Risque cyber : tout le monde est concerné

Il n’était pas rare jadis que le risque cyber soit ignoré au sein des comités de direction, car il n’était pas visible et n’avait aucun impact sur les revenus. De quoi parlait-on alors ? En dehors du cas particulier d’entreprises ayant la nécessité (ou l’obligation) de protéger des informations très sensibles, pour la très grande majorité d’entre elles le risque tel qu’il fût perçu par les instances dirigeantes se limitait alors à quelques postes de travail infectés et rapidement réinstallés par la DSI. Pas de quoi impressionner un financier.

Cela a brutalement changé avec l’émergence des attaques par rançongiciel, qui provoquent le plus souvent un arrêt brutal de l’activité sur une période étendue (entre 8 et 10 jours en moyenne, et parfois plus d’un mois). Un tel impact est inédit : aucun scénario de risque n’avait prévu, comme cela déjà été le cas, l’arrêt de la production de plusieurs usines du même groupe, bien qu’elles soient réparties en plusieurs endroits de la planète.

Et pourtant, l’attaque par rançongiciel met bien les victimes à l’arrêt et provoque des pertes d’activités pouvant s’élever à plusieurs millions d’euros par jour, ce qui est désormais impossible à ignorer pour un comité de direction… Et cela, aussi bien chez de petites entreprises que de grands groupes, des hôpitaux ou des collectivités locales…

Comment cela est-il possible ? « Les attaquants exploitent des erreurs de configuration ou des vulnérabilités dans les équipements d’accès afin de s’introduire dans le réseau comme un utilisateur légitime, et ils profitent ensuite que ce dernier est relativement ouvert pour s’y déplacer et en prendre le contrôle. Au final, ils utilisent peu de codes malveillants, mais quand ils le font, ceux-ci sont de plus en plus sophistiqués », explique Stéphane Brovadan, Bitdefender.

Beaucoup d’entreprises partagent en effet trop souvent la même faiblesse qu’est un réseau trop à plat, qui permet à quiconque ou presque d’atteindre un serveur dans une filiale à l’autre bout du monde. Les plus grandes parce que c’est pratique ou parce que leur topologie réseau est devenue très complexe au fil des acquisitions, et les plus petites, ou les hôpitaux, par manque d’expertise sécurité locale ou de budget pour appliquer les bonnes pratiques. « Il faut malgré tout savoir qu’il sera difficile d’arrêter un attaquant motivé simplement avec ces mesures de base, aussi nécessaires soient-elles. L’une des approches les plus efficaces est de compléter ces bonnes pratiques par une détection des comportements anormaux – notamment sur les postes de travail – qui peuvent trahir l’activité d’un intrus avant qu’il ne déclenche sa charge offensive », précise Julien Billochon, Cybereason.

Et pour aller plus loin, rien de tel que de rester informé des toutes dernières menaces, afin d’adapter sa protection de manière pragmatique. « La Threat Intelligence opère à différents niveaux, mais même pour les plus petites entreprises, le fait de connaître en permanence les éléments identifiables liés aux attaquants du moment permet de se protéger non pas de manière générique, mais spécifiquement, en étant totalement adapté à la menace du moment. C’est une approche extrêmement opérationnelle, très accessible et qui peut éviter de se disperser quand on n’a pas des moyens illimités », explique Cyrille Badeau, ThreatQuotient.

Julien Billochon, Cybereason : « La détection des comportements suspects sur les postes de travail devient essentielle tant les codes malveillants sont désormais sophistiqués. Elle est heureusement désormais accessible même aux petites structures »

Stéphane Brovadan, Bitdefender : « Les attaquants déploient moins de codes malveillants lors de leurs intrusions, mais ils sont de plus en plus furtifs et difficiles à identifier. Le niveau d’expertise requis pour les détecter a largement augmenté en quelques années »

Cyrille Badeau, ThreatQuotient : « Notre connaissance des différents groupes de cybercriminels confirme qu’ils peuvent désormais frapper toutes les entreprises, quel que soit la taille ou le secteur d’activité, à partir du moment où il y a la capacité de payer une rançon. Et bien souvent les pirates étudient les finances de la victime pour fixer le bon niveau de rançon »

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.