Trace Id is missing

Les cybermenaces ciblent de plus en plus les plus grands événements mondiaux

Illustration d’un stade de football américain avec de nombreuses icônes.

Numéro 5 de Cyber Signals : système de jeu

Les acteurs de la menace suivent leurs cibles, profitant des opportunités pour lancer des attaques ciblées ou généralisées et opportunistes. Ce phénomène s’étend aux événements sportifs de premier plan, en particulier ceux qui se déroulent dans des environnements de plus en plus connectés, ce qui introduit un cyber-risque pour les organisateurs, les installations locales d’accueil et les participants. Le National Cyber Security Centre (NCSC) du Royaume-Uni a constaté que les cyberattaques contre les organisations sportives sont de plus en plus fréquentes. 70 % des personnes interrogées subissent au moins une attaque par an, ce qui est nettement plus élevé que la moyenne des entreprises au Royaume-Uni.

Les installations et les hôtes locaux font face à de nouveaux enjeux en raison de la pression qu’ils subissent pour offrir une expérience sécurisée et fluide. Un seul appareil mal configuré, un mot de passe exposé ou une connexion tierce négligée peuvent entraîner une violation de données ou une intrusion.

Microsoft a apporté son soutien en matière de cybersécurité aux infrastructures critiques lors de l’organisation par l’État du Qatar de la Coupe du monde de la FIFATM en 2022. Dans ce numéro, nous fournissons des informations de première main sur la manière dont les acteurs de la menace évaluent et infiltrent ces environnements à travers les sites, les équipes et les infrastructures critiques liés à l’événement.

Nous sommes tous des défenseurs de la cybersécurité.

Microsoft a effectué plus de 634,6 millions d’authentifications tout en fournissant des défenses en matière de cybersécurité pour les installations et les organisations qatariennes entre le 10 novembre et le 20 décembre 2022.

Les acteurs opportunistes exploitent un environnement riche en cibles

Les menaces de cybersécurité qui pèsent sur les événements et les sites sportifs sont diverses et complexes. Elles nécessitent une vigilance constante et une collaboration entre les parties prenantes afin de prévenir et d’atténuer les risques d’escalade. Avec un marché mondial du sport évalué à plus de 600 milliards USD, la cible est riche. Les équipes sportives, les grandes ligues et les associations sportives internationales, ainsi que les lieux de divertissement, représentent une mine d’informations précieuses pour les cybercriminels.

Les informations sur les performances sportives, les avantages concurrentiels et les données personnelles constituent une cible lucrative. Malheureusement, ces informations peuvent être vulnérables à grande échelle, en raison du nombre d’appareils connectés et de réseaux interconnectés dans ces environnements. Souvent, cette vulnérabilité concerne plusieurs propriétaires, y compris des équipes, des entreprises sponsors, des autorités municipales et des prestataires tiers. Les entraîneurs, les athlètes et les supporters peuvent également être vulnérables à la perte de données et à l’extorsion.

En outre, les sites et les stades présentent de nombreuses vulnérabilités connues et inconnues qui permettent aux menaces de cibler des services commerciaux essentiels, tels que les terminaux de paiement, les infrastructures informatiques et les appareils des visiteurs. Aucun événement sportif de premier plan ne présente le même profil de cyber-risque. Celui-ci varie en fonction de facteurs tels que le lieu, les participants, la taille et l’organisation de l’événement.

Pour concentrer nos efforts sur l’organisation de la Coupe du monde au Qatar, nous avons détecté les menaces de manière proactive en évaluant les risques à l’aide d’ Experts Defender pour la détection, un service géré de détection des menaces qui recherche de manière proactive les menaces sur les points de terminaison, les systèmes de messagerie, les identités numériques et les applications nuage. Dans ce cas, les facteurs comprenaient la motivation de l’acteur de la menace, l’élaboration d’un profil et une stratégie de réponse. Nous avons également pris en compte la veille des menaces mondiales concernant les acteurs de la menace et les cybercriminels ayant des motivations géopolitiques.

Le risque de cyber-perturbation des services lié à l’événement, ou des installations locales figurait parmi les principales préoccupations. Des perturbations telles que les attaques par ransomware et les tentatives de vol de données pouvaient avoir un impact négatif sur l’expérience de l’événement et les opérations courantes.

