En matière de cybersécurité comme ailleurs, les idées reçues ne manquent pas. Malheureusement, lorsque l’on parle de menaces informatiques, de cyberattaques, ou encore de rançongiciels, ces mythes – parfois entretenus par des acteurs de la cybersécurité dans leur communication, sans malice toutefois – peuvent encourager à se sentir à l’écart du risque. Ce sentiment de sécurité injustifié peut conduire à baisser la garde, à relâcher ses efforts et, in fine, à faire de son organisation une victime en devenir qui s’ignore.
Deux experts du domaine, Brett Callow, analyste des menaces chez Emsisoft, et Allan Liska, spécialiste du renseignement sur les menaces chez Recorded Future, nous ont aidé à dresser la liste de ces principales idées reçues et à les démentir.
Idée reçue n°1, relevée par Allan Liska : les acteurs du rançongiciel « visent » certains secteurs d’activité plus que d’autres
Les cyber-délinquants ne visent pas un secteur d’activité plutôt qu’un autre. Ils attaquent des organisations pour lesquelles ils ont obtenu des « accès » : une porte d’entrée dans le système d’information. La sur-représentation de certains secteurs d’activité par rapport à d’autres, parmi les victimes, traduit surtout des écarts de maturité en matière de cybersécurité, de preparation, et de moyens techniques et humains. Brett Callow souligne que cela n’empêche pas que les cyber-délinquants puissent se montrer sélectifs quant aux systèmes d’information qu’ils choisissent d’attaquer, ne serait-ce que pour maximiser leurs chances de monétisation de leurs méfaits.
Idée reçue n°2, relevée par Allan Liska : la plupart des attaques avec ransomware touchent aujourd’hui des entreprises ou des organisations professionnelles
Les particuliers continuent d’être touchés par des cyberattaques avec ransomware. Particuliers et PME constituent la majorité des victimes, relève Brett Callow. Mais ces attaques ont un impact considérablement plus faible et moins visible. Elles sont dès lors bien moins médiatisées. En outre, elles n’impliquent généralement pas de groupes de cyber-délinquants pratiquent la double-extorsion et menaçant de divulguer des données dérobées lors de l’intrusion. Enfin, les données de cybermalveillance.gouv.fr suggèrent que, soit les attaques contre des particuliers se sont raréfiées, soit ceux-ci demandent rarement de l’aide.
Idée reçue n°3, relevée par Brett Callow: notre entreprise est trop petite pour intéresser des attaquants
Les cyber-malfaiteurs s’attaquent aux organisations de toutes tailles. Cela ne signifie pas que certains ne sont pas spécialisés, à titre individuel, sur certains profils d’organisations plutôt que sur d’autres, du fait de leurs ambitions, de leur expérience et de leurs compétences. Mais globalement, il n’y a pas d’entreprise trop petite pour être intéressante pour les attaquants. Des victimes de toutes tailles ont été observées au cours des années passées.
Idée reçue n°4, relevée par Allan Liska : la cyberassurance paiera la rançon, alors je n’ai pas besoin de me préparer à l’éventualité d’une attaque
Faire indemniser le paiement d’une rançon par son assurance cyber ne doit pas permettre de faire l’économie d’un nettoyage en profondeur du système d’information. Des attaquants ont montré qu’ils conservaient des données d’authentification volées chez leurs victimes. Celles-ci peuvent leur permettre de revenir. En outre, rien n’assure que d’autres cyber-malfaiteurs ne disposaient pas aussi de portes d’entrées : un second groupe peut passer à l’attaque après un premier. Enfin, relève Allan Liska, un nombre croissant de cyberassurances ont indiqué ne plus vouloir, explicitement, couvrir le paiement de rançons, dont Axa et récemment Generali, en France.
Idée reçue n°5, relevée par Allan Liska : mon pare-feu et ma protection des postes de travail et des serveurs vont me garder à l’abri
Une fois dans le système d’information de l’entreprise, profitant d’une vulnérabilité critique sur un système exposé sur Internet, ou d’une campagne de malspam, les attaquants n’ont que faire de la sécurité périmétrique offerte par le pare-feu. D’autres systèmes de sécurité réseau sont nécessaires. Les systèmes de protection des serveurs et des postes de travail sont quant à eux insuffisants : il n’est pas rare que les attaquants les désactivent tout simplement avant de déployer et déclencher leur ransomware. Brett Callow souligne qu’une protection en couches multiples est necessaire, avec authentification à facteurs multiples, segmentation réseau, etc. L’idée est que chaque couche de protection a ses failles ; en multipliant les couches, on réduit le risque ces failles s’alignent pour ouvrir un boulevard aux assaillants.
Idée reçue n°6, relevée par Brett Callow : les sauvegardes sont la meilleure défense contre les rançongiciels
Les sauvegardes ne constituent pas une protection contre les rançongiciels. Tout d’abord, elles ne manquent pas d’être elles-mêmes compromises, voire endommagées, par les attaquants, lorsque l’architecture du système d’information leur permet d’y accéder. Lorsque ce n’est pas le cas, elles s’intègrent surtout dans une stratégie plus large de résilience, pour remettre l’entreprise sur pieds. Enfin, elles ne sont d’aucun secours contre la menace de divulgation de données volées dans le cadre d’attaques misant sur une tactique de double-extorsion.
Idée reçue n°7, relevée par Brett Callow : les attaques sont hautement sophistiquées et difficiles à prévenir
Les victimes mettent souvent en avant une prétendue sophistication des attaques. Mais dans la pratique, cette communication vise surtout à cacher des défaillances béantes dans les pratiques de sécurité de la victime. Les attaques ne sont pas nécessairement faciles à détecter et à bloquer, mais réduire leurs chances de succès est possible, parfois même avec des moyens peu sophistiqués et une hygiène de sécurité rigoureuse.
Idée reçue n°8 : payer la rançon va faire de moi un « bon client » (et je m’expose à être attaqué à nouveau)
Cette crainte est notamment alimentée par un sondage dont les résultats ont été publiés par Cybereason en juin 2021. Mais elle ne trouve pas de confirmation dans les observations de terrain. Certaines organisations sont bien attaquées plusieurs fois. Plusieurs cas d’entreprises n’ayant pas payé la rançon et ayant fait l’objet de revendications d’attaques ont d’ailleurs été documentés, au cours des dernières années. Le fait d’être attaqué à nouveau traduit surtout un effort de reprise d’activité trop hâtif : le système d’information n’a pas été proprement nettoyé ; les leçons de l’attaque n’ont pas été dûment retirées. Des nouveaux attaquants – voire les mêmes – ont ainsi pu revenir à la charge.
source : LeMagIT https://www.lemagit.fr February 4, 2022 at 12:47PM