Ransomware

Les entreprises doivent prendre des mesures décisives après une attaque de ransomware

raffinerie de pétrole
Cet article a également été publié sur LinkedIn.

La récente vague d'attaques par ransomware et la publication du nouveau décret sur la cybersécurité laissent présager une surveillance accrue des entreprises qui gèrent des infrastructures critiques et des données personnelles.

Les attaques par ransomware sont plus fréquentes : outre l'attaque du Colonial Pipeline, la semaine dernière a vu les systèmes de santé irlandais s'arrêter, et les hackers ont ébranlé AXA Partners après que celle-ci a annoncé que ses politique d'assurance ne couvriraient plus les demandes de ransomware. 

Les attaques comme celle de Colonial Pipeline ont des conséquences profondes dans le monde réel : des millions de personnes privées de services, des millions de dollars de pertes de revenus, des réputations ternies, un chaos et un dysfonctionnement sociétaux généraux, et des hackers payés et libres de frapper d'autres cibles. Les attaques par ransomware sont devenues la norme depuis plus de sept ans. De nombreuses entreprises, privées et publiques, grandes et petites, ont été victimes de telles attaques. 

Et pourtant, les entreprises continuent de sous-estimer le risque de cyberattaques, notamment de ransomware. Alors, pourquoi les ransomwares ne sont-ils pas une priorité absolue pour tous ?  Un précédent audit de Colonial Pipeline a révélé de graves failles dans la politique de sécurité, et un chercheur a déclaré : « Un élève de quatrième aurait pu pirater ce système. » 

Le récent décret sur l'amélioration de la cybersécurité de la nation et les lois plus strictes sur la protection de la vie privée telles que le RGPD et la CPRA vont rendre les conséquences du vol de données intéressantes. 

La réponse de Norsk Hydro à une attaque par ransomware en 2019 a été un modèle de changement qui a montré un profond désir d'apprendre, de s'améliorer et (surtout) de protéger les données que l'entreprise avait en sa possession. Ils ont utilisé cette attaque pour reconstruire de zéro la sécurité de leur réseau en utilisant des architectures Zero Trust qui connectent directement les utilisateurs aux applications et limitent les mouvements latéraux entre les systèmes en surveillant les flux de travail dans les différents déploiements du cloud. 

Colonial Pipeline suivra-t-il cet exemple ?
 

Qu'avons-nous appris de l'attaque contre Colonial ?

  • Il ne s'agissait pas d'une attaque ciblée sur les systèmes de contrôle industriel (ICS) ou contre la technologie opérationnelle (OT).Contrairement à l'attaque contre Saudi Aramco en 2017, rien n'indique que cette attaque ait causé des dommages physiques aux pipelines ou blessé le personnel d'exploitation de l'usine. Il s'agit très probablement d'une attaque qui a verrouillé les systèmes informatiques qui géraient les stocks opérationnels et la logistique. 
  • Payer la rançon ne permettra pas de rétablir vos activités rapidement. Une stratégie de sauvegarde et de restauration bien planifiée et testée peut vous sauver la mise. Payer la rançon ne fait qu'encourager d'autres attaques. Dans un plan d'action d'urgence de 81 pages remis à la Maison-Blanche en avril 2021 par un groupe de travail public-privé, il est indiqué que l'enrichissement des criminels auteurs de ransomware ne fait qu'alimenter la criminalité mondiale, y compris le terrorisme. 
  • Les compagnies d'assurance commencent à exclure les paiements de rançon. La compagnie d'assurance internationale AXA a déclaré jeudi - à priori une première dans le secteur - qu'elle cesserait de proposer les politiques de cyberassurance en France qui remboursent les clients pour les paiements de rançons versés aux auteurs de ransomware (elle a ensuite été rapidement touchée par une attaque de ransomware).
  • Le gouvernement américain prend enfin conscience de la situation. Le nouveau décret de l'administration Biden exige des entreprises qu'elles aillent au-delà de l'approche fondée sur la conformité. « Dans un délai de 60 jours à compter de la date du présent décret, le responsable de chaque agence fédérale devra (...) élaborer un plan de mise en œuvre d'une architecture Zero Trust. »
  • La prévention est beaucoup moins coûteuse que la gestion des conséquences d'une attaque. Il est facile de comprendre que la perte de revenus due aux temps d'arrêt non planifiés dépasse de loin tout investissement dans la défense contre de telles attaques.

Pourquoi la réponse de Norsk Hydro à une attaque par ransomware est-elle la référence ?