Chronologie d’incidents signalés publiquement entre 2018 et 2023

  • Janvier 2023 : la National Basketball Association informe ses supporters d’une violation de données qui a entraîné la fuite de leurs données personnelles à partir d’un service de bulletin d’information tiers.1
  • Novembre 2022 : Manchester United confirme que le club a subi une cyberattaque sur ses systèmes.2
  • Février 2022 : les San Francisco 49ers sont victimes d’une importante attaque par ransomware le dimanche du Super Bowl.3
  • Avril 2021 : un groupe de ransomware affirme avoir volé 500 gigaoctets de données aux Rockets, y compris des contrats, des accords de non-divulgation et des données financières. Les outils de sécurité internes ont empêché l’installation de ransomwares, à l’exception de quelques systèmes.4
  • Octobre 2021 : un homme du Minnesota est accusé d’avoir piraté les systèmes informatiques de la Major League Baseball et d’avoir tenté d’extorquer à la ligue 150 000 USD.5
  • 2018 : les Jeux olympiques d’hiver de Pyeongchang ont été le théâtre d’un grand nombre d’attaques. Des pirates informatiques russes ont attaqué les réseaux olympiques avant la cérémonie d’ouverture.6

L’équipe de détection de menaces a opéré selon une philosophie de défense en profondeur afin d’inspecter et de protéger les appareils et les réseaux des clients. Elle s’est également concentrée sur la surveillance du comportement des identités, les connexions et l’accès aux fichiers. Son champ d’action s’étendait à divers secteurs, y compris les clients impliqués dans les transports, les télécommunications, les soins de santé et d’autres fonctions essentielles.

Dans l’ensemble, le nombre total d’entités et de systèmes surveillés 24 h/24, 7 j/7 avec une détection des menaces et un support de réponse humains, englobait plus de 100 000 points de terminaison, 144 000 identités, plus de 14,6 millions de flux de courriel, plus de 634,6 millions d’authentifications et des milliards de connexions réseau.

Par exemple, certains établissements de santé ont été désignés comme unités de soins d’urgence pour l’événement, y compris des hôpitaux fournissant des services d’assistance et de santé essentiels aux supporters et aux joueurs. En tant que propriétaires de données médicales, les établissements de santé constituaient des cibles majeures. L’activité de détection des menaces de Microsoft, menée par des machines et des humains, s’est appuyée sur la veille des menaces pour analyser les signaux, isoler les ressources infectées et interrompre les attaques sur ces réseaux. Grâce à une combinaison de technologies Sécurité Microsoft, l’équipe a détecté et mis en quarantaine l’activité pré-ransomware ciblant le réseau de santé. Plusieurs tentatives de connexion infructueuses ont été enregistrées et toute autre activité a été bloquée.

La nature urgente des services de santé exige que les appareils et les systèmes maintiennent un niveau de performance optimal. Les hôpitaux et les établissements de santé ont la lourde tâche de trouver un équilibre entre la disponibilité des services et le maintien d’une position pertinente en matière de cybersécurité. Une attaque réussie, à court terme, aurait pu immobiliser les établissements de santé du point de vue des données et des systèmes informatiques, obligeant les soignants à utiliser du papier et des stylos pour mettre à jour les données des patients. Leur capacité à prodiguer des soins médicaux vitaux dans une situation d’urgence ou de triage de masse aurait été fragilisée. À long terme, un code malveillant implanté pour assurer la visibilité d’un réseau aurait pu être exploité pour un ransomware de plus grande envergure pour une perturbation plus importante. Un tel cas aurait pu ouvrir la porte au vol de données et à l’extorsion.

Alors que les grands événements internationaux continuent d’être des cibles de choix pour les acteurs de la menace, il existe a différentes motivations derrière le comportement des États-nations qui semblent vouloir absorber les dommages collatéraux des attaques si des intérêts géopolitiques plus larges sont en jeu. De plus, les groupes de cybercriminels qui cherchent à tirer profit des vastes opportunités financières qui existent dans les environnements informatiques liés aux sports et aux lieux continueront à les considérer comme des cibles de choix.

