Pas de trêve des confiseurs sur le front de la cybersécurité. La crise sanitaire ne s’est incontestablement pas caractérisée par un reflux des cyberattaques. Bien au contraire. Comme le souligne l’Anssi, les tendances observées en 2019 se sont confirmées en 2020, et à présent en 2021.
L’agence de sécurité de l’Etat constate une recrudescence des attaques par rançongiciels. “La menace des rançongiciels continue de croître exponentiellement et les exemples récents confirment que les conséquences peuvent être très graves”, prévenait en juin 2021 Mathieu Feuillet, sous-directeur Opérations de l’ANSSI.
Une automatisation accrue des attaques, qui n’épargne aucun secteur
Et 2021 s’inscrit indéniablement dans le prolongement des deux années précédentes. Entre août 2020 et juillet 2021, Barracuda Networks estime à 61% la hausse du nombre d’attaques de ransomwares. La France et ses industries ne sont pas épargnées. Nous figurons même parmi les cinq pays les plus touchés par ces menaces.
Les rançongiciels sont la menace la plus visible aujourd’hui. Et cela ne doit rien au hasard. Leurs opérateurs sont pragmatiques. Ils savent aussi résoudre des équations mathématiques assez simples : gain potentiel x probabilité de paiement d’une rançon. Le résultat de cette formule est clairement en faveur du ransomware et de ses acteurs.
Mais les organisations escomptant se glisser entre les mailles des filets des cybercriminels font elles aussi un très mauvais calcul. Plus encore si ces espoirs les amènent à négliger leur protection et l’investissement en cybersécurité, moyens humains, services et solutions technologiques.
“Aucun secteur d’activité ne semble épargné par les attaques cyber”, prévient l’Anssi. Et pour cause puisque les blackhats n’ont de cesse de se spécialiser, de constituer de véritables gangs et surtout d’automatiser toujours plus leurs attaques. Cette automatisation leur permet de diffuser massivement des charges virales vers des adresses IP.
La faille Log4j et son exploitation en donnent une parfaite illustration. Les attaques s’effectuent par le biais de systèmes automatisés. Il ne faut pas s’attendre en 2022 à un relâchement des cybercriminels. L’hyper-connectivité permise par la digitalisation croissante des organisations et des tendances comme le cloud et le travail hybride y concourent.
La cybersécurité relève de la stratégie et donc de la direction générale
Les surfaces d’attaque s’élargissent du fait du développement de ces usages et de la multiplication des flux qui en découle. Le cloud est un moyen pour des entreprises sans ressources cyber internes d’accéder à un niveau de sécurité accru. Les données sont migrées vers une forteresse bien défendue par un tiers, mais cette forteresse se situe en plein milieu du champ de bataille. Données, applications et utilisateurs sortent du périmètre habituel. La sécurité doit bien sûr suivre ces évolutions. Et c’est le cas par exemple avec des approches de type zero-trust.
Le tableau dressé ici peut paraître pessimiste. Le bilan cyber de 2021 ne doit pas s’arrêter à la seule analyse de la menace. Les défenses s’organisent elles aussi. Les ransomwares ont contribué à cette réaction. Ce risque a particulièrement participé à sensibiliser les directions générales des entreprises.
Le coût moyen d’une cyberattaque pour une organisation est de 13 millions de dollars1.La cybersécurité est un enjeu stratégique et, à ce titre, doit être pleinement prise en main par les dirigeants. Le rôle des décideurs est d’assurer le bon développement des sociétés dont ils assurent le pilotage. Or, la cybermenace met en danger la résilience, voire parfois la survie de ces entreprises.
La prise de conscience est là. Les Comex discutent désormais de cybersécurité lors de leurs réunions. Et c’est une bonne chose. Il était indispensable que le sujet s’extraie du cercle des experts. La raison est simple : la mise en place de protections efficaces et de plans de continuité réellement opérationnels nécessite des décisions stratégiques, l’implication des directions fonctionnelles et des ressources.
Prendre de telles décisions, impulser une sensibilité aux risques et infuser une culture de la cybersécurité dans toute l’organisation, c’est justement du ressort des dirigeants. Quelle pourrait être leur première décision ? Tout est fonction du niveau de maturité. Mais pour être à l’état de l’art, la première étape consiste nécessairement par une analyse du périmètre.
