Qu'est-ce que la surveillance du Dark Web ?
La surveillance du Dark Web désigne le processus consistant à repérer et à suivre les informations relatives à votre entreprise qui sont divulguées sur le Dark Web. Les outils de la surveillance du Dark Web s'apparentent à un moteur de recherche (tel que Google) pour le Dark Web. Ils permettent de détecter les fuites ou les vols de données telles que des mots de passe compromis, des identifiants volés ou d'autres données de propriété intellectuelle ou sensibles qui sont partagées et vendues entre acteurs malveillants présents sur le Dark Web.
Internet se compose de trois sections distinctes :
- Le Web public (également appelé Web visible, Web surfacique ou Surface Web) comprend tous les sites indexés par les moteurs de recherche et visibles par l'ensemble des internautes, en ce compris les informations et données relatives aux produits et services.
- Le Web invisible, ou Deep Web, comprend les sites légitimes non référencés par les moteurs de recherche, comme les applications bancaires, SaaS et internes qui sont protégées par des mots de passe et ne sont pas indexées par les moteurs de recherche.
- Le Dark Web comprend les sites chiffrés hébergés sur des serveurs qui ne sont pas référencés par les moteurs de recherche.
L'anonymat qu'offre le Dark Web est attrayant pour quiconque souhaite acheter ou vendre des identifiants numériques, numéros de cartes de crédit et autres données personnelles volés, ou encore des kits de ransomware, des services de piratage à la demande (hacking-as-a-service) et des produits illicites tels que des drogues, de fausses identités ou de la fausse monnaie.
Les entreprises qui mettent en place une surveillance du Dark Web peuvent déterminer si elles ont été compromises, déceler des indicateurs d'une compromission éventuelle et découvrir par qui elles sont ciblées et avec quelles méthodes.
WEB PUBLIC, WEB INVISIBLE ET DARK WEB EN LIGNE DE MIRE
Téléchargez notre livre blanc pour découvrir de quelle manière CrowdStrike Falcon® Intelligence Recon peut vous aider à identifier les activités potentiellement malveillantes et criminelles sur le Dark Web.
TéléchargerComment les données personnelles se retrouvent-elles sur le Dark Web ?
La plupart des données personnelles qui sont mises en vente sur le Dark Web ont été obtenues dans le cadre d'attaques de phishing, d'ingénierie sociale ou de malwares, de compromissions de données ou de toute combinaison de ces méthodes. Des ensembles complets de données comprenant un nom, une date de naissance, un numéro de sécurité sociale, une adresse, etc., sont vendus sous la forme de paquets appelés « fullz ». Un « fullz » peut se vendre jusqu'à 30 dollars, selon la valeur des ressources de la victime et la demande du marché.
Bon nombre de cybercriminels vont même encore plus loin et vendent en vrac toutes les données personnelles qu'ils ont volées à une entreprise.
Quelles sont les conséquences de la divulgation de vos données sur le Dark Web ?
La réponse à cette question est double. Pour les particuliers, la divulgation de leurs données sur le Dark Web leur impose généralement de modifier leurs mots de passe, de vérifier leurs relevés de carte de crédit et d'éventuellement remplacer celle-ci. En réalité, après plusieurs années de compromissions majeures de données avec notamment le vol de 148 millions d'enregistrements au cours d'une seule compromission, il est probable que les données personnelles de tout un chacun, ou du moins une partie de ces données, ont été vendues à un moment donné, même si la victime de l'usurpation d'identité ne l'apprend que bien plus tard. Il est donc conseillé aux particuliers de prendre les mesures de protection décrites ci-dessous, mais de ne pas paniquer.
Les entreprises, en revanche, devront réagir de manière plus agressive. Elles sont les gardiennes des données de leurs clients et, si elles exposent ces derniers à des risques, elles devront faire un aveu d'échec. Les enjeux sont énormes : procès, atteinte à la réputation de la marque, sanctions réglementaires et coûts d'audit, sans compter le risque accru d'attaques futures si les identifiants volés sont utilisés dans le cadre d'attaques de « credential stuffing » (recyclage d'identifiants) ou autres.
Pourquoi utiliser la surveillance du Dark Web ?
Les identifiants compromis ne sont pas le seul point de préoccupation des entreprises sur le Dark Web. Les malversations et les activités criminelles qui s'y déroulent peuvent nuire gravement à une entreprise qui est ou a été victime d'une attaque ou qui est associée à une autre activité la menaçant, comme la compromission d'un partenaire de sa supply chain. Dans le cadre d'une stratégie globale de sécurité, la surveillance du Dark Web équivaut à descendre un canari en cage dans une mine de charbon.