Recommandations

  • Renforcement de l’équipe du centre des opérations de sécurité : cela permet d’avoir plus de personnes pour surveiller l’événement 24 h/24 afin de détecter les menaces de manière proactive et d’envoyer des notifications. Vous pouvez ainsi corréler davantage de données de détection et repérer des signes précoces d’intrusion. Les menaces au-delà des points de terminaison, comme la compromission de l’identité ou le passage de l’appareil au nuage, devraient être incluses.
  • Évaluation ciblée des cyber-risques : identifiez les menaces spécifiques à l’événement, au lieu ou au pays où se déroule l’événement. Cette évaluation doit inclure les fournisseurs, les membres du service informatique de l’équipe et du site, les sponsors et les principales parties prenantes de l’événement.
  • Le droit d’accès minimal comme une bonne pratique : n’accordez l’accès aux systèmes et aux services qu’aux personnes qui en ont besoin et formez le personnel sur les niveaux d’accès.

Les vastes surfaces d’attaque nécessitent une planification et une surveillance supplémentaires

Avec des événements comme la Coupe du monde™, les Jeux Olympiques et les événements sportifs en général, les cyber-risques connus apparaissent sous une forme unique, et sont souvent moins perceptibles que dans d’autres environnements d’entreprise. Ces événements peuvent se dérouler rapidement, de nouveaux partenaires et fournisseurs acquérant un accès aux réseaux d’entreprise et aux réseaux partagés pour une période spécifique. Le côté éphémère de la connectivité de certains événements peut freiner le développement de la visibilité et du contrôle des appareils et des flux de données. Cela favorise également un faux sentiment de sécurité selon lequel les connexions « temporaires » comportent moins de risques.

Les systèmes d’événements peuvent inclure la présence de l’équipe ou du site sur le web et les réseaux sociaux, les plateformes d’inscription ou de billetterie, les systèmes de chronométrage et de comptage du score des matchs, la logistique, la gestion médicale et le suivi des patients, le suivi des incidents, les systèmes de notification de masse et la signalisation électronique.

Les organisations sportives, les sponsors, les hôtes et les sites doivent collaborer sur ces systèmes et développer des cyber-expériences intelligentes pour les supporters. Par ailleurs, le grand nombre de participants et de membres du personnel qui apportent des données et des informations par l’intermédiaire de leurs propres appareils augmente la surface d’attaque.

Quatre cyber-risques pour les grands événements

  • Désactivez tous les ports inutiles et veillez à ce que le réseau soit correctement analysé pour détecter les points d’accès sans fil frauduleux ou ad hoc. Mettez à jour et corrigez les logiciels, et optez pour des applications dotées d’un niveau de chiffrement pour toutes les données.
  • Encouragez les participants à (1) sécuriser leurs applications et leurs appareils avec les dernières mises à jour et les correctifs, (2) éviter d’accéder à des informations sensibles à partir de Wi-Fi publics, (3) éviter les liens, les pièces jointes et les codes QR provenant de sources non officielles.
  • Assurez-vous que les correctifs et mises à jour ont été apportés aux terminaux de paiement, et qu’ils sont connectés à un réseau séparé. Les participants doivent également se méfier des kiosques et des distributeurs automatiques de billets inhabituels et limiter leurs transactions aux zones officiellement ouvertes.
  • Développez des segmentations de réseau logique pour créer des divisions entre les systèmes informatiques et OT, et limiter l’accès transversal aux appareils et aux données afin d’atténuer les conséquences d’une cyberattaque.

Lorsque les équipes de sécurité reçoivent les informations dont elles ont besoin dès le départ, y compris les services critiques qui doivent rester opérationnels pendant l’événement, les plans de réponse sont mieux élaborés. Ceci est essentiel dans les environnements informatiques et OT qui soutiennent l’infrastructure du site, et pour maintenir la sécurité physique des participants. Idéalement, les organisations et les équipes de sécurité pourraient configurer leurs systèmes avant l’événement pour terminer les tests, sauvegarder le système et les dispositifs et les mettre à la disposition des équipes informatiques afin qu’elles puissent les redéployer rapidement en cas de besoin. Ces efforts contribuent largement à dissuader les adversaires de tirer parti de réseaux ad hoc mal configurés dans les environnements de choix et riches en cibles que sont les grands événements sportifs.

En outre, une personne doit se pencher sur les risques liés à la protection de la vie privée et se demander si les configurations ajoutent de nouveaux risques ou de nouvelles vulnérabilités concernant les données personnelles des participants ou les données exclusives des équipes. Cette personne peut mettre en œuvre des pratiques simples de cyber-intelligence pour les supporters, en leur demandant, par exemple, de ne scanner que les codes QR portant un logo officiel, de se méfier des SMS ou des sollicitations par message pour lesquels ils ne se sont pas inscrits, et d’éviter d’utiliser le Wi-Fi public gratuit.

