Votre organisation est-elle à l’abri des ransomwares (rançongiciels) ?
Une attaque par ransomware (rançongiciel) peut survenir à tout moment. L'utilisation d'une stratégie de sécurité « Zero Trust » permet de renforcer la sécurité de votre organisation.
Nous en entendons tous parler et lisons à leur sujet : les ransomwares, une forme de logiciels malveillants en constante évolution, conçus pour chiffrer les fichiers sur les appareils, les rendant inutilisables pour les personnes, les organisations ou les systèmes qui en dépendent.
La rançon moyenne exigée et constatée au troisième trimestre 2020 était de 200 000 dollars et le ransomware "Sodinobiski" est actuellement le plus répandu. Le coût moyen de résolution est 10 fois plus élevé que la rançon payée, selon une recherche Sophos. La note d’information indique également que seule une entreprise sur 10 ayant payée la rançon a récupéré toutes ses données.
Il est important de rappeler que les ransomwares sont des « crimes par opportunité ». Les attaquants sont à la recherche d'un gain facile. Tout obstacle supplémentaire que vous mettez sur leur chemin les incitera à chercher ailleurs.
Suis-je en danger ?
La plupart des attaques par ransomware nécessitent un accès distant à votre réseau avant de pouvoir agir sur vos fichiers. Si les attaquants ne peuvent outrepasser les protections sécuritaires de votre réseau, il leur sera impossible de réaliser leurs méfaits.
C'est un fait, la majorité des ransomwares visent les petites et moyennes entreprises. Environ un tiers de tous les ransomwares visent des entreprises comptant entre 11 et 100 employés, et un autre tiers des entreprises entre 101 et 1 000 employés. Les petites entreprises de moins de 10 employés représentent 5 % des attaques.
Ne pensez donc pas que seules les grandes entreprises sont visées, les actions sur les petites entreprises sont dans les faits peu médiatisées.
De nombreuses organisations s’appuient aujourd'hui sur des logiciels proposés en mode SaaS. Lorsque l'on examine son coût de résolution, les vecteurs d’attaque reposent exactement sur les mêmes serveurs d’hébergements.
Les Ransomwares as a Service (RaaS) sont aussi proposés en mode SaaS, où il est possible de louer les services d’un ransomware et de choisir les configurations correspondant au mieux aux « cibles et aux vecteurs d'attaque ». De la même manière que les logiciels métiers proposés en mode SaaS, le coût d’un RaaS est mensualisé.
Cela peut-il m’arriver ?
L'un des moyens les plus courants et simples pour les attaquants d'accéder à vos données est soit de deviner des mots de passe faibles, soit de voler des mots de passe par le biais de robots automatisés, soit d'hameçonner et réaliser des attaques ciblées, ou d'acheter des informations d'identification divulguées par lots disponibles généralement sur le darknet.
Dans la plupart des cas, un premier système est compromis puis attaqué et utilisé comme point d'entrée. L'objectif premier est de mettre un « premier pied dans la porte », avant d’investiguer de manière approfondie sur tous les lecteurs locaux, les lecteurs en réseau ainsi que les partages de fichiers disponibles, et de chercher quelles sont les informations importantes et chiffrables.
Le vecteur d’attaque le plus courant pour les petites entreprises est l’utilisation du protocole de bureau à distance (RDP). En effet, il est très facile à mettre en œuvre car il permet d'accéder et de contrôler immédiatement un système complet. Les informations sur les systèmes exposés et les informations d'identification divulguées sont facilement accessibles sur le dark web. Les petites entreprises ne peuvent pas se permettre de payer de grosses rançons, et les attaquants recherchent des proies faciles pour un gain rapide. Pour les entreprises de taille moyenne, les attaques par phishing sont la méthode la plus courante.
Dans le cas des grandes entreprises, les attaques par ransomware commencent généralement par une tentative de phishing permettant l’installation d’un logiciel malveillant de vol de mot de passe, un cheval de Troie permettant un accès à distance ou incitant l'utilisateur à dévoiler ses identifiants de connexion. Le gain potentiel est dans ce cas largement plus élevé et justifie donc le temps passé à préparer une attaque sophistiquée de type phishing.
