Ces organisations sont constamment menacées par les ransomwares, des logiciels malveillants qui prennent le contrôle des systèmes informatiques ou des données jusqu’au paiement d’une rançon. Les ransomwares sont utilisés par les acteurs malveillants pour cibler les types de services vitaux énumérés ci-dessus en raison de la nature confidentielle des données qu’ils compromettent, les organisations étant plus susceptibles de payer pour obtenir des informations sensibles ou pour reprendre le contrôle de services publics essentiels.

De plus, la croissance explosive, l’évolution et le succès des ransomwares ou rançongiciels ont incité de plus en plus de gangs cybercriminels à opter pour le modèle « Ransomware - as - a - Service » (RaaS). Les ransomwares sont ainsi devenus beaucoup plus accessibles aux groupes désireux d’attaquer et, selon un rapport de Statista, entre le premier et le deuxième trimestre de 2022, le nombre d’attaques par ransomware a augmenté de 18 %, passant de près de 106 millions d’incidents à environ 130 millions d’incidents dans le monde. Les organisations qui ne disposent pas de moyens de défense sont pratiquement
à la merci des cybercriminels.

Le paysage actuel des menaces

Traditionnellement, les personnes douées pour développer des ransomwares ne le sont pas nécessairement pour les exécuter, et vice versa. Mais grâce au modèle RaaS, ces deux parties peuvent se concentrer sur ce qu’elles font le mieux. Par conséquent, la menace pour les infrastructures vitales s’accroît, les opérations cybercriminelles gagnent en efficacité et récoltent des rançons de plusieurs millions de dollars.

Comme on pouvait s’y attendre, ces cybercriminels ne se soucient pas des frontières morales pour mener leurs attaques. En 2021, à l’un des moments les plus critiques de la pandémie, deux hôpitaux français ont été victimes d’attaques par ransomware. Bien que
les hôpitaux aient agi rapidement après l’attaque, ils ont dû faire face à des perturbations
et déplacer des patients. En janvier 2022, un groupe de cybercriminels a déclaré avoir piraté le ministère français de la justice[NP1] , menaçant de diffuser des fichiers volés à cette administration.

Et l’histoire se répète dans le reste de l’Europe. En juillet 2021, REvil a fait la une des journaux lorsqu’une chaîne d’épicerie suédoise a souffert d’une attaque par ransomware, dont l’origine remonte à une attaque sur une chaîne d’approvisionnement par pénétration
de la société informatique Kaseya[NP2]. Avant d’être bloqué, REvil prétendait générer 100 millions de dollars de bénéfices par an. Les groupes de ransomware constituent l’une des plus grandes cybermenaces pour les infrastructures vitales en France, à un moment où elles sont le plus nécessaires.

Lutter contre les ransomwares

Dans un monde idéal, les organisations pourraient détecter et contrer les attaques le plus
tôt possible dans la chaîne de destruction. Les chiffres varient quant à la durée pendant laquelle le ransomware reste en moyenne sur un réseau, entre cinq et 45 jours, avant que
le cryptage ne commence. Une telle durée est suffisante pour le détecter et le détruire. Cependant, dans la réalité, les attaques passent sous le radar et s’infiltrent dans le réseau d’une organisation. Il est donc essentiel que les organisations puissent repérer les attaques par ransomware et les contrer le plus tôt possible, même après leur déploiement.

Si chaque cybermenace diffère de la suivante, il existe des techniques standard que les organisations peuvent utiliser pour lutter contre les ransomwares afin de se protéger, ainsi que les clients et les citoyens qui les utilisent.

1. Se préparer - Les infrastructures vitales sont très sollicitées, ce qui n’est pas sans poser problème lorsqu’il s’agit de maîtriser les processus organisationnels liés aux stratégies de lutte contre les ransomwares.

