Accueil Définitions : Buzzword

Définitions : Buzzword

Ransomware

Un « ransomware » ou rançongiciel est un malware dont le mode de fonctionnement passe par le chiffrement des données de l’utilisateur afin de lui extorquer une somme d’argent contre la clé de déchiffrement. L’attaquant réclame la rançon sous forme de cryptomonnaies afin de ne pas être identifié par les autorités. La rançon varie de quelques centaines voire quelques milliers de dollars à plusieurs millions de dollars, en fonction de la taille de la cible. Une entreprise peut voir une large partie de son parc de postes utilisateurs infectés, voire des serveurs critiques, certains ransomware peuvent réaliser ce que l’on appelle des déplacements latéraux d’un poste à un autre. Certains cherchent notamment à rendre inutilisables les serveurs de backup afin de ne laisser aucune autre alternative à la victime que de payer pour récupérer ses données. Cependant, verser la rançon ne constitue en rien une garantie que la clé qui sera fournie soit efficace et permettra de déchiffrer le contenu des disques durs. De même, une entreprise attaquée, qu’elle paye ou non la rançon, doit immédiatement renforcer sa sécurité car rien ne lui garantit de ne pas être attaquée une seconde fois.

S’il est communément admis que le ransomware est apparu pour la première fois en 1989 avec le cheval de Troie baptisé AIDS, « Aids Info Disk » ou encore PC Cyborg Trojan qui s’installait dans le fichier AUTOEXE.BAT de MS/DOS, ce mode d’attaque s’est très largement développé à partir de 2012 comme le notait alors le bureau d’enregistrement des plaintes du FBI (Internet Crime Complaint Center / IC3). Depuis, l’industrie du ransomware s’est structurée et on a vu émerger des offres de type « Ransomware as a Service », où un utilisateur lambda sans connaissances techniques spécifiques peut commander en ligne une attaque s’appuyant sur des ransomware prêts à l’emploi.

Outre une protection renforcée des postes clients et des serveurs notamment au moyen de solutions de protection endpoint Next-Gen ou de solution de type EDR, la parade contre une attaque de ransomware consiste à mettre en place des solutions de sauvegarde des données efficaces et surtout à l’abri des attaquants. C’est le seul moyen de reconstituer un système d’information après une attaque en limitant au maximum les pertes de données.       

 

« Zero Trust »

L’architecture « Zero Trust », appelée aussi ZTNA (Zero Trust Network Architecture) correspond à un modèle de sécurité post-périmétrique. Celui-ci est basé sur la notion qu’il ne faut pas accorder de confiance par défaut à un terminal se connectant au réseau de l’entreprise quelle qu’en soit sa nature. Même si un terminal est connecté sur le réseau interne de l’entreprise, celui-ci doit faire l’objet de contrôle de sécurité pour s’assurer que le poste ne va pas être utilisé à des fins malveillantes. Le niveau de contrôle et les droits d’accès qui vont être accordés au poste qui se connecte vont varier en fonction de la situation dynamique de celui-ci. Les contrôles vont être particulièrement renforcés lorsque l’utilisateur souhaite se connecter au système d’information depuis une chambre d’hôtel à l’étranger, depuis un accès Wi-Fi public d’un aéroport ou son domicile.

On associe l’essor de ce modèle de sécurité au développement des utilisateurs nomades et au télétravail généralisé qui voit de plus en plus de collaborateurs vouloir accéder à des ressources IT de l’entreprise hors des locaux. La paternité du terme est attribuée à John Kindervag, analyste chez Forrester en 2009 mais ses concepts de base remontent au début des années 2000.

Le niveau de sécurité apporté par le modèle « Zero Trust » s’appuie sur 3 grands principes : D’une part, il ne faut systématiquement accorder aux utilisateurs et aux machines que des droits minimums, ne jamais faire confiance par défaut et toujours vérifier et monitorer systématiquement. Cette vérification s’appuie sur des données techniques telles que la nature du poste de travail, ses logiciels installés, son hardware, le réseau mis en œuvre, mais aussi sa géolocalisation et, bien évidemment, les moyens d’authentification qui vont être utilisés par l’utilisateur afin de lui accorder ou refuser des droits d’accès aux ressources IT de l’entreprise. La montée en puissance des services de sécurité dans le Cloud et des technologies d’Intelligence Artificielle a permis d’étendre les contrôles réalisés dynamiquement sur les accès, notamment afin d’analyser en temps réel le comportement des utilisateurs.