Actu
Le commentaire de Trellix de la Cyberattaque Kaseya 1 an après
juillet 2022 par John Fokker, responsable des cybermenaces chez Trellix
Alors que demain marquera le premier anniversaire de l’attaque par des
hackers du groupe REvil contre la société informatique américaine
Kaseya, qui a touché plus de 1 000 de ses clients, les experts de
Trellix reviennent sur les éléments marquants qui ont caractérisé
cette cyberattaque.
John Fokker, responsable des cybermenaces chez Trellix tire de cette
attaque quelques enseignements ci-aprèsdétaillés :
* Le premier réflexe à avoir est de signaler l’attaque aux
autorités : L’un des principaux éléments différenciateurs de
l’attaque contre Kaseya a été la réaction de l’entreprise, qui l’a
signalée rapidement au FBI. Toutes les organisations devraient suivre
cet exemple. En signalant rapidement l’attaque aux forces de l’ordre,
l’impact des attaques par ransomware peut être minimisé.
* Vérifier l’état de la supply chain : L’attaque de Kaseya a
montré l’ampleur que peuvent avoir les attaques de supply chain.
Heureusement, l’impact de cette attaque spécifique n’a pas été aussi
importante qu’elle aurait pu l’être. En revanche, toutes les
organisations qui externalisent leur informatique et leur sécurité
doivent procéder à une évaluation approfondie des risques et
réaliser des audits de sécurité réguliers sur leur supply chain.
* Adopter une stratégie d’authentification multifactorielle (MFA) :
il convient de recommander aux entreprises d’activer
l’authentification multifactorielle même pour leur MSP ou MSSP. Quant
à l’accès au réseau, il doit se faire de manière la plus
restrictive possible pour en assurer sa protection.
John Fokker commente : « _REvil et d’autres gangs de ransomware ont
pris pour cible les MSP (Manager Service Provider) bien avant l’attaque
contre Kaseya. Les cybercriminels sont principalement motivés par
l’appât du gain et les organisations chargées d’assurer la
sécurité de leurs clients ont beaucoup à perdre. Les MSP et les MSSP
(Managed Security Services Provider) ne peuvent pas laisser cet aspect
obscurcir leur capacité à atténuer une attaque rapidement et
stratégiquement. La mise en place d’un plan d’intervention en cas de
cyberattaque et le signalement aux forces de l’ordre devraient être des
réflexes à mettre en place dès le départ. Toute organisation qui
passe un contrat de services avec une autre entreprise doit s’assurer
que ceux à qui elle accorde des privilèges sont transparents dans
leurs pratiques._"
Britt Norwood, vice-président channel et des ventes chez Trellix
ajoute : « _Le paysage des menaces n’a jamais été aussi dynamique
qu’en ce moment. Le retour au bureau pour bon nombre d’employés,
l’augmentation des attaques contre les infrastructures critiques et les
fournisseurs de services en passant par les nouvelles méthodes
d’attaque, les six derniers mois ont marqué une intensification
significative du paysage des cybermenaces. En collaboration avec nos
partenaires, Trellix s’engage à répondre aux tactiques et techniques
adverses auxquelles les organisations de toutes tailles sont
confrontées. Notre approche de la cybersécurité basée sur une
plateforme ouverte et interopérable nous permet de mettre en œuvre les
technologies spécifiques nécessaires pour protéger nos clients. Il
s’agit d’une sécurité qui évolue et s’adapte de manière proactive,
l’automatisation faisant ce qui est nécessaire à travers des
connexions natives et ouvertes._ »
