Ils font trembler les DSI. Les ransomwares, nouvelles armes des pirates informatiques, sont une véritable menace, aussi bien pour les PME que pour les grands groupes. Comment les hackers arrivent-ils à chiffrer ou à subtiliser les données des entreprises ? Comment ces dernières peuvent-elles se protéger et sensibiliser leurs collaborateurs ? Réponses avec Matthieu Bonenfant, expert en sécurité informatique.
Matthieu Bonenfant est directeur marketing produit de Stormshield, filiale d’Airbus Defence and Space. Née de la fusion d’Arkoon et de Netasq, Stormshield est spécialisée dans les solutions de protection des réseaux, des postes et serveurs et des données, et compte 250 collaborateurs.
Matthieu Bonenfant est également membre de l’association R&D-SSI, un groupe de réflexion qui rassemble offreurs (éditeurs et distributeurs) et utilisateurs de solutions technologiques de sécurité. Objectif : identifier des besoins de protection et lever ensuite des projets qui permettent d’y répondre. R&D-SSI est adossée au pôle d’excellence Euratechnologies.
« Il ne se passe pas une semaine sans que l’on identifie une nouvelle forme de ransomware »
Quels sont les enjeux de la sécurité informatique dans les entreprises ?
Les défis sont multiples et dépendent vraiment de l’activité de l’entreprise. Certaines vont avoir des problématiques liées à la protection de leur capital informationnel, c’est-à-dire de données dont la confidentialité doit être garantie. D’autres, dans le secteur industriel par exemple, ont pour objectif principal d’assurer la continuité de leur activité et donc la disponibilité des systèmes d’information… On ne peut pas définir un enjeu unique.
En revanche, le problème qui fait beaucoup parler de lui parce qu’il touche aujourd’hui toutes les entreprises, quelle que soit leur taille, c’est celui des ransomwares, ces programmes malveillants qui ont pour objectif de chiffrer des fichiers ou des informations sur les postes compromis et d’exiger une rançon, très souvent en bitcoin, pour accéder à nouveau à ces données.
Depuis environ deux ans, le phénomène se développe de manière exponentielle. C’est très lucratif pour les pirates puisqu’en général, les sommes mises en jeu sont (relativement) peu élevées pour que les gens acceptent de payer. Les conséquences peuvent être désastreuses, notamment dans les hôpitaux qui ont des données médicales qu’ils ne peuvent pas se permettre de voir inaccessibles.
=> A lire aussi : Quels sont les enjeux de la sécurité des données de santé ? Réponses avec Cédric Cartau
Aujourd’hui, il ne se passe pas une semaine sans que l’on identifie une nouvelle forme de ransomware. Certains sont même capables de chiffrer des sites web. La problématique vis-à-vis de ce type de menaces, c’est qu’elles utilisent des vecteurs de propagation polymorphes pour passer au travers des antivirus traditionnels et atteindre encore plus facilement leur cible. On constate une vraie professionnalisation de cette activité avec des gens qui proposent même des plateformes « ransomware as a service » sur lesquelles on peut louer une variante de ransomware en laissant un pourcentage à son éditeur.
« Le moyen d’accès le plus utilisé, c’est le mail »
Quelles sont les portes d’entrée utilisées par les pirates informatiques ?
La porte d’entrée principale reste le poste de travail. Les moyens d’y accéder sont nombreux. Le plus fréquent, c’est le mail avec pièce jointe. Ces mails sont de plus en plus soignés, si bien que l’utilisateur pense consulter un courrier légitime. Une fois la pièce jointe ouverte, les pirates peuvent exploiter des vulnérabilités pour prendre la main sur le poste et installer le logiciel malveillant qui chiffrera les fichiers.
Certains hackers utilisent aussi des sites web. Dans ce cas, ils peuvent par exemple pirater un site très fréquenté pour y installer un kit d’exploitation qui, lorsque l’utilisateur va se connecter, installera un ransomware. Il existe aussi des techniques de redirection vers des sites web malveillants. Autre média : la clé USB qui, une fois infectée, peut permettre la prise de contrôle d’un poste.
