Laëtitia Berché

Dans un contexte où les modes opératoires des cybercriminels sont largement automatisés afin de rendre les attaques largement profitables, que les attaquants s’appuient sur une gamme d’outils de test offensifs industrialisés pour analyser les surfaces d’attaque de leurs cibles et se propager à l’intérieur de leur réseau, les organisations doivent elles aussi automatiser leur sécurité informatique, dans le but d’accélérer la détection et le traitement des incidents, et automatiser une gestion simplifiée de ses différents outils de sécurité.

« Alors que le paysage des menaces poursuit son expansion et gagne en complexité, et que la pénurie de talents dans le domaine de la cybersécurité continue de s’aggraver, les entreprises vont être amenées à s’appuyer de plus en plus sur des processus de sécurité automatisés. Elles pourront ainsi libérer des ressources en automatisant certaines fonctions de sécurité, notamment celles liées aux tâches routinières et répétitives », précise Laurent Tombois, Country manager France chez Bitdefender.

La dernière étude de ThreatQuotient, dont la publication intégrale est prévue pour la fin de l’année 2022, montre une progression de l’adoption de l’automatisation des opérations de sécurité, comme en témoigne l’augmentation des budgets y afférents dans 98 % des entreprises. Les statistiques indiquent également que les entreprises font de plus en plus confiance à l’automatisation. Elles sont plus de 88 % à être raisonnablement confiantes, contre seulement 59 % l’année précédente. En revanche, 98 % d’entre elles ont rencontré des problèmes lors de l’implémentation.

La recrudescence d’attaques de plus en plus sophistiquées, parfois automatisées, a remis en cause la pertinence du modèle du SOC traditionnel. Mais face à l’évolution de la menace, le SOC se transforme lui aussi. La “nouvelle génération”, automatisée, intégrant plus systématiquement le renseignement sur la menace, plus proactive donc, permet de mieux prévenir et anticiper les attaques et d’y répondre plus rapidement et plus efficacement. Les SOC “next gen” sont ainsi censés réduire les coûts opérationnels, humains et financiers liés au traitement des incidents. 

« Le temps et l’argent consacrés à l’automatisation sont considérés comme des mesures clés de la réussite. Celle-ci peut se mesurer en déterminant dans quel délai il est possible de neutraliser une attaque à compter de sa détection et en s’assurant qu’elle ne se propage pas » explique Cyrille Badeau, Vice-Président of International Sales chez ThreatQuotient.

D’autres considèrent comme une réussite le simple fait que le système de l’entreprise fonctionne toujours le lendemain d’une attaque. Le but n’est pas de neutraliser tous les dangers, mais de s’assurer que la menace pour l’entreprise est grandement réduite. L’absence de faux positifs peut en être un indicateur. Elle est également perçue comme une mesure de la réussite dans certaines entreprises.

Des tâches qui étaient autrefois assurées par des professionnels hautement qualifiés, telles que la recherche de vulnérabilités, l’analyse de journaux de logs et la mise en conformité peuvent être standardisées et exécutées de manière automatique, avec pour effet de réduire les temps de détection et de réponse aux incidents.

Laurent Tombois, Bitdefender : « Les attaques sont souvent complexes, multidimensionnelles et lancées en plusieurs étapes, rendant difficile pour les équipes de sécurité de les identifier et de les stopper »

Cyrille Badeau, ThreatQuotient : « Le temps entre lever une alerte et le temps d’informer le client doit être d’une heure » 

David Bernard, Atos : « L’avenir du SOC, basé sur des solutions MDR – Managed Detection and Response – passe par une practice de renseignement automatisée »

La forte sinistralité enregistrée sur les risques cyber affecte la rentabilité des assureurs. À ce point tel que certains grands acteurs ont déjà abandonné leurs premières offres de garanties. Le volume des primes a bondi de 49 % et le ratio des sinistres sur primes a atteint 167 % en 2020, contre 84 % l’année précédente. Conséquence : les primes d’assurance pour couvrir les risques cyber explosent à la hausse, parallèlement aux niveaux de couverture qui, eux, sont revus à la baisse. 

