Cybercriminalité : ce que toute entreprise doit (aussi) savoir
Les rançons suite à chiffrement de données par des criminels ou contre la fin d'un DDoS se multiplient. Mais des méthodes simples pourraient contrecarrer le mouvement.
NDR : cet article est la seconde partie d’une analyse dont la première partie a été publiée le 4 mars 2015.
Une autre tendance mérite d’être prise en compte : la prise de données en otage. Typiquement, les pirates infiltrent le réseau de l’entreprise et chiffres les données. Ils demandent ensuite une rançon pour déchiffrer ces données.
Des entreprises françaises ont été récemment victimes de CTB-Locker, infectée via des employés victimes des cybercriminels, sur leurs comptes de messagerie personnelle.
« Il y a plus d’entreprises qui paient qu’elles ne veulent bien l’admettre, parce qu’à moins d’avoir des procédures solides de reprises d’activité après sinistre, elle n’ont d’autre choix que de payer », relève Phil Huggins.
Dans ce domaine, les criminels visent de plus en plus les agences publiques, les municipalités et les entreprises, aux côtés des particuliers, avec leurs rançongiciels (ransomware), souligne Troels Oerting. Récemment, une municipalité au Danemark a ainsi été la cible d’un groupe d’attaquant d’Europe de l’Est qui a chiffré les données de ses serveurs, exigeant une rançon.
Une sophistication croissante des ransomware
Selon Charlie McMurdie, les rançongiciels sont en train de gagner en sophistication : « les cybercriminels font de plus en plus d’efforts de recherche pour leurs ransomware, comme ils progressent plus généralement en sophistication ».
C’est également vrai pour les attaques par hameçonnage, qui tendent à être d’une bien meilleure qualité que par le passé. « Les cybercriminels cherchent et utilisent les noms des personnes pour rendre leurs messages plus plausibles et plus efficaces », relève ainsi Charlie McMurdie. Certains vont même jusqu’à mettre en place des sites Web, pour de fausses entreprises, afin de renforcer la crédibilité de leurs missives.
Toujours pour soutirer de l’argent aux entreprises, Troels Oerting s’attend à ce que les cybercriminels utiliser un autre levier : la disponibilité des services en ligne proposés par la victime. Il s’agit là d’utiliser une attaque en déni de service distribué (DDoS) pour extorquer de l’argent. « Avec les attaques DDoS , les cybercriminels visent principalement les entreprises dépendantes d’Internet, pour bloquer l’accès à leurs services Web, avant de demander un règlement. Et de poursuivre l’attaque jusqu’à ce que celui-ci survienne ».
Les dirigeants peinent à répondre
Certes, la prise de conscience avance parmi les dirigeants. Mais pour Charlie McMurdie, ils sont encore trop nombreux à peiner à mettre en place ou à identifier exactement comment réagir à cette menace.
De nombreux dirigeants se sentent dépassés, mais l’échelle du problème ne devrait pas être une excuse, quelle que soit la taille de l'entreprise, pour ne rien faire, estime Seth Berman, directeur général de Stroz Friedberg. « Une fois que les entreprises ont compris pourquoi elles sont attirantes pour les cybercriminels, elles doivent considérer qu’elles seront visées, et frappées, pour se préparer en conséquence », explique-t-il.
Ceci étant, pour Andy Archibald, si les cybercriminels gagnent en sophistication, l’essentiel de la cybercriminalité n’est en fait pas très sophistiquée.
Des précautions simples permettre de réduire la probabilité de devenir victime
« La cybercriminalité visant les PME tend à être relativement peu sophistiquée. Prendre quelques précautions simples peut permettre de réduire la probabilité d’en devenir une victime », explique-t-il. Et l’Anssi, qui a produit plusieurs guides sur le sujet, ne le contredira probablement pas.
Pour Andy Archibald, si toutes les entreprises s’assuraient simplement que leurs actifs informationnels les plus précieux sont au moins un peu protégés, et que leurs logiciels sont à jour, cela contribuerait déjà grandement à la réduction du risque.
« Cela inclut de s’assurer que les employés sont conscients qu’ils travaillent dans un environnement où les cybercriminels cherchent continuellement à copier ou manipuler des données, et qu’ils se comportent de manière appropriée dans la gestion des données et des e-mails afin de ne pas devenir - malgré eux - complices des cybercriminels ».
Pour Seth Berman, si la cybercriminalité n’est pas prête de disparaître, les entreprises peuvent faire beaucoup pour réduire le risque. « La réalité est que les entreprises ne peuvent pas boucher chaque trou de sécurité, mais qu’une évaluation sérieuse des risques les aidera à affecter efficacement leurs investissements et à établir des plans d’action. Une approche fondée sur les risques assurera que les entreprises sont plus résilientes, qu’elles seront capables de répondre plus vite aux menaces, et que les réseaux sont correctement segmentés ».
