Comment gérer le cyberrisque et anticiper une cyberattaque selon Mark Nevins

Cyberrisque : comment survivre à une attaque de cybersécurité (selon Mark Nevins) ?

Dans un contexte de cyberrisque qui ne fait que s’accentuer, comment anticiper et réagir face à une attaque en ligne ? Pourquoi est-il aujourd’hui essentiel de s’y préparer en tant que dirigeant.e d’entreprise ? Et pourquoi devrions-nous toutes et tous prendre pour exemple la gestion de la cybercrise de Kaseya aux Etats-Unis ? Mark Nevins nous explique tout. 

Pourquoi le cyberrisque est une menace permanente pour les organisations

Dans un article paru dans Forbes il y a quelques semaines, je faisais remarquer que le modèle de travail à distance crée une plus grande menace pour la cybersécurité. Il nous expose en effet à des acteurs malveillants d'une manière beaucoup plus risquée que lorsque nous travaillons tous dans nos bureaux, avec les avantages des barrières technologiques et sociales qu’ils induisent. 

Dans notre monde "post-Covid", les entreprises doivent réfléchir davantage à la manière de se protéger et, au moment de trouver des solutions appropriées du retour au travail pour nos organisations et nos employés, nous devons tenir compte du cyberrisque et reconnaître que les cyberattaques ne feront qu'augmenter en intensité, en ampleur et en fréquence. 

Chadi Hantouche, expert en cybersécurité et responsable de la pratique Asie-Pacifique de Wavestone, décrit notre nouvelle réalité comme "un problème qui ne peut être résolu de manière définitive. Les problèmes ont des solutions définies, et souvent des points finaux concrets, mais les cybermenaces ne sont pas des problèmes, pas plus que la criminalité n'est un problème – c'est un défi permanent que vous devez relever en permanence." 

L'une des caractéristiques inattendues de notre pandémie mondiale a été l'augmentation stupéfiante du cyberterrorisme, qui a été aidé et encouragé par la croissance parallèle des crypto-monnaies. Nous nous sommes tous habitués aux piratages (hacks), aux canulars (pranks), aux escroqueries et autres désagréments de notre vie en ligne. Mais ces dernières années, nous avons été témoins de menaces technologiques que nous n'avions vues que dans les films de James Bond : des criminels organisés, probablement soutenus par des gouvernements étrangers, attaquent des entreprises américaines avec des cyberarmes sophistiquées pour les faire fermer et demander d'énormes sommes d'argent en guise de rançon. 

Ce phénomène n'est pas seulement criminel ; il s'agit de terrorisme. Malheureusement, il fait désormais partie de la réalité des risques encourus par les entreprises.

Les conséquences dramatiques de la cybercriminalité pour les entreprises 

La cybercriminalité n'est pas nouvelle, mais les experts en sécurité ont du mal à suivre le rythme et les conséquences sont de plus en plus graves. Les rançongiciels (ransomware) – c'est-à-dire les pirates informatiques (hackers), venant historiquement de Russie et maintenant de Chine, qui s'introduisent dans des systèmes privés pour prendre en otage des données contre une rançon – ont augmenté de 150 % ou plus depuis le début de 2021, avec un impact estimé à 1,4 milliard de dollars ou plus.  

Les faits sont les suivants : 

  • Depuis 2016, plus de 4 000 attaques de ransomware ont eu lieu quotidiennement aux États-Unis.  
  • Les experts estiment qu'une attaque par ransomware se produira toutes les 11 secondes en 2021. (Cybercrime Magazine)
  • Le temps d'arrêt moyen que subit une entreprise après une attaque par ransomware est de 21 jours. (Coveware)
  • En 2020, les paiements par ransomware représentaient 7 % de tous les fonds reçus par les adresses de cryptomonnaies. (Chainalysis)
  • Les dommages liés aux cybercrimes devraient s’élever à 6 000 milliards de dollars d'ici 2021. (Cybersecurity Ventures)

Il est clair que les ransomwares et le cyberterrorisme ne sont pas de simples désagréments, mais qu'ils constituent un problème majeur de sécurité nationale et de l'économie, que le gouvernement américain devrait prendre beaucoup plus au sérieux.  

La société Varonis, spécialisée dans la sécurité logicielle, observe plusieurs tendances inquiétantes, notamment le déplacement de l'attention des criminels vers des secteurs plus vulnérables comme les prestataires de soins de santé et les écoles, l'évolution des "souches" de ransomware et leur propagation vers la technologie mobile et, de façon presque absurde, la croissance du RaaS, ou "Ransomware-as-a-Service".

Les ransomwares ont fait la une des journaux cette année, avec des attaques massives contre le Colonial Pipeline et le producteur et fournisseur mondial de viande JBS.  

Pendant le week-end du 4 juillet aux États-Unis, une attaque a été lancée contre Kaseya, une entreprise technologique dont peu de personnes avaient entendu parler, en dehors du secteur des services. Bien que Kaseya soit une entreprise relativement petite, elle constitue un cas d'étude puissant. En effet, Kaseya est une petite entreprise de grande envergure : elle fournit des logiciels tels que la surveillance et la sauvegarde de systèmes à distance directement à des milliers de petites et moyennes entreprises, et à des milliers d'autres par l'intermédiaire de fournisseurs de services gérés (MSP).  