Pour les entreprises déjà assurées, c’est-à-dire majoritairement les grandes entreprises (87% des grandes entreprises seraient couvertes, estime l’AMRAE), le coût d’une assurance cyber s’est envolé, en offrant, moins de garanties pour une franchise plus élevée. Onze grandes entreprises françaises ont ainsi stoppé leur assurance cyber en 2021. L’État cherche donc à mieux encadrer ce marché pour à la fois aider les assureurs à mieux cerner les risques et à partager le risque, et convaincre les plus petites entreprises d’y souscrire.

Le 22 août 2022, les médias s’emparent de ce qui semble être la plus grande demande de rançon à ce jour : l’hôpital de Corbeil-Essonnes est paralysé et le groupe LockBit lui demande de payer une rançon de 10 millions de dollars s’il veut récupérer les données de ses patients, sous peine de les voir publier sur le darkweb. Le GIGN est appelé pour négocier, faisant tomber les exigences à 1 million de dollars. Bien loin du montant médian d’une rançon de 6400 € selon les données de la police et de la gendarmerie en 2021 (mais qui inclue les “petites” rançons de quelques milliers d’euros demandées à de très petites entreprises). Mais entre-temps, la menace a commencé à être mise à exécution et des données administratives, dont le numéro de sécurité sociale des patients se sont retrouvées sur le darkweb.

« En dehors de la rançon, les données personnelles sont un business lucratif et la quantité d’informations privées que détiennent les hôpitaux – adresse, pathologie, pièce d’identité, carte vitale – peut se revendre à bon prix », indique Damien Frey, Varonis. 

Le projet de loi du ministère de l’Intérieur présenté le 7 septembre dernier acte le principe d’indemniser les rançons demandées par les cybercriminels aux organisations frappées par un ransomware. Seule condition : l’entreprise doit porter plainte. Les objectifs de ce projet de loi : éviter que les entreprises souscrivent des contrats auprès d’acteurs non régulés en France, éviter que les entreprises françaises ne soient attaquées dans leurs implantations à l’étranger et créer un observatoire de la menace cyber ont, en effet, de quoi surprendre.

« En l’état et sans un encadrement strict, c’est la porte ouverte au cybercrime. Ce texte va à l’encontre des chiffres : toutes les 11 secondes, un rançongiciel frappe une organisation, y compris des hôpitaux, des collectivités et des PME et la cybercriminalité va doubler d’ici 2025 » souligne Adrien Merveille, Check Point. 

Sans compter que l’écart entre les grandes entreprises, structurées pour leur permettre de déposer plainte et les plus petites, en manque de moyens ne pourra que se creuser, en l’état du projet de loi. Si le dépôt de plainte permet d’agréger des données et enrichir les dossiers des enquêteurs, jusqu’à parvenir à des arrestations, les forces de l’ordre et les autorités compétentes sont-elles prêtes pour faire face à une déferlante de dépôts de plaintes ? Autant de questions auxquelles le groupe de travail sur l’assurance du risque cyber qui sera mis en place fin septembre devra répondre pour tenter de convaincre les acteurs de la cybersécurité encore surpris par l’annonce de ce projet de loi.

« Déployer des solutions anti-ransomware efficaces est plus facile à dire qu’à faire, et les pirates le savent bien. Après avoir subi une première attaque par ransomware, les organisations ont besoin de temps pour évaluer leur niveau de sécurité, déterminer quels sont les bons outils à déployer, puis trouver le budget pour payer » explique Joël Mollo, Cybereason.

Sans compter que ce projet de loi vient en quelque sorte anéantir les nombreux efforts de sensibilisation et les recommandations des professionnels de la filière, qui s’accordent à dire que payer la rançon revient à financer l’industrie du cybercrime. 

