Le village by CA Finistère

Logo-Le-Village-by-CA-Finistere-600x600
Menu
Linkedin

Cyber : les attaques en période de crise

Cyber
Post Views: 224

La crise sanitaire que nous traversons oblige les entreprises à se réorganiser, les amenant à prendre plus de risques dans le domaine IT, les mettant ainsi en première ligne face aux menaces cyber. Les cybercriminels le plus souvent opportunistes, profitent de la crise mondiale et du désordre engendré pour promouvoir des campagnes malveillantes. Cybermalveillance.gouv.fr, Groupement d’Intérêt Public (GIP) d’Action contre les Cybermalveillances à destination des particuliers, TPE et PME, a noté une augmentation significative des visites sur son site, passant de 1500 par jour avant le 16 mars, à 20 000 par jour depuis le confinement. Des consultations accrues notamment sur ses fiches reflexes et son outil de diagnostic et d’assistance.

Face à la vulnérabilité des entreprises et à la recrudescence des attaques, nous avons interrogé l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et les start-up cybersécurité du Village : WATOO, SEKOIA et HARFANGLAB, pour connaitre leur avis sur la situation et partager avec nous les principes de base à appliquer pour se prémunir et les bonnes pratiques à mettre en œuvre face à une attaque.

 

Existe-t-il des secteurs d’activités plus fortement touchés ?

Tous s’accordent à dire qu’aucun secteur d’activité n’est aujourd’hui à l’abri d’actions de cybercriminalité et qu’il est difficile de définir des secteurs particulièrement visés. Néanmoins, les secteurs de la santé et de l’industrie sont des cibles de choix en cette période, comme le précise David Bizeul, CTO chez SEKOIA : « Le secteur de la santé est bien entendu particulièrement concerné. D’autres attaques avancées ciblant des industries spécifiques seront probablement découvertes dans plusieurs mois. Statistiquement, c’est souvent l’entreprise qui n’a pas assez réfléchi et investi dans sa sécurité qui risque de devenir une victime. A cet égard, les PME sont malheureusement particulièrement concernées et particulièrement fragiles ». Grégoire Germain, CEO d’HARFANGLAB confirme ce dernier point en indiquant que les plus vulnérables restent « Les entreprises qui n’ont pas mis en place de système d’accès sécurisé à leur réseau interne via internet (VPN) ».

Par ailleurs, le passage forcé au télétravail est une porte ouverte aux cybercriminels, « Réalisée le plus souvent dans un contexte d’urgence, la mise en place d’outils permettant aux salariés de travailler à distance a pour conséquence directe une augmentation sérieuse des vulnérabilités » souligne Javier Franco Contreras, CEO de WATOO, un avis partagé par Grégoire Germain qui explique que « l’usage massif des plateformes collaboratives en fait des cibles de choix ».

Quels sont les principaux impacts d’une attaque ?  

Comme l’indique Christian Cévaër Délégué à la sécurité numérique en région Bretagne à l’ANSSI « Les principaux impacts dépendent du type de cyberattaque, on peut néanmoins noter des risques financiers, d’image et juridiques faisant suite à : une neutralisation temporaire ou définitive d’un ou des systèmes d’informations; une exfiltration de données, d’innovation, suivie de leur publication à la concurrence ou au grand public; une perte (chiffrement irréversible) ou une suppression de données ; une fraude ; une utilisation illicite de ses systèmes d’information par un cybercriminel pour attaquer ses fournisseurs ou de ses clients… ». Non présenté dans cette liste, il précise que l’impact psychologique post-incident du collaborateur est souvent négligé ; « celui qui par mégarde a cliqué sur le lien ou la pièce jointe initiatrice de l’attaque, celui qui a fait le mauvais choix, le mauvais geste (cliquer) développe bien souvent un fort sentiment de culpabilité ». 

David Bizeul et Javier Franco Contreras, détaillent plus spécifiquement les risques à court, moyen et long terme. A noter que « Les impacts d’une attaque cyber sont divers et dépendent des moyens mis en place pour se prémunir et pour minimiser l’impact, de la magnitude de l’attaque et du temps de réponse » souligne Javier.

Parmi les impacts, nous pouvons observer :

A court terme :  le coût de l’indisponibilité d’une partie du système d’information et ses impacts business (ralentissement/arrêt de l’activité)

A moyen terme : le coût humain pour traiter et remédier au problème qui a causé l’attaque, la perte de la confiance de la part des clients et donc la mise en péril des contrats à signer, la chute de chiffre d’affaires, la perte de propriété intellectuelle, le coût financier : paiement d’une certaine forme de rançon, éventuelles indemnisations, amendes, frais juridiques

A long terme : la trésorerie de l’entreprise peut ne pas s’en remettre (dépôt de bilan), le cours boursier d’une entreprise cotée peut s’en trouver affecté, la réputation peut être durablement touchée et le savoir-faire unique d’une entreprise peut être pillé, lui faisant perdre de futurs marchés. Enfin, des campagnes de phishing ou d’extorsion à partir des données récupérées (données personnelles) peuvent être activées

Comment les entreprises doivent-elles réagir pour faire face tout en maintenant leur activité ? 

