Numérique

Cyberattaques : peut-on les prévoir, les éviter ou limiter la casse ?

Les récentes attaques par rançongiciel (ransomware) contre des hôpitaux interpellent tous les responsables d’entreprises ou organisations : comment s’en protéger, comment limiter les dégâts ?

Lors d’une cyberattaque, il faut au plus vite déconnecter tous les systèmes, stopper la propagation du virus.
Lors d’une cyberattaque, il faut au plus vite déconnecter tous les systèmes, stopper la propagation du virus.

À une semaine d’intervalle, deux hôpitaux - à Dax (Landes) et Villefranche-sur-Saône (Rhône) - ont été mis à genou, en pleine crise de Covid. Ils ont subi la même cyberattaque, celle d’un crypto-virus, baptisé Ryuk. «Ces attaques sont le fait d'organisations criminelles, de véritables mafias», constate Guillaume Poupard, directeur général de l'Anssi (Agence nationale de sécurité des systèmes d'information). Une piste ukrainienne est suspectée, au moment même où la police française a été invitée, début février, en Ukraine, pour assister à l’interpellation de cyberpirates soupçonnés d’opérer un autre rançongiciel très agressif, Egregor(et proche de Maze).Les cyberpirates, après avoir réussi à pénétrer dans un réseau, commencent généralement par extraire des données sensibles. Ensuite, ils activent un virus qui les chiffre (encrypte), les rendant illisibles. Parfois, ils vont jusqu’à corrompre les copies de sauvegarde. Ensuite commencent les tractations : les pirates, qui peuvent passer le relais à des «dealers», proposant un «contrat» (!), invitant l’entreprise victime à payer une rançon, généralement payable en monnaie virtuelle (bitcoin). Les montants varient de quelques centaines d’euros à plusieurs millions d’euros.

Que faire en cas d’attaque ?

«Il faut porter plainte et ne pas payer la rançon», répète l’Anssi - car le fait de payer ne garantit pas qu’on récupère toutes ses données. Il faut au plus vite déconnecter tous les systèmes, stopper la propagation du virus. Ensuite, en surveillant que l’attaque ne se renouvelle pas, reconstruire un système «cœur de confiance», dont le périmètre aura été prédéfini autour des applications indispensables, en s’appuyant sur les sauvegardes les plus sûres (à j-1 ou j-3, voire antérieures). En parallèle, on redémarre les traitements et procédures en mode dégradé, y compris en mode papier et en utilisant des ordinateurs sains, hors réseau. En prévention, on aura à disposition une copie codée (même artisanalement sur papier ou autre) des procédures d’accès et mots de passe «système», en un lieu sûr (coffre ou équivalent). Pour certains échanges sur un campus, sur une ville, il faut aussi prévoir un système physique provisoire de navettes ou de coursiers…
Dès le redémarrage, les mots de passe seront changés.

Peut-on anticiper les menaces ?

Les éditeurs ou fournisseurs de solutions de sécurité sont très nombreux à proposer divers logiciels et services permettant d’anticiper les menaces. On parle de plus en plus d’«intelligence» partagée, autour de systèmes de détection d’anomalies. C’est le cas de plateformes comme ThreatCloud. De tels dispositifs inspectent des milliards de connexions dans le monde, en permanence.L’intelligence artificielle, avec de l’apprentissage et de l’automatisation, apporte de plus en plus sa contribution. Les procédures irrégulières ou suspectes sont détectées, comme la copie de fichiers ou l’échange de codes. Des systèmes (cf. Sandblast ou CloudGuard) déconnectent automatiquement les machines ou postes détectés infestés.

Édicter des règles et bonnes pratiques

Ces solutions, souvent onéreuses et adaptées à de grandes organisations, ne doivent pas faire oublier l’essentiel : respecter les bonnes pratiques (cf. l’Anssi, les clubs Cesin, Clusif, etc.). Les mots de passe doivent être régulièrement renouvelés et suffisamment robustes (au moins huit à dix caractères, dont un ou deux spéciaux). Ils ne doivent pas être rangés dans un répertoire visible, appelé «mots de passe» ou «password» ! Pour certains serveurs ou applications critiques, il faut appliquer le principe de «confiance zéro» (zero trust). L’authentification renforcée des personnes peut s’imposer avec un double contrôle (MFA ou multi-facteurs : envoi d’un code par SMS ou par email) ou avec des systèmes plus sophistiqués (cf. Bastion du français Wallix). Pour empêcher l’irruption de virus (qui peuvent rester inertes pendant des semaines), il faut rappeler à tous de ne pas ouvrir de courriels suspects dont l’expéditeur apparaît douteux, non identifiable. Et surtout ne pas cliquer sur leurs pièces jointes. L’ajout d’objets connectés (smartphones, systèmes de commande à distance, capteurs, etc.) doit être surveillé. Et queles mises à jour de logiciels sont bien effectuées par tous. Au bilan, le risque zéro n’existe pas, pas plus que la protection à 100%. C’est une course permanente. Comme pour une assurance, c’est le coût et les conséquences du sinistre possible qui déterminent le prix que l’on est prêt à payer pour protéger son activité et ses données.

Pierre MANGIN