ActualitésTechno

Ransomwares : la survie de nos enreprises est en jeu

Gregory Cardiet, Directeur Security Engineering, Vectra AI

Depuis plusieurs mois, nos entreprises sont les victimes de cyber-attaques d’un type nouveau. C’est désormais l’ensemble des données des organisations qui est visé, mettant en jeu leur survie. Mais ce message est-il bien passé auprès de leurs dirigeants ? Décryptage sous forme de lancement d’alerte.

En science politique, le concept de « dépendance au sentier »  sert communément à qualifier l’influence opérée par un ensemble de décisions passées sur les décideurs publics au moment d’opérer des choix stratégiques d’avenir. « Dépendance au sentier », ou path dependance : ce terme semble aujourd’hui adapté lorsqu’il s’agit de qualifier l’approche que développent la majorité des entreprises vis-à-vis de leur stratégie de cybersécurité. Nos habitudes sont telles que, faute de nous baser sur le bon constat, nous sommes en train de nous tromper de ligne de défense.

Le ransomware à cible individuelle : un référentiel daté

L’écosystème de la cybersécurité ainsi que les dynamiques qui en forment les soubassements viennent ces dernières années de subir de profonds changements. Pour le dire simplement et sans nuances, notre vision repose en majeure partie sur une idée datée des attaques que nous subissons. Notre référentiel est celui du ransomware qui viendrait attaquer un poste informatique, paralysant un acteur clé de l’organisation. L’histoire, apparue au grand jour en 2016, serait celle-ci : un mail contenant un virus est adressé à plusieurs salariés ; l’un d’entre eux clique sur le lien qui est proposé : l’hameçonnage opère ; son poste est alors infecté, paralysant son activité.

Afin de pallier ces risques, les entreprises mobilisent depuis cinq ans un ensemble d’outils : l’antivirus bien sûr, mais également un Security Operation Center (SOC), plateforme qui assurera la supervision et la sécurité du système, ainsi qu’un Endpoint Detection & Response (EDR), qui détectera la menace pesant sur les Enpoints, c’est-à-dire les ordinateurs et les serveurs.

La survie de l’entreprise comme enjeu

Si tous ces outils demeurent essentiels, ils se révèlent incapables d’assurer une protection maximale face aux attaques qui sont actuellement menées massivement à l’égard des entreprises comme des organisations publiques. Car les ransomwares qui sont déployés à l’échelle mondiale depuis un peu plus d’un an ont changé d’ADN : c’est désormais à la vie de l’organisation qu’ils s’attaquent, en subtilisant massivement la totalité de ses données. Finie l’approche ciblée émanant d’un cyberattaquant peu ou prou isolé. Nous faisons face à de véritables multinationales du hacking, des structures qui investissent dans la R&D, réalisent des recrutements, ciblent des sociétés rentables à qui elles demandent parfois des millions de dollars de rançon. Fini également le scénario traditionnel du virus : les ransomwares actuellement déployés s’incrustent dans un système sans être détectés, effectuent des phases de reconnaissance sur plusieurs jours, contournent la quasi-totalité des outils de sécurité, se propagent sur de nombreuses machines… Le déclenchement de l’attaque qui intervient à l’issue de cette phase est imparable : après avoir pris le contrôle de l’entièreté du système, les attaquants en réalisent un backup puis un cryptolockage. Ils prennent littéralement possession du système en devenant leurs administrateurs. La suppression de toutes les données de l’entreprise est la plupart du temps déclenchée de nuit, le week-end. Au réveil, les sociétés sont placées devant le choix suivant : payer une rançon, faire appel à des entreprises spécialisées dans la réponse à incidents (sans garantie de succès) ou… déposer le bilan.

Faire face : réfléchir, comprendre, agir

C’est précisément en cela que les attaques qui se développent actuellement sont d’un type nouveau. Nous les estimons actuellement à 50% de l’ensemble des cyber-agressions. Loin de ne cibler que quelques individus de l’organisation, elles frappent la société en son cœur. Toutes les entreprises sont concernées, tous les secteurs également. D’après nos informations, quatre groupes nommés County (https://en.wikipedia.org/wiki/Conti_(ransomware)), Darkside, Revil (https://en.wikipedia.org/wiki/REvil) et Maze sont particulièrement actifs. Ils ont facturé à eux quatre plus de 10 milliards de dollars d’attaques en 2020. Selon des statistiques de Sophos (Rapport Sophos 2021 sur les menaces), la hausse serait exponentielle. Elle serait passée entre 2020 et 2021 de 84 à 233 millions de dollars trimestriels.

Comment une organisation peut-elle faire face à ces nouvelles attaques ? Comment mettre en place un bouclier défensif aussi sécurisé que possible ?

Il est d’abord essentiel que chaque organisation prenne le temps de réfléchir à la notion de risque. Quels sont les acteurs qui vont me cibler ? Quelles sont les méthodes qui doivent être mises en place pour éviter des conséquences critiques à la suite d’une compromission de mon organisation ? Cette approche diffèrera d’une organisation à une autre. Les infrastructures critiques, par exemple, sont plus concernées par les attaques orchestrées par des gouvernements pouvant mener à une interruption de services et à des vols de données. Une société de service n’aura pas la même problématique, les acteurs de ransomwares étant la source la plus importante du risque.

Mettre en place une stratégie d’accès en capacité de gérer tout l’écosystème

Il faut ensuite que nos entreprises comprennent au mieux la nature de leur propre architecture réseau, ainsi que celle des infrastructures déployées. Où sont les risques ? Quels sont les « trous dans la raquette » ?

Enfin, il s’agit de déployer une stratégie en capacité de gérer cet écosystème et ces risques. Mettre en place une stratégie d’accès aux applications de l’entreprise pouvant résider dans le Cloud (SaaS/IaaS/PaaS…) ou dans le datacenter, comme Zero Trust, est une priorité.

Cette architecture implique de sécuriser les postes avec des outils tels que le MDM (Mobile Device Management) et l’EDR. Il convient également de mettre des outils de contrôle d’accès les plus restrictifs possibles. Mais surtout, il faut mettre en place des outils permettant d’assurer la détection, soit à travers des sondes, soit par récupération de logs, afin d’avoir la capacité d’analyser les mouvements qui s’opèrent au sein du système, les incidents et les failles.

C’est sans doute sur ce dernier point que les efforts doivent le plus être concentrés, car il s’agit bien là de la ligne de défense la plus friable actuellement. C’est lorsque les cyberattaquants ont pénétré le système, lorsqu’ils se ramifient sous la ligne de flottaison et s’apprêtent à déclencher leur attaque qu’il faut être en capacité d’agir. En mobilisant l’IA comme le machine learning, en corrélant des signaux faibles, en séparant un « bon » mouvement opéré par un compte utilisateur d’un « mauvais » mouvement, nous nous mettrons en position plus favorable.

Dans cette bataille nouvelle qui se joue, nous avons de soin de tous. L’actuel changement de paradigme des attaques est suffisamment prégnant pour que de nombreuses forces agissantes viennent se joindre à ce qui ressemble de plus en plus à une lutte sans merci pour la survie de nos organisations.

perlafouine

Informations d'entreprises ou de partenaires

Articles similaires

Laisser un commentaire

Bouton retour en haut de la page