Structurées en organisations hyper efficaces, visant tous les réseaux d’ordinateurs,
les attaques par ransomwares sont en pleine expansion et deviennent un sujet majeur de préoccupation.
D’ici 2025, une étude Gartner affirme que 75% des systèmes d’information
auront subi une ou plusieurs attaques. Et l’ERP dans tout ça ?
Aujourd’hui, les attaques de ransomwares sont entrées dans
une autre dimension. En mai dernier, l’oléoduc géant Colonial
a été victime d’une attaque qui a bloqué l’alimentation de
carburant sur toute la partie Est des Etats-Unis. Avec le
transport quotidien de l’équivalent de 2,5 millions de barils,
on comprend l’impact sur cette artère clé pour la moitié du
territoire américain. Pour mettre fin à l’agression, le groupe
Colonial Pipeline déclare avoir été rançonné de 4,4 millions
de dollars.
Dernièrement, un raid sur Kaseya, qui fournit notamment le
logiciel VSA destiné à gérer les réseaux de serveurs, a impacté
simultanément plus de 1000 entreprises. Parmi celles-ci, une
grande chaîne de supermarchés en Suède a dû fermer ses
portes, ses caisses étant paralysées par l’attaque. Fin mai, le
géant américain de la viande JBS a reconnu avoir versé une
rançon de 11 millions de dollars en bitcoins à des hackers.
L'Université de Californie à San Francisco (UCSF), dont le centre
de recherche médicale travaille à trouver un traitement pour
la Covid-19, a payé une rançon de 1,14 million de dollars à des
pirates qui avaient pris ses serveurs en otage à l’aide du
rançongiciel Net Walker. Pour résumer, selon l’entreprise de
cyber-sécurité Emsisoft, au minimum 18 milliards de dollars
ont été versés à des hackeurs par rançongiciels l’an dernier !
En période de Covid-19, les hôpitaux sont des proies faciles pour
les cybervoyous. Déjà sous tension, ceux-ci sont plus enclins à
payer les rançons pour récupérer leurs systèmes informatiques,
leurs données, accepter les patients et continuer leurs soins
dans des conditions normales sans mettre de vies en danger.
Selon PwC, les attaques contre les établissements de santé
dans le monde ont bondi de 500% en un an !
Il faut savoir que les attaques commencent généralement par
des manœuvres de phishing ou de spear-phishing. Elles sont
conçues pour capter les informations d’identification d’accès
à distance ou pour activer des logiciels malveillants.
Ces malwares (malicious softwares) peuvent être intégrés à des
mails ou téléchargés et ouverts par mégarde. Souvent il s’agit
d’un RAT, (remote administration tool), détourné dans une
optique de cheval de Troie qui se déplace dans le réseau de la
victime à la recherche de données informationnelles ou
opérationnelles précieuses. Celles-ci sont cryptées pour être
inutilisables puis font l’objet d’une rançon pour être récupérées.
Pour garantir le paiement, les hackeurs appliquent en général
le principe de double extorsion. Cela signifie qu’en plus du
cryptage des données des utilisateurs, elle ajoute la menace
d’une exfiltration en les rendant publiques.
Dans ces attaques réussies, l’erreur humaine a souvent sa part.
Celle d’un administrateur réseau, d’un utilisateur négligent,
une mauvaise configutation de paramètres ou l’incapacité à
corriger les vulnérabilité d’un système ancien, voire du non
-respect des procédures standards. Chez JPMorgan Chase & Co.,
les pirates se sont infiltrés en exploitant un serveur dont les
paramètres de sécurité n’étaient pas passés à l’authentification
à deux facteurs. Butin dérobé : les informations personnelles de
83 millions de clients et 7 millions d’entreprises.
Désormais on est bien loin de l’adolescent torturé opérant
dans un local aveugle. Les attaques sont le plus souvent le fait
de criminels très organisés dans le cadre d’organisations aux
systèmes de fonctionnement bien rodés. Le rapport récent
du cabinet Cybereason révèle que DarkSide, l’une de ces
organisations, a ciblé plus de 40 entreprises et collectivités
avec des demandes de rançons allant de 200 000 à 2 millions
de dollars par incident.