Ces stratégies, entre autres, peuvent aider le public à mieux comprendre le cyber-risque lié aux grands événements, en particulier, et son exposition à la collecte et au vol de données. La connaissance de pratiques sûres peut aider les supporters et les participants à éviter d’être victimes d’attaques par piratage psychologique, que les cybercriminels peuvent mener après avoir intégré les réseaux des événements et des sites exploités.

En plus des recommandations ci-dessous, le National Center for Spectator Sports Safety and Security propose ces considérations pour les appareils connectés et la sécurité intégrée dans les grands sites.

Recommandations

  • Priorité à la mise en œuvre d’un cadre de sécurité complet et à plusieurs niveaux : il s’agit notamment de déployer des pare-feu, des systèmes de détection et de prévention des intrusions et des protocoles de chiffrement solides pour protéger le réseau contre les accès non autorisés et les violations de données.
  • Programmes de sensibilisation et de formation pour les utilisateurs : sensibilisez les employés et les parties prenantes aux meilleures pratiques en matière de cybersécurité, telles que la reconnaissance des courriels d’hameçonnage, l’utilisation de l’authentification multifacteur ou de la protection par mot de passe, et le contournement des liens ou des téléchargements suspects.
  • Partenariats avec des entreprises de cybersécurité réputées : surveillez en permanence le trafic réseau, détectez les menaces en temps réel et réagissez rapidement à tout incident de sécurité. Menez régulièrement des audits de sécurité et des évaluations de la vulnérabilité afin d’identifier et de corriger les éventuelles faiblesses de l’infrastructure réseau.
Justin Turner, responsable de groupe principal, Recherche Sécurité Microsoft, vous donne des informations supplémentaires sur les problèmes de sécurité les plus courants.

Les données instantanées représentent le nombre total d’entités et d’événements surveillés 24 h/24, 7 j/7, entre le 10 novembre et le 20 décembre 2022. Il s’agit d’organisations directement impliquées dans l’infrastructure du tournoi ou affiliées à celle-ci. L’activité comprend des détections des menaces proactives menées par des humains afin d’identifier les menaces émergentes et de suivre les campagnes importantes.

Informations clés :
 

45 organisations protégées                                 100 000 points de terminaison protégés

 

144 000 identités protégées                               14,6 millions de flux de courriels

 

634,6 millions de tentatives d’authentification                4,35 milliards de connexions réseau

Méthodologie : pour les données instantanées, les plateformes et services Microsoft, notamment Microsoft XDR, Microsoft Defender, Experts Defender pour la détection et Azure Active Directory, ont fourni des données anonymisées sur l’activité des menaces, telles que les comptes de messagerie malveillants, les emails d’hameçonnage et les comportements des attaquants au sein des réseaux. D’autres informations proviennent des 65 billions de signaux de sécurité quotidiens recueillis sur Microsoft, y compris le nuage, les points de terminaison, la périphérie intelligente, ainsi que notre pratique de récupération de la sécurité en cas de compromission et nos équipes de détection et d’intervention. L’illustration ne représente pas un match de football, un tournoi ou un sport individuel. Toutes les organisations sportives citées sont des marques déposées individuelles.

Articles connexes

Conseils d’expert sur les trois défis les plus persistants en matière de cybersécurité

Justin Turner, responsable de groupe principal, Recherche Sécurité Microsoft, décrit les trois défis persistants auxquels il a été confronté tout au long de sa carrière dans le domaine de la cybersécurité : la gestion de la configuration, l’application de correctifs et la visibilité des appareils.

Augmentation de 61 % des attaques par hameçonnage. Maîtriser la surface d’attaque moderne

Face à une surface d’attaque de plus en plus complexe, les entreprises doivent mettre en place un dispositif de sécurité complet. Avec six secteurs majeurs de la surface d’attaque, ce rapport vous montrera comment une bonne veille des menaces peut contribuer à faire pencher la balance en faveur des défenseurs.

La convergence de l’informatique et de la technologie opérationnelle

La circulation croissante de l’Internet des objets (IoT) met en péril la technologie opérationnelle (OT), avec une série de vulnérabilités potentielles et une exposition aux acteurs de la menace. Découvrez comment protéger votre organisation.

Suivez la Sécurité Microsoft