Le réveil du Nevada face aux rançongiciels : les arguments en faveur de la gestion des accès privilégiés

Aux États-Unis, l’Office technologique du Gouverneur (Governor’s Technology Office ou GTO) de l’État du Nevada a récemment publié un « After Action Report » concernant l’attaque par rançongiciel qui a perturbé les systèmes de l’État pendant près d’un mois en août 2025. Le rapport détaille non seulement le déroulement des faits, mais aussi la réponse coordonnée aux incidents de la part du GTO, des fournisseurs et des forces de l’ordre locales, étatiques et fédérales. Cette cyberattaque à l’échelle de l’État souligne la nécessité critique d’une gestion des accès privilégiés (PAM) pour contrôler et sécuriser l’accès aux systèmes et aux données hautement sensibles.

Que s’est-il passé lors de l’attaque du rançongiciel au Nevada ?

L’État du Nevada a découvert la faille pour la première fois le 24 août 2025, lorsque plusieurs machines virtuelles ont été mises hors service, perturbant les sites web, les systèmes téléphoniques et les plateformes en ligne de 60 agences gouvernementales de l’État. Des organismes comme l’Autorité de santé du Nevada (Nevada Health Authority) ont vu leurs systèmes paralysés, obligeant leurs employés à utiliser des solutions de fortune et à revenir au format papier. D’autres agences touchées comprenaient le Département des véhicules motorisés du Nevada (Nevada Department of Motor Vehicles), le Département de la sécurité publique du Nevada (Nevada Department of Public Safety) et la Patrouille routière du Nevada (Nevada Highway Patrol). Le principal portail de l’État, NV.gov, et le bureau du gouverneur ont également vu leurs systèmes mis hors ligne ou dégradés.

L’origine de la violation a finalement été identifiée : il s’agissait d’une attaque par ingénierie sociale survenue en mai 2025, lorsqu’un employé de l’État a recherché un outil d’administration système et a cliqué sans le savoir sur une publicité malveillante. Ce faisant, l’employé a téléchargé un malware à partir d’un site web usurpé, et le logiciel malveillant a installé une porte dérobée qui s’est connectée à l’infrastructure du pirate, lui conférant ainsi un accès à distance non autorisé. Bien que Symantec Endpoint Protection (SEP) ait détecté et mis en quarantaine le malware le 26 juin 2025, il était déjà trop tard, car l’attaquant avait déjà réussi à élever les privilèges pour se déplacer latéralement dans le réseau de l’État.

Le rapport indique :

Entre le 16 août et le 24 août, l’acteur de menace a utilisé le protocole du navigateur à distance (RDP) pour se déplacer entre les serveurs critiques, accéder à plusieurs répertoires, fichiers et serveurs, y compris le serveur coffre-fort des mots de passe, pour récupérer les mots de passe de 26 comptes. Le pirate a systématiquement effacé les journaux d’événements pour dissimuler son activité.

Le 24 août 2025, l’attaquant a supprimé les sauvegardes d’informations sensibles et a déployé un rançongiciel dans l’infrastructure virtuelle de l’État. L’État du Nevada n’a finalement pas payé de rançon et a réussi à récupérer 90 % des données affectées nécessaires à la restauration des services concernés. Cependant, outre le coût des heures supplémentaires des employés de l’État mobilisés pour rétablir les services, le Nevada a également déboursé plus d’un million de dollars pour l’intervention de fournisseurs externes. L’étendue des données volées fait toujours l’objet d’une enquête. Timothy Galluzi, directeur informatique du Nevada, a déclaré lors d’une conférence de presse que certaines données de l’État avaient été exfiltrées du système de l’État sans autorisation ; toutefois, on ne sait pas exactement quel type de données a été dérobé.

Après la récupération des systèmes, le GTO a procédé à plusieurs changements pour renforcer les défenses de l’État en matière de cybersécurité. Il a d’abord sécurisé les systèmes les plus sensibles et veillé à ce que les accès soient limités uniquement au personnel essentiel. L’équipe a également revu les règles et les autorisations du système afin d’empêcher tout futur accès non autorisé, un aspect crucial du PAM.

Comment KeeperPAM aurait pu contribuer à limiter l’attaque

Les cybercriminels ont cherché à obtenir un accès élevé au réseau de l’État en ciblant spécifiquement les employés du service informatique, plus susceptibles de bénéficier de privilèges élevés. Une solution PAM n’aurait pas empêché l’utilisateur de cliquer sur un lien vers un site web usurpé, mais elle aurait pu bloquer l’installation du logiciel malveillant et limiter la portée de l’attaque en neutralisant les mouvements latéraux du pirate ainsi que son accès aux coffres-forts et aux serveurs suite à l’intrusion initiale. Voici comment la solution KeeperPAM aurait pu vous aider :

1. Confinement de l’escalade des privilèges sur les terminaux

Lorsque le malware a été installé sur un poste de travail interne, il a pris le contrôle administratif en contournant les protections des terminaux locaux. Ce type d’escalade est fréquent lorsque les utilisateurs disposent de privilèges excessifs ou peuvent installer des logiciels qui n’ont pas été approuvés.

Le gestionnaire des privilèges des terminaux de Keeper (EPM) impose par défaut un accès de moindre privilège. Les utilisateurs opèrent avec des permissions standards et les applications nécessitant des droits élevés doivent être explicitement approuvées. Les politiques peuvent bloquer les installateurs non fiables, restreindre l’utilisation abusive des scripts et de PowerShell, et appliquer des flux de travail d’approbation pour les actions privilégiées. Grâce à l’enregistrement des audits et aux alertes, les équipes de sécurité gagnent en visibilité sur chaque tentative d’élévation de privilèges. L’outil informatique frauduleux à l’origine de la violation au Nevada n’aurait tout simplement pas pu être installé sans une approbation préalable.