De son côté, le Dr Michael McGuire, spécialiste cybersécurité
et maître de conférence à l’Université de Surrey, a étudié
l’usage que les syndicats du crime transnationaux font de ces
revenus. Des sommes faramineuses servent au financement
d’autres activités comme le commerce mondial de la drogue,
des armes, de la traite des êtres humains et du terrorisme.
Il est ainsi établi que les rançongiciels rapportent un milliard
de dollars par an à leurs auteurs. Pour opérer, les syndicats de
la cybercriminalité profitent de la corruption des
gouvernements locaux en particulier dans les pays de transit,
comme l’Europe de l’Est et le Moyen-Orient.
Pour les entreprises, les coûts indirects d’une attaque générée
par une interruption de l’activité sont 5 à 10 fois plus élevés que
les coûts directs. Cette somme va bien au-delà de la seule
rançon. Elle inclut les temps d'arrêt d’activité, le coût de la main
d’œuvre, des équipements, du réseau, sans parler des
opportunités perdues et de la réputation entachée…. 8 % des
entreprises françaises ont déclaré entre 1 et 5,3 millions d’euros
de coût global.
Ces opérations s’appuient sur des logiciels malveillants de
pointe, mais aussi sur des stratégies commerciales très
efficaces. Parmi ces organisations, Grancrab proposait par
exemple à ses affiliés le RaaS, Ransomware-as-a-Service,
dans un schéma de partage de 60% pour l’affilié et 40% pour
l’opérateur. Pour rendre le Raas encore plus attractif, l’opérateur
propose des services comme un administrateur de dashboard
et des sites dédiés où les "dumps" (donnés volées) sont
automatiquement publiées si la victime refuse de payer.
Comme toute entreprise criminelle lucrative, les cybervoyous
doivent blanchir leurs revenus et se tournent tout
naturellement vers les crypto-monnaies dont les bitcoins
notamment.
Les attaques de ransomwares ne ciblent pas que les grandes
entreprises. Aux Etats-Unis, 50 à 70% des attaques concernent
les PME. Les mutations accélérées par la pandémie ont rendu
les petites entreprises encore plus vulnérables. L’accroissement
du télétravail notamment a été une opportunité en or pour les
hackers qui ont profité de VPN (réseaux virtuels privés)
obsolètes et de réseaux domestiques non sécurisés.
Les données de National Security Alliance sont brutales : 60%
des petites entreprises disparaissent dans les six mois qui
suivent une attaque. Pire, 80% des victimes sont touchées une
deuxième fois, selon Cybereason.
Cybersécurité : l'affaire de tous !
Cabinet de recrutement spécialisé sur les profils
cybersécurité, EliteCyber est le premier fournisseur
de ces compétences pour Thales. Son fondateur et
CEO, Laurent Halimi, apporte son éclairage.
EliteCyber est leader en France. Comment tout a
commencé ?
Laurent Halimi : Il y a six ans, nous avons été les
premiers en France à se spécialiser sur la cybersécurité.
Dans le prolongement des réglementations de la CNIL,
les obligations de RGPD, les nouvelles normes autour
de la data et bien entendu le contexte de hacking ont
soutenu notre croissance.
Décrivez-nous la situation aujourd’hui
LH : En deux mots : pénurie de compétences. Devant
les attaques à répétitions sur les SI, dont la puissance
dévastatrice n’a d’égal que le nombre en constante
évolution, la situation est sur-tendue. Imaginez, sur
3800 postes à pourvoir en 2019, seuls 1400 l’ont été !
Les jeunes des grandes écoles devraient être plus
sensibilisés à ces enjeux. Aujourd’hui, en partenariat
avec des centres de formation, nous cherchons à
apporter de nouvelles ressources sur ce marché.
En tant que cabinet, c’est notre plus-value.
Face aux attaques, la réponse est-elle seulement
logicielle ?
LH : Sur la gestion des menaces et des vulnérabilités
des SI on constate un boom des solutions cyber, type
SIEM (Security Information and Event Management et
SOAR (Security Orchestration, Automation and
Response). Pour autant, interrogés sur le fait de savoir si
l’attaque aurait pu être évitée, mes interlocuteurs
CISO/RSSI sont formels. Dans 80% des cas, une erreur
humaine en est à l’origine. Désormais, la cybersécurité
concerne tout le monde, pas uniquement les équipes
cyber. Le challenge, c’est La prévention. Les entreprises
doivent former leurs employés aux menaces.
