201 jours avant de se rendre compte d’une cyberattaque
201
Il faut en moyenne 201 jours pour qu’une entreprise réalise qu’elle a
été victime d’une cyberattaque.
Cela pourrait être le titre d’une fable, mais cela doit faire écho au quotidien de beaucoup de responsables sécurité aujourd’hui.
Nous avons été abreuvés ces derniers mois d’informations concernant les rançongiciels (Ransomware) avec deux cas marquants : St Gobain et Renault qui ont dû stopper leurs lignes de production pour faire face à un risque endémique sur leurs infrastructures informatiques.
L’élément commun de ces deux affaires : le point d’entrée
Pour attaquer une infrastructure (un château fort, une maison, une voiture, un système d’information), vous avez 2 choix :
– Le premier est d’utiliser un outillage adapté à votre cible et de tenter d’y rentrer. Malheureusement, les techniques de protection ont aussi évolué, (murs très épais, douves, serrures inviolables, systèmes d’alarme, transpondeurs, verrous électroniques, antidémarrages, firewalls, « Honey Pot », antivirus, chiffrement des transmissions et des supports de stockage, …), ce qui rend les attaques d’autant plus difficiles et risquées et limite le taux de réussite. Si c’est plus dur d’attaquer, c’est moins rentable.
– Le deuxième est de trouver une personne, crédule, naïve ou tout simplement mal informée et de l’utiliser à son insu pour accéder à la ressource convoitée.
Le maillon faible (n’est pas qu’une émission télévisée), c’est aussi le cauchemar de tout responsable sécurité qui se respecte. Un RSSI (ou CISO dans la langue de Donald) doit composer avec une variable majeure dans son entreprise : les utilisateurs.
Les budgets étant ce qu’ils sont, un RSSI doit faire des choix sur les outils qu’il souhaite mettre en œuvre pour sécuriser le SI de l’entreprise. C’est là que le bât blesse, la sécurité ne devant jamais être perçue UNIQUEMENT comme un centre de coût. Entre la gestion des identités, la gestion des comptes à privilèges (les comptes administrateurs dans les applications), la sécurité périmétrique (Firewall, VPN, …), la sécurité des accès (badges), la sécurité du « workplace » (ordinateurs, tablettes, smartphones), il y a de quoi occuper l’équipe du RSSI.
Malheureusement, comme il est toujours plus difficile de s’attaquer à ces sécurités, le point d’entrée choisi par un « cyber-malveillant » n’est pas prioritairement dans la liste (non exhaustive) des outils cités plus haut. En effet, il sera toujours plus facile de rentrer dans un environnement quand quelqu’un vous donne la clé (intentionnellement ou non).
Une campagne d’hameçonnage ou « phishing » (un email qui ressemble à un courrier de votre banque, de votre opérateur téléphonique, etc.) fournira aujourd’hui suffisamment de clés à un cyber-attaquant pour s’infiltrer dans l’entreprise et s’y installer. Quand on sait que le temps moyen de détection d’une attaque ou d’une intrusion dans un système d’information d’entreprise est de 469 jours (Etude FireEye, 2016), cela laisse le temps de fouiller et trouver ce que l’on cherche.
L’heure n’est plus à la prévention mais à la protection.
Sauvegardez vos données et protégez le patrimoine numérique de votre entreprise.
Contactez un expert !