«La cybersécurité ne peut plus être considérée comme un sujet secondaire»

Les cas d'entreprises suisses paralysées par des ransomware se multiplient. Quelles mesures préconisez-vous pour s'en protéger et y répondre?

Oui, effectivement de nombreux cas de ransomware ont eu lieu ces dernières années en Suisse. Ces attaques commencent habituellement par un premier accès des attaquants sur l’infrastructure de l’organisation; par exemple, l’accès au VPN ou aux e-mails d’un utilisateur via une attaque de phishing ou la compromission d’un serveur via l’exploitation d’une faille de sécurité non-patchée. 

A partir de cet accès initial, il n’est pas rare que les attaquants passent ensuite plusieurs jours sur l’infrastructure de l’entreprise, durant lesquels ils vont chercher à avoir accès aux données sensibles et confidentielles de l’organisation pour les dérober ainsi qu’aux sauvegardes pour les détruire. Une fois qu’ils ont pu accomplir cela, les attaquants vont alors chiffrer l’ensemble des données et des systèmes auxquels ils ont accès en laissant derrière eux une demande de rançon, en échange de laquelle ils «s’engagent» à restaurer les systèmes chiffrés et à ne pas diffuser les données volées. 

Donc, les mesures qui permettent de se protéger contre ces attaques commencent par les briques de base de la sécurité: maintenir ses systèmes à jour, utiliser de mots de passe complexes et uniques pour chaque système, mettre en place un mécanisme d’authentification multi-facteurs sur tous les systèmes de l’organisation et en priorité sur les plus exposés, ou encore sensibiliser les collaborateurs aux attaques de «social engineering». 

Ces mesures vont permettre de limiter les chances de succès des attaques destinées à obtenir un accès initial. Si, malgré tout, elles aboutissent – et c’est une bonne idée de partir de ce principe –, il est alors important de disposer également de mesures visant à détecter cette compromission et à réagir le plus rapidement possible pour en limiter les conséquences. Un bon exemple est le déploiement d’un agent EDR (Endpoint Detection and Response) sur les postes de travail et les serveurs, couplé à une équipe, interne ou externalisée, prête à réagir lorsqu’une alerte est levée par un de ces agents.

Les PME romandes sont-elles aujourd'hui plus attentives à la question de la cybersécurité? Ont-elles les moyens financiers, techniques et humains de se défendre efficacement?

Oui, la plupart des PME semblent aujourd’hui avoir pris conscience des risques et des enjeux liés aux questions de cybersécurité. Les attaques de ces dernières années dans la région ont certainement contribué à cette prise de conscience. 

En revanche, la question des moyens est certainement plus compliquée, surtout pour des organisations publiques ou privées de petite taille, qui ne disposent pas des moyens financiers et humains nécessaires pour se défendre correctement, alors que, selon leur nature, elles peuvent être amenées à manipuler et stocker des données sensibles ou personnelles.

Les entreprises s’appuient toujours davantage sur des applications cloud pour leurs opérations. Quel est l’impact sur la cybersécurité? Quelles approches permettent de tenir compte de ces environnements hybrides?

Comme on aime le répéter dans le monde de la cybersécurité: le cloud est juste l’ordinateur de quelqu’un d’autre! Blague à part, les environnements cloud connaissent effectivement une adoption croissante ces dernières années et cela va certainement aller en s’accélérant. Du point de vue de la cybersécurité, il y a des avantages et des inconvénients. Ce qui est important c’est que chaque entreprise fasse sa propre analyse pour déterminer les risques et les bénéfices associés à une migration vers le cloud, dans son contexte propre. 

En plus de cela, le «cloud» est un terme très vaste, qui englobe des systèmes et des plateformes de natures très différentes. Les contraintes de sécurité associées au déploiement et à l’utilisation de machines virtuelles sur une plateforme IaaS sont ne sont pas les mêmes que celles liées à l’emploi d’un service SaaS comme Microsoft 365; pourtant dans les deux cas, on parle souvent simplement de «cloud». 