Qu’est-ce qui vous inquiète dans ce contexte
d’agression ?
LH : À grande échelle, nous sommes entrés dans une
ère de guerre digitale menée par des puissances
étrangères, telles que la Russie ou la Chine, souvent
par hackers interposés. Ce qui m’effraie le plus, c’est le
ciblage des hôpitaux. Le cynisme criminel d’attaques
qui met en jeu des vies humaines en effaçant par
exemple les datas de traitement des patients et
l’historique de leurs pathologies.
Aux Etats-Unis, 61% des dirigeants d’entreprises considèrent
que l’ERP représente le patrimoine le plus important du
système d’information. On y estime le coût moyen d’une
attaque d’ERP à plus de 5 millions de dollars. En France
l’intégration d’un ERP est tout aussi névralgique. Les données
financières, RH, clients sont les plus sensibles. Avec des ERP
toujours plus ouverts sur internet, la prudence impose dès le
début de considérer la sécurisation de l’ERP comme un
contexte où les risques de menaces concerneront toutes les
briques du système d’information. Si le passage de l’ERP dans
le Cloud peut atténuer les risques d’attaques, la mise en place
de règles de sécurité et la sensibilisation de chacun à les
respecter est déterminante.
Une des façons les plus sûres de protéger l’ERP d’une cyber
attaque consiste à définir dès l’origine la personne en charge
de la sécurité de cette solution. Une bonne répartition des
tâches entre DSI, les divers responsables informatiques et
l’éditeur reste primordiale. Enfin, si malgré tout l’attaque a lieu,
il faut toujours éviter de payer car malgré le paiement, les
données peuvent rester cryptées.
5 conseils pour protéger son ERP
Pour contrer les ransomwares en amont et assurer une parade efficace aux intentions malveillantes contre votre ERP, les experts recommandent d’agir avant l’attaque et de la déjouer via cinq mesures :
- Planifier les sauvegardes les dispositifs IT
- Mettre à jour régulièrement les logiciels, y compris les logiciels antivirus
- Eduquer et former les collaborateurs aux risques.
- Mettre en place des mesures de protection des données qui garantissent un minimum de dommage et une récupération rapide des données :
- Compartimenter les systèmes d’authentification et des domaines
- Mettre à jour les snapshots de stockage à l’extérieur du pool de stockage principal
- Contrôler le droit d’accès aux données, etc.
- Prévoir le plan d’action en cas d’attaque
Sources : Harvard business review France, Bloomberg.com, Inc.com, BFM Business, journaldunet.com, cohesity.com, oracle.com, silog.fr, linkedIn.com, illusive.com, Waterfall, Maddyness, Radio-Canada
Partager cet article :
Plus court, plus vite
Structurées en organisations hyper efficaces, visant tous les réseaux d’ordinateurs, les attaques par ransomwares sont en pleine expansion et deviennent un sujet majeur de préoccupation. D’ici 2025, une étude Gartner affirme que 75% des systèmes d’information auront subi une ou plusieurs attaques. Et l’ERP dans tout ça ?
Aujourd’hui, les attaques de ransomwares sont entrées dans une autre dimension. En mai dernier, l’oléoduc géant Colonial a été victime d’une attaque qui a bloqué l’alimentation de carburant sur toute la partie Est des Etats-Unis. Avec le transport quotidien de l’équivalent de 2,5 millions de barils, on comprend l’impact sur cette artère clé pour la moitié du territoire américain. Pour mettre fin à l’agression, le groupe Colonial Pipeline déclare avoir été rançonné de 4,4 millions de dollars.
Dernièrement, un raid sur Kaseya, qui fournit notamment le logiciel VSA destiné à gérer les réseaux de serveurs, a impacté simultanément plus 1000 entreprises. Parmi celles-ci, une grande chaîne de supermarchés en Suède a dû fermer ses portes, ses caisses étant paralysées par l’attaque.
Fin mai, le géant américain de la viande JBS a reconnu avoir versé une rançon de 11 millions de dollars en bitcoins à des hackers.
