Le gouvernement devient finalement sérieux au sujet des ransomwares, mais que se passe-t-il ensuite ?

Version imprimable, PDF et e-mail

La menace exercée par les ransomwares n'a cessé de se renforcer au fil des années. Mais c'est seulement récemment qu'elle a fait son apparition dans les médias grand public et a attiré l'attention des législateurs. La raison ? Une poignée de violations retentissantes, un phénomène qui donne de plus en plus de sueurs froides aux autorités. L'exécutif américain semble avoir enfin appris la leçon suite à l'attaque qui a touché Colonial Pipeline début mai, exhortant les PDG à prendre la menace plus au sérieux et prévoyant d'accorder aux attaques la même priorité qu'au terrorisme.

Mais quid des entreprises, et en particulier des PME ? Elles ont encore du pain sur la planche.

Où en sommes nous

Les attaques par ransomware se multiplient depuis un certain temps, mais il a fallu attendre la pandémie pour que les pirates informatiques passent à la vitesse supérieure. L'année dernière, ils n'ont fait preuve d'aucune pitié pour exploiter une série de facteurs particulièrement propice : télétravail, appareils et réseaux professionnels à domicile mal sécurisés, VPN vulnérables et points d'accès RDP mal configurés. Ce sont les hôpitaux, les entreprises du secteur public, les sociétés de services professionnels et l'industrie alimentaire qui en ont surtout fait les frais.

Le ciblage des entreprises du secteur de la santé a ouvert les yeux à nombre de personnes qui ne voyaient en cela qu'une cybermenace de plus à gérer et contre laquelle s'assurer. Le fait d'extorquer une rançon aux hôpitaux alors que des vies étaient en jeu a mis en évidence la quête nihiliste de l'argent qui anime la plupart des groupes de pirates. Les perturbations causées par l'attaque plus récente d'un important oléoduc de la côte Est ont souligné l'impact potentiel des cyberattaques sur le monde réel. Les prix du carburant ont grimpé en flèche pendant plusieurs jours alors que les pénuries perduraient.

Les autorités réagissent

Le changement de gouvernement de Washington a eu un impact presque immédiat sur la situation. Le président Biden a publié l'un des décrets les plus détaillés et les plus ambitieux jamais pris en matière de cybersécurité afin de renforcer les bonnes pratiques au sein du gouvernement fédéral et de sa chaîne logistique. Des mesures telles que l'authentification multifacteur (MFA), l'EDR (endpoint detection and response), le chiffrement renforcé et la journalisation obligatoire des événements ont suscité de nombreux éloges de la part du secteur de la cybersécurité.

Il a ensuite créé, au sein du ministère de la justice, une unité spéciale de lutte contre les ransomwares et l'extorsion numérique, qui a déjà réussi un grand coup en parvenant à récupérer plus de la moitié des fonds versés aux pirates à l'origine de l'attaque contre Colonial Pipeline. Et puis, il y a eu ces annonces de projets visant à renforcer la vigilance du gouvernement à l'égard des ransomwares.

Mais quel en sera l'impact dans les faits ? En gros, une coordination plus centrale de la gestion des attaques avec l'unité spéciale du ministère de la justice en vue d'améliorer les procédures d'attribution de ressources, de suivi et de neutralisation. C'est un bon début, mais la tâche est encore longue. Une grande partie du problème réside dans le recours continu aux cyberassurances pour payer les rançons. Dans un tel contexte, il est difficile de voir ce qui pourrait inciter les entreprises à améliorer leur sécurité à la base, à moins que leurs assureurs se montrent plus stricts dans ce domaine.

Toutefois, le gouvernement pourrait frapper un grand coup en plaçant d'autres groupes de pirates spécialisés dans les ransomwares aux côtés d'Evil Corp sur la liste des sanctions du Bureau de contrôle des actifs étrangers (OFAC) du Département du Trésor américain. Cette mesure interdirait aux assureurs et aux victimes de payer certains pirates et, ce faisant, contribuerait à barrer la route aux groupes affiliés qui mènent aujourd'hui la plupart des opérations liées aux ransomwares.

Des mesures visant à neutraliser ces attaques, notamment l'authentification multifacteur (MFA), l'EDR (endpoint detection and response), le chiffrement renforcé et la journalisation obligatoire des événements, ont suscité de nombreux éloges de la part du secteur de la cybersécurité.Cliquez pour tweeter

La marche à suivre pour les entreprises

Le gouvernement doit également faire davantage pour aider les PME à surmonter ces difficultés. Malgré les violations notoires, ce sont les petites entreprises qui constituent la majorité des victimes aujourd'hui. La rançon moyenne se chiffre en effet en centaines de milliers de dollars et non en millions. À ce propos, la conseillère adjointe à la sécurité nationale pour les technologies cybernétiques, Anne Neuberger, a récemment écrit une lettre ouverte aux chefs d'entreprise pour les inciter à intensifier leurs efforts.

Alors, si vous êtes à la tête d'une PME et que vos ressources sont limitées au lendemain de la crise financière mondiale que nous venons de traverser, par où devez-vous commencer ? La bonne nouvelle, c'est que mettre en place les bonnes pratiques de sécurité ne doit pas forcément vous coûter les yeux de la tête. Voici quelques conseils avisés prodigués par le Centre national de cybersécurité (NCSC) du Royaume-Uni :

  • Effectuer des sauvegardes régulières selon la règle du 3-2-1
  • Filtrer les e-mails et les URL pour réduire les risques de phishing
  • Renforcer les programmes de formation et de sensibilisation à la cybersécurité
  • Mettre en place l'authentification multifacteur (MFA) sur tous les points d'accès réseau à distance
  • Corriger rapidement toutes les vulnérabilités connues
  • Appliquer le principe du moindre privilège pour les accès à distance
  • Séparer les plateformes obsolètes du reste du réseau
  • Établir et tester régulièrement un plan de réponse aux incidents
  • Désactiver ou limiter les environnements de script et les macros

Nombre de ces mesures peuvent être mises en œuvre dans le cadre d'une approche zero trust, un moyen de plus en plus populaire de minimiser les risques dans un monde où prédominent le travail distribué et les applications cloud. Mais quelle que soit votre stratégie, il est temps de reconnaître les ransomwares comme une menace de premier ordre.

Remonter en haut de page
Tweeter
Partager
Partager