A contrario, s’assurer d’une sauvegarde régulière permet, même en cas d’attaque, de recouvrer ses données sans céder au double chantage (payer une rançon pour récupérer ses données et se voir menacer que celles-ci soient publier sur le darknet) – sensibiliser ses collaborateurs aux risques cyber et notamment sur une porte d’entrée bien connue des cybercriminels : la messagerie, via les e-mails de phishing – rappeler régulièrement l’importance de choisir des mots de passe forts – mettre à jour les logiciels pour limiter les vulnérabilités… permet d’éliminer une large majorité des attaques.

Les spécialistes appellent également à investir massivement dans la prévention et la détection des attaques. « 100 % des entreprises et des collectivités vont se faire attaquer. La question n’est pas de savoir si cela va arriver, mais quand. Les cas du CHU de Corbeil-Essonnes et de la Ville de Caen montrent bien qu’on est dans une phase ascendante du nombre d’attaques et cela ne va faire que s’intensifier », met en garde Joël Mollo, Cybereason.

Joël Mollo, Cybereason : « Dans plus de 60 % des cas, lorsqu’une entreprise se fait attaquer, elle subit une deuxième attaque voire trois ou quatre après avoir payé la rançon »

Damien Frey, Varonis : « Généralement, les malfaiteurs commencent par du chantage en publiant quelques extraits sur un site ou un forum, avant de discuter avec d’autres groupes pour voir les plus offrants »

Adrien Merveille, Check Point : « Le montant réclamé par les attaquants est parfois bien moins élevé que les pertes financières liées à l’arrêt de l’activité »

Un email de phishing avec une pièce-jointe vérolée envoyé à des centaines d’employés, un ordinateur mal sécurisé ou des failles de sécurité applicative non corrigées sur un VPN… le ransomware n’a que l’embarras du choix pour arriver à ses fins et faire chanter ses victimes. « Le principal accès pour une cyberattaque, c’est la messagerie » indique Adrien Gendre, Chief Tech & Product Officer chez Vade. 

Fin août, le CH Sud Francilien de Corbeil-Essonnes en fait les frais. Et il est loin d’être le seul : « 80 piratages d’hôpitaux officiellement revendiqués par des pirates pour le premier semestre de l’année » révèle Félix Aimé, chercheur en cybersécurité chez Sekoia.io.

L’appât du gain. A n’en pas douter, c’est la motivation des groupes de cybercriminels bien rodés, qui agissent comme de véritables entreprises. Avec l’industrie du ransomware as a service, les logiciels de rançon sont commercialisés clé en main sur le darkweb, avec même un support technique par chat pour les victimes ! Pendant que certains développent les attaques, d’autres les vendent et d’autres encore les exécutent. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Cependant, la riposte s’organise. « Des outils de détection permettent de stopper et de contrer les attaques au plus tôt, tandis que des plans de continuité renforcent la résilience des organisations », précise Laurent Tombois, Country manager France Bitdefender.

Perçues comme l’évolution naturelle des technologies EDR, les technologies XDR doivent permettre de faire face à des attaques toujours plus ciblées, parfois simultanées, et utilisant des TTPs (techniques, outils et procédures) de plus en plus sophistiqués. Les promesses des technologies XDR sont nombreuses : surface de protection étendue, vision complète et en temps réel du paysage des menaces, capacités de détection augmentées, réponse à incident plus cohérente, investigations et remédiation plus efficace, optimisation des ressources et réduction des coûts opérationnels… si bien que tous les spécialistes de la détection et de la réponse à incident sont loin d’être tous d’accord sur sa définition. Alors, comment le RSSI peut-il s’y retrouver ? Selon David Bizeul, Chief Scientific Officer chez Sekoia.io : « Les clients ne se soucient pas d’un produit de cybersécurité, ils se soucient de ne pas avoir à s’en soucier ».

Ainsi, le XDR doit réunir trois fonctions indissociables : « Une détection efficace – capable de repérer dans les événements du système d’information ceux qui sont les plus intéressants et qui présentent une caractérisation de menace. L’investigation simplifiée – i.e. permettant de resserrer progressivement les mailles du filet jusqu’à cibler la cause initiale de la menace. Et la réponse rapide et complète – i.e. disposer de plans de réponses automatisables et pouvant s’appliquer à tous les composants du système d’information ».