L'Université de Californie à San Francisco (UCSF), dont le centre de recherche médicale travaille à trouver un traitement pour la Covid-19, a payé une rançon de 1,14 million de dollars à des pirates qui avaient pris ses serveurs en otage à l’aide du rançongiciel Net Walker. Pour résumer, selon l’entreprise de cyber-sécurité Emsisoft, au minimum 18 milliards de dollars ont été versés à des hackeurs par rançongiciels l’an dernier ! En période de Covid-19, les hôpitaux sont des proies faciles pour les cybervoyous. Déjà sous tension, ceux-ci sont plus enclins à payer les rançons pour récupérer leurs systèmes informatiques, leurs données, accepter les patients et continuer leurs soins dans des conditions normales sans mettre de vies en danger. Selon PwC, les attaques contre les établissements de santé dans le monde ont bondi de 500% en un an !
A tel point d’ailleurs qu’il ne le quittera qu’à l’âge de trente-trois ans. Son père lui explique
que pour être tranquille dans la vie, il faut être sérieux. Il l’est. Mais à l’orée de la seconde,
la motivation décline. Un conseiller le remotive en lui parlant d’un BEP de comptabilité.
Obtenu brillamment, il rattrape sa route vers un bac G2 où la compta est reine.
Les résultats sont bons. On conseille à Michel de s’orienter vers de longues études.
Mais lui préfère un parcours plus court pour entrer plus vite dans la vie active.
Sa décision est prise, ce sera un BTS. Il enchaîne ensuite sur une maîtrise de gestion.
Comptable en uniforme
Il faut savoir que les attaques commencent généralement par des manœuvres de phishing ou de spear-phishing. Elles sont conçues pour capter les informations d’identification d’accès à distance ou pour activer des logiciels malveillants. Ces malwares (malicious softwares) peuvent être intégrés à des mails ou téléchargés et ouverts par mégarde. Souvent il s’agit d’un RAT, (remote administration tool), détourné dans une optique de cheval de Troie qui se déplace dans le réseau de la victime à la recherche de données informationnelles ou opérationnelles précieuses. Celles-ci sont cryptées pour être inutilisables puis font l’objet d’une rançon pour être récupérées.
Pour garantir le paiement, les hackeurs appliquent en général le principe de double extorsion. Cela signifie qu’en plus du cryptage des données des utilisateurs, elle ajoute la menace d’une exfiltration en les rendant publiques.
Dans ces attaques réussies, l’erreur humaine a souvent sa part. Celle d’un administrateur réseau, d’un utilisateur négligent, une mauvaise configutation de paramètres ou l’incapacité à corriger les vulnérabilité d’un système ancien, voire du non-respect des procédures standards. Chez JPMorgan Chase & Co., les pirates se sont infiltrés en exploitant un serveur dont les paramètres de sécurité n’étaient pas passés à l’authentification à deux facteurs. Butin dérobé : les informations personnelles de 83 millions de clients et 7 millions d’entreprises.
Et puis il a aussi des contraintes, notamment celles du service militaire "Pendant dix mois, à Montauban puis Vincennes" reprend Michel. Là, il endosse l’uniforme du comptable pour
s’occuper de la solde du contingent. "J’étais chanceux avec ce poste tranquille après des classes plus rugueuses", précise-t-il. Juste après l’armée, la chance l’attend encore dans une agence d’intérim. On lui propose de remplacer au poste de comptable une collaboratrice qui s’est cassée la jambe. "En fait, le PMU me met le pied à l’étrier", s’amuse Michel. Il y restera trois ans. Puis d’autres horizons s’ouvrent à lui. Notamment publicitaires chez Publicis Conseil.
Des sociétés de services l’accueillent. Jusqu’à Kaba. Ce spécialiste des portes coulissantes lui ouvre les siennes. "Souhaitant renouveler leur système d’information, ils avaient besoin de mon expérience pour être accompagnés dans ce changement". Les solutions du marché ne plaisent pas à Michel. C’est alors que des consultants de Navision viennent le voir. Leur offre plait au Directeur comptable de Michel et l’implémentation est mise place avec succès. Michel ayant découvert le métier de consultant est tenté par l’activité. Intéressé par la compétence comptable de Michel, Navision lui propose de le former au consulting.
Puis Michel entre chez Colombus, intégrateur AX. Les projets s’enchaînent, spécialement
chez Saint-Gobain Glass. Ensuite, il entre chez Avanade et quelques années plus tard
il intègre l’ESN Viseo.