Si les cybercriminels parviennent à pénétrer dans ce type d'écosystème technologique, ils peuvent perturber et prendre en otage de nombreuses entreprises – un concept terrifiant pour un pays comme les États-Unis, où les petites entreprises sont vitales.  

La façon dont Kaseya a réagi à l'attaque par ransomware peut donner des indications utiles sur ce qu'il faut faire si vous êtes attaqué. Kaseya a réussi à se défendre contre ce que l'on a appelé l'une des plus grandes cyberattaques de tous les temps. 

Voici ce qu'ils ont fait de bien. 

Gérer le cyberrisque à la manière de Kaseya (un cas d’école)

Moins d'une heure après avoir été alertée d'une attaque potentielle par des sources internes et externes, Kaseya a fermé l'accès à tous ses logiciels concernés. Ce protocole a limité l'impact de l'attaque à moins de 60 des plus de 36 000 clients de Kaseya.  

Les mesures de prévention et de protection rapides de l'entreprise ont évité à des milliers de petites et moyennes entreprises de subir des conséquences dévastatrices sur leurs opérations et ont minimisé tout impact sur les infrastructures critiques. 

Ensuite, Kaseya a mobilisé son équipe de gestion de crise en interne, en s'associant avec les meilleurs experts du secteur en matière d'enquêtes criminalistiques. 

Une fois l'attaque établie, les agences gouvernementales de cybersécurité et d'application de la loi, y compris le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et la Maison Blanche, ont été immédiatement notifiées et engagées dans l'heure. 

Avec l'aide de ces agences, la source principale de l'attaque a été identifiée. FireEye Mandiant IR, une société majeure dans la gestion des incidents informatiques, a également travaillé en étroite collaboration avec Kaseya sur cet évènement.  

Bien que le dispositif ait été déployé dans la journée, Fred Voccola, PDG de Kaseya, a pris la décision difficile de maintenir le système hors service pendant plusieurs jours supplémentaires. "Nous voulions être absolument sûrs que nos clients étaient protégés", a-t-il déclaré. "C'était une décision difficile à prendre, mais c'était clairement la bonne chose à faire".

Les clients de Kaseya ont été rapidement de retour en ligne, il s'est donc avéré que le choix difficile était le bon… comme c'est souvent le cas. 

Et grâce à la séparation intentionnelle des modules logiciels de l'entreprise, sur ses 27 modules, un seul (VSA) a été compromis. 

En outre, sur les quelque 800 000 à 1 000 000 de petites entreprises locales gérées par les clients de Kaseya, moins de 1 500 d’entre elles ont été touchées. Kaseya a protégé plus de 99,9 % de ses principaux clients, puisque 36 950 des 37 000 clients n'ont pas été concernés. 

Si l'attaque par ransomware contre Kaseya devient un jour une étude de cas d'école de commerce (peut-être un scénario Tylenol pour SaaS ?), elle servira à rappeler ce qui est le plus important : "protéger d'abord".

Le ransomware est un problème sérieux pour le monde post-Covid pour les entreprises grandes et petites. Et si vous êtes propriétaire d'une entreprise, les ransomwares pourraient la détruire

Il y a une vieille expression : "Ce qui ne vous tue pas vous rend plus fort."  

Kaseya a tenu compte de cette leçon et en est sorti plus fort. Elle a respecté sa stratégie et est revenue à l'une de ses valeurs fondamentales : la protection de ses clients. Pour aller de l'avant, l'entreprise a donné la priorité au renforcement des opérations de sécurité dans l'ensemble de l'organisation. Les équipes de sécurité internes ont étudié l'environnement pour identifier les éventuelles vulnérabilités futures et y remédier. 

En tant que dirigeants et entreprises, nous devons faire davantage : nous attendre à des attaques de ransomware, nous protéger du mieux que nous pouvons et disposer d'un plan d'action à appliquer lorsque l'inévitable se produit. Car en matière de cybercriminalité, du moins pour l'instant, la question n'est pas de savoir si, mais quand.


Je remercie à Mark Nevins pour ses conseils avisés. Retrouvez tous ses articles sur Forbes, dans leurs versions originales. 

Sur une thématique similaire, je vous invite aussi à redécouvrir mes articles :


 

   Exploiter cette publication 

  • Pensez à une situation qui vous touche où le contenu de cette publication pourrait vous être pertinent / utile
  • Formulez un modèle (3-7 points clés) qui vous assurerait une performance optimale pour faire face à votre situation
  • Appliquez votre modèle à la gestion de la situation
  • Finalisez votre modèle au regard de l’expérience
  • Partagez votre expérience avec nous
  • Systématisez cette approche pour traiter des situations à enjeux pour vous : c’est une bonne façon d’apprendre au plus près de l’action

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *