Face aux tensions géopolitiques, la société Horizon3.ai alerte sur l’évolution des cybermenaces iraniennes et publie des recommandations urgentes.

Dans un contexte de tensions géopolitiques exacerbées, l’entreprise Horizon3.ai, spécialisée en sécurité offensive, publie ce jeudi des recommandations pour aider les organisations à faire face à l’évolution des cyberattaques d’origine iranienne. Ce guide vise à fournir aux responsables de la sécurité des informations exploitables pour anticiper et contrer des menaces devenues plus diffuses et imprévisibles.

Une « guérilla cyber » en représailles

Selon les analyses de Horizon3.ai (https://www.horizon3.ai), les récentes frappes américaines et israéliennes contre des infrastructures stratégiques en Iran, notamment dans les secteurs bancaire et pétrolier, ont provoqué une promesse de représailles. Bien que le commandement militaire iranien ait été temporairement désorganisé, les experts s’attendent à sa reconstitution sous une forme plus décentralisée, favorisant une stratégie de « guérilla cyber ».

Cette nouvelle approche chercherait à atteindre plusieurs objectifs : affaiblir les capacités de frappe américaines en ciblant la base industrielle et technologique de défense (DIB), déstabiliser le soutien intérieur en s’attaquant aux banques, aux télécommunications et aux services publics, et enfin créer des tensions sur les marchés mondiaux en visant les infrastructures pétrolières et gazières.

Premiers signes d’une escalade

Plusieurs incidents récents sont interprétés comme les prémices de cette nouvelle vague d’attaques. Des centres de données AWS aux Émirats arabes unis et à Bahreïn ont été ciblés, tout comme l’entreprise Stryker Medical et des systèmes hospitaliers au Royaume-Uni. Les modes opératoires observés sont variés : utilisation de logiciels malveillants destructeurs de type « wiper », accès non autorisés à des systèmes de vidéosurveillance, comme les caméras Hikvision, pour préparer un éventuel ciblage physique, et diffusion de fausses informations sur les réseaux sociaux pour semer la confusion et la panique.

Les analystes en cybersécurité anticipent une intensification de ces opérations dans les semaines à venir, avec des risques de perturbations majeures dans des secteurs critiques : fabrication et maintenance au sein de la défense, production pétrolière et gazière, systèmes financiers, fournisseurs de services cloud, services de santé et administrations locales.

Cinq actions prioritaires pour se prémunir

Pour contrer cette menace imminente, Horizon3.ai recommande de sécuriser en priorité les surfaces d’attaque les plus exposées. Celles-ci incluent les VPN, les équipements en périphérie de réseau vulnérables (notamment Fortinet, Ivanti, Citrix NetScaler), mais aussi Active Directory, les identifiants compromis et les outils de gestion à distance. L’entreprise préconise cinq actions à mettre en œuvre immédiatement :

1. Évaluer et corriger rapidement les vulnérabilités exploitables en lien avec les tactiques, techniques et procédures (TTP) iraniennes connues.
2. Déployer des leurres (« decoys ») au sein des réseaux, particulièrement dans Active Directory, pour améliorer la détection.
3. Renforcer et évaluer les contrôles critiques du centre des opérations de sécurité (SOC), notamment les solutions EDR et SIEM.
4. Tester et répéter les plans de réponse à incident pour garantir une réaction rapide et efficace.
5. Identifier, protéger, et valider les procédures de sauvegarde et de restauration des données critiques.

« Nous devons dès maintenant nous mobiliser collectivement, en tant que praticiens de la cybersécurité, pour colmater les failles, nous assurer que les outils du SOC fonctionnent efficacement et acquérir les bons réflexes face aux attaques. Il s’agit de s’entraîner comme en situation réelle afin de savoir précisément quoi faire lorsque les choses dérapent », déclare Snehal Antani, CEO et cofondateur de Horizon3.ai.

Horizon3.ai adapte ses outils

En réponse à cette situation, Horizon3.ai a renforcé les capacités de sa plateforme NodeZero® pour couvrir spécifiquement les TTP iraniennes. La société active également, à titre temporaire, une fonctionnalité de renseignement sur ces menaces pour l’ensemble de ses clients, leur permettant d’identifier les failles les plus susceptibles d’être ciblées.

« La situation évolue chaque jour. Nous ne pouvons pas contrôler ce que fera l’adversaire, mais nous pouvons maîtriser notre niveau de préparation et notre capacité à défendre l’entreprise », ajoute Snehal Antani. L’entreprise appelle ainsi tous les professionnels du secteur à agir sans délai.

La plateforme NodeZero® de Horizon3.ai est un outil de tests d’intrusion automatisés utilisé par de grandes entreprises mondiales, des opérateurs d’infrastructures critiques et la base industrielle de défense américaine pour identifier, corriger et valider en continu les vulnérabilités exploitables. Fondée par d’anciens membres des forces spéciales américaines, l’entreprise est basée à San Francisco et peut être suivie sur LinkedIn (https://www.linkedin.com/company/horizon3ai) et X (https://x.com/Horizon3ai).