Premiers contacts
Deux ans après, Flexmind le contacte avec un argument décisif : "Ici tu n’auras pas une kyrielle de projets mais un seul, important et captivant". C’est ainsi que Michel démarre en 2012 sur le projet Geodis et fait la connaissance de nombre de ses collègues d’aujourd’hui. En 2017, il quitte le salariat pour le statut d’indépendant et opère pour le groupe Saur. "Pendant ce temps, Geodis s’était séparé de Flexmind pour rejoindre FiveForty°. Jonathan m’appelle pour me proposer de reprendre en sous-traitant sur Geodis en conservant mon nouveau statut", résume le consultant finance Dynamics.
"De toute façon, quand Jonathan a voulu monter sa structure, je n’ai pas hésité une seule seconde". Celui que la chance n’a jamais lâché précise : "Ici, on ne sent pas le poids de la structure, l’aspect famille est palpable. Ce lien social ajouté à la diversité des clients, c’est ce qui donne envie de bosser avec eux".°
Désormais on est bien loin de l’adolescent torturé opérant dans un local aveugle. Les attaques sont le plus souvent le fait de criminels très organisés dans le cadre d’organisations aux systèmes de fonctionnement bien rodés. Le rapport récent du cabinet Cybereason révèle que DarkSide, l’une de ces organisations, a ciblé plus de 40 entreprises et collectivités avec des demandes de rançons allant de 200 000 à 2 millions de dollars par incident.
De son côté, le Dr Michael McGuire, spécialiste cybersécurité et maître de conférence à l’Université de Surrey, a étudié l’usage que les syndicats du crime transnationaux font de ces revenus. Des sommes faramineuses servent au financement d’autres activités comme le commerce mondial de la drogue, des armes, de la traite des êtres humains et du terrorisme. Il est ainsi établi que les rançongiciels rapportent un milliard de dollars par an à leurs auteurs. Pour opérer, les syndicats de la cybercriminalité profitent de la corruption des gouvernements locaux en particulier dans les pays de transit, comme l’Europe de l’Est et le Moyen-Orient.
Pour les entreprises, les coûts indirects d’une attaque générée par une interruption de l’activité sont 5 à 10 fois plus élevés que les coûts directs. Cette somme va bien au-delà de la seule rançon. Elle inclut les temps d'arrêt d’activité, le coût de la main d’œuvre, des équipements, du réseau, sans parler des opportunités perdues et de la réputation entachée…. 8 % des entreprises françaises ont déclaré entre 1 et 5,3 millions d’euros de coût global.
Ces opérations s’appuient sur des logiciels malveillants de pointe, mais aussi sur des stratégies commerciales très efficaces. Parmi ces organisations, Grancrab proposait par exemple à ses affiliés le RaaS, Ransomware-as-a-Service, dans un schéma de partage de 60% pour l’affilié et 40% pour l’opérateur. Pour rendre le Raas encore plus attractif, l’opérateur propose des services comme un administrateur de dashboard et des sites dédiés où les "dumps" (donnés volées) sont automatiquement publiées si la victime refuse de payer. Comme toute entreprise criminelle lucrative, les cybervoyous doivent blanchir leurs revenus et se tournent tout naturellement vers les crypto-monnaies dont les bitcoins notamment.
Les attaques de ransomwares ne ciblent pas que les grandes entreprises. Aux Etats-Unis, 50 à 70% des attaques concernent les PME. Les mutations accélérées par la pandémie ont rendu les petites entreprises encore plus vulnérables. L’accroissement du télétravail notamment a été une opportunité en or pour les hackers qui ont profité de VPN (réseaux virtuels privés) obsolètes et de réseaux domestiques non sécurisés. Les données de National Security Alliance sont brutales : 60% des petites entreprises disparaissent dans les six mois qui suivent une attaque. Pire, 80% des victimes sont touchées une deuxième fois, selon Cybereason.
Cybersécurité : l’affaire de tous !
Cabinet de recrutement spécialisé sur les profils cybersécurité, EliteCyber est le premier fournisseur de ces compétences pour Thales. Son fondateur et CEO, Laurent Halimi, apporte son éclairage.
EliteCyber est leader en France. Comment tout a commencé ?
