Tryfonov - stock.adobe.com
Cybersécurité : l’homologue suisse de l’Anssi joue les pères fouettards
La centrale suisse d’enregistrement et d’analyse pour la sûreté de l’information estime que le non-respect de ses conseils et l’ignorance des avertissements a souvent contribué au succès des attaques par ransomware.
La Melani est peu ou prou l’homologue suisse de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) : il s’agit de la centrale suisse d’enregistrement et d’analyse pour la sûreté de l’information ; elle réunit le Cert gouvernemental suisse, le service de renseignement de la Confédération helvétique, et son unité de pilotage informatique. Dans un bulletin d’information publié cette semaine, la Melani ne ménage pas les PME et grandes entreprises suisses victimes de ransomwares. Elle en compte « plus d’une douzaine », « au cours des dernières semaines ».
Sans parler de négligences, la Melani pointe à tout le moins des défaillances, que ce soit dans les pratiques de sécurité ou dans la gestion des alertes reçues. Ainsi, « l’analyse technique de ces incidents a révélé que le système de sécurité informatique des entreprises touchées était souvent lacunaire et que les meilleures pratiques n’étaient pas toujours rigoureusement observées ». Pire encore, « ces entreprises ont ignoré certaines mises en garde provenant des autorités ».
La litanie des défaillances relevées par la Melani ne surprendra guère ceux qui ont suivi l’activité des douze derniers mois, au moins autour des rançongiciels : alertes de systèmes de protection des postes de travail et des serveurs ignorées, services d’accès déporté (RDP) exposés directement sur Internet sans véritable protection, absence de sauvegardes hors ligne, gestion laborieuse des correctifs et du cycle de vie des logiciels, réseaux à plat, ou encore droits des utilisateurs incontrôlés. En tout, la Melani dresse une liste de sept défaillances. Les sept péchés capitaux de la cybersécurité, peut-être.
S’il est précisément centré sur la protection contre les attaques par ransomwares modernes et ciblées, ce message résonne clairement comme un écho aux propos que tenait Patrick Pailloux, l’ancien directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), à l’occasion de l’édition 2011 des Assises de la Sécurité : là, il avait appelé à un « retour aux fondamentaux », aux bonnes pratiques, à une « hygiène élémentaire » de la sécurité informatique. Deux ans plus tard, la réalité du terrain pouvait lui donner des airs de prêcheur dans le désert. Mais de nombreuses voix continuent de lui donner raison, même a posteriori.
Sur le terrain, Fleury Michon a reconnu que c’était un service RDP exposé sur Internet sans sécurisation adéquate qui avait servi de point de départ à l’attaque par rançongiciel dont il a été victime l’an dernier. Plus récemment, l’université de Maastricht a évoqué le rôle joué, dans l’incident qui l’a frappée, par des systèmes sur lesquels les correctifs disponibles n’avaient pas été appliqués.
Aujourd’hui, Bouygues réfute toute forme de « négligence » et assure avoir été victime d’un « virus d’un nouveau genre ». Mais ce dernier argument s’avère largement discutable : le groupe a été victime du Maze, auquel l’Anssi a consacré un rapport complet tout début février. En outre, les éléments que nous avons pu recueillir permettent de s’interroger sur les pratiques de sécurité IT en vigueur chez Bouygues Construction, ou au moins au sein de sa filiale Axione – au-delà d’investissements comme l’acquisition des outils de détection d’anomalies de Darktrace. Selon nos sources, il n’y avait d’ailleurs pas de sauvegardes hors ligne. Accessoirement, l’université de Maastricht ne s’est pas fait prier pour reconnaître ne pas en avoir.