CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…

Les publications sur le Blog seront consacrées pendant les semaines à venir au cyber risque. Rappel de ce qu’est le cyber risque (description du risque ; causes ; conséquences) à travers : 
  • Un article écrit par Cécile Desjardins qui décrit le risque ; dans cet article, elle le contextualise et en présente les différentes  modalités ;
  • Un article sur l’une des dernières victimes de cyber-attaques : l’ENAC ; après les entreprises, les municipalités ou encore les hôpitaux, les écoles… ;
  • Un résumé de ses causes et conséquences et un article sur son coût ;
  • Un point sur les préconisations de l’ANSII pour se prémunir contre une cyber-attaque ;
  •  Un regard vers l’avenir avec le projet de loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI) ;
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie cyber-risque et cyber-sécurité :
Le cyber-risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber-risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place des plans d’actions :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber-risque et le télétravail. Plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

CONTEXTUALISATION ET DIFFERENTES  MODALITES DU CYBER-RISQUE

Dix choses à savoir sur le risque cyber

Niveau de la menace, type d’attaques, maillons faibles et nouvelles voies d’entrées : tout ce qu’il faut savoir actuellement sur les actes malveillants envers les dispositifs informatiques.

1. Le risque numéro un

Le risque cyber est désormais considéré par de nombreuses organisations comme leur premier risque. Les « incidents cyber » se placent ainsi en tête du baromètre mondial des risques 2022 d’AGCS, mais aussi aux premiers rangs du classement de Davos, comme de ceux de PwC ou de France Assureurs . De fait, la prise de conscience semble enfin avoir eu lieu : la sécurité numérique est devenue stratégique, perdant ses qualificatifs de « direction technique » ou de « centre de coût » (étude Cesin et Eneid-Transition). Les trois quarts des DSI et RSSI se déclarent désormais confiants sur la capacité des dirigeants à évaluer le risque financier associé aux cyberattaques.

2. Un nombre considérable de victimes

Les chiffres diffèrent d’une étude à l’autre, mais la conclusion est identique : les organisations touchées sont extrêmement nombreuses. Selon le dernier baromètre du Cesin, plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 : on parle là des attaques réussies… Avec des conséquences très lourdes. « L’ampleur et la virulence ne cessent d’augmenter », souligne le Cesin, qui révèle que 6 entreprises sur 10 ont connu un impact sur leur business et en particulier une perturbation de la production (21 %), et/ou une compromission d’information (14 %), et/ou une indisponibilité du site web pendant une période significative.

3. Les attaquants sont de plus en plus structurés et spécialisés

Le mythe du jeune hacker a fait long feu. Les cyberattaques sont désormais le fait d’organisations criminelles extrêmement organisées, attirées par des taux de retour sur investissement de l’ordre de 200 à 800 %, selon le cabinet de conseil Wavestone. Certaines se sont spécialisées. Ainsi, le « ransomware as a service » (RaaS) se développe à vive allure. « Les business models ont changé, avec des ransomwares créés par des groupes qui louent leur utilisation à des spécialistes en matière d’entrée par effraction virtuelle, qui nécessite des compétences différentes », souligne Sophos dans son dernier rapport sur les menaces.

Le coût des rançons aurait atteint 500 millions de dollars sur le seul premier semestre 2021.

4. Les rançongiciels font toujours aussi mal

Aussi appelées « ransomware », ces attaques qui consistent à installer un logiciel sur un ordinateur pour en rendre illisibles les données, avant d’exiger une rançon, sont considérées comme la principale menace cyber en 2022 et auraient touché 1 entreprise sur 5 en France. Un récent rapport de l’Anssi constate une hausse de 255 % de ces attaques entre 2019 et 2020, avec pour premières cibles les secteurs de la santé et de l’éducation, les collectivités territoriales et les prestataires de services numériques. Lors de la dernière conférence Panocrim du Clusif, Gérôme Billois, associé cybersécurité et digital trust chez Wavestone, a rappelé que le trésor américain a identifié 5,2 milliards de dollars de transactions en bitcoins liées à l’écosystème des rancongiciels… dont 500 millions sur le seul premier semestre 2021.

5. Le cyberespionnage est un sujet croissant d’inquiétude

Révélée l’été dernier, l’affaire Pegasus a eu le mérite de braquer les projecteurs sur l’importance de la menace. Après, également, les nombreux avertissements lancés ces derniers mois par l’Anssi, plus d’une entreprise sur deux considère élevée la menace en matière de cyberespionnage. « Il y a probablement de nombreuses menaces persistantes avancées (ou attaques APT pour ‘advanced persistant threats’), issues de groupes de cyberespionnage liés à des Etats, qui ne sont pas découvertes », reconnaît Matthieu Faou, chercheur chez Eset.

L’hameçonnage a été le vecteur d’entrée de 73 % des attaques.

6. Le « phishing » reste le vecteur d’attaques le plus fréquent

L’enquête du Cesin montre que l’« hameçonnage » a été le principal vecteur d’entrée pour les attaques subies par 73 % des entreprises. Cybermalveillance.gouv.fr appelle à déjouer les pièges de ces messages frauduleux destinés à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. En étant par exemple extrêmement attentif sur le « nom de l’expéditeur, une demande inhabituelle, l’incitation à cliquer sur un lien ou une pièce jointe, etc. »

7. Les vulnérabilités logicielles sont aussi beaucoup utilisées

L’exploitation de failles serait à l’origine de 53 % des entrées dans les systèmes (étude Cesin). C’était le cas avec Log4Shell , la faille décelée dans une bibliothèque des systèmes Java et qui s’est abattue en toute fin d’année 2021 sur le monde de la cybersécurité. L’occasion de rappeler la nécessité de réaliser les mises à jour de tous ses systèmes.

