Comment McLaren Racing garde une longueur d’avance sur les menaces sophistiquées par e-mail

Ed Green, Principal Digital Architect at McLaren Racing (Invité) | mercredi 6 janvier 2021

La protection de la boîte de réception des collaborateurs est depuis toujours un défi de taille pour McLaren Racing. Avant même l’épidémie de COVID-19, nos équipes étaient particulièrement dynamiques. Nous avions l’habitude de devoir installer rapidement un bureau à distance un week-end sur deux, sur les circuits du monde entier, et ce depuis 30 ans. Nous avions donc l’habitude que nos collaborateurs échangent beaucoup d’e-mails entre plusieurs sites décentralisés.

La collaboration est vitale pour cette équipe, que ce soit avec nos partenaires ou nos principaux fournisseurs. Tous les jours, nous partageons par divers moyens des données qui peuvent être sensibles, comme les informations de conception des véhicules, ou même confidentielles, comme certaines données stratégiques de gestion de course.

Les attaques par e-mail qui ciblent nos utilisateurs ont beaucoup progressé au cours des deux dernières années, et les cybercriminels cherchent aujourd’hui à solliciter des paiements frauduleux ou à accéder à notre propriété intellectuelle. Les méthodes d’ingénierie sociale sont devenues de plus en plus sophistiquées, ce qui signifie que nos utilisateurs ont continué à interagir avec ces e-mails de phishing ou d’usurpation d’identité, en dépit de tous les outils et procédures mis en place pour parer à ces éventualités.

L’an dernier, nous avons étendu la protection du système immunitaire Darktrace à notre boîte de réception. Aujourd’hui, nous disposons donc d’une solution de sécurité intelligente basée sur l’IA, qui comprend le « modèle comportemental normal » de chaque utilisateur de Microsoft 365 pour détecter les attaques. Darktrace a permis à notre équipe de sécurité de garder une longueur d’avance sur la plupart des menaces par e-mail les plus sophistiquées, au lieu de réagir après coup aux attaques qui avaient échappé aux outils de sécurité traditionnels.

Formation des équipes à la détection des attaques

Par le passé, nous utilisions des flux de renseignements sur les menaces et des outils de sécurité rétrospectifs qui bloquaient les adresses, les domaines et les URL identifiés comme malveillants. Pourtant, malgré cela, un petit volume d’e-mails de phishing passait à travers les mailles du filet et parvenait jusqu’à la boîte de réception de nos collaborateurs. En général, ces e-mails étaient bien documentés et hautement contextualisés. Ils s’adressaient précisément au destinataire et il était parfois impossible de les distinguer de communications authentiques. Malgré les programmes de sensibilisation menés auprès des personnels, une partie de ces e-mails parvenait à engendrer une interaction de la part des utilisateurs, entraînant piratages de comptes et tentatives de fraudes. Nos ressources de sécurité étaient alors utilisées pour réagir à ces incidents, au lieu d’améliorer la sécurité de McLaren Racing de façon proactive.

Nous organisons des semaines de sensibilisation à la cybersécurité, en collaboration avec plusieurs de nos partenaires, au cours desquelles nous exécutons nos propres simulations de campagnes de phishing pour apprendre à nos collaborateurs à identifier les attaques. Cependant, le télétravail a rendu la communication de ces programmes de formation plus difficile. L’engagement des collaborateurs a toujours été essentiel et entraînait une charge de travail importante pour notre équipe de sécurité. Elle passait beaucoup de temps avec nos hauts représentants pour les aider à identifier les usurpations d’identité et mettre en place des procédures métier.

Ce processus était long et difficile. Qui plus est, on ne peut raisonnablement s’attendre à ce que nos collaborateurs détectent tous les signaux subtils d’une attaque par e-mail. Étant donné le degré de sophistication dont font preuve les attaques par e-mail modernes, qui sont extrêmement documentées et raffinées du point de vue de l’ingénierie sociale, il est inévitable que certaines tentatives de phishing échappent aux mécanismes de défense rudimentaires et à la vigilance humaine.

Passage à la cyber IA

En collaboration avec notre partenaire Darktrace, nous avons déployé leur technologie de protection des systèmes de messagerie, Antigena Email, et nous avons travaillé ensemble à sa configuration et à son installation. Nous avons obtenu des résultats tangibles en quelques jours. Le nombre d’e-mails de phishing signalés par les utilisateurs a considérablement diminué. Par la suite, avec l’ajout de la Réponse Autonome, l’analyse régulière des actions d’Antigena Email nous a permis de découvrir plusieurs campagnes de phishing dont nous n’avions pas connaissance.

