Les attaques sur les réseaux ne concernent largement plus seulement les structures mondiales implantées aux Etats-Unis, très loin de nos contingences personnelles et de nos activités professionnelles. Non, çà, c’était avant.
Les dernières actualités nous le confirment : l’Hôpital de Dax, l’Hôpital de Villefranche-Sur-Saône, les géants Facebook et OVH…. Au moins une attaque concerne un établissement de santé chaque semaine en 2021, 533 comptes Facebook ont encore été divulgués sur un forum de hackers en ce début de mois d’avril etc etc.
- Les faits de cybercriminalité ont quadruplé depuis 2020
« Les rançongiciels n’arrivent pas tout seuls. Ils sont le travail de groupes de cybercriminels qui sont organisés comme de vraies PME du cybercrime. Ils scannent Internet, envoient des milliers de mails frauduleux et cherchent des vulnérabilités dans les systèmes des entreprises, des organisations publiques comme les hôpitaux. Une fois qu’ils ont trouvé une porte d’entrée, ils s’insèrent dans les différents ordinateurs de la structure, de l’hôpital en l’occurrence, jusqu’à pouvoir tous les bloquer. »
(Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone).
Ces pirates de l’espace Internet ont à présent une organisation bien rôdée, identifiée par les chasseurs du Dark Web (zone internet de sites interdits, spécialisés en piratage) : » On a une vraie structuration d’un écosystème.
Sur l’hôpital de Villefranche-sur-Saône, on sait que c’est le groupe Ryuk.
Ce groupe existe depuis mi-2018.
Ils ont créé une plateforme d’attaque pour automatiser, pour industrialiser ces attaques.
Depuis la mi-2018, ils ont réussi à récupérer 150 millions de dollars de rançon au fil de leurs différentes opérations ».
- Quelques données chiffrées
Orange Cyberdefense identifie de son côté une classification des incidents selon la taille des entreprises :
| Petites Organisations < 1 000 |
Moyennes Organisations 1 000 à 10 000 |
Grandes Organisations > 10 000 |
| 101 | 77 | 278 |
Les entreprises de taille moyenne ont eu à subir un nombre très faible d’incidents confirmés. Un bon signe, somme toute, qui a induit une baisse globale des taux d’incidents confirmés par entreprise d’une année sur l’autre.
Néanmoins, on constate ~ 30 % plus d’incidents dans les petites entreprises que dans les entreprises de taille moyenne.
- Facteur aggravant : l’applicatif des correctifs prend trop de temps au sein des entreprises
Orange cyberdefense a travaillé sur un panel de 168 vulnérabilités trouvées dans des produits de sécurité au cours des 12 derniers mois.
L’étude montre non seulement que l’augmentation du volume de ces vulnérabilités est un problème, mais aussi que trop de temps s’écoule avant que les entreprises les corrigent.
Moins de 19% des vulnérabilités sont corrigées sous 7 jours.
Par ailleurs, 56,8% de ces vulnérabilités prennent de 31 à 180 jours pour être corrigées, et, plus préoccupant encore, 14% ne sont toujours pas corrigées six mois après avoir été notifiées.
- Des résultats préoccupants : la crise a confirmé que la cybersécurité est l’affaire de tous
- Dans le monde du « tout connecté », chaque objet est une cible
- Le niveau d’expertise des attaquants qui s’élève
- Le rythme d’évolution des systèmes qui laisse de nombreuses portes ouvertes
- La différence entre compromission et crise… est la détection précoce et la réponse efficace.
En septembre 2020, des accès réseau d’organisations se sont vendus 500 000 dollars sur certains forums de piratage. Sur ce marché, considéré comme « initial », se vendent et s’achètent identifiants VPN, RDP ou accès via des botnets.
Données issues de l’entité Orange Cyberdefense, étude en cybercriminalité du 29/03/2021.
- Les chantiers cyber de 2021 en synthèse :
1/ Se préparer à la crise…
…en définissant un processus de gestion de crise documenté et en s’entrainant (exercice régulier de gestion de crise).
Création d’un kit de crise : Plan de gestion de crise, Communication de crise, Fiches réflexes.
2/ Renforcer les capacités de détection des attaques cyber…
…en étudiant ou déployant des solutions et des processus/services associés adaptés au contexte et sources de risques.
3/ Reconsidérer la Politique de gestion des accès…
… en agissant à chaque niveau et en s’adaptant aux nouveaux usages (télétravail massif, Cloud).
4/ Protéger le dernier rempart qu’est la sauvegarde…
… en isolant totalement les systèmes de sauvegarde du reste du SI, en multipliant et externalisant les copies, en vérifiant l’intégrité de celles-ci.
5/ Et les basics…
… Patcher, sensibiliser, auditer.
Dans 95% des cyberattaques, le départ est humain:
Ouverture d’un mail frauduleux, hameçonnage, téléchargement sur un site illicite etc.
Une sensibilisation efficace peut minimiser une grande partie des attaques.