Les menaces modernes étant plus insaisissables que jamais, de nouvelles technologies telles que l’XDR collectent et mettent en corrélation des données depuis plusieurs couches de sécurité : les emails, les endpoints, les serveurs, les charges de travail dans le cloud et le réseau. Laurent Tombois, Country manager France Bitdefender : « Avant de procéder à la protection et à l’application de correctifs, il est également extrêmement important pour les organisations de disposer d’un inventaire exhaustif des actifs et de leur état – vous ne pouvez pas protéger ce que vous ne savez pas que vous possédez ».

Adrien Gendre, Vade : « Une entreprise aura beau mettre en place le système de sécurité anti-ransomware le plus sophistiqué qui soit, il ne la protégera pas si les collaborateurs ne savent pas comment éviter les risques » 

David Bizeul, Sekoia.io : « Les solutions actuelles de détection et de réponse centrées exclusivement sur le poste de travail ne sont pas suffisantes en termes de couverture et de performance, tout simplement parce qu’il existe, dans la plupart des infrastructures modernes, des objets d’intérêt cyber que les EDR ne peuvent tout bonnement pas voir ».

Laurent Tombois, Bitdefender : « L’XDR offre aux équipes de sécurité une visibilité totale sur leur organisation et les aide à minimiser les temps de réponse aux cyberattaques ».

En 2021, l’ANSSI relevait en moyenne un incident par semaine dans un établissement de santé. L’attaque récente subie par l’hôpital de Corbeil-Essonnes et celle qui a frappé les institutions gouvernementales du Monténégro ne laissent aucun doute : les cybercriminels n’ont pas de scrupules. Et ils frappent là où « c’est facile ». Avec des infrastructures informatiques vieillissantes, les hôpitaux (entre autres) sont des cibles de choix. 

« C’est un travail de longue haleine qui prend parfois des mois, voire des années. Ils attendent un maximum de temps pour avoir un maximum d’emprise sur l’entreprise qu’ils attaquent. Ensuite, ils arrivent à bloquer le réseau en entier, dans son intégralité » explique Adrien Merveille, expert en cybersécurité chez Check Point.

Face à une numérisation qui progresse et à la croissance du nombre de secteurs touchés par la numérisation, l’Union européenne a décidé d’élargir le périmètre de la première directive NIS de 2016 en ajoutant à la liste des OSE de nouveaux secteurs comme l’agroalimentaire, le traitement des déchets, l’industrie pharmaceutique ou les services numériques grand public. Aves NIS 2, qui vraisemblablement verra le jour en 2024, l’UE vise le renforcement des obligations en matière de cybersécurité des entreprises et des collectivités essentielles : gestion des risques cyber, sécurisation de la chaîne d’approvisionnement, programmes de sensibilisation, notification obligatoire des incidents et encourager la divulgation des vulnérabilités… tout (ou presque ?) des priorités du volet cyber y est, pour permettre aux entreprises et aux collectivités européennes de faire face à la menace cyber.  

« Avec la directive NIS 2, le durcissement des obligations de cybersécurité décidées par l’UE vise non seulement à consolider la transformation numérique des entreprises mais aussi à faire prendre conscience de l’ampleur des attaques et de l’urgence de la situation » précise Adrien Merveille, expert cybersécurité chez Check Point.

Au-delà de vouloir faire peur, NIS 2 devrait pouvoir faire prendre conscience aux dirigeants de la nécessité d’augmenter les budgets alloués à la cybersécurité.

Et le texte prévoit un vrai régime d’obligations, y compris pour les États avec par exemple une stratégie nationale tous les 5 ans – et de sanctions (pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial). A l’UE maintenant de veiller à une transposition homogène entre les États membres si elle veut parvenir à une solidarité et coopération européenne.

