L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis une alerte urgente aux entreprises concernant la sécurité de leurs systèmes de gestion des appareils. Cela fait suite à une cyberattaque majeure contre le fabricant de dispositifs médicaux Stryker, au cours de laquelle des pirates informatiques pro-iraniens ont effacé à distance les données de milliers d’appareils gérés par l’entreprise.
L’attaque contre Stryker : une étude de cas sur le risque lié aux points finaux
Le 11 mars, Stryker a confirmé une cyberattaque qui a provoqué une « perturbation mondiale » de ses opérations. Contrairement aux attaques classiques de rançongiciels, les pirates n’ont pas déployé de logiciels malveillants. Au lieu de cela, ils ont exploité l’accès au système Microsoft Intune de Stryker – utilisé pour gérer les appareils des employés – pour supprimer à distance les données de dizaines de milliers de téléphones, tablettes et ordinateurs. Cela incluait à la fois les appareils appartenant à l’entreprise et les appareils personnels connectés au réseau.
Pourquoi est-ce important : Cet incident met en évidence une vulnérabilité critique dans la façon dont de nombreuses entreprises gèrent l’accès aux appareils. Les systèmes de gestion des points de terminaison comme Intune offrent aux administrateurs un contrôle puissant, mais s’ils sont compromis, ils peuvent être utilisés pour provoquer de graves perturbations.
Recommandations de la CISA : Renforcer la sécurité des points de terminaison
Les orientations de la CISA se concentrent sur le renforcement des contrôles administratifs au sein des plateformes de gestion des appareils. Plus précisément, l’agence recommande que les actions à fort impact, telles que l’effacement des appareils à distance, nécessitent l’approbation d’un deuxième administrateur. Cette approche « d’intégrité à deux » ajoute une couche critique de protection contre les comptes malveillants ou compromis.
Principaux points à retenir pour les administrateurs :
– Restreindre les actions sensibles aux workflows à approbations multiples.
– Vérifiez régulièrement les autorisations des utilisateurs.
– Surveillez les tableaux de bord Intune pour détecter toute activité non autorisée.
Le groupe hacktiviste derrière l’attaque
Un groupe hacktiviste pro-iranien se faisant appeler Handala a revendiqué la responsabilité, alléguant que l’attaque était des représailles à une frappe aérienne américaine en Iran qui a tué des civils. Le groupe a affirmé avoir exfiltré des données du réseau Stryker, mais n’a pas encore fourni de preuve.
Stryker a contenu l’attaque et s’efforce de restaurer les systèmes, mais ses opérations de chaîne d’approvisionnement, de commande et d’expédition restent hors ligne. La société n’a pas fourni de calendrier de récupération.
Conclusion
L’attaque Stryker souligne la menace croissante de manipulation des points finaux. Les entreprises doivent donner la priorité à la sécurisation des systèmes de gestion des appareils avec des contrôles administratifs robustes pour éviter des incidents similaires. Ignorer ce risque rend les organisations vulnérables à des perturbations paralysantes qui peuvent avoir un impact sur les opérations critiques.