Pour SEKOIA, une fois l’attaque décelée, la démarche technique repose en trois temps :

  • Limiter l’impact pour tenter d’isoler les machines touchées, préserver ce qui peut l’être, protéger les zones sensibles. Les actions dépendent de l’entreprise et du type de menace
  • Remédier pour supprimer tout ce qui permet à l’attaque de fonctionner, c’est à dire les vulnérabilités par lesquelles l’attaque a été rendue possible, les codes malveillants installés, les privilèges qui ont été créés par l’attaquant
  • Reprendre c’est à dire remettre en œuvre le système d’information en fonctionnement nominal : restaurer les données saines, réactiver les systèmes isolés et nettoyés …

Le site Cybermalveillance.gouv.fr (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares) met notamment à disposition des fiches conseils en cas de ransomware, problème N°1 des PME.

Dans ce cas, il convient de cloisonner immédiatement le réseau par un arrêt électrique, pour éviter le plus possible que le ransomware ne se propage à l’ensemble du parc informatique. Ici encore les sauvegardes de données hors réseau s’avèrent indispensables. Dans l’hypothèse où aucune sauvegarde n’a été réalisée et que les impacts sont trop importants, le paiement de la rançon s’avérera l’ultime recours.

Quelle communication mettre en place à destination de ses clients et parties prenantes ?

La communication à instaurer dépend à la fois de la nature de l’attaque et du type de dommages engendrés et devra donc être adaptée à la situation. Même si les actions prioritaires se dirigent souvent vers la limitation de l’impact, la communication dans un contexte d’attaque est pourtant nécessaire. C’est ce qu’affirme David Bizeul : « Il convient tout d’abord de suivre la réglementation et selon le type d’attaque, il sera peut-être nécessaire d’en informer la CNIL ou l’ANSSI. Ensuite, une notification rapide à toutes les parties prenantes indiquant qu’une attaque a été détectée et est en cours d’investigation permettra de ne pas avoir à subir les critiques du manque de transparence par la suite. Une mise à jour de cette première notification publique pourra être faite soit à fréquence régulière si le temps de résolution est jugé conséquent soit en fin de résolution lorsque la situation est revenue à la normale ».

Existe-t-il des principes de gestion essentiels à mettre en œuvre pour se prémunir et répondre efficacement dès les premières heures de la crise ?   

Puisque personne n’est à l’abri d’une cyber-attaque, le meilleur moyen d’y résister est d’être prêt et d’anticiper.

Pour David Bizeul, l’anticipation doit être basée sur 3 axes :

  • la protection du système d’information grâce au respect des bonnes pratiques et des règles d’hygiène informatiques
  • les capacités de détection pour prendre rapidement connaissance des attaques que l’entreprise rencontre
  • les moyens de réaction

Tous les acteurs interrogés insistent sur un principe indispensable et fondamental, celui de la sauvegarde des données, point central pour faire face à une attaque.

Pour Christian Cévaër  « outre les indispensables bonnes pratiques et outils de sécurité des systèmes d’information, il faut s’assurer que des sauvegardes déconnectées du réseau informatique soient réalisées et testées. Il est recommandé d’avoir à minima identifié un prestataire de cybersécurité en capacité d’accompagner l’entreprise en amont et en aval d’une cyberattaque ».

Les bonnes pratiques et hygiènes informatiques sont présentées dans les guides de l’ANSSI disponibles en libre téléchargement sur le site https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/. S’ils répondent en priorité aux organismes réglementés, la listes des produits et services labellisés est également consultable sur le site. D’autres acteurs de la réponse à incident sont consultables sur le site https://www.cybermalveillance.gouv.fr.

Un autre principe évoqué est celui de la sensibilisation de l’ensemble des collaborateurs de l’entreprise aux risques du numérique. Cela passe par l’enseignement, l’identification des personnes à contacter en cas d’incident de sécurité et l’imposition de règles à respecter voire l’application d’éléments dissuasifs pour limiter les risques d’exposition : procédure d’authentification, utilisation de VPN, contrôle d’accès, pare feu, anti-virus, outil de blocage d’accès aux sites malveillants, mises à jour régulières…

Enfin, la mise en place d’audits réguliers et de tests d’intrusion sont également nécessaires pour corriger d’éventuels problèmes avant d’être exploités par des attaquants souligne Javier Franco Contreras. Il explique également qu’« en cas d’attaque, il faut être capable d’identifier la faille rapidement pour corriger la situation et éviter sa reproduction. Pour cela, des outils de surveillance et d’analyse d’activité et des solutions de marquage sont à prévoir ». 