« Les agences de sécurité nationales auront les moyens de réaliser des audits sur les entreprises concernées et les sanctions pourront aller jusqu’à l’interdiction d’exercer pour les dirigeants » indique Jean-Baptiste Guglielmine, expert en cybersécurité chez Cybereason.

Ne pas rester les bras croisés. Alors que les menaces informatiques se multiplient, les organisations (entreprises, institutions, associations…) doivent se tenir prêtes pour faire face aux crises d’origine cyber. Une seule solution : anticiper et s’entraîner pour ne plus subir. « Mais aussi être capable de maintenir ses activités face à une cyberattaque et réduire les impacts en cas de crise » précise Félix Aimé, expert en cybersécurité chez Sekoia.io. L’amélioration de la résilience numérique par l’entraînement à la gestion de crise est une nécessité pour toutes les organisations ». 

Au coeur de la crise, improviser n’est pas une solution. Lors d’une attaque réussie, pas le temps de paniquer ou de réfléchir trop longtemps. La moindre seconde peut faire la différence, et pour l’entreprise, cela se chiffre en centaines de milliers ou en millions d’euros de dommages. Il faut absolument disposer d’un plan de réponse aux incidents clairement défini, de procédures, de responsabilités et de contacts précis… et l’avoir testé lors d’exercices réguliers !

Enfin, la communication ne doit pas être le parent pauvre de la gestion de crise cyber, au risque que l’absence de communication, ou pire, une mauvaise communication, nuise à la confiance dans l’organisation et à sa réputation.

Félix Aimé, Sekoia.io : « Il y a ceux qui vont commettre l’attaque, il y a des développeurs qui vont créer des programmes malveillants, et un service qu’on pourrait appeler ‘service après-vente’ qui va marchander avec la victime » 

Guillaume Valadon, Quarkslab : « Le risque cyber fait partie de la gouvernance stratégique des entreprises ce qui revient pour les équipes IT, produits et métiers à plébisciter une approche offensive pour colmater les brèches, mais surtout à imaginer et donc à anticiper les nouvelles formes d’attaque”

Adrien Merveille, Check Point : « De nombreuses attaques sont automatisées, de sorte qu’elles ne sont pas nécessairement dirigées contre une entreprise en particulier. D’ailleurs, près de la moitié des cyberattaques visent les petites entreprises »

“Nous luttons contre des campagnes d’espionnage de long terme particulièrement évoluées, difficiles à détecter” (Guillaume Poupard)

Selon le directeur général de l’ANSSI, l’espionnage étatique est aujourd’hui la principale menace, et représente 80% du travail de l’agence. 

Les acteurs malveillants, qu’ils s’agissent de cybercriminels attirés par l’appât du gain ou d’attaquants plus sophistiqués, menant des campagnes d’espionnage ou de déstabilisation, ne faiblissent pas et mobilisent quotidiennement les équipes de l’ANSSI. Toutes les 11 secondes, un rançongiciel frappe une organisation.

“Au niveau national, on peut être satisfait de ce qu’on a construit avec les OIV” (Opérateurs d’Infrastructures Vitales), souligne Guillaume Poupard. Le niveau de sécurité de ces infrastructures ayant progressé, la menace affecte désormais l’ensemble des acteurs : PME, ETI, grands groupes, institutions, organisations publiques ou privées.

“Construire une sécurité de bout en bout, jusqu’à l’utilisateur final” (Guillaume Tissier)

Pour assurer la sécurité du dernier, ou plutôt du premier kilomètre évoqué par Guillaume Tissier, co-organisateur du FIC et associé AVISA Partners, lors de l’ouverture du Forum, Guillaume Poupard souhaite ce que l’on n’a « jamais réussi […] à faire véritablement » : une vraie campagne nationale de sensibilisation. « Mon rêve, c’est d’avoir 5 minutes du temps de cerveau de chaque Français à peu près au même moment”. 

