L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recense aujourd’hui 3 types de menaces majeures :
La plupart des entreprises privées ou des collectivités est concernée par la première menace citée. Lors des échanges quotidiens avec nos clients, le ransomware reste la menace la plus redoutée de tous. Comment réduire alors le risque d’une cyberattaque par rançongiciel ?
Il vaut mieux être bien protégé pour éviter d’être la proie des pirates malintentionnés. Multiplier les usages et les services à destination de ses utilisateurs ou de ses clients augmente la probabilité d’être vulnérable. Implémenter les services uniquement essentiels permet donc de réduire sa surface d’attaque et de se concentrer sur un périmètre restreint et maitrisé.
Les hackers sont en recherche permanente de failles sur les systèmes interconnectés à Internet. De plus, de multiples vulnérabilités sont découvertes chaque année. Le NIST (National Institute of Standards and Technology) a constitué une base de données des vulnérabilités (NVD – National Vulnerability Database) et en compte 18 000 nouvelles sur l’année 2020, soit 3 fois plus qu’en 2017 (1). La numérisation à grande échelle des dernières années et l’évolution des méthodes de travail suite à la crise sanitaire expliquent en partie cette explosion, dont les groupes de cybercriminels ont pu tirer profit. Le ransomware DearCry (2) utilisant la faille ProxyLogon de Microsoft Exchange en est le dernier exemple.
Il devient extrêmement important pour les équipes informatiques de gérer correctement les cycles de mises à jour sur les postes de travail, les serveurs, aussi bien au niveau des systèmes d’exploitation que des logiciels et applications installés. Le cloisonnement des ressources par catégorie ou par niveau de risque s’avère extrêmement efficace face à l’exploitation de vulnérabilités au sein d’un SI. Enfin, il est important de gérer et filtrer finement les communications au travers des interconnexions avec ses partenaires.
Le risque 0 n’existe pas et chacun semble en être conscient. Malgré les barrières de protection mises en place, les technologies implémentées, la sensibilisation de ses utilisateurs ou le respect de process organisationnels, nul ne peut garantir qu’un système d’information reste définitivement sain. C’est pourquoi une fois la compromission effective, il est important d’être en mesure de la détecter afin de réagir avant que des dégâts ne soient causés. Cette posture se matérialise par l’identification d’indicateurs de compromission (IoC) et de comportements suspects sur son environnement numérique. Des solutions packagées sont fournies par des éditeurs spécialisés afin de détecter ces signaux faibles sur votre réseau (communication vers un serveur de Command and Control ou mouvement latéral par exemple). L’usage d’une solution de type SIEM permet également de centraliser les évènements issus des différents composants de l’infrastructure, de générer des tableaux de bord ainsi que des alertes de sécurité. Ces outils impliquent une attention particulière à la mise en place, requièrent des compétences spécifiques mais aussi du temps pour traiter les alertes : est-ce un faux-positif ou une réelle alerte ? Quelles actions entreprendre pour confiner la menace, stopper l’attaque et restaurer un système compromis afin d’endiguer l’attaque définitivement ? Les alertes nécessitent d’être correctement acquittées et documentées à la fin de leur traitement.
Pour cette gestion des incidents de sécurité, les entreprises intègrent de nouvelles compétences dans leurs équipes ou externalisent ce savoir-faire à des prestataires spécialisés, sous forme de SOC (Security Operation Center) ou MSSP (Managed Security Service Provider).
Selon un rapport publié par l’éditeur Proofpoint (3), 91% des organisations françaises ont subi au moins une cyberattaque majeure sur l’année 2020. Le phénomène ne semble pas s’estomper pour l’année 2021 avec une augmentation constante des demandes d’assistance sur la plateforme cybermalveillance.gouv.fr (149 demandes d’entreprises ou d’associations en avril contre 54 en février (4)).
La question de la réponse à incident est devenue incontournable, et peu d’entreprises ont à ce jour initié une démarche de manière à anticiper et structurer la réaction à une situation délicate le moment venu. Une compromission détectée à temps permet d’agir simplement sur le système compromis et éventuellement effectuer une restauration partielle. En revanche, la paralysie totale du système d’information nécessite une préparation importante : premiers gestes et bons réflexes, identification des systèmes infectés avec isolement, plan de communication interne et externe, restauration des éléments affectés. Afin de réduire l’impact d’une cyberattaque et garder le contrôle de la situation par définition stressante, il est nécessaire d’y être préparé. Une analyse de risques via l’une des méthodes connues (MEHARI, EBIOS…) a pour objectif d’adresser les scénarii les plus probables et les plus dramatiques pour sa structure. L’identification de ces risques n’est pas suffisante et doit s’accompagner d’une mise en place de gestion de crise. Des exercices de mise en situation se développent désormais au sein des entreprises et des collectivités afin d’améliorer la capacité du personnel mais aussi d’ajuster les procédures d’urgence. Chaque protagoniste doit connaître son rôle et doit y être entrainé afin de maximiser l’efficacité de réponse à incident.
On note une prise de conscience des risques face aux menaces constantes. Après la retraite de Revil, le ransomware Darkside a pris le relais très rapidement, sans compter les multiples groupes et rançongiciels toujours actifs.
Il n’y a donc pas de petit effort pour renforcer sa sécurité. Cela commence par être conscient de sa surface d’exposition afin d’identifier ses faiblesses, prioriser les corrections et les axes d’amélioration. Se prémunir des cyberattaques est devenu un combat du quotidien. Surveiller ensuite les différents points de son infrastructure pour augmenter sa visibilité et augmenter sa capacité de réaction. Enfin, préparons-nous au pire afin de procéder à une restauration et une reprise de l’activité la plus rapide possible face à ces demandes de rançons incessantes d’un écosystème qui s’est indéniablement professionnalisé.
Romain METAYER
Responsable Technique du Pôle Cybersécurité
Sources :
https://blog.cyberint.com/dearcry-ransomware-microsoft-exchange-exploited
https://www.lemagit.fr/actualites/252500140/Ransomware-un-mois-davril-dune-rare-brutalite
Novenci Angoulême
86 avenue Maryse Bastié, ZI N°3 16340 L’ISLE D’ESPAGNACNovenci Bordeaux
Le Médoc, 61 route Jean Briaud 33700 MERIGNACNovenci La Rochelle
Rond-Point de la République Z.I. des 4 Chevaliers Rue Paul Vatine - bâtiment N°11 17180 PERIGNYNovenci Toulouse
PA de la Plaine 2 impasse Henri Pitot 31500 TOULOUSEAndorsoft
Av. Fiter i Rossell, 4 (Ed. Centre de Negoci) AD700 ESCALDESMarseille
565 Av. du Prado 13008 MARSEILLEContact : 05 16 50 80 20
Support : 05 86 07 77 77