
- T1078 (Comptes valides): Accès obtenu via des identifiants volés (phishing ou credential stuffing).
- Explication: L'attaque semble s'appuyer sur l'exploitation d'identifiants compromis pour accéder à SharePoint.
Étape 2 : Découverte
- Techniques possibles:
- T1083 (Découverte de fichiers et de répertoires): Identification des fichiers sensibles stockés sur SharePoint.
- Explication: Après avoir obtenu l'accès, l'attaquant a probablement exploré les répertoires pour localiser les fichiers sensibles.
Étape 3 : Collection
- Techniques possibles:
- T1114 (Collecte d'emails): Extraction de données sensibles, y compris des informations financières, des données RH.
- Explication: L'attaquant a extrait les fichiers sensibles pour les exposer ultérieurement.
Étape 4 : Exfiltration
- Techniques possibles:
- T1041 (Exfiltration via un canal de commande et de contrôle): Exfiltration des données via des canaux externes.
- Explication: Les données ont été exfiltrées vers un serveur externe avant leur divulgation.
Étape 5 : Impact
- Techniques possibles:
- T1486 (Données chiffrées pour impact): Bien que non utilisée ici, l'absence de cryptage ou de rançongiciel est notable.
- Explication: L'impact reste limité, l'attaque n'ayant pas causé de perturbation majeure des opérations.
3. EBIOS RM Risk Analysis
| EBIOS RM Step | Description | Scénarios identifiés | Impacts potentiels | Mesures de traitement |
|---|
| 1. Contexte et périmètre | Définir le périmètre de l’analyse et les parties prenantes. | Azure SharePoint used by Fortinet, accessible to employees, partners, and clients. | Risks of unauthorized access, internal and client data compromise, unsecured file sharing. | Limit access to sensitive environments, implement strict permission management policies. |
| 2. Scénarios de risques | Identifier les scénarios d’attaque ou de compromission possibles. | 1. Credential compromise via phishing or information theft. 2. Public sharing of sensitive files. | Internal data leakage (HR, clients), exposure of critical documents, reputation damage. | Implement multi-factor authentication (MFA), regularly audit access permissions, minimize unnecessary access. |
| 3. Événements redoutés | Déterminer les événements ayant un impact critique sur l'organisation. | 1. Loss of control over sensitive files (e.g., HR, financial, client data leak). | Loss of customer trust, potential regulatory sanctions (e.g., GDPR). | Surveillance continue de l'accès aux fichiers critiques, chiffrement des données en transit et au repos, restriction de l'accès externe. |
| 4. Scénarios d'impacts | Analyser les conséquences pour l'organisation en cas de réalisation des scénarios. | 1. Exfiltration of sensitive data through unauthorized SharePoint access. 2. Exposure of confidential documents. | Damage to Fortinet’s reputation, customer relations impact, financial risk due to data loss. | Apply Zero Trust principles, segregate critical and less sensitive data, reinforce cloud security practices. |
| 5. Traitement des risques | Proposer des mesures pour réduire les risques identifiés dans les scénarios d’attaque et d’impact. | 1. Améliorer les pratiques de gestion des accès. 2. Mettre en place un audit continu des environnements SaaS. | Réduction de la probabilité d'accès non autorisé, meilleure gestion des informations sensibles, protection des données. | Chiffrement des données critiques, politique de conservation des données adaptée (suppression des données obsolètes), détection et réponse aux anomalies de sécurité. |
Étape 1 : Définition du périmètre et identification des parties
- Périmètre :
- Cloud Azure (SaaS) utilisé par Fortinet.
- Parties prenantes:
- Fortinet, clients, employés.
- Risques associés:
- Risques d’exposition des données sensibles dans des environnements partagés.
Étape 2 : Scénarios de risques anticipés
- Scénario 1 : Accès non autorisé via identifiants compromis
- Impact: Compromission des données sensibles clients et internes.
- Atténuations: Mise en œuvre de l'authentification multifactorielle (MFA), surveillance des activités suspectes.
- Scénario 2 : Partage public de fichiers sensibles
- Impact: Fuite de données critiques vers des tiers non autorisés.
- Atténuations: Restriction des accès aux fichiers partagés, meilleure gestion des permissions.
Étape 3 : Analyse des impacts
- Impact global :
- Risque pour la réputation de Fortinet, même si l'incident ne représente qu'une petite portion de la base client.
- Actions préventives:
- Sécurisation des environnements SaaS, audit régulier des accès et configurations.
4. Mesures d’atténuation et bonnes pratiques
Mesures recommandées
- Sensibilisation des utilisateurs aux techniques de phishing et aux fuites de données.
- Mise en œuvre du MFA sur tous les systèmes SaaS.
- Réduction des permissions d’accès à des utilisateurs spécifiques.
- Surveillance continue des environnements cloud pour détecter des comportements anormaux.
- Application des principes de Zero Trust sur les plateformes tierces.
| Mesure | Coût | Difficulté de mise en œuvre | Faisabilité | Délais estimés |
|---|
| 1. Mise en œuvre du MFA sur tous les systèmes SaaS | Modéré à élevé (selon la taille et les systèmes) | Faible à modérée (dépend de l'infrastructure actuelle) | Élevé(e) | Court terme (1-2 mois, selon les systèmes SaaS et l'intégration MFA) |
| 2. Sensibilisation des utilisateurs aux techniques de phishing et fuite de données | Faible à modéré | Moyenne (formation continue et simulations) | Élevé(e) | Court à moyen terme (1-3 mois pour les premières formations, puis continuité régulière) |
| 3. Réduction des permissions d’accès aux utilisateurs spécifiques | Faible | Moyenne à élevée (audit et gestion des accès) | Moyenne à élevé(e) | Moyen terme (3-6 mois, selon le nombre d’utilisateurs et la complexité des systèmes) |
| 4. Surveillance continue des environnements cloud pour détecter des comportements anormaux | Modéré à élevé (outils de surveillance, SOC) | Élevée (nécessite des outils de monitoring avancés et/ou un SOC) | Moyenne à élevé(e) | Moyen terme (3-6 mois pour installer et configurer les outils) |
| 5. Application des principes de Zero Trust sur les plateformes tierces | Élevé(e) (implémentation complète et intégration) | Très élevé(e) (changement d'architecture) | Modéré(e) | Long terme (6-12 mois, voire plus, selon la complexité des plateformes et des processus) |
5. Conclusion
- L'incident Fortinet met en lumière l'importance cruciale de la gestion des accès et de la sécurité des environnements cloud. Ces éléments sont essentiels pour prévenir de telles compromissions à l'avenir.
- L’analyse via MITRE ATT&CK montre les étapes d’exploitation de l'attaque
- l’approche EBIOS RM permet d’anticiper et d’évaluer les risques.
- Adopter des solutions comme MFA, surveiller les systèmes en continu, et revoir les pratiques de stockage des données sont essentiels pour prévenir de telles compromissions à l’avenir.
Laisser un commentaire