Nous avons tous au moins une fois entendu parlé de cyberattaque. En effet, que cela soit dans les quotidiens, les magazines spécialisés ou même à la radio, les termes de « cyberattaque » et de « ransomware » reviennent de plus en plus fréquemment.
L’objectif de cet article est de clarifier ces nouvelles menaces parfois obscures pour le dirigeant ou le cadre d’entreprise et de fournir les pistes permettant de se protéger a minima.

Les attaques informatiques,  un contexte particulier

Historiquement, les risques informatiques étaient mesurés par rapport à la disponibilité des systèmes. Globalement, il y a une vingtaine d’années, couvrir le risque informatique consistait à assurer la continuité de service des machines proposant les applications et les données utiles à l’organisation. Les personnels informatiques ont donc mis en place des stratégies permettant d’assurer la redondance de ces machines, de bonnes sauvegardes, des réseaux bien dimensionnés, etc.

Ensuite, des virus informatiques virulents sont apparus, la parade consistait à mettre en œuvre des anti-virus sophistiqués dans les entreprises, permettant de détecter des codes malicieux spécifiques se rependant par les clés USB, les e-mails ou encore les disquettes antédiluviennes. Depuis environ cinq ans, nous constatons l’explosion exponentielle d’un nouveau risque lié à une nouvelle forme de virus : les ransomwares.

Qu’est-ce qu’un ransomware ?

Un ransomware est une sorte de virus qui a pour mission de chiffrer (« crypter » pour les non-initiés, même si ce terme est impropre) les données présentes dans l’entreprise dans l’objectif de demander une rançon contre une clé permettant de retrouver ses données. Certaines littératures utilisent aussi le terme de crypto-virus.

En effet, les attaquants ont bien compris que la valeur d’une entreprise réside dans les données qu’elle possède et exploite. Cela semble évident pour les entreprises utilisant des secrets de fabrication, comme dans l’industrie par exemple – mais imaginez-vous pouvoir continuer votre activité si les données suivantes ne sont plus accessibles : les bons de commandes, les informations sur vos clients, les e-mails, les documents bureautiques, les bons de livraisons, les données de votre ERP, etc… Evidemment, c’est impossible.

Comment fonctionne un ransomware

Généralement, cela commence par un e-mail reçu avec une pièce jointe « piégée », si vous ouvrez le document (souvent un PDF ou un document Word) vous engagez la réaction en chaine vers le chiffrement de vos données. Vous ouvrez donc le document en pièce jointe, pensant à un e-mail légitime, la première phase de l’attaque n’est pas très spectaculaire, elle a généralement pour unique objectif de désactiver votre anti-virus.
Ensuite, un deuxième code va être téléchargé depuis Internet, celui-ci aura pour objectif de « comprendre » votre réseau informatique et ses points de faiblesse (qui seront utilisés un peu plus tard pour infecter globalement l’entreprise).
A cette étape, une brique particulière de votre infrastructure informatique sera ciblée, il s’agit d’Active Directory. En effet nous constatons que plus de 80% des attaques de ransomwares passent par l’Active Directory à un moment ou à un autre de l’attaque. L’objectif sera pour le virus de constater des faiblesses de configuration de votre Active Directory ou des failles connues sur votre infrastructure – une fois la cartographie de vos faiblesses réalisée, le crypto-virus peut passer à la troisième étape : le chiffrement.

Pendant cette troisième et dernière étape de l’attaque, un troisième code sera téléchargé, il sera disséminé dans votre entreprise (globalement sur vos PCs et serveurs) afin de chiffrer l’ensemble de vos données. Vous recevrez finalement un fichier vous expliquant que toutes vos données sont chiffrées et que vous devez payer une rançon pour les récupérer. Ne vous inquiétez pas, le fichier contient le mode opératoire vous permettant des payer le groupe mafieux qui a réalisé cette attaque.

Le cyber-risque est-il uniquement un problème pour les grandes entreprises ?

Voici finalement les deux plus grands problèmes liés aux cyber-risques :
– On pense que les attaques sont uniquement exécutées dans les grandes entreprises
– On pense que cela n’arrive qu’aux autres

Il faut en effet comprendre que les attaques de ransomwares ne sont pas réalisées par « quelqu’un derrière un clavier » (enfin, très peu) – car tout est automatisé de A à Z. En effet, les groupes criminels derrière ces attaques ont industrialisé l’ensemble de la chaine d’infection :

  • Phishing avec envoi d’une pièce jointe infectée
  • Désactivation de l’anti-virus
  • Découverte d’Active Directory
  • Vol des mots de passe
  • Chiffrement des données
  • Demande de rançon
  • Système de paiement de la rançon

Comme tout est entièrement automatisé, cela sous-entend que les groupes mafieux effectuant ces attaques ne connaissent pas à l’avance leurs victimes dans 99% des cas. De plus, depuis quelques mois, il est possible d’acheter des kits complets de création de ransomware pour environ 200$. Il suffit de se rendre sur certains sites web connus des initiés, d’acheter son kit et d’utiliser la plate-forme en ligne pour automatiser toutes les phases de l’attaque. Cela signifie qu’en plus des groupes mafieux, « n’importe qui » peut maintenant réaliser ces attaques.

Mais alors, que faut-il faire pour se protéger ?

Quelle que soit la taille de votre entreprise, nous pouvons conseiller les étapes suivantes afin d’atténuer votre cyberrisque :

  • Sensibiliser vos utilisateurs en les formant à la sécurité informatique afin qu’ils repèrent plus facilement les e-mails frauduleux (même si ces e-mails deviennent de plus en plus durs à reconnaitre avec l’amélioration des attaques)
  • Utiliser des systèmes de reconnaissance de phishing, tel que le logiciel Cofense par exemple
  • Eviter que les utilisateurs ne soient administrateur local de leur PC ou de leur Mac (faire en sorte qu’ils aient le moins de droits d’accès possible sur leur machine)
  • Déployer des solutions de vérification et de sécurisation d’Active Directory, tel que le logiciel Alsid par exemple
  • Contactez votre assureur pour découvrir quelles sont ses offres pour couvrir la perte d’exploitation liée à une cyberattaque – cela ne couvrira pas toutes vos pertes mais peut permettre d’atténuer l’impact en cas de problème

Concernant les risques informatiques, rappelez vous que l’anticipation du risque coûtera toujours moins cher qu’une posture réactive liée à l’évènement et que ce type d’attaque touchera l’ensemble des organisations, quelque soit leur taille dans les mois ou années à venir.



Article précédentDirigeants, managers, RH : comment prétendre au FNE-Formation  
Article suivantComment les émotions vous aident à mieux vendre
Sylvain Cortès, IAM & CyberSecurity Market Expert
Sylvain Cortès, expert des problématiques de gestion des identités et des accès (IAM) et de CyberSécurité, intervient sur des projets importants de gouvernance des annuaires, problématiques d’authentification, gestion des privilèges sur l’ensemble des OS, gestion des identités dans le cloud et en local, problématiques de CyberSecurité liées aux annuaires et OS. Il anime des workshops, séminaires, ou formations auprès des DSI, RSSI ou responsables Infrastructures. Sylvain Cortès a développé une expertise particulièrement poussée sur l’annuaire Active Directory et sur les solutions de bridge Active Directory permettant l’intégration d’environnements non-Microsoft dans Active Directory. Microsoft l’a honoré du titre de MVP en Stratégies de Groupe (GPOs), sur le produit IAM de Microsoft Identity Manager (MIM), l’annuaire on-premises de Microsoft Active Directory et dans la catégorie Enterprise Mobility, avec une spécialisation IDA.