Cybersécurité : gare aux raçongiciels

Avec quatre fois plus d’attaques recensées l’an dernier, les entreprises petites ou grandes doivent désormais veiller au grain. Etat des lieux avec l’ANSII.

0
86

Groupe M6, Fleury Michon, Bouygues, Ouest France, Gefco, Ubisoft, mais aussi des hôpitaux comme celui de Dax ou de Villefranche sur Saône : chacun a en mémoire une victime d’un rançongiciel. Selon l’ANSII (Agence nationale de la sécurité des systèmes d’information), 20 % des grandes entreprises ont été victimes en 2020 d’un programme malveillant dont le but est d’obtenir le paiement d’une rançon. Pour mémoire : « Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. En pratique, la plupart des rançongiciels chiffrent par des mécanismes cryptographiques les données de l’ordinateur ou du système, rendant leur consultation ou leur utilisation impossibles. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données. Phénomène relativement récent, certains groupes criminels y associent désormais la menace de publication de données sensibles  » ou une revente de celles-ci sur le web. Mais la pratique a profité de la pandémie sanitaire. Télétravailleurs « aidant », les cybercriminels ont exploité les outils –parfois « maison »- utilisés à domicile par des employés pour la visioconférence ou le partage de gros fichiers, et loin du contrôle exercé en temps normal par les services informatiques de leurs entreprises. Dans plus de 75% des cas, ces attaques débutaient traditionnellement par des emails provenant d’un expéditeur légitime…semble t-il : demandes d’identifiants de connexion, commande de masques, voire lettre de lienciement ! Surfer sur les peurs et le « facteur humain » ne constitue plus le seul moyen de nuire des criminels, puisque la fréquentation d’un site web compromis peut suffire à ouvrir une brèche lorsque les logiciels n’ont pas été mis à jour (notamment les plugins du navigateur).

Une démocratisation des assaillants

Pour cette raison, et après les cyberattaques lancées contre plusieurs hôpitaux en pleine pandémie,  Emmanuel Macron a présenté en février dernier un plan pluriannuel à 1 milliard d’euros déployé jusqu’en 2025 afin d’améliorer la cybersécurité de la France. Avec par exemple, l’objectif de doubler les effectifs de la filière cybersécurité, alors que les entreprises spécialisées dans ce secteur se désespèrent aujourd’hui de trouver des profils compétents… L’avenir dira si des solutions émergent. En attendant, les rançongiciels se démocratisent : il est désormais possible d’acquérir sur le darkweb pour une somme modique le kit “clé en mains” du parfait criminel informatique. Un investissement modeste en regard des rançons parfois versées par des entreprises prises au collet : de quelques milliers € pour les plus modestes à plusieurs millions pour les géantes victimes du « Big game hunting ». Si le mot d’ordre de l’ANSII reste de ne « jamais payer », certaines entreprises ont cette faiblesse, d’autant plus que se développent des contrats de cyber assurance comprenant en cas de sinistre une assistance juridique et un filet de sécurité indemnisant parfois (attention aux clauses d’exclusion !) les nombreux dommages occasionnés (coûts de remise en état des réseaux, perte de données et d’exploitation, image écornée, etc.). Un business pas très vertueux qui encourage celui encore moins catholique de criminels 3.0 parfois venus de pays « exotiques ».

Stéphane Hovaere

Que faire ?

L’ANSII préconise de prévenir via un guide destiné à tous, y compris aux PME-TPE.
Plus d’informations : www.ssi.gouv.fr