Qu'est-ce que l'exfiltration de données ?
L'exfiltration de données est le vol ou le transfert non autorisé des données depuis un terminal ou un réseau. Selon le cadre MITRE ATT&CK, les cyberadversaires collectent les données, puis les exfiltrent sous forme de packages pour pouvoir échapper à la détection. Ces packages peuvent être compressés et chiffrés.
Déroulement de l'exfiltration de données
Dans certains cas, l'exfiltration de données est réalisée par des cyberattaquants externes qui infiltrent le réseau afin de s'emparer d'identifiants utilisateur, d'éléments de propriété intellectuelle et de secrets commerciaux. Ce type d'attaque commence par l'injection d'un logiciel malveillant sur un endpoint, par exemple un ordinateur ou un terminal mobile connecté au réseau d'entreprise. Le logiciel malveillant exfiltre les données vers un serveur externe contrôlé par le cyberattaquant externe qui peut ensuite les vendre ou les publier.
Dans d'autres cas, l'exfiltration des données peut être le fait d'un collaborateur interne de l'entreprise qui transfère les données à l'extérieur du réseau, par exemple en envoyant un message à une adresse e-mail externe à l'entreprise, ou les copie vers un service de stockage dans le cloud ou un produit SaaS non sécurisé. La plupart du temps, il s'agit d'actions dénuées de toute intention malveillante. Les collaborateurs responsables essayent simplement de faire leur travail, mais exposent les données aux risques en les soustrayant au contrôle de l'équipe de sécurité et des règles d'entreprise.