Cybersécurité : la déferlante des rançongiciels fragilise les entreprises

Benoit GrunemwaldBenoit Grunemwald, Expert en Cybersécurité ESET Afrique Francophone.

Depuis les chaînes de production des plus grandes usines jusqu’à la facturation du petit atelier artisanal, l’informatique est non seulement présente dans toutes les entreprises, mais surtout, elle n’est plus une option pour beaucoup. Le bon côté des choses : les processus industriels et commerciaux sont plus simples, plus rapides et plus automatisés que jamais. Le moins bon ? Lorsque l’informatique s’arrête, plus rien ne fonctionne.

Ce poncif, répété à l’envi depuis de nombreuses années, est devenu une douloureuse réalité avec la survenue des attaques par rançongiciels, des logiciels chiffreurs qui prennent en otage les données de leurs victimes pour les échanger contre une rançon.

Ces outils sont généralement opérés par des groupes criminels souvent indépendants, eux-mêmes affiliés à des organisations plus expertes qui leur fournissent (contre un pourcentage de leurs revenus) les outils pour mener à bien leurs attaques. L’affilié – qui généralement ne dispose pas d’un niveau technique exceptionnel – bénéficie ainsi des logiciels, mais également de toute l’infrastructure pour assurer le paiement des rançons et même d’un support technique !

Pour les victimes, une fois toutes leurs données verrouillées, la route est longue, quelle que soit leur décision. En effet, même en payant la rançon (ce qui est généralement déconseillé, à moins de vraiment n’avoir plus aucune donnée disponible), elles devront encore consacrer beaucoup de temps et d’énergie à identifier la faille qui a permis l’attaque (sinon le pirate reviendra immédiatement). Il s’agira ensuite de les corriger, de réparer et de lever le doute sur l’ensemble de son parc informatique. Enfin, il est important de communiquer auprès de ses clients et partenaires sur son arrêt d’activité, notamment en les rassurant sur sa capacité à faire face à l’attaque… tout en les préservant eux-mêmes. Sans oublier de rattraper le retard de production, de paiement des salaires… un process qui peut prendre des semaines.

Des attaques opportunistes

Ce type d’attaques a explosé en 2019 et 2020, notamment à la faveur de la crise sanitaire mondiale : beaucoup d’entreprises ont alors ouvert plus largement, et souvent dans la précipitation, des accès distants à leur système d’information. Et les criminels ont été rapides à identifier les erreurs commises par les entreprises, pour mieux s’y engouffrer. C’est ainsi qu’ils ont, par exemple, rapidement identifié de nombreux accès VPN qui n’étaient pas à jour de leurs correctifs de sécurité, car déployés un peu trop vite, ou encore des accès RDP [Remote Desktop Protocol permettant d’accéder à distance à un ordinateur de bureau NDLR] exposés à Internet (ce qui ne devrait pas être le cas). Dans un cas comme dans l’autre, ces erreurs leur ont permis de prendre pied sur le système d’information et d’y progresser jusqu’à en prendre le contrôle total.

Et quand les attaquants n’entrent pas dans l’entreprise, ils profitent d’un autre type d’erreur : les mauvaises configurations des outils Cloud tels que Sharepoint Online de Microsoft ou des dépôts de données (« buckets ») Amazon mal configurés, qui leur permettent de s’emparer des données sans même entrer dans le réseau interne !

Un business lucratif et peu risqué

Tout cela génère beaucoup d’argent et peu de risques pour les pirates, qui ne voient donc aucune raison de s’arrêter. Seule une réponse forte et coordonnée de la part des autorités à travers le monde pourra mettre un frein à ce qui ressemble encore trop à un « far-west » numérique, avec ses attaques de diligences. Cela a bien commencé, récemment, et plusieurs opérations majeures ont permis de perturber les opérations d’un certain nombre de grands opérateurs de rançongiciels. Mais la route reste longue, et en attendant, c’est avant tout aux entreprises d’assurer leur propre protection.

Réfléchir à se protéger contre ce type d’attaques, généralement peu sophistiquées, est un bon point de départ pour mettre en place un socle de cyberdéfense solide. Car si l’on n’est pas capable de se protéger des attaques par rançongiciel, il sera difficile de prétendre se protéger à l’avenir contre des actions d’attaquants plus compétents.

La bonne nouvelle, donc, c’est que le plan de protection est bien connu. La meilleure stratégie consiste à augmenter la capacité de détection sur le système d’information afin d’identifier les attaquants dès leur entrée, et non pas plusieurs jours (voire plusieurs semaines) après, lorsqu’ils déclenchent leur chiffreur. Pour cela, la stratégie s’articule en quatre piliers essentiels : prédire (connaître les attaquants, leurs méthodes d’intrusion du moment), prévenir (sensibiliser les utilisateurs à repérer les anomalies, durcir les postes de travail et les serveurs), détecter (disposer d’une forte visibilité sur l’activité des postes de travail, des serveurs et du trafic réseau) et répondre (avoir la capacité d’isoler des postes, des parties du réseau, bloquer un trafic, tuer un processus malveillant à distance sur l’ensemble des postes…).

Évidemment, face à la crise, l’entreprise n’est pas seule et aura tout intérêt à s’appuyer sur des professionnels expérimentés et des partenaires capables de l’aider à se préparer et à répondre aux incidents. En particulier en renforçant les quatre piliers de sa stratégie par des solutions adaptées : de la threat intelligence [analyse des menaces NDLR], à l’EDR [Endpoint Detection and Response, outil permettant de détecter les menaces sur les serveurs et ordinateurs NDLR] en passant par l’analyse forensique [analyse du système après incident NDLR], le « hunting » d’attaquants ou des Serious Games de sensibilisation, les outils existent. Profitons-en !

Articles à la une