Introduction
Je suis extrêmement fier de voir que mon équipe a réussi à stopper une attaque phishing ciblée sur le poste d’un de nos clients, actuellement en plein onboarding.
Détails de l’Attaque
Lundi à 11h05, un collaborateur de notre client a reçu un email prétendant provenir d’un cabinet d’avocats. Ce message contenait un lien vers un document Dropbox. Malheureusement, ce document était piégé et conçu pour voler les informations d’authentification Microsoft du collaborateur via une fausse page de connexion.
Contexte de l’attaque
Cette attaque est survenue en plein onboarding d’un client, alors que nous étions en train de migrer de pare-feu (qui faisait un filtrage assez limité) à un filtrage DNS directement sur le endpoint. Cette nouvelle solution est destinée à protéger également les utilisateurs en télétravail, comme c’était le cas pour cette attaque. Le client avait un pare-feu avec filtrage, mais l’utilisateur était en télétravail, ce qui limitait notre visibilité sur le endpoint, sauf via la console de l’EDR, managée par notre SOC.
Avec notre nouvelle solution de filtrage DNS sur le endpoint, la page de phishing n’aurait jamais pu être ouverte par l’utilisateur. Cela souligne l’importance de choisir le bon prestataire de cybersécurité et de comprendre le contexte du client pour choisir les solutions les plus adaptées.
Comment l’attaque a été détectée
L’utilisateur était en télétravail, ce qui signifie qu’il ne bénéficiait pas du filtrage du pare-feu de l’entreprise. Une fois le document ouvert, le collaborateur a été redirigé vers une page d’authentification Microsoft frauduleuse. La différence subtile dans l’URL a révélé la nature de l’attaque de phishing.
Réponse Immédiate
Grâce à notre stratégie d’accès conditionnel dans Azure et à l’authentification multifactorielle, les tentatives de connexion provenant des États-Unis ont été bloquées automatiquement. Notre SOC, surveillant Microsoft Entra ID de façon continue nous a alertés de l’attaque, tout en bloquant immédiatement le compte.
Après une analyse minutieuse de l’ordinateur affecté à l’aide de notre EDR et une enquête approfondie menée par notre SOC, nous avons confirmé l’absence de malware ou de processus malicieux sur le poste.
Mesures Prises
- Changement de mot de passe : Le mot de passe du compte Microsoft compromis a été immédiatement changé.
- Renforcement des politiques de sécurité : Activation d’un filtre DNS sur tous les postes sous forme d’agent.
- Sensibilisation : Mise en place de campagnes de phishing ciblées pour tester la sécurité interne. Pour en savoir plus sur la gestion du risque humaine et nos campagnes de phishing, consultez notre page dédiée : Gestion du risque humaine.
Importance d’une Stratégie de Sécurité Solide
Cette expérience démontre l’importance d’une stratégie de sécurité solide et bien orchestrée, même pendant les périodes de transition comme l’onboarding. Une telle stratégie comprend :
- Protection DNS : Bloquer l’accès aux sites malveillants dès le départ. En savoir plus
- Antispam : Filtrer les emails malveillants avant qu’ils n’atteignent les utilisateurs. En savoir plus
- Antivirus Managé : Assurer une protection continue contre les menaces. En savoir plus
- SOC Managé : Surveillance continue et analyse des menaces. En savoir plus
- EDR/XDR/MDR : Détection et réponse avancées aux menaces. En savoir plus
Conclusion
Bravo à notre équipe de choc pour leur réactivité et leur expertise ! 💪 Cette attaque aurait pu avoir des conséquences désastreuses, mais grâce à une coordination efficace et une stratégie de sécurité robuste, nous avons pu la neutraliser rapidement et efficacement.
Pour toute entreprise, et particulièrement les PME, il est crucial de rester vigilant et de mettre en place des mesures de sécurité avancées pour se protéger contre les attaques de phishing et autres cybermenaces.