Antigena prend des mesures dans le contexte de l’entreprise. La solution suspend les e-mails en dernier ressort (<1 % dans notre environnement) et neutralise uniquement les e-mails véritablement malveillants plutôt que de produire une myriade de faux positifs. Les mesures sont également ciblées et proportionnées. Il peut s’agir de déplacer des e-mails dans la corbeille, de convertir les pièces jointes ou de bloquer les liens, ce qui nous offre toute la flexibilité dont nous avons besoin.

Comme Antigena Email apprend continuellement et neutralise les attaques par e-mail sophistiquées, les membres de l’équipe de sécurité sont soumis à une pression moindre et peuvent consacrer plus de temps aux nouvelles initiatives et aux domaines d’innovation.

Neutralisation d’une attaque ciblée de vol d’identifiants dirigée contre l’équipe dirigeante

Comme dans la plupart des organisations, les e-mails malveillants ciblent le plus souvent nos dirigeants. Antigena Email a récemment détecté un e-mail qui avait été envoyé à l’un de nos directeurs pour l’inviter à signer un document financier. L’e-mail semblait provenir de DocuSign et renfermait un lien malveillant dissimulé derrière le texte « Consulter le document ».

100%
Sat Oct 31 2020, 00:57:21
From:DocuSign on Behalf of Accounting Department
Recipient:<[email protected]>
Please DocuSign: Accounting sent you a document to review and sign
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Lock Link
Double Lock Link

Figure 1 : Aperçu interactif de l’interface utilisateur d’Antigena Email identifiant l’e-mail en cause

Figure 2 : Capture d’écran de l’e-mail en question

Si l’utilisateur clique sur le lien contenu dans l’e-mail, deux types de scénarios peuvent se produire dans ce type d’attaque. Soit l’utilisateur est redirigé vers une page de connexion falsifiée (mais souvent très convaincante) qui enregistre les identifiants saisis, soit le document en lui-même contient une facture d’apparence légitime, mais dont un élément crucial a été modifié : les coordonnées bancaires. Les équipes comptables et les directeurs financiers sont régulièrement pris pour cibles par ce genre d’attaque, mais dans ce cas précis, les pirates cherchaient à se procurer les identifiants du directeur.

Si ce dernier avait cliqué sur le lien et tenté de se connecter, il aurait sans le savoir envoyé ses identifiants au cybercriminel, qui aurait pu utiliser ces informations pour accéder à des données sensibles dans sa boîte de réception ou ses comptes SaaS, ou encore envoyer des e-mails malveillants depuis ce compte pour infiltrer davantage l’organisation.

Cet e-mail a été envoyé le week-end du Grand Prix d’Imola. Ce fut un week-end très intense pour toute l’équipe, où nous avons dû participer à un nouveau format de course sans entraînement le vendredi, et nous avons passé 48 heures extrêmement tendues. Malgré tout, Antigena Email montait la garde : la solution a identifié l’expéditeur comme un nouveau contact et a jugé que le lien était suspect. Dans ce contexte, l’IA de Darktrace a bloqué le lien et a automatiquement déplacé l’e-mail vers le dossier spam du directeur. Le tout sans avoir à prévenir l’équipe de cybersécurité qui était présente ce week-end.

Des attaques de ce type se produisent tous les jours. Il n’est pas réaliste de compter exclusivement sur les collaborateurs de McLaren pour distinguer le vrai du faux pour chacune de ces menaces. Les vols d’identifiants et le piratage de comptes sont en augmentation. Ce n’était qu’une question de temps avant qu’un e-mail de phishing parvienne à ses fins et qu’une brèche soit ouverte. Aujourd’hui, grâce à Antigena Email, nous avons l’assurance que nous disposons d’une puissante solution d’IA qui nous protège sur les circuits comme dans nos bureaux.

En savoir plus sur Antigena Email

Ed Green

Ed Green works in the Architecture practice within the Information Technology function at McLaren Technology Group, as well as being responsible for the successful integration of their Technology Partners into the McLaren ecosystem. Ed joined McLaren in March 2018 after spending 5 years working for Block Solutions, a specialist network consultancy. In previous roles, he led the Consultancy division at a UK Solution Integrator operating across the public, enterprise, and commercial sectors. Ed has driven innovative engagements with organisations such as Harrods, intu, The Francis Crick Institute, and Barts Health NHS Trust. He has also spent seven years on the council at Great Ormond Street Hospital representing the views of patients at a Board level, and he continues his work at the Hospital School as a Governor and supports the school with STEM initiatives.