Cette prise de conscience doit être accompagnée d’une augmentation massive des formations spécialisées et de ressources humaines qualifiées avec 15 000 postes manquants en France dans le domaine. La labellisation du Campus Cyber Hauts-de-France s’inscrit dans cette montée en puissance. Ce premier campus régional labellisé par le Campus Cyber national accueillera notamment le nouveau Centre National de Formation Cyber du Ministère de l’Intérieur (CNF-Cyber).   

Cet effort d’attractivité des métiers et compétences liées à la cybersécurité s’est incarné pendant 2 jours au travers de l’EC2 (European Cyber Cup), compétition de hacking éthique, qui a vu s’affronter 180 joueurs, tant étudiants que professionnels, au cours de 8 épreuves. 

Le FIC 2022, qui symboliquement vient clore la Présidence française du Conseil de l’Union Européenne (PFUE) a permis de souligner de belles avancées au niveau communautaire, notamment l’accord provisoire sur la révision de la directive NIS “un texte très ambitieux qui va permettre de sécuriser dix fois plus d’acteurs en France, dont les hôpitaux, collectivités, ETI…” selon Guillaume Poupard, directeur général de l’ANSSI.

Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, présente pour l’ouverture officielle de l’événement, a souligné l’avancée des dernières régulations, dont le Digital Market Act et “l’importance pour les entreprises d’être conformes à celui-ci d’ici début 2023”. Elle a également annoncé la construction d’une plateforme commune d’entraide entre pays-membres qui devrait voir le jour en 2023. “C’est la priorité dans les mois à venir : on a besoin de pouvoir aider un Etat membre attaqué. Pour cela, il faut impérativement s’appuyer sur le secteur privé”, confirme Guillaume Poupard, directeur général de l’ANSSI.

Alors que la crise Covid et le conflit ukrainien ont montré nos multiples dépendances, il est nécessaire de construire un environnement numérique qui corresponde à nos valeurs et à nos intérêts. D’où l’urgence de mobiliser tous les leviers disponibles en matière de politique industrielle : politique de la concurrence (Digital Market Act), politique commerciale, soutien à l’investissement, financement de l’innovation…

Au cœur des priorités, la cybersécurité, qui représente un marché de 146 milliards € au niveau mondial en 2022, en croissance de 10% par an, dont 34 milliards pour l’Europe et 8 milliards pour la France. 

“Le FIC, c’est VOUS !” – Général Marc Watin-Augouard, fondateur du FIC.

Près de 14 000 visiteurs étaient présents à Lille (+35 % par rapport à l’édition 2021) et 550 exposants. Près de 5 000 participants ont également assisté aux échanges en ligne. Avec cette 14ème édition, le FIC, co-organisé par la Gendarmerie nationale et AVISA Partners, avec le soutien de la Région Hauts-de-France, confirme sa dimension internationale. La présence des plus hautes autorités européennes, Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, et Margaritis Schinas, Vice-président de la Commission européenne, ainsi que de nombreuses délégations internationales et institutions européennes (Europol, DG HOME, DG CONNECT, ENISA, ECSO…), soulignent l’importance de l’ambition européenne sur les enjeux de sécurité et de confiance numériques. Outre l’Europe, le FIC s’étend également à l’international en lançant un premier FIC Amérique du Nord.

Le FIC renforce enfin son ouverture vers des thématiques sectorielles grâce à de nombreux événements associés : ID&KYC Forum, Cybersecurity For Industry, e-CPF, Trust&Safety Forum et une journée OSINT qui a rassemblé plus de 300 personnes.

Prochains rendez-vous : les 1er et 2 novembre 2022, pour le premier FIC Amérique du Nord à Montréal et le FIC 2023, les 5, 6 et 7 avril à Lille.

Que peuvent nous apprendre les récentes attaques de Kaseya ou de Solarwinds ?

Des attaque cyber dans lesquelles des éditeurs de logiciel ont été compromis non pas pour les atteindre eux-mêmes, mais pour cibler leurs clients.

