Comment réduire le risque d’une cyberattaque par rançongiciel ?

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recense aujourd’hui 3 types de menaces majeures :

• La cybercriminalité, essentiellement à but lucratif via la prise en otage de vos données, d’une partie voire de la totalité de votre infrastructure
• La menace concurrentielle, représentée par des attaques informatiques afin de nuire à l’image d’une marque ou de voler des informations confidentielles à une entreprise (brevet, secret de fabrication, espionnage industriel)
• La menace militaire, perpétrée par des Etats à des fins d’espionnage, de sabotage, de déstabilisation par le biais d’un positionnement stratégique pouvant être utile à toute action ou négociation politique ultérieure

La plupart des entreprises privées ou des collectivités est concernée par la première menace citée. Lors des échanges quotidiens avec nos clients, le ransomware reste la menace la plus redoutée de tous. Comment réduire alors le risque d’une cyberattaque par rançongiciel ?

Réduire sa surface d’exposition

Il vaut mieux être bien protégé pour éviter d’être la proie des pirates malintentionnés. Multiplier les usages et les services à destination de ses utilisateurs ou de ses clients augmente la probabilité d’être vulnérable. Implémenter les services uniquement essentiels permet donc de réduire sa surface d’attaque et de se concentrer sur un périmètre restreint et maitrisé.

Les hackers sont en recherche permanente de failles sur les systèmes interconnectés à Internet. De plus, de multiples vulnérabilités sont découvertes chaque année. Le NIST (National Institute of Standards and Technology) a constitué une base de données des vulnérabilités (NVD – National Vulnerability Database) et en compte 18 000 nouvelles sur l’année 2020, soit 3 fois plus qu’en 2017 ⁽¹⁾. La numérisation à grande échelle des dernières années et l’évolution des méthodes de travail suite à la crise sanitaire expliquent en partie cette explosion, dont les groupes de cybercriminels ont pu tirer profit. Le ransomware DearCry ⁽²⁾ utilisant la faille ProxyLogon de Microsoft Exchange en est le dernier exemple.

Il devient extrêmement important pour les équipes informatiques de gérer correctement les cycles de mises à jour sur les postes de travail, les serveurs, aussi bien au niveau des systèmes d’exploitation que des logiciels et applications installés. Le cloisonnement des ressources par catégorie ou par niveau de risque s’avère extrêmement efficace face à l’exploitation de vulnérabilités au sein d’un SI. Enfin, il est important de gérer et filtrer finement les communications au travers des interconnexions avec ses partenaires.

Surveiller les comportements

Le risque 0 n’existe pas et chacun semble en être conscient. Malgré les barrières de protection mises en place, les technologies implémentées, la sensibilisation de ses utilisateurs ou le respect de process organisationnels, nul ne peut garantir qu’un système d’information reste définitivement sain. C’est pourquoi une fois la compromission effective, il est important d’être en mesure de la détecter afin de réagir avant que des dégâts ne soient causés. Cette posture se matérialise par l’identification d’indicateurs de compromission (IoC) et de comportements suspects sur son environnement numérique. Des solutions packagées sont fournies par des éditeurs spécialisés afin de détecter ces signaux faibles sur votre réseau (communication vers un serveur de Command and Control ou mouvement latéral par exemple). L’usage d’une solution de type SIEM permet également de centraliser les évènements issus des différents composants de l’infrastructure, de générer des tableaux de bord ainsi que des alertes de sécurité. Ces outils impliquent une attention particulière à la mise en place, requièrent des compétences spécifiques mais aussi du temps pour traiter les alertes : est-ce un faux-positif ou une réelle alerte ? Quelles actions entreprendre pour confiner la menace, stopper l’attaque et restaurer un système compromis afin d’endiguer l’attaque définitivement ? Les alertes nécessitent d’être correctement acquittées et documentées à la fin de leur traitement.

Pour cette gestion des incidents de sécurité, les entreprises intègrent de nouvelles compétences dans leurs équipes ou externalisent ce savoir-faire à des prestataires spécialisés, sous forme de SOC (Security Operation Center) ou MSSP (Managed Security Service Provider).

Préparer sa réponse à incident

Selon un rapport publié par l’éditeur Proofpoint (3), 91% des organisations françaises ont subi au moins une cyberattaque majeure sur l’année 2020. Le phénomène ne semble pas s’estomper pour l’année 2021 avec une augmentation constante des demandes d’assistance sur la plateforme cybermalveillance.gouv.fr (149 demandes d’entreprises ou d’associations en avril contre 54 en février ⁽⁴⁾).

La question de la réponse à incident est devenue incontournable, et peu d’entreprises ont à ce jour initié une démarche de manière à anticiper et structurer la réaction à une situation délicate le moment venu. Une compromission détectée à temps permet d’agir simplement sur le système compromis et éventuellement effectuer une restauration partielle. En revanche, la paralysie totale du système d’information nécessite une préparation importante : premiers gestes et bons réflexes, identification des systèmes infectés avec isolement, plan de communication interne et externe, restauration des éléments affectés. Afin de réduire l’impact d’une cyberattaque et garder le contrôle de la situation par définition stressante, il est nécessaire d’y être préparé. Une analyse de risques via l’une des méthodes connues (MEHARI, EBIOS…) a pour objectif d’adresser les scénarii les plus probables et les plus dramatiques pour sa structure. L’identification de ces risques n’est pas suffisante et doit s’accompagner d’une mise en place de gestion de crise. Des exercices de mise en situation se développent désormais au sein des entreprises et des collectivités afin d’améliorer la capacité du personnel mais aussi d’ajuster les procédures d’urgence. Chaque protagoniste doit connaître son rôle et doit y être entrainé afin de maximiser l’efficacité de réponse à incident.

Conclusion

On note une prise de conscience des risques face aux menaces constantes. Après la retraite de Revil, le ransomware Darkside a pris le relais très rapidement, sans compter les multiples groupes et rançongiciels toujours actifs.

Il n’y a donc pas de petit effort pour renforcer sa sécurité. Cela commence par être conscient de sa surface d’exposition afin d’identifier ses faiblesses, prioriser les corrections et les axes d’amélioration. Se prémunir des cyberattaques est devenu un combat du quotidien. Surveiller ensuite les différents points de son infrastructure pour augmenter sa visibilité et augmenter sa capacité de réaction. Enfin, préparons-nous au pire afin de procéder à une restauration et une reprise de l’activité la plus rapide possible face à ces demandes de rançons incessantes d’un écosystème qui s’est indéniablement professionnalisé.

Romain METAYER
Responsable Technique du Pôle Cybersécurité

Sources :

https://nvd.nist.gov/vuln

https://blog.cyberint.com/dearcry-ransomware-microsoft-exchange-exploited

https://www.proofpoint.com/fr/newsroom/press-releases/91-des-organisations-francaises-ont-subi-au-moins-une-cyberattaque-majeure

https://www.lemagit.fr/actualites/252500140/Ransomware-un-mois-davril-dune-rare-brutalite