Le système de gestion de l’apprentissage Canvas d’Instructure a récemment subi deux compromissions de haut profil en l’espace de quelques jours par le groupe de cybercriminalité ShinyHunters, suscitant un examen du Congrès et soulevant de sérieuses questions sur la réponse aux incidents de l’entreprise edtech. Pour les professionnels de la cybersécurité, cet incident sert de rappel brutal qu’une remédiation inadéquate peut entraîner une re-compromission rapide, amplifiant l’impact d’une violation et gaspillant des ressources précieuses.
Cette intrusion récurrente met en lumière des leçons essentielles pour tout professionnel de la cybersécurité chargé de défendre les actifs et les données organisationnels. La conclusion immédiate est qu’une « résolution » déclarée n’a que peu d’importance si les vecteurs d’attaque sous-jacents restent non traités ou si les menaces persistantes ne sont pas complètement purgées.
La divulgation par Instructure de « certaines informations d’identification des utilisateurs », y compris les noms, les courriels, les numéros d’identification d’étudiants et les messages privés, ainsi que les affirmations de ShinyHunters concernant plus de 3 To de données provenant de 9 000 établissements d’enseignement, souligne les graves retombées réputationnelles et réglementaires qui peuvent accompagner de tels échecs.
Les équipes de cybersécurité doivent examiner minutieusement leurs plans de réponse aux incidents, en se concentrant sur des étapes d’éradication et de validation complètes pour s’assurer que les acteurs malveillants sont véritablement expulsés et que les points d’accès sont définitivement fermés.
Les interrogatoires directs du PDG d’Instructure, Steve Daly, par la Commission de la sécurité intérieure de la Chambre des représentants mettent en évidence la responsabilité croissante attendue de la direction lorsque les postures de sécurité échouent, une tendance qui a un impact direct sur les responsabilités stratégiques des professionnels de la cybersécurité.
L’affaire force également une réévaluation de la gestion des risques liés aux fournisseurs tiers. Alors que les organisations s’appuient de plus en plus sur des fournisseurs SaaS comme Instructure, la posture de sécurité de ces fournisseurs devient une extension de la surface d’attaque d’une entreprise.
Les professionnels de la cybersécurité doivent exiger une plus grande transparence, des garanties de sécurité robustes et des engagements clairs en matière de réponse aux incidents de la part de leurs fournisseurs, en comprenant qu’une violation chez un fournisseur peut rapidement devenir la crise de leur organisation.
La connexion potentielle avec une attaque antérieure sur l’environnement Salesforce suggère davantage un besoin d’intelligence sur les menaces et de surveillance holistiques et interconnectées sur tous les systèmes critiques, pas seulement des applications isolées.
Ce niveau d’interconnexion nécessite des capacités de détection des menaces avancées qui peuvent identifier des modèles subtils de compromission dans divers environnements.
L’exploitation d’outils AI avancés n’est plus facultative pour les professionnels de la cybersécurité qui cherchent à éviter un sort similaire. Des outils comme CrowdStrike AI et SentinelOne offrent des capacités de détection et de réponse des points d’extrémité (EDR) de pointe, utilisant l’apprentissage automatique pour détecter et prévenir les techniques d’attaque sophistiquées, y compris celles conçues pour la persistance et la ré-entrée.
Ces plateformes peuvent identifier les comportements anormaux et les processus malveillants que les solutions antivirus traditionnelles pourraient manquer, ce qui est crucial pour assurer une éradication complète après une violation initiale.
Pour la vigilance au niveau du réseau, Vectra AI fournit une détection des menaces par AI via la détection et la réponse réseau (NDR), repérant les mouvements latéraux et les communications de commande et de contrôle au sein des réseaux internes qui pourraient indiquer un accès persistant d’attaquants comme ShinyHunters.
De plus, les plateformes SIEM améliorées avec des outils d’intelligence artificielle, tels que Microsoft Sentinel, peuvent corréler de grandes quantités de données de sécurité, accélérant les enquêtes et aidant les professionnels de la cybersécurité à reconstituer le puzzle des attaques.
Le briefing IA hebdo pour votre métier
Un e-mail par semaine : les changements IA qui touchent vraiment votre métier — outils, offres, et quoi en faire.
