Loïc Guézo,
Secrétaire Général du Clusif
Le ransomware n’est pas un phénomène nouveau. Il y a plus de 10 ans maintenant sont apparus les premiers virus qui bloquaient les systèmes informatiques afin d’afficher un simple message d’alerte, mais depuis, ces premiers virus les rançongiciels ont beaucoup évolué et la situation est véritablement devenue catastrophique pour les entreprises.
Depuis, cette époque, ceux-ci se sont dotés de capacités de chiffrement, les cryptomonnaies ont permis au criminel de toucher leurs rançons sans risque. Les ransomwares sont devenus plus sophistiqués et ont appris à rester sous les radars.
Le chiffrement lent leur permet de rester indétectables des algorithmes comportementaux et avant de chiffrer le contenu, le rançongiciel va analyser les machines dans le système d’information, repérer celles qui paraissent les plus intéressantes à infecter et va aussi repérer les backups et sauvegardes afin de les casser avant de passer à l’action.
Depuis environ 2 ans, les rançongiciels sont devenus une véritable arme pour les cybercriminels. Ceux-ci ne sont plus dans un mode où ils lancent des malwares dans la nature afin de récolter 300 ou 500 € de rançon de temps en temps. Il s’agit désormais de véritables projets criminels ciblant précisément une entreprise. L’attaque ratée sur Tesla a montré que les criminels sont prêts à offrir jusqu’à un million de dollars à un salarié pour que ce dernier infecte le système d’information de l’entreprise de l’intérieur. Les criminels embauchent des développeurs pour monter leur projet comme des braqueurs de banque recrutent un chauffeur pour conduire la voiture du braquage.
Rester en veille permanante
Ces criminels entrent en contact avec l’entreprise prise en otage par le rançongiciel afin de lui réclamer 5 millions de $ et mener à bien les négociations avec le top management de l’entreprise. Certaines entreprises préfèrent le blackout : ne pas répondre aux criminels et essayer de régler le problème elles-mêmes. D’autres font appel à des experts techniques ou aux autorités afin de traverser la crise.
Enfin, certaines payent, mais l’expérience a maintenant montré qu’il ne suffit pas d’obtenir la clé de déchiffrement pour relancer l’activité de l’entreprise dans l’heure qui suit. Ce sont parfois des centaines voire des milliers de postes et de serveurs qui ont été compromis, les attaquants ont pu laisser des moyens d’accès distants, l’Active Directory de l’entreprise peut être compromis et il faut littéralement reconstruire l’architecture de sécurité du système d’information pour que l’entreprise puisse reprendre une activité normale.
Le risque est en évolution perpétuelle et les attaquants vont aujourd’hui très très vite. Par définition, ceux-ci ont l’avantage car leurs attaques peuvent échouer 99 fois avant de finalement réussir à la centième tentative. De son côté, l’entreprise se doit de repousser 100 % des attaques. La seule recette à appliquer pour une entreprise est de rester en veille permanente. La sécurité n’est pas un état de fait. Il ne suffit pas d’acheter des produits et de les déployer pour régler le problème. L’entreprise doit entrer dans un cycle permanent d’analyse de la menace, doter l’entreprise de capacités de détection par rapport au niveau de menace et transformer l’organisation elle-même afin de mettre en oeuvre des technologies performantes, former des experts mais aussi former tous les utilisateurs afin que ceux-ci soient conscients de leur importance dans la sécurité de leur entreprise. L’utilisateur final est le dernier maillon, celui qui fait qu’une attaque va réussir ou échouer selon qu’il décide ou non de cliquer sur un lien suspect.
