Pour le milieu du cybercrime, la crise sanitaire a ouvert un boulevard ! La mise en place du travail à distance a créé des opportunités sans précédent pour les pirates informatiques.
Aucun secteur n’a réellement été épargné, c’est pourquoi, au sein des organisations, dès à présent, la sécurité doit devenir « l’affaire de tous » ! La protection des systèmes d’information doit être placée en tête des priorités. Le point avec Cédric Lamouche, consultant senior en cybersécurité.
L’été 2020 a été meurtrier en termes de ransomware. Orange, Materne, Garmin, Carlson Wagon Lit, Canon, LG, Xerox… Des To de données subtilisées… La liste est longue. La Covid 19 a-t-il ouvert un boulevard aux cybercriminels ?
Aujourd’hui, on observe une industrialisation de la cybercriminalité. La crise sanitaire n’a fait qu’accentuer le phénomène. Certaines organisations comme Maze, Netwalker, Sodinokibi, ou encore Darkside sont très actives. Elles se sont appropriées et ont développé des outils puissants pour automatiser des attaques et rechercher de nouvelles cibles. D’ailleurs, une des méthodes de compromission du groupe cybercriminel Maze a été décortiqué par la société Fireeye. On y apprend comment les hackers se sont infiltrés et avec quels outils. Ce sont ces mêmes outils qui sont également utilisés par les défenseurs pour évaluer et auditer leurs infrastructures.
Dans le même temps, la crise Covid-19 a accéléré des pratiques non sécurisées et non maîtrisées notamment pour permettre l’accès au SI depuis l’extérieur de l’entreprise. Pour parer à l’urgence de la situation, et pour répondre aux besoins de mettre en place rapidement le télétravail, certaines entreprises ont utilisé des outils gratuits ou comportant des vulnérabilités importantes, comme par exemple des outils de prise en main à distance. C’est pourquoi, on a constaté une recrudescence d’attaques sur le protocole RDP. Étant donné qu’un certain nombre de serveurs Windows n’étaient pas à jour, ils se sont retrouvés directement accessibles sur le net avec une vulnérabilité facile à exploiter. Il était d’ailleurs très facile de trouver ces serveurs vulnérables grâce notamment à des moteurs de recherches automatisés comme Shodan.
Je pense que, pour l’instant, on n’a pas encore pris la mesure des conséquences de ces ouvertures de SI. Et on peut s’attendre à des impacts importants dans les prochaines semaines.
Quels vont être, selon vous, ces impacts ?
Vol de données, inaccessibilité des données car chiffrées, demande de rançon, publication de données sensibles, plaintes de clients en lien avec le RGPD. Bref, un grand bazar…
Quels sont les secteurs les plus touchés ?
Les secteurs sont très variés, que ce soit celui de l’industrie, du retail, de l’éducation ou de la santé… Il n’y a pas vraiment de secteur cible. Aujourd’hui toute entreprise est une cible potentielle ou dans certains cas, elle peut être un « dommage collatéral ». C’est souvent le cas des sous-traitants infiltrés, qui sont des chevaux de Troie, pour attaquer des grands groupes.
Plusieurs grands groupes ont fait l’actualité ces derniers mois notamment Bouygues Construction, Orange service, Garmin, MMA, Volkswagen, Honda … La liste est longue pour cette année 2020. D’ailleurs, pour ceux que ça intéresse, le site « shadow intelligence » recense en temps réel des attaques abouties par ransomware.
Avec la crise sanitaire, le télétravailleur est devenu une cible de choix et le modus operandi des hackers se diversifie. Quels sont aujourd’hui les principaux points d’entrée pour la cybercriminalité ?
L’email est indéniablement le point d’entrée privilégié des attaquants. Les techniques et approches se sont professionnalisées avec des ROI de plus en plus importants lors d’attaque de type « Phishing ». Les attaquants ont amélioré les phases de reconnaissances et d’approches de leurs cibles. Les modes opératoires n’ont pas changé sur ces 10 dernières années avec des emails envoyés pour essayer de piéger la cible et l’inciter à passer à l’action. Mais le contenu des emails est beaucoup plus qualitatif et très souvent en lien avec des activités en cours dans l’entreprise. Les attaquants ciblent des personnes jugées faibles ou faciles à compromettre, on parle alors d’attaque par ingénieurie sociale. Ils se sont dotés d’outils pour cartographier et établir une connaissance poussée de l’entreprise par des informations disponibles librement sur les différents supports numériques (salon, site web, réseaux sociaux …).
Autre point d’entrée, l’ouverture du SI sur l’extérieur par la mise en place du télétravail. Comme je le soulignais, les attaques ont également été facilitées, par des solutions technologiques non maîtrisées comme les accès de prise en main à distance. Mais également par l’utilisation de solutions VPN à l’origine prévues pour des utilisations personnelles. Ces VPN ont des niveaux de sécurité faibles et comme les communications transitent par leurs serveurs, on peut facilement intercepter des informations.
Beaucoup d’experts en cybercriminalité sont arrivés à une double conclusion : la professionnalisation des groupes de cybercriminels et la facilité avec laquelle, sans être hacker, on peut s’introduire dans les réseaux d’entreprises. Votre sentiment ?
Il a toujours été facile de se lancer dans le hacking ! Mais pour en faire une activité lucrative il n’y a pas de place pour l’improvisation ou l’amateurisme. Aujourd’hui, nous ne sommes plus dans des défis entre hackers pour pénétrer tel ou tel système, il y a une réelle criminalité avec beaucoup d’argent en jeu. La parfaite illustration ce sont, par exemple, les dernières rançons payées pour des attaques de type ransomware.