Néanmoins, un des points communs à l’adoption de services cloud est que la sécurité n’est plus liée à un emplacement sur le «réseau» – il n’y a plus vraiment de «réseau interne» – mais dépend plutôt directement d’une bonne gestion des identités et des accès (IAM). Ces services et les consoles permettant de les administrer sont exposés sur Internet et leur sécurité – ou du moins, la sécurité des leurs utilisateurs – repose donc directement sur les mots de passe et les autres mécanismes de contrôle d’accès associés aux comptes de ces utilisateurs.

SCRT pratique des tests d'intrusion. Comment ces tests ­évoluent-ils pour répondre à la menace et aux attentes des entreprises?

Evidemment, mon avis est peut-être un peu biaisé sur cette question mais les tests d’intrusion sont, de mon point de vue, un outil indispensable dans une bonne stratégie de gestion de la sécurité. 

Ils permettent, par exemple, de tester la sécurité d’une nouvelle application ou d’une infrastructure avant que celle-ci ne soit mise en production, mais pas seulement. Pour de nombreuses sociétés souhaitant prendre en main leur sécurité de manière plus générale, ils constituent souvent un très bon moyen d’établir un état des lieux de la situation actuelle, afin de définir les priorités et le plan d’actions leur permettant d’aller vers une meilleure gestion de leur sécurité. 

D’un point de vue technique, les tests d’intrusion sont évidemment en constante évolution pour s’adapter à la métamorphose des infrastructures et aux tendances technologiques. Ce n’est donc, par exemple, pas une surprise que, ces dernières années, ces tests ciblent fréquemment des systèmes ou des infrastructures cloud. 

En marge des considérations techniques, le modèle lui-même selon lequel ces tests d’intrusion sont proposés évolue aussi. Par exemple, depuis quelques années, des organisations font appel à des programmes de bug bounty pour évaluer la sécurité de leurs systèmes. Ces programmes sont, en apparence du moins, intéressants car ils permettent de bénéficier du travail continu de nombreux chercheurs tout en ne payant que lorsque des résultats sont trouvés. Toutefois, une des limitations de ce modèle est, par exemple, qu’aucune garantie ne peut vraiment être fournie quant à l’effort mis en œuvre par les chercheurs sur une société en particulier.

Pour permettre aux sociétés de bénéficier des avantages d’un bug bounty, tout en gardant ceux d’un test d’intrusion plus «traditionnel», tels que la garantie de l’effort investi ou le contact direct avec les personnes travaillant sur ces tests, nous proposons depuis quelques années une offre de «pentest continu». C’est un bon exemple de l’évolution de ce type de services.

Les ransomware ont beaucoup fait l'actualité. Face à la ­réponse des organisations, quels changements de tactique et de technique anticipez-vous du côté des cybercriminels?

Les techniques déployées par les groupes criminels derrière ces attaques évoluent en permanence. Il y a encore quelques années, elles étaient encore souvent relativement simples et la principale conséquence de ces attaques était le chiffrement des données et des systèmes de l’organisation ciblée. Au fil des années, les sociétés ont amélioré leurs processus de sauvegarde leur permettant ainsi de restaurer leurs systèmes, sans avoir à considérer le payement de la rançon. En réponse à cela, certains groupes ont commencé à inclure le vol de données et la menace de leur publication, dans leurs techniques. Désormais, tous le font et le vol de données est souvent la principale composante de ces attaques. En plus de cela, le fonctionnement de ces groupes se professionnalise: ils fonctionnent désormais comme de véritables petites entreprises avec des techniques et de processus rodés. Cette professionnalisation, combinée avec le développement croissant d’offres de type Ransomare-as-a-Services (RaaS) laissent malheureusement penser que le problème n’est pas près de disparaître dans les années à venir, bien au contraire.