Les entreprises ne sont pas seules victimes, puisque les particuliers doivent eux aussi s’informer et se protéger pour ne pas voir leur vie privée exposées, leurs données bancaires volées ou leurs fichiers chiffrés. « Respecter le guide des bonnes pratiques de l’informatique présenté sur le site de l’ANSSI » permet aux particuliers de se prémunir, évoque Grégoire Germain (https://www.ssi.gouv.fr/entreprise/guide/guide-des-bonnes-pratiques-de-linformatique). D’autres règles sont à considérer comme l’utilisation de son ordinateur personnel pour les activités extra-professionnelles, les mises à jour automatiques du système d’exploitation et des applications, l’installation d’un anti-virus, la réalisation de sauvegardes ou encore l’utilisation d’un gestionnaire de mots de passe.

Le contexte actuel a donc plongé les entreprises et notamment les TPE et PME dans des situations de vulnérabilités importantes, faisant de la crise une opportunité à saisir. Aucun domaine d’activité n’est épargné face aux cybercriminels. Il existe néanmoins des principes de gestion essentiels à destination des entreprises et des particuliers pour se prémunir et ainsi mieux gérer l’attaque et ses impacts. Malgré cette période délicate, les start-up de la cybersécurité ont pu mettre en lumière leurs solutions innovantes à forte valeur auprès de clients plus réceptifs qu’en temps normal.

En savoir +

WATOO : WaToo propose du tatouage de données numériques dont l’objectif est de lutter contre la fuite, le détournement et la falsification de données et de documents sensibles par des utilisateurs autorisés (personnel, partenaires, sous-traitants, clients). Cette innovation permet de dissimuler des traceurs propres à chaque utilisateur ou destinataire lorsque les données sont partagées. Ce traceur identifie de manière précise, le responsable en cas de fuite ou divulgation, ce que d’autres solutions comme les logs ou la blockchain ne permettent pas de faire.

SEKOIA : SEKOIA.IO est une plateforme de détection et de remédiation aux incidents de sécurité. Son objectif est de détecter et de réagir aux actions malveillantes avant que les impacts ne soient subis par le système. Cette solution met en avant des capacités de défense augmentées, coopérantes et à grande échelle.

HARFANGLAB : HARFANGLAB développe le logiciel EDiR (Endpoint Detection Investigation and Response). Celui-ci permet d’accélérer la détection, l’investigation et la neutralisation des cyberattaques sur les terminaux et serveurs informatiques. La solution est constituée d’agents logiciels implantés sur les terminaux et d’un collecteur qui centralise les moteurs de détection et les outils d’investigation. Les algorithmes sont conçus pour faciliter l’analyse sans encombrer le réseau ni les terminaux du système.

ANSSI : Service à compétence nationale, l’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle est rattachée au secrétaire général de la défense et de la sécurité nationale. Le SGDSN assiste le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.

Cybermalveillance.gouv.fr : Groupement d’Intérêt Public (GIP) d’Action contre les Cybermalveillances à destination des particuliers, TPE et PME. Cybermalveillance.gouv.fr a pour mission d’aider les entreprises, les particuliers et les collectivités victimes de cybermalveillance, de les informer sur les menaces numériques et de leur donner les moyens de se défendre.

CATÉGORIES

Close Popup

Le Village By CA Finistère utilise des cookies pour ce site : certains cookies sont indispensables car utilisés à des fins de bon fonctionnement et de sécurité : d'autres sont facultatifs. Les cookies de mesure d'audience permettent de réaliser des statistiques de visites, d'analyser votre navigation.

Les cookies de publicité personnalisée permettent de personnaliser votre parcours, les publicités, communications et sollicitations de prospection commerciale à votre intention.

Nous vous invitons à nous faire part dès à présent de vos choix concernant le dépôt de ces cookies facultatifs sur votre terminal, soit en les acceptant tous, soit en les refusant tous, soit en personnalisant votre choix par finalité. A défaut, vous ne pourrez pas poursuivre votre navigation sur notre site.

Votre choix est libre et peut être modifié à tout moment, en cliquant sur le lien "Cookies", en bas de page. Nous conservons votre choix pendant 6 mois.

Tout accepter Personnaliser mes choix Continuer sans accepter
Politique des cookies
Close Popup
Paramètres de confidentialité sauvegardés !
Paramètres de confidentialité

Nécessaire Les cookies de mesure d'audience (statistiques) Politique des cookies
Veuillez noter que les cookies essentiels sont indispensables au fonctionnement du site, et qu’ils ne peuvent pas être désactivés.
Cookies techniques
Pour utiliser ce site Web, nous utilisons les cookies suivant qui sont techniquement nécessaires
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec
  • *Google reCAPTCHA*
  • *_grecaptcha*
  • *welaunch_*
  • rs6_library_pagination
  • rs6_overview_pagination
  • pll_language
Refuser tous les services
Save
Accepter tous les services