Atteinte à la chaîne d’approvisionnement du logiciel SolarWinds, vulnérabilité exposée de serveurs Log4j et autres codes malveillants, la crise sanitaire de la Covid en 2020 a amorcé une nette escalade des menaces.

La plupart des attaques réussies se terminent par la demande de rançons après cryptage des supports de stockage. Leur paiement est censé résoudre ce problème, les pirates envoyant alors à la victime une clé de déchiffrement. Mais souvent l’entreprise ne reçoit rien et a perdu des données vitales.

Les mesures actuelles de prévention combinent l’utilisation d’EDR (Endpoint Detection and Response), un outil de détection d’activité suspecte sur les terminaux (postes de travail, serveurs, etc.) et NDR (Network Detection and Response) sur le réseau. Ces remontées d’alertes aident les responsables de sécurité à prendre les mesures appropriées en prévention ou en curation des problèmes.

Quant aux antivirus, ils ont beaucoup perdu de leur efficacité au fil du temps. Pour éviter d’être repérés et contrés, les attaquants effacent les « logs », c’est-à-dire l’historique des événements normaux ou anormaux sur les postes de travail, les serveurs et le réseau, rendant beaucoup plus difficile les solutions à une crise (ou remédiation).

Les grandes entreprises ou PME/ETI qui hébergent des données critiques ont mis en place depuis longtemps des Security Operations Centers (SOC.) Cependant, ceux-ci ne permettent pas de voir les menaces en temps réel.

« Les SOC monolithiques construits selon le schéma d’il y a 10 ans se retrouvent aveugles sur une très importante partie du système d’information, et sont confrontés à une massification du traitement de données peu qualifiées, et donc à une augmentation exponentielle du nombre de faux positifs », explique Antonin Hily, directeur des Opérations de Sesame IT, éditeur de solutions de cybersécurité.

Des menaces qui évoluent et exigent de nouvelles réponses

Si les outils de prévention et de détection des risques sont indispensables, la formation du personnel aux mesures de prévention est un pilier de protection incontournable.

« La sensibilisation est un sujet connu, mais il nécessite une attention constante : il faut absolument former tous ses salariés à la cybermenace afin que chacun puisse, à son niveau, agir positivement dans la protection de son environnement numérique », pointe Antoine Hily.

« Après avoir infecté une machine qui est le « Patient zéro », les pirates opèrent un déplacement latéral sur le système d’information (SI) et tentent de gagner les droits d’accès maximum aux ressources informatiques. Le but du pirate est de s’emparer des mots de passe et des clés pour prendre le contrôle du SI », décrit David Bizeul, responsable de la recherche de Sekoia.io, prestataire en cybersécurité qui poursuit : « Un EDR se base sur les comportements anormaux dans son périmètre, appris par l’outil d’IA qu’est le machine learning : telle action suspecte, élévation de privilèges, déplacement dans tel répertoire. Après détection, l’EDR va les bloquer et donc protéger le système ».

Bien noter que ces outils automatiques doivent être correctement configurés pour être efficaces et qu’ils n’arrêtent pas toutes les attaques. Il faut également du personnel qualifié et formé, qui prenne régulièrement et rapidement en compte les alertes afin de les intégrer rapidement dans les outils de détection et de blocage des menaces.

Des sauvegardes à jour : le parachute indispensable pour les entreprises

Quand les pirates ont réussi à bloquer le système d’information et à chiffrer les données, le seul recours est de restaurer les données et les applications critiques. Encore faut-il que les restaurations soient complètes et à jour. Or, ce n’est pas toujours le cas dans le monde des TPE et PME.

En prévention, il faut cartographier précisément les données existantes, ce qui suppose un long travail qui n’est pas toujours correctement effectué. De plus, les données sont de plus en plus éparses et se retrouvent sur les serveurs locaux ou sur le Cloud, ce qui complique la tâche.

Souvent, dans les systèmes d’information les moins protégés, les pirates parviennent à effacer les sauvegardes. La survie de l’entreprise se pose alors en termes crus.

Il faut bien prendre conscience que les attaques visent aussi l’écosystème d’une entreprise, ses clients et partenaires, qui peuvent recéler des éléments sensibles tels que des identifiants, des contrats, des projets de recherche, etc.