Les attaques par ransomware peuvent être limitées et évitées. Des entreprises comme Norsk Hydro ont fait face à de telles attaques par le passé et ont partagé leur expérience avec le monde entier. Qu'ont-elles fait ?

  • Norsk Hydro n'a pas payé la rançon.
  • L'entreprise a rendu l'attaque publique et a fait preuve de transparence quant à son plan d'intervention.
  • Elle a signalé l'attaque aux autorités et a travaillé en étroite collaboration avec le secteur de la sécurité pour empêcher les attaques contre d'autres entreprises.
  • Norsk Hydro a profité de l'occasion pour reconstruire, remanier et renforcer sa sécurité et son infrastructure. 
  • L'entreprise sait que de futures attaques peuvent avoir lieu. 

Mais avec une meilleure préparation, la probabilité d'une attaque réussie est beaucoup plus faible. Par exemple, Norsk Hydro n'a pu utiliser aucune des imprimantes pour imprimer les procédures de sécurité destinées au personnel de l'usine. 

« Si Hydro n'avait pas déjà déplacé les communications vers un service cloud géré comme O365, la situation aurait été plus grave. » - Eivind Kallevik, Directeur financier (CFO). 
 

Que doit faire votre entreprise pour planifier et prévenir les attaques de ransomware ?

Évaluez le risque commercial de votre architecture informatique et opérationnelle et réduisez votre surface d'attaque :

  • Ne vous lancez pas directement dans la surveillance des menaces ICS sans analyser l'ensemble de la surface d'attaque. 
  • Posez les bonnes questions lorsque vous évaluez votre politique de sécurité. Avez-vous un réseau à plat ? Vos réseaux informatiques et opérationnels partagent-ils les mêmes ressources (par exemple, des contrôleurs de domaine) ? Vos solutions de sécurité informatique issues de différents fournisseurs fonctionnent-elles ensemble de manière native (par exemple, votre secure web gateway s'intégrant à votre solution de sécurité endpoint et SIEM) pour briser la chaîne des menaces ? 
  • Envisagez d'étendre le Zero Trust à vos environnements OT. Les hackers ne peuvent pas accéder aux systèmes qu'ils ne peuvent pas voir sur l'internet ouvert. 

Les réseaux OT isolés physiquement ne répondent pas aux besoins de l'entreprise :

  • Autorisez l'accès à internet pour les postes de travail ICS en isolant le navigateur. Les employés ICS ayant deux ordinateurs portables peuvent créer une complexité qui entraîne des problèmes de sécurité. 
  • Remplacez les VPN par un accès réseau Zero Trust (ZTNA) en utilisant une approche de périmètre défini par logiciel pour l'accès à distance de vos systèmes OT.

Réalisez une segmentation : 

  • Segmentez les réseaux de contrôle, de gestion et de capteurs IIoT dans les environnements OT. 
  • Ne cherchez pas à réaliser une micro-segmentation complète, car il n'y a pas assez de temps d'arrêt sur le réseau OT pour la mettre en œuvre. C'est en protégeant l'intersection entre l'OT et l'IT que vous obtiendrez les meilleurs résultats.

Utilisez le cloud à votre avantage :

  • Tirez parti de l'expérience de Norsk Hydro et transférez un maximum de fonctions dans le cloud. Cela permet une reprise plus rapide et une meilleure protection des systèmes critiques.  
  • La mise en œuvre de la sécurité basée sur le secure access service edge (SASE) est un moyen facile de réduire la surface d'attaque et la complexité de votre réseau ICS. 

Dans l'attaque de SolarWinds, le mot de passe interne faible d'un stagiaire sur un logiciel à accès privilégié a conduit à une intrusion massive au sein de milliers d'entreprises et d'organisations gouvernementales, mettant en péril la sécurité nationale. Les mots de passe partagés utilisés dans l'usine de traitement des eaux à Oldsmar ont mis en danger la vie des habitants de toute une ville. 

Le récent décret témoigne d'une volonté d'améliorer la sécurité des infrastructures critiques des États-Unis. Étant donné que les entreprises privées gèrent une grande partie de ces infrastructures, espérons qu'elles seront également concernées par le décret.

Les actions des entreprises gérant des infrastructures critiques ont un impact sur des millions de personnes. Les entreprises responsables d'infrastructures critiques doivent faire appel aux meilleures pratiques de sécurité afin d'assurer la sécurité et le bien-être de la population. 

Restez au courant des dernières astuces et informations concernant la transformation digitale.

En envoyant le formulaire, vous acceptez notre politique de confidentialité.