Restreindre les mouvements des attaquants
En segmentant leurs réseaux, les entreprises peuvent s’assurer que seuls les employés habilités peuvent accéder à certains actifs informationnels. Et la segmentation aide aussi à réduire la mobilité des attaquants.
« Restreindre la mobilité des attaquants donne plus de temps pour réagir et limite la quantité de dommages qu’ils peuvent faire », souligne Seth Berman. C’est un manque de segmentation qui a permis aux attaquants de Sony Pictures de parcourir librement le réseau.
En partant du principe qu’elles sont attaquées avec succès, les organisations peuvent avancer dans la définition de leurs priorités, explique Phil Huggins. « Au lieu de ne chercher qu’à construire plus haut leurs remparts, cette approche assure que les dispositions seront là pour éteindre les départs de feu provoqués par les projectiles qui sont passés au-dessus », illustre-t-il.
Charlie McMurdie estime de son côté que les entreprises peuvent également réduire les risques en examinant et améliorant continuellement leurs règles et processus de gouvernance des données : « il y a de nombreuses mesures non techniques qui peuvent être prises par une organisation pour prévenir d’importants dégâts ».
L’appel du maillon faible
Plus les interconnexions sont nombreuses, plus il y a de maillons faibles à attaquer
Phil Huggins
Comme l’a montré l’attaque dont a été victime RSA il y a quelques années, les entreprises intéressent aussi les cybercriminels en raison des personnes et des organisations avec lesquelles elles sont en relation.
« Les cybercriminels savent que plus les interconnexions sont nombreuses, plus il y a de maillons faibles à attaquer, en particulier si la chaîne de fournisseurs n’est pas correctement gérée en termes de cybersécurité », explique Phil Huggins.
Pour Seth Berman, une approche collaborative est essentielle pour rendre ces chaînes plus résilientes.
Des chaînes dans lesquelles le partage de l’information de sécurité par les acteurs les plus gros, les plus sûrs, peut aider les plus modestes à renforcer leur posture de sécurité : « les grandes entreprises peuvent améliorer la sécurité de leurs chaînes de partenaires en partageant des capacités et en travaillant ensemble pour atteindre les mêmes objectifs. Comme le font les cybercriminels pour produire des effets plus importants ».
Intégrer la sécurité à chaque processus métier au-delà du DSI
Pour Charlie McMurdie, les entreprises doivent accepter que la sécurité n’est pas que l’affaire de la DSI et que tous les processus métiers doivent être harmonisés dans leur approche du sujet. Mais pour elle, cartographier les processus internes et vérifier les règles, les processus et la gouvernance, ne suffit pas sans approche de test et d’amélioration en continu, face à des menaces en perpétuelle évolution.
« Toutes les entreprises devraient chercher à s’inspirer des leaders industriels qui réalisent que la cybersécurité n’est pas un composant isolé de leurs activités. Ceux-ci cherchent maintenant à intégrer la sécurité dans tous les aspects de leurs processus métiers, y compris ceux liés aux clients, aux fournisseurs, aux points de vente, et aux terminaux mobiles ».
Selon la NCCU, les cybercriminels utilisent de plus en plus le manque relatif de conscience des utilisateurs sur la manière d’utiliser de manière sûre des terminaux mobiles pour accéder aux réseaux d’entreprise.
Les criminels attaquent les entreprises en profitant du fait que le comportement des personnes change lorsqu’elles sont hors du bureau, relève Andy Archibald : « Lorsque les entreprises sont attaquées, il est essentiel qu’un plan de réaction soit en place que chacun connaisse ses responsabilités ».
Coopérer avec les forces de l’ordre
Un élément clé de la stratégie des forces de l’ordre en Europe, pour combattre la cybercriminalité, est un niveau d’engagement plus élevé avec l’industrie.
Andy Archibald explique que « le partage d’informations sur les attaques donne une meilleure vision de la situation d’ensemble et l’opportunité de se rapprocher directement des entreprises victimes de la cybercriminalité. L’industrie offre une importante contribution pour aider à identifier et à affecter des priorités aux menaces ».
Et de citer en exemple les banques britanniques qui se réunissent tous les deux mois avec les forces de l’ordre locales. De quoi aider ces dernières dans certaines activités opérationnelles comme l’aide à la remédiation et à la reprise d’activité.
Mais pour Andy Archibald, la collaboration internationale, avec Europol et Interpol est vitale pour progresser dans la lutte contre la cybercriminalité en construisant une connaissance et des capacités partagées. Le message adressé aux entreprises est simple : s’impliquer pour éviter d’être victime.
Adapté de l’anglais par la rédaction.