La nouvelle année a à peine commencé que déjà plusieurs entreprises ont été victimes de cyber-rançonnage et se retrouvent à la une des médias.
Picanol, un leader mondial de la fabrication de métiers à tisser, a été piraté il y a quelques semaines. La production s’est arrêtée et 2 300 personnes dans différentes filiales du monde entier ont dû rentrer chez elles car leurs systèmes de production avaient été immobilisés par des logiciels de rançonnage.
Et Picanol n’a pas été la seule victime - Asco, Ranson, l’école de police de Flandre Orientale (Oost-Vlaamse politieschool), l’Université d’Anvers, Oxfam, l’Université de Maastricht et Bouwpunt O.V.B ont tous été victimes de récentes cyberattaques. Il y a deux semaines, la municipalité de Willebroek en a aussi été victime et ce ne sera certainement pas la dernière.
On comprend que la plupart des entreprises qui ont été compromises par une cyberattaque préfèrent ne pas le faire savoir, sauf si elles y sont obligées. Il se peut donc qu’il s’agisse seulement de la partie immergée de l’iceberg. Avec le capital-marque et la confiance des parties prenantes/clients en jeu, cela est parfaitement compréhensible.
La cybercriminalité as-a-service
Dans le rapport mondial sur les risques 2020 du Forum économique mondial (WEF), les personnes interrogées (hauts responsables et dirigeants mondiaux) identifient les cyberattaques visant les infrastructures et les données comme l'une des dix principales cybermenaces à court et à long terme.
La cybercriminalité as-a-service est un modèle économique en pleine expansion. Il y a eu une augmentation de 300 % des cyberattaques visant les dispositifs IoT et 75 % des personnes interrogées pensent que cela ne fera qu'augmenter. (Source)
Tout laisse à penser que les cyberattaques iront en s’intensifiant à l’avenir. Ceux qui pensent encore qu'il s'agit d'un phénomène temporaire pourraient être surpris. Les organisations, les entreprises et les gouvernements ne semblent toutefois pas prendre pleinement conscience de la gravité de la situation. Pourtant, la sécurité informatique devrait être la responsabilité de toute personne concernée par les processus métier.
Paierez-vous une rançon ?
Pour éviter une perte de revenus, souvent les entreprises soumises au cyber-rançonnage paient le montant exigé, qui peut varier de 1 000 à 10 000 voire 100 000 euros. Dans de nombreux cas, celui-ci est inférieur au coût de récupération des données suite à une attaque.
La restauration des données et serveurs prend énormément de temps. Mais payer la rançon ne garantit pas nécessairement que le problème est résolu. Lorsque tous les fichiers et systèmes sont décryptés avec une clé de cryptage fournie par les auteurs de l'attaque eux-mêmes, peut-on vraiment croire que les systèmes sont « nettoyés » à 100 % ?
Si les pirates informatiques sont affiliés à des organisations criminelles, on ne peut jamais être sûr. Les types et les motivations des pirates informatiques sont divers et variés : chapeaux noirs, chapeaux blancs, chapeaux gris, cyberterroristes, hacktivistes, etc., chacun ayant ses propres objectifs et méthodes. De nombreux pirates informatiques sont motivés par des raisons financières, mais d'autres sont déterminés à détruire et n'offrent aucune possibilité de récupération à court terme.
Et payer la rançon est en fait une forme de soutien à ces organisations criminelles. Au lieu d’enrichir une organisation criminelle, ces fonds auraient été mieux investis dans des solutions et des outils de cybersécurité de nouvelle génération tels qu'un NGFW (pare-feu de nouvelle génération) et/ou des technologies correspondantes telles que SD-WAN, SDN, sandboxing, Data Loss Prevention, etc.
Quelles solutions de cybersécurité nouvelle génération devez-vous choisir ?
Les solutions de cybersécurité de première et deuxième génération se limitent en général à la vérification des signatures de fichiers, que les pirates informatiques peuvent facilement falsifiées. Les menaces actuelles sont beaucoup plus sophistiquées et nécessitent donc une nouvelle approche.
Cela dit, il est inutile que chaque employé soit un expert en cybersécurité. Mais il est essentiel de sensibiliser les employés et d’en faire une priorité. C’est souvent un élément humain qui est à l’origine d’une attaque. Les pirates informatiques sont très inventifs et trouveront de nouvelles façons de duper les employés par des visites déguisées, des e-mails semblant provenir de « collègues » et présentant en-tête professionnel et environnement Office 365 parfaitement imités.
Alors par quoi faut-il commencer ? Il est préférable de commencer par un audit de sécurité car il permettra d’évaluer les risques et les menaces sur un réseau d’entreprise. Ce n’est que lorsque les problèmes sont détectés qu'il est possible de prendre des mesures.
Le NGFW et ses fonctionnalités
Le NGFW est disponible sous forme d'appliance matérielle, de machine virtuelle ou de docker, et est disponible auprès de leaders bien connus dans le domaine des réseaux et de la sécurité tels que Juniper, Fortinet, Cisco, Checkpoint, Palo Alto, etc. Les meilleurs NGFW combinent les capacités des pare-feux traditionnels et ajoutent des fonctionnalités de nouvelle génération pour inclure plus de couches du modèle OSI lors des contrôles, ce qui améliore le filtrage du trafic réseau et permet une inspection plus approfondie...
Il s'agit là d'un must pour les organisations qui adoptent des services en cloud sous forme d'applications SaaS, PaaS et IaaS dans une configuration complète ou hybride. Les plateformes telles que Amazon Web Services, Microsoft Azure et Google Cloud accentuent la complexité de l’installation.
Les pare-feux de première et deuxième génération comprennent des fonctions telles que le filtrage de paquets, l’inspection d’état, le NAT et le PAT, le blocage d’URL, le VPN avec QoS, mais cela n’est pas suffisant pour obtenir la vision globale nécessaire pour lutter contre les menaces actuelles.
Les fonctionnalités NGFW indispensables en 2020
Les fonctionnalités des NGFW comprennent la prévention des intrusions (IPS), l'inspection SSL/TLS et SSH, l'inspection approfondie de paquets, le sandboxing, le contrôle de bande passante, la détection de logiciels malveillants basée sur la réputation, ainsi que la sensibilisation aux applications, qu’elles soient intégrées ou non à des systèmes d’authentification d’identité tiers (RADIUS, LDAP). Ces capacités spécifiques aux applications sont destinées à empêcher le nombre croissant d'attaques d'applications ayant lieu aux couches 4 à 7 de la pile du modèle OSI.
Par exemple, un NGFW, dans le cadre de ses capacités anti-phishing, peut vérifier les URL envoyées dans les e-mails et les bloquer si elles conduisent à des sites malveillants. Les pièces jointes qui sont envoyées via des messages sur les réseaux sociaux peuvent également être scannées et leur accès interdit si elles contiennent un code malveillant.
Il est plus difficile de justifier l'absence de ces mesures que leur existence, n'êtes-vous pas d'accord ?