Au cœur de l'attaque de TeamViewer :
La segmentation a empêché la propagation de la menace
Une segmentation efficace du réseau peut faire la différence entre une violation maîtrisée et un désastre de sécurité à grande échelle.
Le 26 juin, l’équipe de Teamviewer a découvert une irrégularité dans son environnement informatique. Heureusement, aucun client n’a été affecté. Dans cet article, nous allons découvrir comment la segmentation a réussi à contenir la violation et à protéger tous ses clients.
Comment cela s’est-il produit ?
TeamViewer s’est rendu compte que l’entreprise subissait une cyberattaque en raison de la compromission des identifiants d’un compte collaborateur au sein de son environnement informatique. L’entreprise a immédiatement reconnu l’activité suspecte et a attribué l’attaque à APT29, également connu sous le nom de Cozy Bear ou Midnight Blizzard. Ce groupe de hackers est connu pour ses attaques de cyber-espionnage sophistiquées, notamment la célèbre attaque de la chaîne d’approvisionnement de SolarWinds, qui est l’un des incidents les plus marquants de l’histoire récente (18 000 clients ont été touchés).
Les hackers ont obtenu l’accès à l’aide des identifiants volés, soulignant une vulnérabilité dans la gestion des comptes des collaborateurs. TeamViewer a toutefois assuré que l’attaque avait été contenue dans son réseau informatique d’entreprise et qu’aucun environnement client n’avait été compromis.
Quelles ont été les conséquences de l’attaque ?
- Perturbation des opérations: Même si les services clients n’ont pas été affectés, l’attaque a entraîné d’importantes perturbations opérationnelles dans l’environnement informatique interne de TeamViewer. La réaction urgente a nécessité d’isoler les systèmes touchés et de mener des enquêtes approfondies, ce qui a freiné les activités normales de l’entreprise.
- Compromission des données des collaborateurs: Les hackers ont accédé à des informations essentielles sur les employés et les ont copiées, telles que les noms, leurs coordonnées professionnelles et les mots de passe cryptés. Cela augmente le risque d’exploitation de ces informations pour mener d’autres attaques.
- Pertes financières: La violation a eu un impact financier important. Juste après l’annonce, le cours de l’action TeamViewer a chuté de 10 %, ce qui a porté un coup sérieux à la réputation de l’entreprise sur le marché et à sa situation financière.
- Atteinte à la réputation: Même si la cyberattaque a été maîtrisée et qu’elle n’a pas affecté les utilisateurs finaux, elle a certainement suscité des craintes quant à l’utilisation d’outils d’accès à distance similaires à TeamViewer. Par ailleurs, le Health Information Sharing and Analysis Center (Health-ISAC) des États-Unis a publié un bulletin qui met en garde contre l’exploitation continue de TeamViewer par des acteurs malveillants.
Les raisons pour lesquelles les clients n’ont pas été affectés
« Conformément aux bonnes pratiques en matière d’architecture, nous avons mis en place un cloisonnement fort entre le système informatique de l’entreprise, l’environnement de production et la plateforme de connexion TeamViewer. Cela signifie que nous gardons tous les serveurs, réseaux et comptes strictement séparés pour aider à prévenir les accès non autorisés et les mouvements latéraux entre les différents environnements. Ce cloisonnement est l’une des multiples couches de protection de notre approche de ‘défense en profondeur ».
TeamViewer a déclaré que ses utilisateurs finaux n’ont pas été affectés par l’attaque grâce à sa stratégie de sécurité par segmentation. La segmentation du réseau consiste à diviser un réseau en segments isolés afin de limiter la propagation d’une attaque. Une segmentation adéquate garantit que même si un segment du réseau est compromis, le pirate ne pourra pas se déplacer latéralement vers d’autres segments.
Dans le cas de TeamViewer, sa capacité à contenir la violation dans l’environnement informatique de l’entreprise et à empêcher qu’elle n’affecte les systèmes des clients est un parfait exemple de segmentation efficace du réseau qui empêche les mouvements latéraux. L’entreprise a maintenu une séparation claire entre son réseau interne et les systèmes destinés aux clients.
Quelles leçons pouvons-nous tirer de cet incident ?
Cet incident nous montre qu’il est impossible d’empêcher les cyberattaques, mais que nous pouvons élaborer une stratégie de sécurité efficace qui permette de contenir la violation de données. Dans le cas de TeamViewer, la segmentation et le blocage des mouvements latéraux ont changé les règles du jeu.
Comment bloquer les mouvements latéraux ?
Contrôles d’accès : Il s’agit de s’assurer que les utilisateurs n’ont que les accès nécessaires à l’exécution de leur travail en définissant des autorisations.
