Régulièrement, le Forum International de la Cybersécurité organise des tables rondes totalement gratuites pour discuter de cybersécurité.
Le mardi 21 Mai 2019, un débat sur l’évolution et l’accélération des ransomwares[1], ainsi que sur les enjeux des PME à eu lieu au Cercle mixte du Quartier des Célestins. Pour ce débat, étaient réunis :
En voici les grandes lignes :
Le ransomware est un « business rentable »
A l’ANSSI, affirme Serge Lefranc, 30 évènements de ransomware ont été notifiés ce dernier mois. Les attaques par ransomware se développent et sont rentables pour les hackers.
La pratique du ransomware est d’autant plus rentable qu’elle a évolué : on assiste à « des extorsions ciblées qui concernent spécifiquement une société ou un acteur » ajoute le colonel Nollet.
En effet, des groupes criminels ont créé des ransomwares « as a service » ou RaaS. Les « affiliates » (clients du RaaS), réalisent l’attaque pour s’infiltrer dans le système, puis cryptent les données du SI utilisant le ransomware. Ils doivent verser un pourcentage prédéterminé de leurs gains aux auteurs du ransomware.
«L’expertise est égale au niveau de celle des SI qu’ils veulent pirater» ajoute Benoît Grunemwald. Les hackers utilisent des algorithmes d’intelligence artificielle afin de les aider à déterminer l’attaque la plus efficace sur un système donné, précise-t-il.
Tous sont d’accord sur le fait que l’on fait face à des organisations criminelles qui fournissent des supports et des outils de plus en plus professionnalisées et organisées : une menace qui n’a aucune chance de disparaître.
Les PME : cibles préférées du ransomware
Les PME sont le protagoniste de l’histoire cybersécurité. Elles sont les premières cibles des cybercriminels, pour la simple raison qu’elles sont les plus vulnérables.
Or, la majorité des PME ne sont pas capables de comprendre les termes cybers. L’enjeu se situe au niveau de l’accompagnement de ces sociétés vers la compréhension des risques, explique le colonel Nollet. Un changement doit s’opérer à ce niveau. Il faut que les PME investissent pour se protéger. Il est cependant difficile de débloquer un budget quand on n’en voit pas la nécessité. Et pourtant, nombre de dirigeants se sont retrouvés dans des situations difficiles car ils n’avaient pas investi.
Une des solutions pour une meilleure prise en compte des enjeux de l’informatique serait de faire monter les responsables informatiques dans la chaine hiérarchique, soit de les impliquer dans les décisions stratégiques. Le colonel Nollet propose également un accompagnement des dirigeants des entreprises sur ce sujet, à l’aide de guides simples ou d’outils ludiques, qu’il reste à élaborer.
Une société attaquée ne doit cependant surtout pas payer de rançon, précise Serge Lefranc. Cela assurerait la rentabilité de l’écosystème criminel et donc son développement.
Mais alors, que doivent-elles faire ? L’ESET travaille avec des PME et de TPE pour les sensibiliser à la cyber malveillance, raconte Grunemwald. L’entreprise reçoit un très grand nombre d’appels faisant suite à une perte de données, qu’elle renvoie vers des prestataires.
Cependant, statistiquement, les entreprises peuvent voir que le taux d’occurrence des attaques est faible, et peuvent choisir de prendre le risque plutôt que d’investir dans de la cybersécurité. Elles s’interrogent sur le retour sur investissement de la cybersécurité ou de la police d’assurance.
Un membre du public pose la question : pourquoi, au même titre que la responsabilité civile automobile, une entreprise traitant de l’information ne devrait-elle pas être obligée de s’assurer ?
Le marché de la cyber assurance
Actuellement, les compagnies d’assurance mettent en place des primes spécifiques cyber. Cela met notamment en lumière l’importance de la prévention : le montant d’une prime de cyber assurance est modulée selon les mesures de sécurité mises en place par l’entreprise cliente. Ainsi, explique Grunemwald, une assurance cyber exige un niveau de sécurité spécifique appuyé par un audit du SI. Cela va réellement faire monter le niveau de sécurité dans les entreprises en les obligeant à se conformer aux obligations de sécurité exigées par l’assureur. En particulier celles qui s’assurent car elles n’ont pas les moyens d’employer un DSI.
Encore faudrait-il que les PME comprennent l’intérêt d’une telle assurance. Grunemwald affirme que les interlocuteurs de poids pouvant les faire basculer vers cet investissement seraient le comptable, l’avocat, et l’assureur.
Un facteur humain indéniable
Ainsi, le facteur de confiance est présent, mais pas seulement. Le colonel Nollet parle d’un « blocage cognitif » sur une potentielle défaillance de son SI. Il mentionne également l’effet émotionnel d’une attaque cyber, qui ne doit pas être négligé mais partagé.
Ce facteur émotionnel est bien présent, confirme Serge Lefranc. Il nécessite que des personnes interviennent auprès des victimes cyber, et gèrent la communication entre celles-ci et la résolution technique. On parlerait même d’un nouveau métier : la cyber négociation.
En conclusion
L’enjeu de cette accélération des ransomwares réside sur la maturité en sécurité de la cible. Au vu de l’évolution des ransomwares, qui deviennent plus sophistiqués et plus ciblés, il est crucial pour les PME d’être accompagnées pour faire face à ce risque.
Nour
[1] Un ransomware est un logiciel introduit dans un SI, qui en crypte les données de manière à qu’elles soient impossible d’accès, permettant à l’individu à origine de l’attaque d’exiger une somme d’argent à la victime en contrepartie de la récupération de ses données.
[2] ANSSI : Agence Nationale de la Sécurité des Systèmes d’information
[3]Entreprise proposant des solutions de sécurité.
Comments