Rançongiciel, hameçonnage, Shadow IT, cyberespionnage… le panorama des cybermenace ne cesse de s’élargir. Le seul rançongiciel devrait générer 20 milliards de dollars de recettes pour les malfaiteurs en 2021. Pour être résilient, il faut passer de l’hypothèse d’être attaqué à la certitude qu’on le sera.
Vendredi 5 février, 8 heures du matin, dans le conté de Pinellas (Floride, États-Unis). Un cyberpirate interagit avec le programme de contrôle de l’opérateur de traitement des eaux d’Oldsmar. En moins de cinq minutes, il centuple le taux d’hydroxyde de sodium. En faible quantité, celui-ci réduit l’acidité de l’eau. Mais, à forte dose, il devient corrosif. Ce qui eût pu empoisonner les 15 000 habitants du conté. Par chance, le superviseur de la station est intervenu a temps pour éviter ce scenario catastrophe.
Premier décès par rançongiciel
Ce n’est pas le cas de cette patiente allemande de Düsseldorf, décédée le 12 septembre dernier. En effet, une attaque par rançongiciel avait paralysé le système d’information de la clinique où on devait l’opérer en urgence. La malheureuse a perdu la vie lors de son transfert vers un hôpital de Düsseldorf. D’après Cyberguerre.numerama.com, les malfaiteurs ont exploité une vulnérabilité des VPN de Citrix. Pourtant, cette faille découverte fin 2019 bénéficiait de patchs de sécurité depuis janvier 2020. C’est le premier décès suite à une cyberattaque. Selon Cybersecurity Ventures, les attaques par rançongiciel devraient générer 20 milliards de dollars de recettes en 2021.
80 % des entreprises ont subi une attaque par Phishing
De fait, une entreprise sur cinq a subi au moins une attaque par Ransomware en 2020. Tel est le constat du baromètre annuel de la cybersécurité que le Cesin (1) a publié ce 9 février. Cependant, le Phishing (2) reste le vecteur d’attaque le plus fréquent pour 80 % des entreprises ayant subi une attaque. Ensuite, la généralisation du télétravail propulse le Shadow IT (3) parmi les principaux risques cyber dans 44 % des entreprises. En effet, l’usage d’applications ou de services cloud non sécurisés et inconnus de la DSI (4) devient problématique. Autre menace : l’augmentation du cyberespionnage. 56 % des interrogés considèrent que ce niveau de menace est élevé. Par ailleurs, 58 % des cyberattaques ont impacté l’activité économique des entreprises. Et même, dans 27 % des cas, perturbé la production.
Passer de l’hypothèse d’être attaqué à la certitude qu’on le sera
Selon l’enquête Cesin-OpinionWay, seulement une entreprise sur deux a confiance en sa capacité à faire face à une cyberattaque. Face à ce constat, « il faut changer d’état d’esprit, estime Vigile Augé, consultant chez AN2V Services. Il faut passer de l’hypothèse d’être attaqué à la certitude qu’on le sera. Ce qui revient à devoir se mettre en capacité de résister. » Et sans perdre de temps. En effet, Cybersecurity Ventures prévoit qu’il y aura une attaque par rançongiciel toutes les onze secondes cette année. « Les attaquants vont mettre la pression maximale sur leurs victimes. Ils vont chercher à détruire les postes de travail, les données et même les sauvegardes. Surtout, ils vont menacer de divulguer les données, avertit Florent Skrabacz, président de Shadline, une société de technologies et services en cybersécurité qui a reçu le ‘‘Cas d’Or’’ 2020 de la cyber-résilience. Les systèmes de protection classiques sont totalement dépassés.
Bienvenue dans l’ère du Zero Trust
Que faire alors ? « Tout d’abord considérer qu’on est en crise permanente », reprend Florent Skrabacz. Ce qui revient à passer de la cybersécurité (riposte technique à telle attaque) à la cyberprévention. C’est-à-dire organiser une approche amont et globale de la protection. Bien sûr, il faut auditer le système d’information, dresser l’analyse des risques et déterminer le taux de criticité des données. De sorte à déployer la panoplie des protections adéquates. Sans oublier d’organiser des exercices de gestion de crise. Mais cela ne suffira pas. « Il faut entrer dans l’ère du Zero Trust : n’avoir confiance en rien ni personne. Et vérifier absolument tout ! », renchérit Vigile Augé. Pour sa part, l’enquête Cesin-OpinionWay voit progresser l’adoption de ce concept. 29 % des entreprises s’y engagent et sont en passe de le mettre en œuvre. Contre 16 % l’année dernière.
Mutualiser SOC et CERT
Outre la mise en œuvre des technologies de cyberprotection, les organisations misent à 83 % sur la sensibilisation des salariés. À noter le développement des EDR dans 48 % des organisations interrogées dans l’enquête Cesin-OpinionWay. De même, 56 % d’entre elles recourent à un SOC (5). Dans cette perspective, deux groupes de travail du CSF-IS (6) phosphorent sur la problématique cyber des collectivités territoriales. « Il s’agit, entre autres, de construire des CERT (7) et des SOC pour les collectivités qui ne peuvent se les offrir. Idem pour les ETI et les grosses PME, explique Dominique Legrand, président de l’AN2V (8). Rendez-vous à la mi-septembre pour définir les contours de ces CERT et de ces SOC. » La démocratisation de la cyberprévention sera un enjeu sociétal fondamental.
© Erick Haehnsen
(1) Club des experts de la sécurité de l’information et du numérique
(2) Le Phishing, ou hameçonnage, est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles.
(3) Applications réalisées ou mis en œuvre au sein de l’organisation sans l’approbation de la direction des systèmes d’information.
(4) Endpoint Detection & Response : technologies qui identifient automatiquement des menaces et stoppent efficacement les attaques.
(5) Security Operation Center
(6) Comité stratégique de filière des industries de sécurité
(7) Computer Emergency Response Team
(8) Association nationale pour la vidéoprotection