Le phishing et les ransomwares inquiètent les entreprises

Les rançongiciels et les attaques par hameçonnage restent le moyen de prédilection de nombreux cybercriminels pour maximiser leurs profits. C’est ce que montre également l’étude «How to Reduce the Risk of Phishing and Ransomware» (Comment réduire le risque de phishing et de ransomware), réalisée par Osterman Research pour Trend Micro. Les professionnels de l’informatique sondés dans le cadre de l’étude désignent le phishing et les ransomwares comme les cybermenaces qui les préoccupent le plus.

Aujourd’hui, la plupart des attaques par ransomware commencent par un courriel de phishing ciblant les employés. Il est intéressant de noter que, selon nos données, ces e-mails ne contiennent plus une pièce jointe ou un lien dangereux, mais les deux. Les acteurs malveillants espèrent manifestement qu’un employé tombera dans l’un ou l’autre de ces pièges. Il n’est pas vraiment surprenant qu’ils arrivent à leurs fins: de nombreux collaborateurs souffrent d’une charge de travail élevée et de stress, ainsi que d’une formation à la sécurité peu fréquente et inadéquate.

Après avoir infiltré le réseau, les acteurs se déplacent latéralement vers les systèmes commerciaux critiques pour y placer le ransomware. L’extorsion intervient généralement comme dernière étape de l’attaque, car elle est visible pour la victime. Avant de crypter les données, les attaquants les ont probablement déjà exfiltrées de manière à exercer un double chantage. Ainsi, dans de nombreux cas, les deux menaces font partie d’une seule et même attaque contre l’entreprise et doivent être considérées comme telles.

L’un des résultats de l’enquête est particulièrement préoccupant: près des deux tiers des sondés estiment qu’ils ne traitent pas très efficacement les risques actuels de phishing et de ransomware. Une partie du défi réside dans le niveau de sensibilisation du personnel à ces menaces. L’enquête montre qu’à peine la moitié des entreprises (45 %) est assez ou totalement convaincue que tous les employés sont en mesure de détecter une attaque de phishing par courriel.

Il est par conséquent recommandé à toutes les entreprises souhaitant se protéger contre le phishing de mettre en œuvre un certain nombre de mesures:

• Activer l’authentification multifactorielle pour les comptes de messagerie afin de minimiser le risque qu’ils soient compromis et utilisés pour des attaques.

• Activez l’IA/ML dans les solutions de sécurité mail, surtout si l’on utilise Office365.

• Former le personnel au hameçonnage et l’aider à reconnaître les courriers suspects. La répétition régulière joue un rôle clé. La formation seule ne suffit pas à créer une sensibilisation adéquate. Des outils, comme la plateforme gratuite Phish ­Insight de Trend Micro, permettent aux entreprises de réaliser des formations et des simulations de phishing en quelques clics.

Il faut également envisager certaines mesures pour se protéger contre les attaques de ransomware :

• Activer l’authentification multifactorielle pour les comptes ­administrateurs ainsi que pour tout compte existant sur un ­appareil connecté à Internet.

• Appliquer les correctifs aux applications et systèmes d’exploitation, et utiliser des correctifs virtuels si nécessaire.

• Déployer des solutions EDR/XDR qui peuvent aider à identifier les signes avant-coureurs d’une attaque par ransomware.

• Mettre en place une stratégie de sauvegarde 3-2-1.

• Élaborer un programme de formation à l’échelle de l’entreprise pour une meilleure sensibilisation à la sécurité et, en particulier, veiller à ce que les nouveaux employés et prestataires de services suivent une formation initiale approfondie.

====

Les jours fériés sont particulièrement ­appréciés des criminels

La cyberattaque contre le fournisseur de logiciels Kaseya a fait des vagues: plus de 1000 entreprises ont été touchées. Daniel Schmutz, responsable du Channel & Marketing Alps chez Trend Micro, explique pourquoi ce cas est typique des ­cybermenaces actuelles et détaille les leçons que l’on peut en tirer. Interview: Marc Landis

On assiste à une vague d’attaques par ransomwares, qui ne semble pas près de s’arrêter. Tout récemment, l’attaque contre l’éditeur de logiciels Kaseya a fait les gros titres. En quoi est-elle typique des menaces actuelles?

Le cas Kaseya diffère des autres attaques récentes sur un point crucial: les attaquants ont exploité une vulnérabilité inconnue jusqu’alors - on parle de «zero day». Les attaques de ce type sont cependant plutôt rares. En règle générale, les criminels ont tendance à s’appuyer sur la vulnérabilité humaine dans leurs attaques, notamment par le biais d’e-mails de phishing. Le moment choisi par les hackers pour est en revanche moins inédit: le vendredi après-midi avant un long week-end à l’occasion des vacances bancaires américaines du 4 juillet, était typique. Les jours fériés sont particulièrement appréciés des criminels. Cela fait déjà un certain temps que nous mettons explicitement en garde contre cette tactique.

De nombreuses victimes de cette attaque sont des fournisseurs de services managés utilisant le logiciel Kaseya ou leurs clients. Quel rôle ces supply chain numériques jouent-elles dans la cybersécurité?

L’incident présente en effet des caractéristiques des attaques dites de la supply chain. Dans ce type d’attaque, les hackers infectent d’abord les fournisseurs de services informatiques et exploitent ensuite leurs connexions informatiques avec d’autres entreprises, notamment les mécanismes qui effectuent directement les mises à jour dans les systèmes tiers. Contrairement aux attaques classiques, cette technique permet de contourner les solutions de sécurité au niveau du terminal. De cette façon, les auteurs peuvent rapidement se défaire de leur victime et se déplacer latéralement dans les systèmes sans être détectés. Plus le dommage initial est important, mieux il en va pour l’attaquant qui dispose ainsi de moyens de pression énormes. Les attaques contre la supply chain sont toutefois plutôt rares car elles sont compliquées et demandent beaucoup d’efforts à l’attaquant. Mais leur effet est souvent fatal, car il implique la perte de données, de réputation et de confiance des clients.

Comment les entreprises peuvent-elles se protéger de telles attaques?

Les technologies de détection et de lutte contre les attaques (Detection & Response) jouent un rôle de plus en plus important. Vu que ces attaques modernes tentent de contourner la système de sécurité au niveau du terminal, la solution devrait également inclure le réseau, les serveurs et les infrastructures cloud existantes. L’intégration de la sécurité des e-mails est également indispensable. Après tout, les courriels restent de loin le vecteur d’attaque prédominant pour les ransomwares. Avec une solution de Detection & Response, les entreprises ont une bonne visibilité sur l’ensemble de leur infrastructure IT. Elles peuvent ainsi réagir rapidement si un incident inhabituel se produit quelque part.

Quel rôle les technologies de machine learning et d’intelligence artificielle jouent-elles à cet égard?

Ces technologies sont devenues indispensables à notre avis. Dans les faits, les scanners ML sont si performants à détecter les ransomwares que les acteurs malveillants sont désormais forcés de régulièrement éliminer les agents de sécurité qui les exécutent. C’est le seul moyen pour eux de s’assurer que les systèmes sont infectés par leurs logiciels malveillants. Il est cependant inquiétant de constater que tout le monde est loin d’utiliser ces technologies de manière cohérente. À maintes reprises, nous avons vu des cas d’entreprises infectées alors qu’elles disposaient de solutions de sécurité prenant en charge les technologies ML/IA, mais qui ne les avaient tout simplement pas activées. Il suffit parfois d’un simple clic dans la console de gestion pour augmenter considérablement le niveau de sécurité.