Avez-vous observé une montée en puissance des cybermenaces ces derniers mois ?

Lynn Lucas, Cohesity : Les menaces sont en constante évolution, mais ce qui est particulièrement préoccupant, c’est l’augmentation de la sophistication des techniques employées par les cybercriminels. Les ransomwares en sont l’exemple le plus probant.

Fin août dernier, l’hôpital de Corbeil-Essonnes a été victime d’une attaque par ransomware. L’attaque de trop, qui a décidé le Ministère de la Santé à mobiliser deux millions d’euros. Il est désormais nécessaire de reconstruire complètement l’ensemble de l’architecture informatique, mais cela pourrait finalement représenter un investissement de plus de 5 millions d’euros rien que sur l’année à venir…

Les chiffres sont souvent impressionnants. Selon Cybersecurity Ventures, d’ici 2031, les attaques par ransomware devraient toucher une entreprise, un client ou un appareil toutes les deux secondes, ce qui coûterait aux victimes environ 265 milliards de dollars par an.

Comment les technologies doivent-elles évoluer pour contrer ces menaces ?

Lynn Lucas, Cohesity : Les technologies permettant de prévenir ces attaques et de restaurer les systèmes dans un délai très court existent. Mais même lorsque les employés sont formés à identifier ces risques, des incidents peuvent malgré tout se produire.

Dans ce contexte, les compagnies d’assurance ont mis en place des offres pour soutenir les entreprises qui ne seraient pas en mesure de se rétablir d’une attaque. En parallèle, d’autres entreprises se sont inspirées de ce modèle économique pour développer leur propre assurance.

Mais évidemment, compte tenu des sommes en jeu, ces assurances intègrent des exclusions de garantie pouvant être pénalisantes. C’est assez incroyable de voir ce que certaines entreprises sont prêtes à promettre pour vendre une solution… Et si une victime est amenée à faire valoir ces garanties, elle doit être prête à lire les petits caractères en fin de contrat !

Car dans la plupart des cas, ces assurances ne prévoient pas :
• La couverture de tout logiciel malveillant introduit par un tiers dans les systèmes internes via une brèche de sécurité. Par exemple, elles n’incluent pas l’introduction d’un logiciel malveillant par un cyber-attaquant d’origine étrangère ayant enfreint la sécurité de l’entreprise.
• La couverture de tout logiciel malveillant introduit dans les systèmes internes par un employé via une brèche de sécurité. Par exemple, par le biais de certains types de phishing - alors que 90% des cyberattaques débutent par du phishing !

Et si ces exclusions ne font pas fuir les entreprises, voici une sélection parmi les dizaines de conditions supplémentaires qu’elles devront remplir pour faire valoir ces garanties :
• Faire un check-up mensuel et appliquer toutes les instructions qui en découlent, aussi lourdes et coûteuses soient-elles.
• Être en permanence à jour des dernières versions et corrections.
• Être tenue de suivre à la fois (a) les règles sur le "renforcement de la sécurité", qui changent fréquemment, et (b) les meilleures pratiques de l’industrie "alors en vigueur" concernant la protection des informations d’identification, un domaine régulièrement ciblé par les auteurs d’attaques par phishing (comment ces “best practices" sont définies est ouvert à interprétation et souvent laissé à l’appréciation de l’assureur). En cas de non-conformité à 100 %, aucun dédommagement n’est bien sûr possible.
• Réaliser un audit payant et non remboursable de la gestion de l’expérience client.
• Accepter de faire l’objet d’une étude de cas publique sur la compromission en question.
• Demander la permission à l’assureur avant de pouvoir engager des frais de recouvrement.

Même si l’entreprise parvient à prouver qu’elle a respecté l’intégralité des conditions, elle ne sera éligible qu’au remboursement des dépenses de récupération, restauration et de création des données corrompues préalablement approuvées et après qu’elles aient été engagées.

À noter que tout paiement de rançon effectif ne pourra faire l’objet d’un remboursement.

Comme l’a mentionné Guillaume Poupard, Directeur Général de l’ANSSI au début du mois d’octobre : “lorsque vous hésitez à payer ou non la rançon, il est déjà trop tard. Il n’y pas de bonne solution. La seule chose à faire est de vous protéger pour ne pas que cela arrive”.

Quels sont les points forts des solutions que vous proposez ?

Lynn Lucas, Cohesity : Plutôt que des garanties en écran de fumée, Cohesity a développé FortKnox, une solution technologique qui améliore la cyber-résilience grâce à une “golden copy” immuable des données, stockée dans une cyber-voûte. Les entreprises peuvent ainsi se parer face aux attaques et s’en rétablir rapidement en bénéficiant d’une récupération granulaire à la source, ou sur un autre emplacement de stockage, y compris de cloud public. Grâce à ses fonctionnalités "virtual air gap”, de sécurité multicouche, et à la détection des anomalies par ML, FortKnox protège les entreprises non seulement contre les ransomwares mais aussi contre les menaces internes.

Il ne serait pas difficile d’aligner nos garanties sur celles de nos concurrents, mais elles ne protègeront pas plus les entreprises que les leurs ! Nous préférons offrir à nos clients la garantie d’une plateforme de gestion et de sécurité des données de niveau international, avec l’avantage d’un Comité Consultatif de Sécurité piloté par les experts les plus reconnus, comme Kevin Mandia, un leader mondial de la lutte contre la cybercriminalité.

Quel message souhaitez-vous faire passer aux RSSI ?

Lynn Lucas, Cohesity : En France, malgré les voix qui s’élèvent contre ces pratiques, la législation évolue en faveur des compagnies d’assurance pour le remboursement des attaques par ransomware. Ces pratiques sont à distinguer des garanties gadgets qui peuvent exposer les entreprises à des risques conséquents plutôt que de les protéger. Prévenir les attaques, anticiper la sécurisation des données, sélectionner des technologies viables et effectuer des tests réguliers en plus de fournir une formation adéquate à l’ensemble des employés de l’entreprise constituent les meilleures protections possibles contre les ransomwares. Ne vous laissez pas avoir par des offres trompeuses !