(1 votes, moyenne: 4,00 sur 5)
Loading...Vous avez peut être certainement récemment entendu parler dans la presse des affaires autour des Ransomware Cryptolocker. Le nombre de cas monte en flèche des derniers mois et il y a une pratique très sociale derrière cette méthode de piratage.
Quelle est la pratique utilisée ?
A partir d’un canal de communication faible (Clé USB, Messagerie, Site web infecté, …), le poste de travail et ses partages réseaux (Windows, Drive cloud, …) sont analysés pour crypter des fichiers à un niveau tel que le décryptage ne peut se faire qu’avec la clé de décryptage.
Pour obtenir cette clé, il faut payer ! Le montant va dépendre de l’organisation et de ces moyens mais on réfléchit moins quand il faut « racker » 300 € au lieu de 100 000 € (par virement ou par bitcoin).
En plein syndrome de Stockholm, le pirate explique comment faire, le montant n’est pas (trop) élevé et il y a un même un chat pour répondre aux questions dans plusieurs langues. Un service client au top. Tout est fait pour payer ! Cela va même jusqu’à fournir une clé avant la transaction (le racket) pour décrypter une toute petite partie des fichiers pour montrer sa bonne foi.
Au final, c’est simple, industrialisé et avec un vrai service client dans la langue du client.
Une prise de conscience ?
Si devenir une victime de ces escros permet de prendre conscience qu’il faut agir pour transformer le maillon faible, celui qui se trouve entre la chaise et le clavier, en un maillon fort.
Le raccourci est souvent de dire « Mais pourquoi l’antivirus, le firewall et les autres systèmes de protection n’ont pas protégé les utilisateurs ! ». Cela fonctionne aussi depuis la DSI : « Mais pourquoi les utilisateurs ouvrent la pièce attachée douteuse ! ». C’est vite un dialogue de sourd.
Il faut donc prendre conscience que la première action à mener est de mettre en place une sensibilisation permanente à la cybersécurité.
Pourquoi celui qui identifie un phishing ne partagerait pas sa découverte avec ses collègues ? La résistance à ces attaques doit être collective, massive et plus intelligente que les systèmes de contrôle.
Comment réagir en cas d’attaque ?
On peut paniquer mais ce n’est pas cela qui soulage. Voici quelques premières actions pragmatiques :
1. Identifier la source incriminée et l’isoler pour limiter la propagation
2. Mettre en place une cellule de crise pour analyser les risques et définir le plan d’action
3. Ne pas se contenter de rétablir la sauvegarde, la vulnérabilité est certainement toujours présente
4. Collecter des éléments de traçabilité pour accompagner le dépôt de plainte
5. Ne pas tarder à rétablir les accès
6. Communiquer sur l’événement pour entretenir la sensibilisation
Pourquoi une nationalisation ?
Croyez-moi, personne n’est protégé contre ces attaques industrialisées. Nous sommes tous une cible en puissance et je vois déjà certains se dire « Non pas moi ! ».
Sachez que ces attaques à rançons représentent en cumulé plusieurs millions par an en Europe (pour ce que l’on sait) pour alimenter des structures douteuses.
Si on considère que de tels événements fâcheux et rageants permettent de sensibiliser les dirigeants et les utilisateurs, je propose de « nationaliser » ces services de cybercrime. Ces services détectent une vulnérabilité, le service d’état s’introduit dans le SI, crypte les fichiers et demande le paiement d’une amende (la rançon) pour récupérer l’usage plein et entier des fichiers. Au moins la rançon alimente d’autres caisses, plus officielle.
Bien sur, cette proposition n’a pas de sens et je ne suis pas convaincu que la peur n’est pas un facteur durable de prise de conscience. Mettre en oeuvre une sensibilisation permanente est un coût constant mais cela renforce les capacités de résilience de l’entreprise. La cybersécurité est d’abord un risque économique à prendre en compte dans la gouvernance de l’entreprise.
Vous cherchez à savoir où vous en êtes dans votre capacité à résister à des attaques, à organiser cette sensibilisation permanente, les consultants de Pentalog vous accompagnent dans vos démarches de transformation.