D’abord qu’il existe bel et bien deux niveaux d’attaque cyber aujourd’hui. Si l’actualité est monopolisée par les attaques de type ransomware, force est de constater que celles-ci sont rarement très avancées techniquement, et qu’elles reposent plutôt sur des vulnérabilités connues et tirent parti de mauvaises pratiques de la part des victimes.

Plutôt que de réagir une fois l’impact de l’attaque découvert… mieux vaut être en capacité de détecter les comportements suspects

Tandis que les opérations d’espionnage sont conduites par des équipes motivées qui n’hésitent pas à dérouler leur attaque sur plusieurs mois jusqu’à arriver à leurs fins. « Des opérations comme celles de Kaseya et SolarWinds démontrent qu’il n’est pas toujours possible de contrer de telles attaques, et que face à de tels adversaire il vaut mieux se mettre en capacité de détecter les activités suspectes et d’y répondre immédiatement, sans laisser le temps à l’attaquant de dérouler son playbook » explique Julien Billochon, Cybereason.

La capacité de détection des anomalies est vitale face à de tels acteurs malveillants, car ils n’utilisent pas ou peu d’outils ou de codes aisément repérables. Leurs traces seront plutôt liées à des signaux faibles, une suite de petits incidents ou d’actions anormales mais bénignes. « Les RSSI doivent être conscients de ce type d’attaque et de la difficulté à les contrer. Ils devraient suivre l’approche « assume breach ». C’’est-à-dire partir du principe que tout et tout le monde peut être compromis à tout moment. Une fois cet état de fait accepté, ils pourront commencer réduire l’impact et les dégâts d’une attaque de ce type réussie. Notamment en améliorant la capacité de détection des activités anormales des applications ou des technologies dont ils dépendent et qui pourraient se retourner contre eux », conseille Jérôme Soyer, Varonis.

Enfin, au-delà de ces exemples, les entreprises devraient mettre en œuvre de vrais programmes de suivi du niveau de sécurité de leurs fournisseurs ou de leurs sous-traitants les plus critiques (notamment ceux qui disposent d’un accès ou d’une interconnexion forte avec leurs propres systèmes). Une première approche de type déclaratif peut être suffisant pour amorcer le programme, mais il faudra à terme aller plus loin, notamment en cas d’incident chez les fournisseurs : « Il est important d’être informé rapidement des incidents de sécurité qui peuvent se produire chez les fournisseurs et les sous-traitants, et de prendre connaissance des techniques utilisées par l’attaquant, du mode opératoire et bien entendu des indicateurs de compromission. En centralisant toutes ces informations au sein d’une plateforme unique de partage de l’information, le donneur d’ordre sera en mesure de croiser des indicateurs ou des modes opératoires et, peut-être, identifier une opération dirigée contre lui-même menée par un acteur identique contre plusieurs de ses partenaires », explique Cyrille Badeau, ThreatQuotient.

Julien Billochon, Cybereason : « Nous devons passer d’une réponse réactive aux attaques à une posture d’anticipation par l’identification des comportements suspects dès les premiers stades de l’opération malveillante. Il faut s’intéresser aux débuts de l’attaque »

Jérôme Soyer, Varonis : « La chaîne d’approvisionnement de l’entreprise représente une surface d’attaque énorme, qui expose de nombreux points d’entrée : la vulnérabilité du produit lui-même, mais aussi toute l’infrastructure du fournisseur, le processus CI/CD pour les applications SaaS et en bout de chaîne, le prestataire qui distribue et gère la technologie chez ses clients »

Cyrille Badeau, ThreatQuotient : « De multiples petits incidents chez plusieurs fournisseurs peuvent être le signe d’une attaque coordonnée contre le donneur d’ordre. Il est important de centraliser et d’enrichir ces informations afin qu’une équipe d’analystes cyber puisse travailler de concert sur ces différentes alertes en apparence distinctes »

Il n’était pas rare jadis que le risque cyber soit ignoré au sein des comités de direction, car il n’était pas visible et n’avait aucun impact sur les revenus. De quoi parlait-on alors ? En dehors du cas particulier d’entreprises ayant la nécessité (ou l’obligation) de protéger des informations très sensibles, pour la très grande majorité d’entre elles le risque tel qu’il fût perçu par les instances dirigeantes se limitait alors à quelques postes de travail infectés et rapidement réinstallés par la DSI. Pas de quoi impressionner un financier.

