En 2011, Patrick Pailloux, alors directeur général de l’Anssi, appelait à un retour aux fondamentaux de la cybersécurité. Il citait par exemple la gestion et bonne utilisation des droits utilisateurs, l’application systématique des mises à jour, l’examen des logs d’événements. Si les fondamentaux cités par M. Pailloux restent à l’ordre du jour, l’évolution du contexte a radicalement changé leur application : quand et comment il faut les intégrer, qui en est responsable, où s’arrête le périmètre du réseau entreprise à sécuriser... Les deux cas d’usage suivants en sont témoins.
Avec l'essor du travail hybride, le shadow IoT maximise le vecteur d'attaque
Depuis le début de la crise COVID-19, l’activité des entreprises a migré exponentiellement en dehors des murs du bureau, y compris au sein des domiciles des employés. Ces nouveaux sites distants ouvrent la porte à des attaques exploitant l'IoT grand public qui tentent de passer par le VPN pour atteindre les systèmes entreprises.
Dans la lignée du shadow IT, le shadow IoT concerne l'utilisation d'appareils ou de capteurs connectés non autorisés utilisés au sein d’une organisation, à l'insu du service informatique. Parmi les appareils peuvent figurer des ordinateurs portables, des téléphones mobiles, des tablettes, des trackers de fitness ou des équipements domotiques comme des assistants vocaux. Et le défi posé par le shadow IoT ne cesse de croître. Quelque 40 milliards d'appareils IoT devraient être connectés à l'internet au cours des cinq prochaines années, et 50 milliards seront mis en ligne d'ici 2030. Ces derniers sont souvent conçus avec des contrôles de cybersécurité limités voire inexistants. Ils sont également souvent configurés à l'aide d'identifiants et de mots de passe par défaut, que les cybercriminels peuvent facilement trouver, et fréquemment ajoutés aux principaux réseaux Wi-Fi d'une entreprise à l'insu du service informatique.
Pour se protéger contre les menaces envers le shadow IoT, les entreprises doivent inclure et appliquer des politiques de sécurité robustes pour tous les appareils personnels, et éduquer leur personnel sur les risques potentiels. Avec l'expansion des sites du travail, les employés constituent la première ligne de défense. Bien entendu, les entreprises doivent également veiller à conserver une visibilité totale sur leur réseau, s’appuyant sur des systèmes intelligents pour détecter les communications anormales et potentiellement malveillantes.
La prévention contre les attaques par ransomware, de plus en plus sophistiquées, réclame l'engagement de chaque employé
Les ransomwares sont aujourd'hui l'arme de prédilection des cybercriminels. Plus le temps passe, plus des acteurs étatiques et du crime organisé sont à l’origine des attaques, causant des pertes qui se chiffrent en millions de dollars, qu’il s’agisse d'atteinte à la réputation, de frais de restauration des systèmes et des données, de paiement de rançons, de pertes de revenus, d'impossibilité d'utiliser les infrastructures critiques, etc. Pour les criminels, les rançongiciels permettent de réaliser des gains importants tout en minimisant le risque de se faire prendre. Par ailleurs, avec l'essor des plateformes Ransomware-as-a-Service, les acteurs malveillants sans les compétences nécessaires pour créer et lancer leurs propres attaques peuvent aujourd'hui louer ou acheter ce dont ils ont besoin sur le dark web. Une tactique récemment employée avec succès par les groupes DarkSide et REvil lors de leurs attaques contre respectivement Colonial Pipeline et JBS Foods.
Les criminels s’appuient sur de nombreuses méthodes de distribution de ransomwares, allant des sites web malveillants aux emails de phishing, en passant par le détournement des protocoles de bureau à distance et les clés USB. Compte tenu de l’ampleur de la vague de ces attaques, et de la menace d'un investissement croissant des acteurs malveillants dans les plateformes Ransomware-as-a-Service, il est essentiel que les entreprises intègrent les bonnes pratiques en matière de cybersécurité, au niveau de l’individuel. L'exigence d’une authentification multifactorielle pour l'accès aux ressources et applications informatiques, et d’une revalidation de l'authentification pour chaque nouvelle session compte au premier rang de ces bonnes pratiques. Suit la formation des utilisateurs pour leur permettre d’identifier les risques lors de la réception des emails de phishing (et d’éviter de cliquer sur des liens dans les mails, d’ouvrir de pièces jointes malveillantes et d’activer de macros dans les pièces jointes de Microsoft Office). Enfin, la mise à jour régulière des logiciels permet de protéger les systèmes de la plupart des exploits.
En outre, étudier le DNS interne de l’entreprise, via des analyses corrélées à des renseignements sur les menaces, permet de détecter et de bloquer à un stade précoce les activités malveillantes, avant que le ransomware ne se propage ou ne télécharge le logiciel de chiffrement. Les sociétés peuvent également filtrer le trafic réseau grâce à la sécurité DNS pour interdire les communications d'entrée et de sortie avec des adresses IP malveillantes connues.
Si les organisations et leurs employés ont une importante responsabilité, le contexte réglementaire et financier joue aussi un rôle clé. En juin dernier, notamment, AXA a annoncé qu'elle cesserait de vendre des polices d'assurance cyber remboursant aux clients les paiements extorqués par les ransomwares. AXA étant un leader du marché de l'assurance, sa décision peut s’avérer précurseur d'une tendance plus large visant à réduire les incitations pour les acteurs malveillants. En effet, la plupart des entreprises ne disposent pas d'un budget disponible pour payer les rançons de millions voire milliards d’euros.
Les acteurs publics eux aussi s’intéressent aux rançons versées suite aux attaques. La députée Valéria Faure-Muntian (LREM) a publié la semaine dernière un rapport parlementaire qui a pour objet d'interdire aux assureurs de couvrir les rançons, ainsi que de sanctionner les organisations qui les paient. En outre, la Commission européenne étudie la mise en place d’un système de traçabilité des transferts de cryptomonnaies. Aux Etats-Unis, un projet de loi qui obligerait les organisations ayant payé des rançons à divulguer des informations relatives à ce paiement au gouvernement. Ce dernier se prépare par ailleurs à sanctionner les plateformes de cryptomonnaie facilitant ces attaques.
Ces mesures signalent peut-être l’influence croissante d’acteurs externes à la filière, financiers comme publics. L’année 2021 démontre cette tendance : Emmanuel Macron a dévoilé en début d’année son plan à 1 milliard d’euros en la matière ; l’Union européenne a lancé une unité conjointe en juin dernier ; aux États-Unis, plusieurs dizaines de milliards d'investissements dans la filière ont été annoncés en été ; en amont de sa présidence européenne, la France incite les autres États membres à une lutte plus poussée contre la menace cyber… L’intérêt des gouvernements témoigne de l’importance, néanmoins une défense efficace dépend des actions des particuliers, accompagnés par leurs employeurs et des acteurs publics.
Par Sarah Duyndam, Country Manager France, Infoblox