Un service de surveillance du Dark Web ne se limite pas à analyser les informations résultant d'une compromission de données, il permet également de classer les risques liés à des sources inconnues. Les entreprises qui reçoivent des alertes en cas d'apparition de leurs données sur le Dark Web peuvent mettre en lien ces mentions avec d'autres sources de menaces et utiliser ces informations pour dresser le profil des menaces et les atténuer plus rapidement.
Les types de risques qui peuvent être exposés grâce à la surveillance du Dark Web sont les suivants :
- Compromissions de tiers
- Vidage de données sur des forums de piratage et des salons de discussion cybercriminels
- Fuites P2P
- Fuites accidentelles
- Détournement de marques
- Usurpations d'identités
- Usurpations de domaines
- Menaces potentielles
À qui sont destinés les services de surveillance du Dark Web ?
La réponse est simple : à toutes les entreprises. Toute entreprise chargée d'assurer la protection de données sensibles de ses clients, qui possède des éléments de propriété intellectuelle de grande valeur ou qui est la cible fréquente de cyberactivistes, de cyberpirates à la solde d'États ou d'autres cybercriminels peut tirer profit de l'utilisation d'un outil de surveillance du Dark Web.
La question qui mérite d'être posée est plutôt la suivante : « La surveillance du Dark Web en vaut-elle la peine ? ». La surveillance du Dark Web fournit une visibilité sur les menaces que les outils traditionnels de sécurité ne sont pas en mesure de détecter. Les entreprises qui s'engagent dans la protection de leurs activités et de leurs clients en adoptant une stratégie de sécurité complète ont tout à gagner à évaluer les avantages potentiels du déploiement d'une solution de surveillance du Dark Web au sein de leur infrastructure de sécurité.
Comment fonctionne la surveillance du Dark Web ?
La surveillance du Dark Web repose sur l'exploration en continu du Dark Web et la collecte de données de cyberveille brutes en temps quasi réel. Des informations spécifiques (adresses e-mail de l'entreprise, par exemple) ou génériques (nom de l'entreprise, secteur d'activité, etc.) sont recherchées sur des millions de sites.
La solution de cyberveille CrowdStrike Falcon® Intelligence Recon™ inclut des assistants conviviaux qui permettent aux équipes de sécurité de ne plus perdre un temps précieux à élaborer des demandes complexes, tout en minimisant les faux positifs et les alertes non pertinentes. Les résultats de la surveillance s'affichent sous la forme de fiches contenant des informations sur les publications originales des cybercriminels, leur identité et le site. Ces informations peuvent être consultées dans la langue d'origine ou être traduites dans une autre langue. La traduction s'appuie sur des dictionnaires augmentés, notamment d'argot.
Lorsqu'une menace est détectée, l'utilisateur a la possibilité de créer une alerte personnalisée pour prévenir les membres de l'équipe de sécurité et toute autre personne concernée par la menace au sein de l'entreprise, notamment les membres des équipes marketing, juridique, des ressources humaines ou des fraudes.
Fonctionnalités de la surveillance du Dark Web
- Cyberveille. Les données capturées par la solution de surveillance du Dark Web peuvent être transférées dans des systèmes de cyberveille automatisés et utilisées pour enrichir les données de ces systèmes.
- Threat Hunting. Les threat hunters peuvent utiliser la surveillance du Dark Web pour accélérer la traque et acquérir un niveau approfondi de compréhension des cyberattaquants et de leurs méthodes.
- Réponse à incident plus rapide. Les flux de travail d'investigation et de réponse à incident peuvent être utilisés pour atténuer les menaces le plus rapidement possible.
- Intégration à la plateforme de sécurité. Les données collectées peuvent être envoyées vers d'autres systèmes afin de dresser un tableau plus précis du dispositif complet de sécurité.
Comment protéger vos informations contre la menace du Dark Web ?
Vous pouvez protéger vos données contre la menace du Dark Web de la même manière que vous les protégez contre tout type d'exfiltration : en sécurisant vos endpoints, en filtrant le trafic et en segmentant votre réseau.
- Organisez régulièrement des formations de sensibilisation à la sécurité.
- Formez les utilisateurs aux risques inhérents au télétravail, notamment en ce qui concerne leurs appareils personnels.
- Utilisez des gestionnaires de mots de passe et mettez en place des règles d'expiration des mots de passe.
- Appliquez l'authentification unique et l'authentification multifacteur.
- Mettez en place un plan de gestion des vulnérabilités par ordre de priorité.
- Segmentez le réseau pour éviter les déplacements latéraux.
- Offrez une visibilité unifiée sur l'ensemble de l'environnement.