Cela a brutalement changé avec l’émergence des attaques par rançongiciel, qui provoquent le plus souvent un arrêt brutal de l’activité sur une période étendue (entre 8 et 10 jours en moyenne, et parfois plus d’un mois). Un tel impact est inédit : aucun scénario de risque n’avait prévu, comme cela déjà été le cas, l’arrêt de la production de plusieurs usines du même groupe, bien qu’elles soient réparties en plusieurs endroits de la planète.

Et pourtant, l’attaque par rançongiciel met bien les victimes à l’arrêt et provoque des pertes d’activités pouvant s’élever à plusieurs millions d’euros par jour, ce qui est désormais impossible à ignorer pour un comité de direction… Et cela, aussi bien chez de petites entreprises que de grands groupes, des hôpitaux ou des collectivités locales…

Comment cela est-il possible ? « Les attaquants exploitent des erreurs de configuration ou des vulnérabilités dans les équipements d’accès afin de s’introduire dans le réseau comme un utilisateur légitime, et ils profitent ensuite que ce dernier est relativement ouvert pour s’y déplacer et en prendre le contrôle. Au final, ils utilisent peu de codes malveillants, mais quand ils le font, ceux-ci sont de plus en plus sophistiqués », explique Stéphane Brovadan, Bitdefender.

Beaucoup d’entreprises partagent en effet trop souvent la même faiblesse qu’est un réseau trop à plat, qui permet à quiconque ou presque d’atteindre un serveur dans une filiale à l’autre bout du monde. Les plus grandes parce que c’est pratique ou parce que leur topologie réseau est devenue très complexe au fil des acquisitions, et les plus petites, ou les hôpitaux, par manque d’expertise sécurité locale ou de budget pour appliquer les bonnes pratiques. « Il faut malgré tout savoir qu’il sera difficile d’arrêter un attaquant motivé simplement avec ces mesures de base, aussi nécessaires soient-elles. L’une des approches les plus efficaces est de compléter ces bonnes pratiques par une détection des comportements anormaux – notamment sur les postes de travail – qui peuvent trahir l’activité d’un intrus avant qu’il ne déclenche sa charge offensive », précise Julien Billochon, Cybereason.

Et pour aller plus loin, rien de tel que de rester informé des toutes dernières menaces, afin d’adapter sa protection de manière pragmatique. « La Threat Intelligence opère à différents niveaux, mais même pour les plus petites entreprises, le fait de connaître en permanence les éléments identifiables liés aux attaquants du moment permet de se protéger non pas de manière générique, mais spécifiquement, en étant totalement adapté à la menace du moment. C’est une approche extrêmement opérationnelle, très accessible et qui peut éviter de se disperser quand on n’a pas des moyens illimités », explique Cyrille Badeau, ThreatQuotient.

Julien Billochon, Cybereason : « La détection des comportements suspects sur les postes de travail devient essentielle tant les codes malveillants sont désormais sophistiqués. Elle est heureusement désormais accessible même aux petites structures »

Stéphane Brovadan, Bitdefender : « Les attaquants déploient moins de codes malveillants lors de leurs intrusions, mais ils sont de plus en plus furtifs et difficiles à identifier. Le niveau d’expertise requis pour les détecter a largement augmenté en quelques années »

Cyrille Badeau, ThreatQuotient : « Notre connaissance des différents groupes de cybercriminels confirme qu’ils peuvent désormais frapper toutes les entreprises, quel que soit la taille ou le secteur d’activité, à partir du moment où il y a la capacité de payer une rançon. Et bien souvent les pirates étudient les finances de la victime pour fixer le bon niveau de rançon »