En 2020, Statista a indiqué que les escroqueries par hameçonnage sont la cause la plus fréquente d’infection par ransomware dans le monde. Ces types d’attaques ne cessent de gagner en sophistication et en réalisme (à l’instar du spear-phishing, qui implique une approche beaucoup plus ciblée et personnalisée). S’il est évident que les employés savent comment gérer ce genre de situation, une seule erreur peut avoir des répercussions sur toute l’entreprise.

Dans une situation idéale, les attaques par ransomware seront repérées et combattues avant qu’elles ne causent des dommages ou des perturbations. Une solution de gestion des informations et des événements de sécurité (SIEM) permet à une organisation de collecter des données sur l’ensemble de son environnement réseau afin d’obtenir une visibilité en temps réel des activités susceptibles de présenter un risque, de manière à pouvoir les traiter avant qu’elles n’atteignent un employé.

Pour une couche supplémentaire de protection et compte tenu de l’augmentation des structures organisationnelles de type « travail à distance », les équipes informatiques des organisations fournissant des infrastructures vitales doivent également revoir leurs politiques et proposer une formation précise et pertinente. La technologie utilisée par les groupes de ransomware est de plus en plus sophistiquée. La formation des employés et les politiques doivent donc être régulièrement mises à jour pour atteindre, voire dépasser, le niveau des logiciels utilisés par les criminels.

2. Surveiller - Les organisations peuvent élaborer des politiques et des formations de premier ordre, mais dans un environnement qui évolue si rapidement, il est facile de négliger les politiques. Les équipes informatiques doivent donc être proactives dans le maintien des défenses. Il est important de créer des sauvegardes régulières, sécurisées et cryptées, afin qu’en cas de tentative d’attaque, il n’y ait pas de perturbation pour le grand public.

Les systèmes informatiques, les endpoints et les logiciels internes doivent systématiquement être mis à jour avec le correctif le plus récent afin d’éliminer les vulnérabilités et de réduire au minimum les risques qu’un cybercriminel découvre une faille.

3. Apprendre - Le cadre MITRE ATT&CK est un centre de connaissances en constante évolution et accessible dans le monde entier, qui regroupe des conseils, des tactiques et des techniques d’attaque utilisés par les équipes informatiques et de sécurité pour identifier les risques de leur organisation. En accédant à un cadre mondial établi et en l’examinant, les organisations peuvent comprendre comment hiérarchiser et rationaliser au mieux leurs méthodes de protection.

MITRE ATT&CK aide les équipes de cybersécurité à évaluer l’efficacité des processus et mesures défensives de leur centre des opérations de sécurité (SOC) afin d’identifier les points à améliorer. Cela leur permet de développer au mieux leur protection et leurs processus en cas d’attaque, afin de pouvoir continuer à servir les citoyens en toute confiance et avec un minimum de perturbations.

Servir les citoyens

Le ransomware est un ennemi dangereux. En veillant à identifier le plus tôt possible les premières activités d’une attaque, vous contribuerez à réduire le risque de sa réussite, et ses conséquences négatives pour votre organisation. La formation et la technologie, comme les solutions SIEM, permettent de créer une protection à 360° : les employés sont en mesure d’identifier et de signaler une tentative de phishing (hameçonnage), et l’organisation au sens large est protégée contre les ransomwares plus sophistiqués afin de pouvoir servir les citoyens en toute confiance.

En outre, si vous pouvez rechercher et détecter les techniques répertoriées dans le cadre MITRE ATT&CK®, vous avez de bonnes chances, non seulement de mieux savoir reconnaître une activité normale dans votre environnement, mais aussi de savoir reconnaître un événement étrange, notamment en étant capable de détecter les mouvements latéraux, l’abus de comptes privilégiés et l’exécution de processus suspects.

Les infrastructures vitales en France doivent être bien protégées et bien préparées à la multiplication des attaques par ransomware. Lorsque les citoyens en ont le plus besoin, elles sont prêtes à intervenir, et il est essentiel que leurs cyberdéfenses puissent fournir

un service sûr, fiable et continu à leur pays.