Virus WannaCry : tirer la leçon de la rançon
mai 2017 par Pascal Beurel, Directeur Technique Europe du Sud chez Gigamon
L’attaque WannaCry, révélée le vendredi 12 mai dernier, a infecté plus de 200 000 systèmes à travers plus de 150 pays dans le monde. Il s’agit de la plus grosse cyberattaque par ransomware jamais perpétrée. Vécue comme un véritable tremblement à l’échelle planétaire, elle a perturbé le fonctionnement d’entreprises de tous secteurs : du constructeur automobile Renault en France au service public de santé britannique (NHS), en passant par la société de télécommunication espagnole Telefonica ou encore le livreur américain FedEx. Si pour l’heure la propagation du virus a été arrêtée, il faut se préparer à de nouvelles attaques.
Selon Pascal Beurel, Directeur Technique Europe du Sud chez Gigamon, le plus gros risque aujourd’hui serait que les entreprises épargnées se croient à l’abri :
« La cyberattaque vécue ce week-end était inédite et d’une rare violence. Certaines usines ont dû arrêter leur production tandis que des hôpitaux ont été contraints d’annuler des actes médicaux. WannaCry est la preuve encore aujourd’hui que les organisations doivent impérativement redoubler de vigilance pour verrouiller leurs stratégies de cybersécurité. Une fois touchées, le coût financier et les dommages causés, par l’arrêt d’une chaine de production ou par un vol de données par exemple, peuvent en effet être importants, et les conséquences se révèlent parfois dramatiques.
Une chose est sûre, on ne peut pas sécuriser ce que l’on ne voit pas. Il est donc vital que les organisations aient une parfaite connaissance ainsi qu’une visibilité complète et permanente de l’activité sur leur réseau. La moindre vulnérabilité suffit à un hacker pour s’introduire de façon insidieuse au cœur des infrastructures. Il peut ensuite passer inaperçu plusieurs mois durant lesquels il collecte et exploite les données à sa portée. Les responsables de la sécurité doivent donc être capables de connaître et de voir quels sont les équipements et les applications présents sur leur réseau, à quel endroit exactement, mais également de surveiller les flux de données et le comportement des utilisateurs.
Concrètement, en ayant une connaissance et une visibilité sur tout ce qui se passe à l’intérieur de leur système, les entreprises peuvent détecter la moindre activité inhabituelle : ralentissement de la bande passante, extraction de fichiers ou encore connexion à un ordinateur en dehors des heures d’ouverture. Elles sont capables de reporter chaque incident aux outils d’analyse pertinents qui, grâce à toutes les données contextuelles – ou métadonnées – à leur disposition, détermineront ensuite s’il s’agit d’une menace réelle et aideront à prendre les mesures nécessaires.
Se croire à l’abri parce qu’on a échappé à WannaCry serait une erreur. Il y aura immanquablement d’autres attaques de ce type. A l’heure actuelle, la question n’est plus de savoir "si" mais bien "quand" nous serons la victime de hackers. Mais il ne faut pas être fataliste, ni chercher des excuses, car une offre pléthorique de moyens est disponible pour la protection efficace des infrastructures et des données. Au-delà des mesures prises au niveau individuel, et avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les entreprises n’auront de toute façon pas d’autre choix que de se conformer à un certain nombre de règles de sécurité, sous peine d’encourir des amendes ou des sanctions. Nous devrions donc assister à un renforcement de la sécurité globale au sein des structures en Europe.
WannaCry est un avertissement pour toutes les entités qui n’ont pas fait le nécessaire jusque-là pour se protéger contre les cyberattaques. Il y a là un véritable enjeu national. Les entreprises, au même titre que le gouvernement, les institutions ou encore les citoyens, doivent se montrer responsables face à la menace. La collaboration entre les organisations et les spécialistes de la sécurité est essentielle pour pallier une nouvelle attaque de cette ampleur pouvant conduire à l’arrêt des chaines de production, la paralysie des organismes de santé, ou encore une attaque portée sur des Opérateurs d’Importance Vitale (OIV). Alors que certains parlent de "deuxième vague", bien qu’il ne s’agisse aujourd’hui que de spéculations, mieux vaut être sur le pont pour ne laisser aucune chance aux pirates de prendre le pouvoir. »