Enfin, beaucoup d’attaques exploitent des vulnérabilités permettant d’accéder aux serveurs et d’y récupérer des informations : bases de données des comptes utilisateurs, numéros de cartes de crédit…
Les portes d’entrée se sont démultipliées ces dernières années, notamment avec l’essor de la mobilité qui nécessite d’ouvrir toujours plus d’accès distants. La consumérisation de l’IT fait que les utilisateurs travaillent avec des terminaux et des applications personnelles, des applications dans le cloud qui ne sont pas forcément maîtrisées par l’informatique en interne.
« Il faut apprendre aux collaborateurs à faire preuve de davantage de vigilance »
Quelles sont les bonnes pratiques à mettre en place ? Comment se protéger ?
L’Agence nationale de sécurité des systèmes d’information (Anssi) a émis plusieurs guides qui peuvent être consultés gratuitement.
Sinon, plusieurs règles sont essentielles :
– Mettre régulièrement à jour avec les derniers correctifs de sécurité les éléments du système d’information : serveurs, postes, équipements…
– Ne pas ouvrir de portes quand cela n’est pas nécessaire. Aujourd’hui, les entreprises ont besoin de partager l’information et de s’ouvrir au monde… Mais cela ne doit pas empêcher de mettre des règles sur les firewalls.
– Veiller à ce que les systèmes de sécurité soient correctement déployés partout, que des revues et contrôles de sécurité des configurations aient lieu fréquemment.
– Analyser de façon régulière les évènements de sécurité pour surveiller les comportements anormaux.
– Faire attention aux mots de passes, qui doivent être assez complexes et souvent modifiés.
On peut également citer des bonnes pratiques liées au comportements des utilisateurs. Beaucoup de pirates, en ciblant les postes de travail, s’appuient sur les failles humaines. Il est donc primordial de sensibiliser les collaborateurs à faire preuve de davantage de vigilance et à mieux anticiper les risques en prêtant attention aux détails qui peuvent paraître anormaux. Il y a toujours des petits signes à noter : beaucoup de fautes d’orthographe dans un mail, des tournures inhabituelles, un émetteur inconnu ou une adresse mail qui semble peu légitime… En cas de doute, il ne faut pas hésiter à faire remonter au responsable informatique ou à demander un avis extérieur avant d’ouvrir une pièce jointe ou de consulter le contenu d’une clé USB.
De quelle façon les entreprises peuvent-elles sensibiliser les collaborateurs ?
C’est un véritable enjeu, il existe beaucoup de moyens à disposition. Le premier, ce sont les outils de communication traditionnels comme par exemple des campagnes d’affichage un peu décalées qui permettent d’expliquer des règles d’hygiène de sécurité simples autour des mots de passe ou des pièces jointes…
D’autres solutions permettent de tester et de sensibiliser les utilisateurs en les mettant en situation réelle d’attaque. Il s’agit alors d’envoyer de faux mails pirates et de voir quels sont les utilisateurs qui cliquent, pour ensuite les former aux bonnes pratiques.
Il ne faut pas hésiter à faire une réunion d’information quand on intègre un nouveau collaborateur, pour lui expliquer quelles sont les règles à respecter et quels sont les bons comportements à adopter.
« La sécurite ne doit pas être un frein à l’adoption des nouvelles technologies »
Aujourd’hui, la sécurité est un sujet d’actualité. Elle est vue par beaucoup comme une contrainte et un frein à l’utilisation des nouvelles technologies. Les applications externalisées comme Office 365 ou Dropbox inquiètent les responsables sécurité qui ne voient pas comment limiter leur utilisation pour garder le contrôle sur les informations sensibles.
Pourtant, il existe des approches qui permettent de garder la maîtrise de l’information tout en s’ouvrant à ces nouveaux usages : en ayant une approche « data-centric » de protection de la donnée en elle-même, plutôt que du SI, du réseau ou du poste. Il ne faut pas avoir peur de passer à ce type de solutions, il faut juste assurer la transition en employant les bonnes mesures compensatoires.
A lire aussi :