8. Les « doubles extorsions » se multiplient

Comme l’avait relevé l’Anssi dès le début 2021, les attaques qui associent chiffrements de systèmes et violations de données sont de plus en plus courantes. Menacer de divulguer ou de vendre les données au plus offrant est aussi un moyen d’accroître la pression sur les victimes : tous les moyens de pression possibles sont désormais utilisés.

9. La supply chain logicielle est un terrible maillon faible.

Preuve en a été faite en 2021, avec les affaires SolarWinds et Kaseya , les attaques sur des sous-traitants informatiques peuvent générer de terribles effets de chaîne et avoir des conséquences désastreuses sur des milliers d’entreprises. « Orchestrées par des criminels cherchant à dérober des données ou simplement à causer le plus de dommages possible auprès des grands fournisseurs SaaS et de leurs clients, ces attaques risquent de se multiplier en 2022 », juge Tom Kellermann, responsable de la stratégie de cybersécurité de VMware.

Les objets connectés sont ciblés par certains groupes d’attaquants.

10. Les systèmes Linux sont aujourd’hui ciblés

Moteur de nombreux grands projets de transformation numérique, le système d’exploitation Linux est aujourd’hui régulièrement visé par les attaquants. C’est aussi le cas de certains objets connectés qui utilisent Linux. « En raison de la grande disponibilité et du support assez médiocre de certaines marques d’appareils connectés bon marché et grand public, aucun obstacle n’est véritablement offert aux attaquants automatisés », relève Sophos, qui s’attend « à ce que les attaques ciblant les serveurs Linux et les produits électroniques grand public se poursuivent sans relâche en 2022 ».

Par Cécile Desjardins. Févr. 2022

L’École Nationale de l’Aviation Civile frappée avec le ransomware Hive

L’ENAC a été frappée, durant le week-end du 12 mars, par une cyberattaque impliquant le ransomware Hive. Ses activités sont fortement perturbées. Une rançon de 1,2 million de dollars est demandée.

Dénonçant le travail d’un chercheur, les cyberdélinquants ayant attaqué l’ENAC ont décidé de revoir à la hausse leurs prétentions, demandant désormais deux millions de dollars de rançon.  

L’une de nos sources vient de confirmer ce qui nous avait été précédemment suggéré, nous fournissant au passage une capture d’écran de l’espace de dialogue ouvert par les cyberdélinquants à l’intention de l’ENAC : l’école a été attaquée avec le ransomware Hive. Les assaillants réclament une rançon de 1 200 000 dollars, en bitcoin.

La direction de la communication de l’ENAC est revenue vers nous, confirmant l’implication d’un ransomware. L’impact de la cyberattaque est effectivement très important à ce stade, jusqu’à affecter la capacité à se déplacer physiquement sur les sites de l’école et à assurer les vols programmés. Les partenaires de l’ENAC ont été informés afin de pouvoir s’isoler de ses systèmes d’information, et la direction générale de l’Aviation civile (DGAC) accompagne l’école dans la gestion de l’incident. Une déclaration publique est en préparation.

C’est un tweet rapidement supprimé qui nous a mis la puce à l’oreille. L’École Nationale de l’Aviation Civile (ENAC) est à l’arrêt depuis ce week-end. Elle a été victime d’une cyberattaque. Compte tenu de l’étendue des effets observables, l’implication d’un ransomware apparaît plus que probable.

L’espace de dialogue ouvert par les cyber-délinquants pour l’ENAC.

De fait, de nombreux services numériques, qui répondaient encore parfaitement présents la semaine dernière, sont aujourd’hui aux abonnés absents, retournant des erreurs 503 (service temporairement indisponible), ou renvoyant sur des pages de maintenance. C’est ainsi notamment le cas pour les services de campus numérique de l’école, ou l’application dite HDA, de gestion des activités. Plus préoccupant, pour certains services numériques, l’erreur retournée est 404 (non trouvé), suggérant, au mieux, la déconnexion de certains systèmes de stockage, au pire leur endommagement, voire chiffrement, par l’attaquant. Un service d’accès distant au système d’information, quant à lui, ne répond tout simplement pas.

Au téléphone, le message est simple : « pour l’instant, nos outils téléphoniques et informatiques sont paralysés ». Et tous les appels sur les numéros fixes sont renvoyés vers un seul et unique poste. Certaines adresses e-mail professionnelles semblent toutefois opérationnelles. Nous avons ainsi tenté de joindre la direction de la communication de l’école, en vain – et cela aussi par téléphone, fixe comme mobile.

Problème, au moins une adresse IP associée à des services de l’ENAC semble également, selon les résolutions DNS, liée à la direction de la technique et de l’innovation (DTI) de la direction des services de la Navigation aérienne (DSNA) de la direction générale de l’Aviation civile (DGAC). De quoi suggérer de potentielles interconnexions, au moins limitées.

Valéry Rieß-Marchive. Mars 2022

4 réflexions sur « CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles… »

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s