Souvent, une attaque par ransomware entraîne également une fuite de données préjudiciable pour son attaquant car généralement il révèle des informations sur le processus de paiement et donc son identité.
Les solutions d'authentification multi-facteurs (MFA) sont-elles utiles ?
Les solutions multi-facteurs d'authentification reposent au moins sur deux éléments d'information indépendants afin de vérifier l'identité d'un utilisateur. Sans l’utilisation d’une solution d’authentification MFA, un attaquant n'a réellement besoin que de simples informations compromises d’un utilisateur pour accéder au système.
En se reposant sur plusieurs éléments, une attaque nécessite plus qu'un simple nom d'utilisateur et d’un mot de passe. Par exemple, l’utilisation d’une clé stockée sur une carte à puce ou d’un token cryptographique augmente significativement l'effort à produire pour corrompre le système. Les chances de réussite sont ainsi fortement réduites et proches de zéro. L'authentification multi-facteurs est l'une des mesures les plus fortement recommandées par divers experts en matière de sécurité depuis de nombreuses années. En déployant l'authentification multi-facteurs dans votre environnement, vous avez réalisé le premier pas, et le plus important, afin de vous protéger des attaques de type rançongiciel.
Pourtant, de nombreuses entreprises attendent le dernier moment pour déployer une solution de protection car elle est souvent considérée comme contraignante pour leurs utilisateurs. Cela s'explique par le fait qu'elle nécessite une ou deux étapes supplémentaires avant de pouvoir accéder aux ressources distantes et que les utilisateurs comprennent par les enjeux autour de la cybersécurité. En outre, et toujours afin de protéger les transactions numériques, il est possible d’adjoindre des fonctions de signature électronique, le Single-Sign-On, le chiffrement des e-mails, le self-service et bien d’autres.
Il est à noter que bien souvent, les utilisateurs souhaitent augmenter le niveau de sécurité mais aussi rendre plus convivial l’utilisation des logiciels. La technologie est actuellement disponible, il ne s’agit plus que d’une question de décisions par un responsable. Aujourd'hui, et alors que la vie professionnelle et la vie privée sont fortement entremêlées ceci grâce au récent et très rapide développement du home office et du travail à distance depuis n’importe quel site, le risque d'un incident cyber pouvant affecter à la fois la vie professionnelle et la vie privée des individus a considérablement augmenté.
L’ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié un guide concernant les ransomwares en décrivant quelles sont les meilleures pratiques à mettre en place et, de facto, recommande vivement d'utiliser l'authentification multi-facteurs (MFA) pour les accès à tous vos services informatiques.
Il est nécessaire de se reposer sur une stratégie de type « Zero Trust » (un modèle de sécurité avec un niveau de confiance nul), où votre confiance n’est donnée qu'aux entités authentifiées sur la base d'une authentification multi-facteurs.
Les étapes suivantes permettront de renforcer la sécurité :
- Bloquer tous les accès distants à l'exception du trafic authentifié et autorisé
- Mettre en place une authentification multi-facteurs pour tous les utilisateurs
- Un processus d’enrôlement (on-boarding) et de révocation (off-boarding) sécurisé
- Un contrôle d'accès sécurisé pour tous les systèmes informatiques, sur la base du protocole SAML, Open-ID connect ou autre équivalent
Une stratégie informatique efficace consiste à n’accorder aucune confiance à qui que ce soit avant une identification sécurisée.
Avec la solution Smart ID - Digital ID management pour les gestion du cycle de vie des identités numériques, Nexus, une marque d’IN Groupe, supprime toute la complexité et vous permet de gérer vos identités dans un système unifié, à l'aide de processus automatisés et disponibles par tous vos utilisateurs via le self-service.
La solution Smart ID - Digital ID management dispose des fonctionnalités suivantes :
- Gestion du cycle de vie des cartes à puce et des cartes à puce virtuelles (Virtual SmartCard)
- Application mobile dédiée afin de faciliter l’usage de vos identités numériques telles que les cartes à puce virtuelles (Virtual SmartCard)
- Processus standards proposés par défaut mais pouvant être adaptés à vos usages
- Self-services et workflows prédéfinis
- Synchronisation des données avec les données d’entreprise
- Intégration des autorités de certification (CA) de plusieurs fournisseurs