Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pourquoi les dirigeants d’entreprise doivent prendre en compte le cyber-risque dans leur stratégie de résilience ?

mai 2020 par Sylvain Cortes, Security Evangelist chez Alsid

Nous avons tous au moins une fois entendu parlé de cyberattaque. En effet, que cela soit dans les quotidiens, les magazines spécialisés ou même à la radio, les termes de « cyberattaque » et de « ransomware » reviennent de plus en plus fréquemment.

L’objectif de cet article est de clarifier ces nouvelles menaces parfois obscures pour le dirigeant ou le cadre d’entreprise et de fournir les pistes permettant de se protéger a minima.

Les attaques informatiques, un contexte particulier

Historiquement, les risques informatiques étaient mesurés par rapport à la disponibilité des systèmes. Globalement, il y a une vingtaine d’années, couvrir le risque informatique consistait à assurer la continuité de service des machines proposant les applications et les données utiles à l’organisation. Les personnels informatiques ont donc mis en place des stratégies permettant d’assurer la redondance de ces machines, de bonnes sauvegardes, des réseaux bien dimensionnés, etc.

Ensuite, des virus informatiques virulents sont apparus, la parade consistait à mettre en œuvre des anti-virus sophistiqués dans les entreprises, permettant de détecter des codes malicieux spécifiques se rependant par les clés USB, les emails ou encore les disquettes antédiluviennes.
Depuis environ cinq ans, nous constatons l’explosion exponentielle d’un nouveau risque lié à une nouvelle forme de virus : les ransomwares.

Qu’est qu’un ransomware ?

Un ransomware est une sorte de virus qui a pour mission de chiffrer (« crypter » pour les non-initiés, même si ce terme est impropre) les données présentes dans l’entreprise dans l’objectif de demander une rançon contre une clé permettant de retrouver ses données. Certaines littératures utilisent aussi le terme de crypto-virus.

En effet, les attaquants ont bien compris que la valeur d’une entreprise réside dans les données qu’elle possède et exploite. Cela semble évident pour les entreprises utilisant des secrets de fabrication, comme dans l’industrie par exemple – mais imaginez-vous pouvoir continuer votre activité si les données suivantes ne sont plus accessibles : les bons de commandes, les informations sur vos clients, les emails, les documents bureautiques, les bons de livraisons, les données de votre ERP, etc…
Evidemment, c’est impossible.

Comment fonctionne un ransomware ?

Généralement, cela commence par un email reçu avec une pièce jointe « piégée », si vous ouvrez le document (souvent un PDF ou un document Word) vous engagez la réaction en chaine vers le chiffrement de vos données. Vous ouvrez donc le document en pièce jointe, pensant à un email légitime, la première phase de l’attaque n’est pas très spectaculaire, elle a généralement pour unique objectif de désactiver votre anti-virus.
Ensuite, un deuxième code va être téléchargé depuis Internet, celui-ci aura pour objectif de « comprendre » votre réseau informatique et ses points de faiblesse (qui seront utilisés un peu plus tard pour infecter globalement l’entreprise).
A cette étape, une brique particulière de votre infrastructure informatique sera ciblée, il s’agit d’Active Directory. En effet nous constatons que plus de 80% des attaques de ransomwares passent par l’Active Directory à un moment ou à un autre de l’attaque. L’objectif sera pour le virus de constater des faiblesses de configuration de votre Active Directory ou des failles connues sur votre infrastructure – une fois la cartographie de vos faiblesses réalisée, le crypto-virus peut passer à la troisième étape : le chiffrement.
Pendant cette troisième et dernière étape de l’attaque, un troisième code sera téléchargé, il sera disséminé dans votre entreprise (globalement sur vos PCs et serveurs) afin de chiffrer l’ensemble de vos données.
Vous recevrez finalement un fichier vous expliquant que toutes vos données sont chiffrées et que vous devez payer une rançon pour les récupérer. Ne vous inquiétez pas, le fichier contient le mode opératoire vous permettant des payer le groupe mafieux qui a réalisé cette attaque.

Le cyber-risque est-il uniquement un problème pour les grandes entreprises ? Voici finalement les deux plus grands problèmes liés aux cyber-risques :
1) On pense que les attaques sont uniquement exécutées dans les grandes entreprises
2) On pense que cela n’arrive qu’aux autres
Il faut en effet comprendre que les attaques de ransomwares ne sont pas réalisées par « quelqu’un derrière un clavier » (enfin, très peu) – car tout est automatisé de A à Z.

En effet, les groupes criminels derrière ces attaques ont industrialisé l’ensemble de la chaine d’infection :
• Phishing avec envoi d’une pièce jointe infectée
• Désactivation de l’anti-virus
• Découverte d’Active Directory
• Vol des mots de passe
• Chiffrement des données
• Demande de rançon
• Système de paiement de la rançon

Comme tout est entièrement automatisée, cela sous-entend que les groupes mafieux effectuant ces attaques ne connaissent pas à l’avance leurs victimes dans 99% des cas.

De plus, depuis quelques mois, il est possible d’acheter des kits complets de création de ransomware pour environ 200$. Il suffit de se rendre sur certains sites web connus des initiés, d’acheter son kit et d’utiliser la plate-forme en ligne pour automatiser toutes les phases de l’attaque. Cela signifie qu’en plus des groupes mafieux, « n’importe qui » peut maintenant réaliser ces attaques.

Mais alors, que faut-il faire pour se protéger ?

Quelle que soit la taille de votre entreprise, nous pouvons conseiller les étapes suivantes afin d’atténuer votre cyber-risque :
• Sensibiliser vos utilisateurs en les formant à la sécurité informatique afin qu’ils repèrent plus facilement les emails frauduleux (même si ces emails deviennent de plus en plus durs à reconnaitre avec l’amélioration des attaques)
• Utiliser des systèmes de reconnaissance de phishing, tel que le logiciel Cofense par exemple
• Eviter que les utilisateurs ne soient administrateur local de leur PC ou de leur Mac (faire en sorte qu’ils aient le moins de droits d’accès possible sur leur machine)
• Déployer des solutions de vérification et de sécurisation d’Active Directory, tel que le logiciel Alsid par exemple
• Contactez votre assureur pour découvrir quelles sont ses offres pour couvrir la perte d’exploitation liée à une cyberattaque – cela ne couvrira pas toutes vos pertes mais peut permettre d’atténuer l’impact en cas de problème

Concernant les risques informatiques, rappelez vous que l’anticipation du risque coûtera toujours moins cher qu’une posture réactive liée à l’évènement et que ce type d’attaque touchera l’ensemble des organisations, quelque soit leur taille dans les mois ou années à venir.




Voir les articles précédents

    

Voir les articles suivants