Segmentation du réseau : Division du réseau en segments isolés.
Surveillance continue : Mise en œuvre d’une détection et d’une réponse automatiques aux comportements suspects.
Quelles sont les autres mesures de sécurité dont vous avez besoin pour éviter et contenir une violation de données ?
Authentification multi-facteurs : La mise en œuvre de l’authentification multi-facteurs (MFA) peut réduire de manière significative le risque d’attaques basées sur les informations d’identification. Même si un pirate obtient le mot de passe d’un utilisateur, il aura toujours besoin d’une deuxième forme de vérification pour obtenir l’accès.
Audits de sécurité réguliers : La réalisation régulière d’audits et de tests de pénétration permet d’identifier les vulnérabilités et d’y remédier avant qu’il ne soit trop tard.
Formation des utilisateurs : Sensibiliser les employés aux meilleures pratiques en matière de cybersécurité et fournir des outils de sécurité conviviaux afin de s’assurer que les employés les utiliseront effectivement.
Planification de la réponse aux incidents : Avoir un plan de réponse aux incidents bien défini permet à l’organisation de réagir efficacement aux incidents de sécurité, ce qui réduit le temps de restauration des services.
Comment garantir une stratégie de sécurité d’accès solide avec cyberelements ?
L’attaque de TeamViewer nous rappelle qu’aucune organisation n’est à l’abri des cybermenaces et souligne la nécessité d’une segmentation solide du réseau, d’une gestion des accès et d’une architecture Zero Trust.
C’est pourquoi cyberelements propose une plateforme de sécurité d’accès basée sur une architecture Zero Trust.
Architecture à double barrière pour une segmentation avancée du réseau :
Cette architecture est basée sur deux composants : Le contrôleur et la gateway Edge connectent en toute sécurité les utilisateurs uniquement aux ressources nécessaires à leur activité.
Les gateways Edge : Cette architecture unique prévoit une gateway par (V)LAN afin de maintenir une séparation complète. Chacune d’entre elles sera ensuite connectée à l’organisation dans le Contrôleur où les politiques de contrôle d’accès sont appliquées.
Le Contrôleur : Le Contrôleur peut contenir plusieurs organisations en fonction de votre segmentation. Chaque organisation connectera l’utilisateur à la Gateway correspondante et donc à la ressource correspondante.
Cette architecture unique garantit qu’il s’agit d’un flux de trafic sortant :
Lorsqu’un utilisateur demande une connexion depuis le contrôleur, une session avec la ressource concernée est établie via la Gateway Edge concernée et la session traverse le tunnel entre la Gateway Edge et le Contrôleur, d’une part, et entre le Contrôleur et le terminal de l’utilisateur final, d’autre part.
Permissions d’accès :
Maintenant que vous avez segmenté vos réseaux, vous devez empêcher tout mouvement latéral au sein du réseau d’une ressource à l’autre. En mettant en place des politiques d’accès, cyberelements vous permet de connecter vos utilisateurs uniquement aux ressources dont ils ont besoin. Pour les ressources critiques, vous pouvez ajouter une couche supplémentaire de sécurité en donnant l’accès pour une période limitée – l’accès Just-in-Time.
Chez cyberelements, nous pensons que la granularité est la clé d’une stratégie de sécurité d’accès robuste et c’est pourquoi nous fournissons un grand nombre de possibilités pour définir vos propres règles et autorisations.
Expérience de l’utilisateur :
Une solution de cybersécurité qui est un fardeau pour les utilisateurs ne sera pas adoptée correctement par vos collaborateurs. La simplicité est essentielle.
Les utilisateurs de cyberelements accèdent à leurs ressources à partir d’un portail web. Ils n’ont qu’à s’authentifier sur la plateforme avec un MFA et notre technologie SSO s’assurera de leur donner un accès transparent à leurs applications.
D’autre part, les administrateurs de cyberelements peuvent gérer tous leurs utilisateurs, leurs réseaux locaux et leurs ressources à partir d’une console d’administration unique.
En fin de compte, l’histoire nous a montré à maintes reprises que les hackers essaieront toujours de mener des cyberattaques. Par exemple, la dernière attaque contre TeamViewer n’est pas un cas isolé. Les outils d’accès à distance ont toujours été la cible des hackers, car ils permettent d’accéder directement aux systèmes. Il est de la responsabilité de chaque organisation d’assurer sa sécurité, non seulement en prévenant les violations, mais aussi en empêchant la propagation des menaces.
Il est temps de protéger votre organisation des cybercriminels, prenez rendez-vous avec nos experts et discutons de votre sécurité d’accès : Prenez rendez-vous dès maintenant !