Nous avons tous au moins une fois entendu parlé de cyberattaque. En effet, que cela soit dans les quotidiens, les magazines spécialisés ou même à la radio, les termes de « cyberattaque » et de « ransomware » reviennent de plus en plus fréquemment.
L’objectif de cet article est de clarifier ces nouvelles menaces parfois obscures pour vous, dirigeant ou cadre d’entreprise, et de vous fournir les pistes permettant de vous protéger a minima.
Les attaques informatiques se multiplient
Historiquement, les risques informatiques étaient mesurés par rapport à la disponibilité des systèmes. Globalement, il y a une vingtaine d’années, couvrir le risque informatique consistait à assurer la continuité de service des machines proposant les applications et les données utiles à l’organisation. Les personnels informatiques ont donc mis en place des stratégies permettant d’assurer la redondance de ces machines, de bonnes sauvegardes, des réseaux bien dimensionnés, etc.
Ensuite, des virus informatiques virulents sont apparus, la parade consistait à mettre en œuvre des anti-virus sophistiqués dans les entreprises, permettant de détecter des codes malicieux spécifiques se rependant par les clés USB, les e-mails ou encore les disquettes antédiluviennes. Depuis environ cinq ans, nous constatons l’explosion exponentielle d’un nouveau risque lié à une nouvelle forme de virus : les ransomwares.
Qu’est-ce qu’un ransomware ?
Un ransomware est une sorte de virus qui a pour mission de chiffrer (« crypter » pour les non-initiés, même si ce terme est impropre) les données présentes dans l’entreprise dans l’objectif de demander une rançon contre une clé permettant de retrouver ses données. Certaines littératures utilisent aussi le terme de cryptovirus.
En effet, les attaquants ont bien compris que la valeur d’une entreprise réside dans les données qu’elle possède et exploite. Cela semble évident pour les entreprises utilisant des secrets de fabrication, comme dans l’industrie par exemple – mais imaginez-vous pouvoir continuer votre activité si les données suivantes ne sont plus accessibles : les bons de commandes, les informations sur vos clients, les e-mails, les documents bureautiques, les bons de livraisons, les données de votre ERP, etc… Evidemment, c’est impossible.
Comment fonctionne un ransomware
Généralement, cela commence par un e-mail reçu avec une pièce jointe « piégée », si vous ouvrez le document (souvent un PDF ou un document Word) vous engagez la réaction en chaine vers le chiffrement de vos données. Vous ouvrez donc le document en pièce jointe, pensant à un e-mail légitime, la première phase de l’attaque n’est pas très spectaculaire, elle a généralement pour unique objectif de désactiver votre anti-virus.
Ensuite, un deuxième code va être téléchargé depuis Internet, celui-ci aura pour objectif de « comprendre » votre réseau informatique et ses points de faiblesse (qui seront utilisés un peu plus tard pour infecter globalement l’entreprise).
A cette étape, une brique particulière de votre infrastructure informatique sera ciblée, il s’agit d’Active Directory. En effet nous constatons que plus de 80% des attaques de ransomwares passent par l’Active Directory à un moment ou à un autre de l’attaque. L’objectif sera pour le virus de constater des faiblesses de configuration de votre Active Directory ou des failles connues sur votre infrastructure – une fois la cartographie de vos faiblesses réalisée, le cryptovirus peut passer à la troisième étape : le chiffrement.
Pendant cette troisième et dernière étape de l’attaque, un troisième code sera téléchargé, il sera disséminé dans votre entreprise (globalement sur vos PCs et serveurs) afin de chiffrer l’ensemble de vos données. Vous recevrez finalement un fichier vous expliquant que toutes vos données sont chiffrées et que vous devez payer une rançon pour les récupérer. Ne vous inquiétez pas, le fichier contient le mode opératoire vous permettant des payer le groupe mafieux qui a réalisé cette attaque.
Le cyberrisque concerne aussi les petites et moyennes entreprises
Voici finalement les deux plus grands problèmes liés aux cyberrisques :
– On pense que les attaques sont uniquement exécutées dans les grandes entreprises
– On pense que cela n’arrive qu’aux autres
Il faut en effet comprendre que les attaques de ransomwares ne sont pas réalisées par
« quelqu’un derrière un clavier » (enfin, très peu) – car tout est automatisé de A à Z. En effet, les groupes criminels derrière ces attaques ont industrialisé l’ensemble de la chaine d’infection :
– phishing avec envoi d’une pièce jointe infectée
– désactivation de l’anti-virus
– découverte d’Active Directory
– vol des mots de passe
– chiffrement des données
– demande de rançon
– système de paiement de la rançon
Comme tout est entièrement automatisé, cela sous-entend que les groupes mafieux effectuant ces attaques ne connaissent pas à l’avance leurs victimes dans 99% des cas. De plus, depuis quelques mois, il est possible d’acheter des kits complets de création de ransomware pour environ 200$. Il suffit de se rendre sur certains sites web connus des initiés, d’acheter son kit et d’utiliser la plate-forme en ligne pour automatiser toutes les phases de l’attaque. Cela signifie qu’en plus des groupes mafieux, « n’importe qui » peut maintenant réaliser ces attaques.
Ce que vous devez faire pour vous protéger
Quelle que soit la taille de votre entreprise, nous vous conseillons les étapes suivantes pour atténuer votre cyberrisque :
– sensibilisez vos utilisateurs en les formant à la sécurité informatique afin qu’ils repèrent plus facilement les e-mails frauduleux (même si ces e-mails deviennent de plus en plus durs à reconnaitre avec l’amélioration des attaques)
– utilisez des systèmes de reconnaissance de phishing, tel que le logiciel Cofense par exemple
– évitez que les utilisateurs ne soient administrateur local de leur PC ou de leur Mac (faire en sorte qu’ils aient le moins de droits d’accès possible sur leur machine)
– déployez des solutions de vérification et de sécurisation d’Active Directory, tel que le logiciel Alsid par exemple
– contactez votre assureur pour découvrir les offres qui couvrent la perte d’exploitation liée à une cyberattaque – cela ne couvrira pas toutes vos pertes mais peut permettre d’atténuer l’impact en cas de problème
Concernant les risques informatiques, rappelez vous que l’anticipation du risque coûte toujours moins cher qu’une posture réactive liée à l’évènement et que ce type d’attaque touche l’ensemble des organisations, quelle que soit leur taille dans les mois ou années à venir.