stefanovi - Fotolia
Cybersécurité : Wavestone dresse le bilan de 12 mois électriques
Pas de doute, la fréquence des incidents de sécurité informatique s’est élevée sur la période. Mais cela vaut aussi pour leur complexité et leur étendue. La tendance à la double extorsion dans les ransomwares n’y est pas pour rien.
Wavestone vient de profiter de l’ouverture des Assises de la Sécurité, qui se déroulent cette semaine à Monaco, pour présenter son analyse des cyberattaques majeures sur lesquelles ses équipes ont été amenées à intervenir, entre septembre 2019 et août 2020. Et cette période n’a pas été de tout repos : ces équipes sont intervenues 50 % de fois plus qu’au cours des 12 mois précédents.
Souvenez-vous, l’automne dernier a été marqué notamment par les attaques de ransomware contre M6, ou encore le CHU de Rouen, Prosegur, et Go Sport. Les huit premiers mois de l’année, n’ont guère été plus reposants : Bouygues Construction, Bretagne Télécom, Aix-Marseille-Provence métropole, Essilor, l’Afpa, Roger Martin, Elior, MMA, le groupe Spie, ou encore les laboratoires Expanscience, notamment. A ce jour, nous avons compté plus de 50 cyberattaques de rançongiciel menées contre des organisations françaises, depuis le début de l’année. Les équipes de Wavestone sont intervenues sur 4 de ces cas… mais également 10 autres qui n’ont jamais été rendus publics.
Mais il n’y a pas que le ransomware. D’ailleurs, ces attaques ne représentent qu’un quart des 60 incidents majeurs sur lesquels sont intervenues les équipes de Wavestone au cours de la période considérée. Le reste ? D’abord des vols de données (30 %), mais aussi des fraudes (18,5 %) ou des dénis de service (5 %) et du cryptominage (1,5 %).
Mais c’est bien le rançongiciel qui met le plus à mal l’entreprise : 66 % des crises sont ainsi dues à ce type d’attaque. Et l’impact n’est pas négligeable : comme il se doit dans les attaques de ransomware actuelles, l’annuaire Active Directory est compromis. Même si les équipes de Wavestone ne sont pas intervenues que sur ce type d’incident sur la période, cela reste un dénominateur clé : « l’attaquant possédait des comptes d’administration du domaine dans 100 % des crises et 20 % des incidents ».
Mais le cabinet de conseil le souligne : les impacts majeurs n’ont rien d’une fatalité ; « dans 15 % des cas, ils ont pu être évités grâce à une réaction rapide et à une utilisation de la Cyber Threat Intelligence » (ou renseignement sur les menaces). Et l’on rappellera que beaucoup d’attaques, cette année, auraient pu être évitées avec l’application de quelques correctifs disponibles, pour certains, de longue date. Wavestone ne dit pas autre chose, relevant que l’intrusion s’est faite via un service d’accès distant vulnérable dans un cas sur 6, ou via l’exploitation d’une vulnérabilité Web dans un cas sur cinq.
Le niveau des capacités de détection joue aussi un rôle clé. Après tout, l’intrusion commence bien par un phishing ou un malspam (« malimails ») dans un quart des cas. Surtout, le temps moyen écoulé entre intrusion et détection s’est établi, pour la période, à 94 jours. Ce chiffre est recul de 44 % par rapport à la même période entre 2018 et 2019, mais reste encore trop élevé : même si certaines attaques de ransomware sont conduites de manière extrêmement rapide, dans la plupart des cas c’est une affaire au moins de jours.
Et il y a pire : moins de 25 % des incidents majeurs ont été identifiés par les services de détection des entreprises. Dans 31 % des cas, c’est un impact métier qui a révélé l’incident, et dans 25 %, les utilisateurs. Ce n’est qu’à moitié une surprise, compte tenu de la part des cas de ransomware dans l’échantillon : lorsqu’il détone, ça se voit tout de suite.
Las, la pratique de la double-extorsion, combinée à une compromission en profondeur de l’infrastructure, rend la gestion des crises plus complexe. Les équipes de Wavestone le constatent, avec l’implication croissante de nouvelles parties prenantes : « communicant, DPO, etc. » En moyenne, il faut compter 50 personnes impliquées, dont 10 prestataires externes en renfort.
Pour des crises clôturées pour moitié en 3 semaines… mais parfois jusqu’à près de deux mois. Là, le confinement n’a pas aidé, avec notamment un impact sur la disponibilité d’effectifs sur site et, dès lors, des capacités d’investigation : certaines crises ont ainsi duré jusqu’à deux fois plus longtemps. D’où l’importance de la préparation à la gestion de crise… mais aussi de la souscription d’une police de cyberassurance. A minima.