Imprimer cette page
Cybersécurité, comment se protéger et gérer les crises

Cybersécurité, comment se protéger et gérer les crises

Évaluer cet élément
(2 Votes)

Les entreprises de toutes tailles sont susceptibles d’être attaquées. La vague de cybermalveillances de 2021 perdure et les organisations de travail doivent mettre en place des plans de prévention, de détection et de remédiation lorsqu’elles sont impactées.

Atteinte à la chaîne d’approvisionnement du logiciel SolarWinds, vulnérabilité exposée de serveurs Log4j et autres codes malveillants, la crise sanitaire de la Covid en 2020 a amorcé une nette escalade des menaces.

La plupart des attaques réussies se terminent par la demande de rançons après cryptage des supports de stockage. Leur paiement est censé résoudre ce problème, les pirates envoyant alors à la victime une clé de déchiffrement. Mais souvent l’entreprise ne reçoit rien et a perdu des données vitales.

Les mesures actuelles de prévention combinent l’utilisation d’EDR (Endpoint Detection and Response), un outil de détection d’activité suspecte sur les terminaux (postes de travail, serveurs, etc.) et NDR (Network Detection and Response) sur le réseau. Ces remontées d’alertes aident les responsables de sécurité à prendre les mesures appropriées en prévention ou en curation des problèmes.
Antonin Hily

Quant aux antivirus, ils ont beaucoup perdu de leur efficacité au fil du temps. Pour éviter d’être repérés et contrés, les attaquants effacent les « logs », c’est-à-dire l’historique des événements normaux ou anormaux sur les postes de travail, les serveurs et le réseau, rendant beaucoup plus difficile les solutions à une crise (ou remédiation).

Les grandes entreprises ou PME/ETI qui hébergent des données critiques ont mis en place depuis longtemps des Security Operations Centers (SOC.) Cependant, ceux-ci ne permettent pas de voir les menaces en temps réel.

« Les SOC monolithiques construits selon le schéma d’il y a 10 ans se retrouvent aveugles sur une très importante partie du système d’information, et sont confrontés à une massification du traitement de données peu qualifiées, et donc à une augmentation exponentielle du nombre de faux positifs », explique Antonin Hily, directeur des Opérations de Sesame IT, éditeur de solutions de cybersécurité.

Des menaces qui évoluent et exigent de nouvelles réponses

Si les outils de prévention et de détection des risques sont indispensables, la formation du personnel aux mesures de prévention est un pilier de protection incontournable.

« La sensibilisation est un sujet connu, mais il nécessite une attention constante : il faut absolument former tous ses salariés à la cybermenace afin que chacun puisse, à son niveau, agir positivement dans la protection de son environnement numérique », pointe Antoine Hily.
David Bizeul

« Après avoir infecté une machine qui est le « Patient zéro », les pirates opèrent un déplacement latéral sur le système d’information (SI) et tentent de gagner les droits d’accès maximum aux ressources informatiques. Le but du pirate est de s’emparer des mots de passe et des clés pour prendre le contrôle du SI », décrit David Bizeul, responsable de la recherche de Sekoia.io, prestataire en cybersécurité qui poursuit : « Un EDR se base sur les comportements anormaux dans son périmètre, appris par l’outil d’IA qu’est le machine learning : telle action suspecte, élévation de privilèges, déplacement dans tel répertoire. Après détection, l’EDR va les bloquer et donc protéger le système ».

Bien noter que ces outils automatiques doivent être correctement configurés pour être efficaces et qu’ils n’arrêtent pas toutes les attaques. Il faut également du personnel qualifié et formé, qui prenne régulièrement et rapidement en compte les alertes afin de les intégrer rapidement dans les outils de détection et de blocage des menaces.

Des sauvegardes à jour : le parachute indispensable pour les entreprises

Quand les pirates ont réussi à bloquer le système d’information et à chiffrer les données, le seul recours est de restaurer les données et les applications critiques. Encore faut-il que les restaurations soient complètes et à jour. Or, ce n’est pas toujours le cas dans le monde des TPE et PME.

En prévention, il faut cartographier précisément les données existantes, ce qui suppose un long travail qui n’est pas toujours correctement effectué. De plus, les données sont de plus en plus éparses et se retrouvent sur les serveurs locaux ou sur le Cloud, ce qui complique la tâche.

Souvent, dans les systèmes d’information les moins protégés, les pirates parviennent à effacer les sauvegardes. La survie de l’entreprise se pose alors en termes crus.

Il faut bien prendre conscience que les attaques visent aussi l’écosystème d’une entreprise, ses clients et partenaires, qui peuvent recéler des éléments sensibles tels que des identifiants, des contrats, des projets de recherche, etc.

Les cyberassurances sont plus chères et couvrent moins les sinistres

D’après une étude Hiscox et IBM en 2021, les pertes en valeur médiane d’une entreprise victime est de 15 000 euros, et de 4 millions d’euros en valeur moyenne en France.

Face à ces pertes, les grandes entreprises ont subi les plus gros dommages mais elles sont plus solides financièrement que les ETI et PME. Face au désengagement des assureurs et des réassureurs, elles envisagent de mutualiser les risques avec d’autres entreprises ou en créant des « captives » d’assurance, à savoir une filiale, alternative à l’assurance externe.

Le risque cybersécurité pointe en 2ème place du classement des risques émergents établi par le « Future Risk Report » d’Axa, juste après le changement climatique.

« En 2022 et 2023, les ETI doivent s’attendre à une très forte augmentation des taux de primes, doublée d’un durcissement sévère des conditions de souscription », prévient Philippe Cotelle, l’administrateur de l’Association de management des risques et des assurances de l’entreprise (Amrae).

Avec 228 000 euros pour les ETI (CA de 50 Millions d’euros à 1,5 Milliard d’euros), les franchises atteignent aujourd’hui des niveaux très élevés.

Source chiffres : Enquête Lucy de l’Association pour le Management des Risques et des Assurances de l’Entreprise (Amrae)

Lu 3883 fois Dernière modification le jeudi, 19 janvier 2023 16:49
Serge Escalé

Journaliste indépendant spécialisé IT depuis 1995
Le Monde informatique, Le Figaro, Les Echos, Itespresso, Le MagIT, Silicon.fr, GPO Magazine