2. Suppression des privilèges permanents

KeeperPAM élimine le risque lié aux privilèges d’administration permanents. Grâce à l’accès juste-à-temps (JIT), KeeperPAM garantit que les identifiants administratifs ne sont disponibles qu’en cas de besoin et pour la durée nécessaire. Les utilisateurs disposent par défaut de droits standards et, lorsqu’ils ont besoin d’autorisations élevées, ces privilèges sont accordés temporairement et expirent automatiquement lorsque la tâche en question est terminée.

KeeperPAM propose également la rotation automatique des identifiants, une fonctionnalité qui modifie continuellement les mots de passe des comptes administrateur et des comptes de service. Même si un cybercriminel parvient à obtenir des identifiants, ceux-ci deviennent inutiles en quelques minutes. Dans le cas du Nevada, le code malveillant n’aurait pas pu collecter ou réutiliser les identifiants administrateur mis en cache pour se déplacer latéralement d’un serveur à l’autre.

3. Blocage du mouvement latéral

Une fois que les attaquants sont entrés, leur objectif est presque toujours le mouvement latéral, c’est-à-dire passer d’une machine à l’autre à l’aide du protocole du navigateur à distance (RDP) pour atteindre des cibles de grande valeur telles que des contrôleurs de domaine ou des serveurs de base de données. Lors de l’attaque du Nevada, KeeperPAM aurait considérablement limité ou même totalement empêché les mouvements latéraux, car les cybercriminels n’auraient pas pu exploiter le protocole du navigateur à distance (RDP) pour se déplacer d’un système à l’autre.

Keeper Connection Manager, un composant central de KeeperPAM, impose un accès zero trust aux serveurs et aux bases de données. Plutôt que d’exposer le protocole du navigateur à distance (RDP) ou les ports SSH sur le réseau, KCM gère chaque session via une passerelle sécurisée. Les identifiants de connexion sont injectés directement à partir du coffre-fort chiffré. Les utilisateurs n’ont jamais accès aux identifiants et ne les manipulent pas ; de plus, toutes les sessions sont enregistrées et peuvent être auditées. Si les attaquants du Nevada avaient tenté d’utiliser des identifiants volés pour se déplacer latéralement à l’aide du RDP ou SSH, leurs connexions auraient échoué.

4. Protection des identifiants de connexion

Près de la moitié des violations sont causées par des identifiants compromis. Une fois à l’intérieur d’un réseau, les attaquants récupèrent souvent des mots de passe, des jetons ou des identifiants administrateur locaux mis en cache pour se déplacer au sein du réseau. KeeperPAM s’appuie sur une architecture zero trust et zero knowledge, ce qui signifie que le chiffrement et le déchiffrement s’effectuent localement sur l’appareil de l’utilisateur. Au lieu de simplement stocker les identifiants, Keeper les isole, les chiffre, les modifie et les injecte de manière à rendre le vol d’identifiants pratiquement impossible.

• Les secrets sont chiffrés localement et peuvent uniquement être consultés par l’utilisateur
• Les identifiants de connexion ne sont jamais visibles, stockés ou réutilisés sur les terminaux
• Les droits d’administrateur sont temporaires et strictement contrôlés
• Les mots de passe et les clés sont modifiés automatiquement
• Des journaux d’audit complets garantissent la responsabilité et la traçabilité

Au Nevada, même si les attaquants avaient atteint un serveur de gestion des mots de passe, ils n’auraient pas été en mesure de déchiffrer ou d’exporter des identifiants en texte clair.

5. Suivi en temps réel et confinement rapide

KeeperPAM offre une visibilité et un contrôle complets sur les activités privilégiées.

• Chaque session privilégiée est enregistrée et consignée à des fins d’audit et d’analyse
• La surveillance en direct des sessions permet aux administrateurs d’observer les connexions suspectes en temps réel et d’y mettre fin
• KeeperAI peut analyser automatiquement l’activité des utilisateurs, évaluer les risques et interrompre les sessions lorsqu’une activité suspecte est détectée
• La rotation et la révocation instantanées des identifiants de connexion peuvent verrouiller les comptes compromis en une seule action
• L’intégration avec des plateformes de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse de sécurité (SOAR) permet d’envoyer des alertes automatisées et de lancer des flux de travail de réponse

Si ces contrôles avaient été en place, l’équipe de sécurité de l’État du Nevada aurait pu rapidement identifier la session non autorisée, modifier les identifiants et contenir l’intrusion avant que les données ne soient exfiltrées, voire empêcher complètement le téléchargement du malware grâce au RBI et à l’EPM.

Autorisé par FedRAMP et GovRAMP pour le secteur public

Keeper Security Government Cloud (KSGC) est la version de la solution KeeperPAM hébergée sur Amazon Web Services (AWS) GovCloud, qui répond aux exigences de sécurité et de conformité du programme FedRAMP. AWS GovCloud est conçu pour héberger des données sensibles et des flux de travail réglementés, en respectant les normes strictes de conformité du gouvernement américain.

Avec le KSGC, les agences gouvernementales disposent d’une solution PAM évolutive et zero trust qui vérifie en continu chaque tentative d’accès, quel que soit l’emplacement ou l’appareil. Le contrôle d’accès basé sur les rôles (RBAC) et la surveillance en temps réel appliquent le principe du moindre privilège et offrent une visibilité totale sur toutes les activités privilégiées.

Vous souhaitez savoir comment Keeper peut aider votre organisation à se protéger contre les rançongiciels et à répondre aux exigences zero trust ? Demandez une démonstration de KSGC dès aujourd’hui.