Laurent Halimi : Il y a six ans, nous avons été les premiers en France à se spécialiser sur la cybersécurité. Dans le prolongement des réglementations de la CNIL, les obligations de RGPD, les nouvelles normes autour de la data et bien entendu le contexte de hacking ont soutenu notre croissance.
Décrivez-nous la situation aujourd’hui
LH : En deux mots : pénurie de compétences. Devant les attaques à répétitions sur les SI, dont la puissance dévastatrice n’a d’égal que le nombre en constante évolution, la situation est sur-tendue. Imaginez, sur 3800 postes à pourvoir en 2019, seuls 1400 l’ont été ! Les jeunes des grandes écoles devraient être plus sensibilisés à ces enjeux. Aujourd’hui, en partenariat avec des centres de formation, nous cherchons à apporter de nouvelles ressources sur ce marché. En tant que cabinet, c’est notre plus-value.
Face aux attaques, la réponse est-elle seulement logicielle ?
LH : Sur la gestion des menaces et des vulnérabilités des SI on constate un boom des solutions cyber, type SIEM (Security Information and Event Management) et SOAR (Security Orchestration, Automation and Response). Pour autant, interrogés sur le fait de savoir si l’attaque aurait pu être évitée, mes interlocuteurs CISO/RSSI sont formels. Dans 80% des cas, une erreur humaine en est à l’origine. Désormais, la cybersécurité concerne tout le monde, pas uniquement les équipes cyber. Le challenge, c’est la prévention. Les entreprises doivent former leurs employés aux menaces.
Qu’est-ce qui vous inquiète dans ce contexte d’agression ?
LH : À grande échelle, nous sommes entrés dans une ère de guerre digitale menée par des puissances étrangères, telles que la Russie ou la Chine, souvent par hackers interposés. Ce qui m’effraie le plus, c’est le ciblage des hôpitaux. Le cynisme criminel d’attaques qui met en jeu des vies humaines en effaçant par exemple les datas de traitement des patients et l’historique de leurs pathologies.
Aux Etats-Unis, 61% des dirigeants d’entreprises considèrent que l’ERP représente le patrimoine le plus important du système d’information. On y estime le coût moyen d’une attaque d’ERP à plus de 5 millions de dollars. En France l’intégration d’un ERP est tout aussi névralgique. Les données financières, RH, clients sont les plus sensibles. Avec des ERP toujours plus ouverts sur internet, la prudence impose dès le début de considérer la sécurisation de l’ERP comme un contexte où les risques de menaces concerneront toutes les briques du système d’information. Si le passage de l’ERP dans le Cloud peut atténuer les risques d’attaques, la mise en place de règles de sécurité et la sensibilisation de chacun à les respecter est déterminante.
Une des façons les plus sûres de protéger l’ERP d’une cyber attaque consiste à définir dès l’origine la personne en charge de la sécurité de cette solution. Une bonne répartition des tâches entre DSI, les divers responsables informatiques et l’éditeur reste primordiale. Enfin, si malgré tout l’attaque a lieu, il faut toujours éviter de payer car malgré le paiement, les données peuvent rester cryptées.
5 conseils pour protéger son ERP
Pour contrer les ransomwares en amont et assurer une parade efficace aux intentions malveillantes contre votre ERP, les experts recommandent d’agir avant l’attaque et de la déjouer via cinq mesures :
- Planifier les sauvegardes les dispositifs IT
- Mettre à jour régulièrement les logiciels, y compris les logiciels antivirus
- Eduquer et former les collaborateurs aux risques.
- Mettre en place des mesures de protection des données qui garantissent un minimum de dommage et une récupération rapide des données :
- Compartimenter les systèmes d’authentification et des domaines
- Mettre à jour les snapshots de stockage à l’extérieur du pool de stockage principal
- Contrôler le droit d’accès aux données, etc.
- Prévoir le plan d’action en cas d’attaque
Sources : Harvard business review France, Bloomberg.com, Inc.com, BFM Business, journaldunet.com, cohesity.com, oracle.com, silog.fr, linkedIn.com, illusive.com, Waterfall, Maddyness, Radio-Canada
Partager cet article :
Paris - FRANCE / New York - USA
©2021 FiveForty°. Tous Droits Réservés.
Conception et réalisation :
