AVIS EXPERT – Les petites et moyennes entreprises (PME) subissent actuellement 11 à 13 attaques par jour soit une attaque toutes les deux heures. Ce qui représente 4 745 tentatives d’intrusions malveillantes dans chaque organisation chaque année. Et 60 % des entreprises qui subissent ces attaques ferment leurs portes dans les six mois qui suivent. Florent Embarek, directeur des ventes en Europe du sud & est de BlackBerry, nous explique comment les combattre.
Les cybercriminels utilisent toute une série de tactiques – du phishing classique à des activités plus sophistiquées tel que le ransomware-as-a-service (RaaS) – pour créer un point d’entrée pour les logiciels malveillants. L’augmentation du nombre de points de connexion et la migration continue vers les technologies numériques élargissent la surface des menaces. De fait, les petites organisations deviennent des cibles de choix aux yeux des attaquants car le manque d’attention portée à la sécurité a un prix. Quelques recommandations pour faire partie des 40 % d’entreprises survivantes.
Deux types d’équipe : une rouge et une bleue
L’investissement dans la cybersécurité est comparable aux alarmes incendie. Il y a ceux qui installent des bons équipements, permettant de se protéger en grande partie : il s’agit de l’équipe rouge. Et il y a ceux qui d’une part, parallèlement à cette installation, testent régulièrement les alarmes et changent leurs piles. Et d’autre part, ils forment les habitants aux bonnes pratiques lorsque les alarmes sonnent, qu’il s’agisse d’appeler les pompiers et/ou d’évacuer le bâtiment en toute sécurité : il s’agit de l’équipe bleue.
Les innovations et les approches en la matière offrent une protection solide. L’équipe rouge sont ceux qui simulent un piratage informatique afin de déterminer comment se comportent les défenses en cas d’attaque. Alors que les tests de l’équipe bleue préparent et mettent en pratique des mesures défensives, en fournissant un cadre étape par étape, de la préparation à la remédiation. Il ne fait aucun doute que les menaces vont arriver, la seule question est : quelle équipe vous semble la mieux préparée?
Allez l’équipe bleue !
Quels que soient leur taille et leur secteur d’activité, la plupart des entreprises ne sont pas prêtes et, les PME sont généralement les plus touchées en cas d’attaque. Ce n’est pas un secret, le coût des mesures correctives et de réputation à la suite d’une cyberattaque peut être fatal. Pourtant, souvent pour des raisons d’argent, de temps ou de ressources, la plupart des entreprises n’effectuent pas de tests sur leurs capacités de sécurité.
Le guide de l’ANSSI en cas d’attaque par rançongiciel est accessible et fait partie des bonnes pratiques utilisées par les équipes bleues pour faire des tests de même que le guide de SANS Institute pour les anglophones. Il faut anticiper et savoir réagir en cas d’attaque, ce qui passe par l’identification, le confinement, l’éradication et la récupération en cas de violation, et se termine par les leçons apprises… ce qui ramène à la préparation tel un cercle vertueux.
La plupart des problèmes trouvent leur origine dans une préparation inadaptée. Par exemple, une organisation est exposée aux attaques si elle s’appuie encore sur une protection antivirus dépassée, basée sur des signatures. Les stratégies de transformation numérique ont considérablement augmenté le nombre d’appareils connectés au réseau. Un cas de figure qui nécessite de mettre en place un système de détection et de réponse aux points d’extrémité (EDR) pour une protection plus fiable.
Disposer de la bonne expertise est également un défi. Les talents en cybersécurité sont très convoités et pour ceux qui n’arriveraient pas à recruter en interne, l’externalisation est une solution viable. Cependant, il est important d’établir une relation avec une personne de référence en cas de violation, afin de minimiser la panique et d’augmenter la vitesse de réaction en cas de crise.
Identifier, contenir, éradiquer, récupérer
Lorsqu’il y a une brèche, le temps est compté mais il y a quatre étapes à respecter avant de pouvoir reprendre le cours normal des opérations. Cela commence par la phase d’identification, il s’agit d’alerter les bonnes personnes et de localiser l’origine de la menace. Quelques questions simples sont à poser : y a-t-il des événements inhabituels, des tâches programmées de façon étrange ou des communications hors bande via un canal inhabituel ? Tous ces éléments sont des signaux d’alarme qui peuvent indiquer une violation et savoir à quel type d’intrusion il faut faire face : à un ransomware ou à un malware, quelle est la menace et comment elle se manifeste.
Ensuite, vient l’étape du confinement afin d’empêcher la propagation des logiciels malveillants sur le réseau. Cela peut être aussi simple que de débrancher la connexion réseau pour couper les systèmes infectés. Les changements de mot de passe, la protection antivirus et la suppression de fichiers peuvent également être utiles à cette étape.
Une fois la menace contenue, passez à l’éradication. Une fois identifiés, il faut garder en tête que les virus peuvent rester dans la machine sous différentes formes, de sorte que l’éradication se fait selon un processus complet de suppression des fichiers infectés, d’application de correctifs, de restauration des fichiers de sauvegarde et de réexamen du réseau pour détecter la présence d’autres menaces. L’option nucléaire, qui consiste à effacer, à reformater ou à reconstruire à partir de zéro, est rare, mais valable.
Et, enfin, on passe à la récupération avec un retour à la normale des opérations. Cette phase nécessite des tests et une surveillance étroite pour détecter les artefacts de l’attaquant, c’est-à-dire les preuves que le cybercriminel laisse derrière lui. Celles-ci sont difficiles à manipuler par les attaquants et peuvent aider les professionnels à enquêter sur la brèche pour identifier les acteurs et les techniques utilisées pour entrer.
Tirer des leçons du passé, informer le présent
Dans le monde de la cybersécurité en constante évolution, il n’y a jamais de préparation excessive ! Ainsi, prendre le temps d’identifier les leçons apprises est une étape indispensable au lendemain d’une attaque. Il s’agit de documenter le parcours de la découverte à la récupération, en identifiant les changements nécessaires et en mettant à jour les processus et les politiques pour une meilleure protection à l’avenir.
Montrer du doigt un collaborateur qui aurait cliqué sur un mauvais lien, par exemple, n’est pas constructif. Dans tous les cas, cela révèle un manque de sensibilisation de la part de l’entreprise, dès lors, il est important de s’attaquer aux processus pour créer un changement durable. L’information des parties prenantes et la présentation d’un résumé de l’incident accessible à la direction sont des étapes essentielles pour obtenir un budget et un soutien pour les développements futurs de la protection de la cybersécurité et son approche sous forme de prévention avant tout.