Wannacry et Cybersécurité, somme nous sur les vrais combats ?

Je l’écrivais il y a plus d’un an (http://www.silicon.fr/hub/hpe-intel-hub/securite-comment-lutter-contre-les-ransomwares ), le modèle économique du ransomware ou rançongiciels repose sur le fait que contre le paiement d’une somme modique, l’utilisateur peut récupérer ses données. La nouveauté sur cette attaque consiste dans la massification de la diffusion de ce ransomware. Si certains considèrent à cette heure que le montant de paiement des rançons à l’organisation criminelle est d’un faible montant, ce montant va fortement augmenter dans les prochaines semaines car les PME atteintes par cette cyberattaque n’auront pas d’autres choix que de se résoudre à payer ou disparaitre. Pour les grandes entreprises, c’est l’arrêt des activités et un coût de remise en état qui est à attendre.

Alors que les cyberattaques récentes démontrent tous les jours que les principes mises en œuvre commencent très souvent par une phase préparatoire de phishing et l’exploitation de vulnérabilités de systèmes informatique, je reste surpris de la quantité de littérature que nous pouvons lire sur internet et les réseaux sociaux sur des technologies sensées répondre aux cyberattaques.

J’ai compris au bout de 20 ans sur la gouvernance sécurité et la gestion des risques que malheureusement la communauté sécurité est trop largement focalisée sur l’évolution technologique de nos défenses. Cela suffit-il à nous protéger des cyberattaques ? certainement pas et l’actualité le démontre tous les jours. Malheureusement l’histoire est beaucoup plus simple.

Il faut bien comprendre que l’attaquant va toujours aller au plus facile. Cela consiste à exploiter la vulnérabilité humaine dans ces attaques que ce soit l’utilisateur, l’informaticien ou les procédures de l’entreprise et utiliser la massive interconnexion des systèmes dans le cadre de la digitalisation de nos entreprises pour se propager.

Pour rappel la sécurité repose sur 3 piliers :

• ·        La technologie. J’aborderai ce sujet dans un autre billet d’humeur car il y a beaucoup à dire. 90% de ce que l’on peut lire sur internet concerne ce domaine. Il faudrait se poser la question par exemple de l’exploitation de ces solutions au sein d’un service informatique. Il n’y a pas que le POC[1] dans la vraie vie. Déjà assurer la mise à jour des systèmes ou gérer l’obsolescence des systèmes de type XP sur les sites industriels par exemple seraient une avancée significative pour se protéger contre ce type d’attaque. Commençons par les basics.
• ·        Les procédures. Malheureusement l’organisation du travail actuel et les bouleversements liés à la digitalisation de nos activités mettent à mal les contrôles existants. Autre vaste sujet sur lequel sur lequel je reviendrai prochainement ;
• ·        Le facteur humain. Parent pauvre de la sécurité et malheureusement le chainon faible de notre cyberdéfense. Il n’y a qu’à voir le niveau d’investissement des entreprises sur ce sujet.

En conclusion avec des investissements relativement limités, nous pourrions rapidement annihiler ce type de cyberattaques. On a l’habitude de dire que la sécurité a un coût mais cela n’a pas de prix. Il faudrait néanmoins se poser la question de l’efficacité de ces investissements et notamment de la stratégie à adopter et de la réorientation de nos investissements pour se protéger contre les cyberattaques.

[1] Proof Of Concept