Rester en tête de la lutte contre les rançongiciels
Plus tôt cette année, j'ai déclaré dans un article de blog que les rançongiciels représentaient une mine d'or en puissance pour les délinquants et que les organisations devaient, de toute urgence, mettre à jour leurs analyses de risques et se préparer activement à une attaque. Il ne nous a pas fallu longtemps pour voir la menace des rançongiciels se matérialiser à l'échelle mondiale. En mai, l'attaque du logiciel malveillant Wannacry a été l'un des incidents de cybersécurité les plus spectaculaires jamais enregistrés. Mais il était, aussi, totalement prévisible. Les organisations équipées de procédures et processus adaptés ont été en mesure de se défendre efficacement.
En réalité, la communauté de la cybersécurité s'attendait à cette attaque depuis la fin de l'année 2016. La NSA, l’agence de sécurité nationale des Etats-Unis, a été piratée l’an dernier par une équipe du nom de Shadow Brokers. Ces derniers ont mis sur le dark web l'un des outils d'espionnages de l'agence, l'exploit EternalBlue. L'outil, qui cible une faille de sécurité dans le protocole SMB (Server Message Block) de certains systèmes Windows de Microsoft, est à la source du ver WannaCry.
Les organisations qui appliquent les meilleures pratiques de cyber sécurité connaissaient ce risque et se sont protégées. Une alerte mondiale a été lancée par l'équipe d'intervention en cas d'urgence informatique des Etats-Unis (l’US-CERT) en janvier 2017. Microsoft a publié un correctif au mois de mars. Les entreprises versées dans la cybersécurité ont compris la menace et installé ce correctif immédiatement. Celles qui ne l'ont pas fait ont été prises de court. Il suffisait qu’une seule personne clique sur l'e-mail contenant le virus WannaCry pour le répandre dans la totalité d’une entreprise, si celle-ci n'avait pas de correctif. En conséquence, l'ensemble du système informatique courait le risque de se retrouver pris en otage et soumis au versement d’une rançon.
D'une certaine manière, les entreprises ont eu de la chance que l'attaque ne survienne qu'après la publication d'un correctif. Si elle avait eu lieu fin 2016, le bilan du nombre de victimes aurait été encore plus lourd.
Les leçons à tirer de cet incident
Il n'existe pas de solution unique pour s'assurer qu'une organisation soit protégée d'attaques telles que WannaCry. Chez Atos, nous sommes partisans d'une approche qui inclut l'ensemble des éléments suivants :
- Gestion du risque. Une stratégie de cyber-sécurité efficace dépend d'une approche de la gestion du risque permettant à une organisation de comprendre les menaces. Par exemple, personne n'avait entendu parler de la menace des rançongiciels il y a cinq ans, et WannaCry n'existait pas. Les entreprises doivent actualiser leur gestion des risques de sécurité pour s'assurer d'être préparées face aux dernières menaces. À titre de meilleure pratique, la gestion du risque devrait être mise à jour au moins deux fois par an, et dès l'identification d'une nouvelle menace.
- Sauvegarde et récupération. La sauvegarde et la récupération sont les fondements de la cybersécurité. Malheureusement, certaines sociétés ne disposent pas des ressources nécessaires pour mettre à jour ou intégrer leurs nouveaux environnements informatiques dans des politiques de sécurité existantes ou dans leurs projets de sauvegarde. Face à l’attaque d’un rançongiciel, elles se retrouvent en situation de grande vulnérabilité. Une organisation disposant d'une bonne stratégie de sauvegarde et de récupération saura que ses données sont en sécurité et qu'elle peut donc se dispenser de payer la rançon.
- Gestion des correctifs et collecte proactive d'informations. Les entreprises avaient deux mois pour installer le correctif avant l'attaque WannaCry. Même avant la publication de ce dernier, elles auraient pu mettre en place des contrôles après l'avertissement de l'US-CERT. C'est pourquoi nous pensons que les organisations ont besoin de s'informer de manière proactive. Elles peuvent ainsi comprendre les dangers qui se trament, et permettre à leurs experts de déployer des contrôles de sécurité contre ce type d'attaque.
- Formations des employés. Les personnes sont le maillon faible de la cybersécurité. Il suffit que quelqu'un se laisse prendre à un e-mail malveillant pour affecter une société entière de 100 000 personnes. Les employés doivent être formés à ne pas ouvrir d'e-mails faussés, même s'ils semblent venir de quelqu'un qu'ils connaissent.
Se préparer pour l'avenir et gagner le combat
WannaCry n'était pas la première attaque de rançongiciel et ne sera pas la dernière. Le volume des attaques augmente et la nouvelle génération de rançongiciels sera probablement sophistiquée.
En 2016, plus de 4 000 attaques de ce type ont été lancées chaque jour. Pour les délinquants, il s'agit d'une activité lucrative, car de nombreuses entreprises choisissent de payer la rançon pour récupérer leurs données. Une nouvelle tendance extrêmement préoccupante est en train d'émerger. Il s’agit du rançongiciel en tant que service : les cyber-délinquants peuvent désormais créer une attaque à la demande d'un client malveillant. Les délinquants sont inventifs. Mais nous pouvons remporter cette cyber-guerre.
WannaCry en était un bon exemple : il est possible d'avoir une longueur d'avance sur les cyber-délinquants et de se préparer à affronter la menace avant qu'elle ne se présente. À présent, les organisations doivent réétudier leurs stratégies et investir dans les mesures appropriées. Le retour sur investissement est plus élevé que jamais.