Le 5 février 2020, l’Agence nationale sur la sécurité des systèmes d’information (ANSSI) a publié un rapport sur les rançongiciels les qualifiant de « menace informatique la plus sérieuse pour les entreprises et institutions par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité ».
En effet, l’ANSSI précise qu’elle observe « depuis 2018 de plus en plus de groupes cybercriminels cibler spécifiquement des entreprises financièrement robustes dans le cadre d’attaques dites « Big Game Hunting », parfois menées en combinaison avec d’autres codes malveillants (cryptomineurs, trojan bancaires). Elles sont réalisées par des groupes d’attaquants aux ressources financières et aux compétences techniques importantes, et présentent un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des états. »
En quoi consiste donc cette menace et surtout, quels sont les réflexes à adopter ?
Qu’est-ce qu’un rançongiciel ?
L’ANSSI le définit comme un « code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent ».
Trois typologies d’attaques ont été référencées :
- les « Vastes campagnes d’attaques non ciblées » : les plus courantes et les moins sophistiquées ;
- les « campagnes massives automatiques » : l’exemple le plus connu de ce type d’attaque est le rançongiciel « Wannacry ». Plus rare, ces dernières ne requièrent « aucune interaction avec la victime pour l’infecter et aucune action manuelle de l’attaquant pour se propager dans son réseau » ;
Il est intéressant de noter que, comme l’ANSSI le rappelle, pour Wannacry, des correctifs avaient été publiés deux mois avant les attaques. Les entités touchées n’avaient pas mis en œuvre ces derniers….
- les « Big Game Hunting : Attaques informatiques ciblées » : en hausse elles ont pour caractéristiques l’utilisation de « méthodes et techniques auparavant réservées à des opérations d’espionnage informatiques opérées par des attaquants étatiques ».
Par ailleurs, il a été observé une nouvelle pratique depuis fin 2019, les attaquants « s’emploient à exfiltrer de grandes quantités de données présentées sur les systèmes d’information compromis avant l’action de chiffrement ». Cette pratique soulève une nouvelle menace pour les entreprises : la divulgation de leurs données.
L’ANSSI souligne l’importance de prendre en compte ce nouveau risque au regard de la confidentialité des données et de la règlementation RGPD.
Enfin, ces attaques de type rançongiciels :
- n’épargnent aucun secteur d’activité ni aucune zone géographique,
- s’attaquent à toute entité ayant accès à Internet, notamment lorsque les mesures de sécurité informatique (ex : « sauvegardes à froid, sensibilisation à l’hameçonnage, mise à jour logicielle sur les machines connectées, antivirus ») ne sont pas mises en place.
En France, en 2019, l’ANSSI a traité 69 incidents relatifs à des attaques rançongiciels.
Quelles conséquences pour les entreprises ?
La menace la plus soudaine pour l’entité victime est l’impossibilité de continuer son activité sauf à payer une rançon dont le prix est fixé par les cybercriminels. Selon sa durée, cet arrêt peut avoir des « conséquences économiques, industrielles ou encore sociales » catastrophiques.
Par ailleurs, en complément, se sont développées de nombreuses « offre de service » dédiées à ce marché. Ces dernières sont :
- illégales, pour la plus grande majorité, par exemple : la vente de données personnelles, la vente d’accès compromis, la vente de services appelés « Ransomware-As-A-Service », et ;
- légales, pour certaines concernant le paiement des rançons : assurances spécifiques, sociétés spécialisées en négociation et médiation.
L’ANSSI s’alarme ainsi sur cet « écosystème légal » qui permet le « développement d’une économie légale dans le paiement de rançons » et incite les cybercriminels « à augmenter les rançons et à multiplier leurs attaques ».
Face à ces risques, qui devraient « prendre de l’ampleur dans les années à venir », les entreprises n’ont d’autre choix que de se préparer à toute éventualité, en acquérant de bons réflexes.
Nos recommandations :
1. Mettre en place des dispositifs de préventions appropriés
Il est aujourd’hui devenu indispensable et parfois obligatoire de protéger de manière efficace les systèmes d’informations, réseaux, objets connectés, sites web d’une entreprise. Cette sécurité passe par :
- la mise en œuvre d’une politique de sécurité régulièrement mise à jour,
- un audit régulier de l’ensemble de son système d’information,
- identifier et respecter ses obligations légales,
- identifier et respecter ses obligations contractuelles,
- la sensibilisation du personnel de l’entreprise,
- intégrer à son PRA (« Plan de Reprise d’Activité ») la menace cyber et mettre régulièrement à jour son PRA et le tester,
- anticiper et prévoir un plan d’action de crise à dérouler le jour de la menace,
- réfléchir à souscrire un contrat de cyber assurance
2. Réagir efficacement en cas d’atteinte à son système d’information
- s’organiser pour mettre fin dans les plus brefs délais à l’atteinte : dérouler son PRA s’il existe, sinon mettre en place une organisation de crise, identifier et documenter précisément l’ensemble des caractéristiques de l’incident de sécurité,
- préserver des preuves fiables de l’incident de sécurité,
- identifier ses obligations légales et s’y conformer,
- définir une stratégie de communication à destination des clients, partenaires et tiers pour préserver l’image de l’entreprise, envisager les recours judiciaires.
Marine Hardy, avocate chez IT Law, responsable des pôles Innovation et Sécurité