On assiste effectivement à la professionnalisation des cybercriminels. D’ailleurs, l’ANSSI publie d’excellents rapports d’attaques dans lesquels sont décortiquées les modes opératoires. Ces rapports nous permettent à la fois de mesurer l’évolution des attaquants et de constater l’agilité avec laquelle ils s’adaptent très vite à n’importe quel contexte.
Parallèlement, on voit émerger, au sein des grands groupes ou des administrations, la volonté de partager tous ces IOC (indicateurs de compromission ou d’attaques) par des canaux sécurisés pour gagner en réactivité et être proactifs sur les menaces.
Vous, qui êtes en contact avec le terrain, quelles sont les premières craintes des organisations ?
La fuite d’informations telles que les procédés, les documents confidentiels ou encore les contrats… L’inaccessibilité totale de l’informatique et donc l’arrêt de l’activité ou encore des incidents de production pouvant aller jusqu’à l’explosion ou l’accident.
Parallèlement, quelles sont les failles systématiques que vous constatez quand vous êtes en mission ?
Dans l’ordre, une mauvaise connaissance de l’infrastructure informatique en place, l’absence de veille sur les fuites de données publiées qui peuvent concerner l’entreprise, la quasi inexistence d’audits internes et externes des infrastructures.
On note également encore trop souvent qu’il y trop de collaborateurs sur la partie opérationnelle, et très peu sur la partie gouvernance/conformité.
Peut-on dire que l’humain est le maillon faible ?
Oui c’est vrai, mais il a la capacité de s’améliorer ! En tout cas, on doit tout faire pour que chaque collaborateur, indépendamment du niveau hiérarchique, soit sensibilisé et qu’on lui donne les moyens de mesurer ses efforts et faiblesses. Cette sensibilisation doit être menée dès sa prise de poste et doit être régulièrement actualisée. Avec ces derniers temps, la généralisation du télétravail, le périmètre à sécuriser s’est élargi. Il est donc nécessaire de sensibiliser et d’informer l’ensemble des collaborateurs sur les bonnes pratiques lorsqu’ils sont en dehors du réseau interne de l’entreprise. Ces tâches doivent être en priorité haute dans la to do list des RSSI et DPO.
Si on part du principe que nous sommes dans un contexte de cyber menaces accrues, que doivent faire les entreprises ? Réaliser un audit de vulnérabilités ? Réaliser un test d’intrusion ? Améliorer leur résilience ? Mettre en place un PCA ? Souvent les organisations ne savent pas par où commencer. Vos recommandations ?
Elles doivent en tout premier lieu savoir ce qu’elles ont à protéger. Qu’est-ce qui a, ou crée de la valeur dans l’entreprise. Une fois ces actifs définis, il faut voir quelle adhérence ils ont avec le SI et quelles mesures sont en place ou à mettre en place pour les protéger d’éventuelles menaces. De prime abord, cela paraît simple, mais sur le terrain, les infrastructures informatiques sont aujourd’hui complexes et dispersées.
Sans une méthodologie qui va cadencer et organiser les actions, il est difficile de pouvoir couvrir tous les risques. Cette méthodologie va permettre de définir un périmètre et procéder à des mesures, des contrôles (audits) sur la gestion des risques et de proposer des exigences de sécurité (PCA). Comme méthodologie d’analyse des risques, on peut citer la norme ISO27005, EBIOS RM ou quelque chose de plus léger pour les PME tel que CIS Control.
La cybercriminalité explose, les organisations estiment ne pas posséder les ressources et les compétences pour mettre en place ce que vous venez d’énumérer. Quel est la plus-value de votre mission au sein d’une entreprise ?
Notre plus-value est d’aider l’entreprise à formaliser dans un premier temps ce qui a de la valeur pour elle. Ensuite, au travers de la méthodologie que je viens d’énumérer, on va l’aider à construire une feuille de route en prenant en compte le contexte dans lequel elle évolue – secteur d’activité, compétences en place, moyens humains et financiers disponibles, exposition extérieure, capillarité de l’infrastructure – tout cela dans un objectif de réaliser un plan de défense évolutif et adaptatif selon les nouveaux enjeux, nouveaux contextes ou nouvelles menaces.
Du fait de la recrudescence des attaques, vous étoffez vos équipes et recrutez des experts. Quels sont les profils que vous recherchez ?
Aujourd’hui les besoins en cybersécurité sont croissants comme vous le savez. Et si vous n’êtes pas encore convaincus, on peut regarder la courbe des attaques de type ransomware depuis le début de l’année et le montant total des rançons payées… Depuis janvier on a constaté une augmentation de plus de 30 000% des attaques informatiques.
Dans notre métier de conseil et d’assistance, nous recrutons des personnes bien sûr compétentes dans les métiers de la cybersécurité, mais surtout des personnes passionnées et curieuses. Nos besoins se concentrent sur des profils de type auditeurs (conformité, gestion des risques, intrusion) et d’architectes sécurité (cloud, soc).
Pour conclure, à l’heure où toutes les organisations accélèrent leur transformation numérique, la cybersécurité est-elle un des facteurs d’une numérisation réussie ?
Elle y participe forcément. Aujourd’hui la donnée en entreprise à une valeur de plus en plus importante. Elle est au cœur de son fonctionnement et participe à son développement. Une fois que vous avez identifié, puis valorisé cette donnée, il est impératif de la sécuriser. Les media en font écho tous les jours. On voit des entreprises qui sont prêtes à débourser des millions d’euros pour éviter des fuites ou la perte de données. La cybersécurité fait partie des grands chantiers de demain et devra être de plus en plus intégrée à l’initialisation des projets.
Cédric Lamouche, consultant senior Cybersécurité et Dominique Cozzi, Journaliste.