Une évidence ? Cela ne l’est pas toujours. Les SI se sont considérablement complexifiées. Cette tendance va persister. Il est donc d’autant plus nécessaire de cartographier, d’identifier les systèmes exposés, de connaître ses risques et de les catégoriser pour en définir l’impact. De ce travail préalable émergera une liste de priorités, dans laquelle la protection des données occupera forcément une place centrale.
Le secteur public doit lui aussi se mettre en ordre de bataille. Il bénéficiera pour cela du plan de relance du gouvernement français. L’Etat financera notamment des audits dans un secteur où de nombreuses administrations partent encore d’une feuille blanche. 2022 ne doit pas être l’année des cybercriminels et de leur professionnalisation croissante. Non ! 2022 doit donner l’occasion aux défenses de s’illustrer et aux bonnes pratiques de se généraliser.
Mathis Hammel, Parrain de Guardia Cybersecurity School et Tech Evangelist pour la société CodinGame.
L’insight de Dell Technologies
2022, l’année de la cyber-résilience pour les entreprises
– David Becu, France Sales leader Data Protection & CyberRecovery, Dell Technologies.
Pendant des années, les entreprises ont investi dans de la sécurité active : portes et verrous, ou ceintures et bretelles, selon la sensibilité des systèmes. Voilà, le travail est réalisé et les dirigeants n’ont plus à se préoccuper de cybersécurité… Rien n’est jamais aussi simple ! L’actualité nous en apporte la preuve. Les moyens de sécurité – indispensables – peuvent être contournés. Mais ce n’est cependant pas une fatalité pour autant. Ce ne le deviendra que si l’inaction prévaut face à ce risque. Pour 2022, la stratégie cybersécurité des organisations devra dès lors inclure une capacité de redémarrage en cas d’attaques. Permettre à l’entreprise d’échapper à la paralysie, voire même de s’exposer à un risque de cessation d’activité, c’est tout l’enjeu de la cyber-résilience. La prise de conscience sur ce sujet reste cependant encore lacunaire ou circonscrite aux cercles d’experts de la cybersécurité.
Disposer d’une sauvegarde n’est pas à elle seule la garantie de la résilience. Les Cyberattaques via ransomware le démontrent. Soucieux d’accroître leurs chances de percevoir une rançon, ils ciblent les systèmes de sauvegarde et de protection des données. La faille interne, qu’elle soit malveillante ou non, constitue également un risque. Le sujet de la cyber-résilience concerne toutes les entreprises, quelle que soit leur taille. Garantir la cyber-résilience passe par la mise en œuvre d’une solution dédiée. La mise en place de processus, d’une solution technologique et de services vont permettre le redémarrage de l’organisation lorsque ses défenses ont été contournées. La sanctuarisation via vault par exemple, un coffre-fort, respectera les préceptes de l’Anssi afin d’isoler les données. Immuables, ces données pourront être analysées et restaurées afin d’identifier « la bonne copie intègre et directement restaurable ». L’effectivité d’un plan de cyber-résilience, c’est aussi une bonne dose d’humain. Et cette ressource ne peut pas être la seule équipe informatique. La continuité d’activité est un enjeu d’entreprise et donc un sujet pour la direction générale. Or payer une rançon n’est pas une solution viable. Nous ne le répéterons jamais assez. Le paiement n’est pas l’assurance de récupérer ses données. Et par ailleurs, même si celles-ci sont restituées, elles ne seront pas intactes. Payer n’est en aucune manière la garantie pour l’entreprise de pouvoir reprendre son activité. C’est aux métiers d’aider la DSI à définir les actifs critiques et leurs interdépendances applicatives pour parvenir à un plan opérationnel, et dont des tests en conditions réelles confirmeront l’efficacité. La cyber-résilience constitue le dernier rempart. Et sa chute n’est plus une option.
Pour aller plus loin, découvrez toutes nos solutions de cybersécurité et de cyber-recovery.
Envie d’évaluer votre cyber-résilience ? Faites le test !
1 Perspectives d’Accenture, Ninth Annual Cost of Cybercrime Study, mars 2019 : https://www.accenture.com/us-en/insights/security/cost-cybercrime-study