La cybercriminalité est désormais une réalité et nous y sommes tous confrontés. Cela fait désormais fréquemment la une de nos journaux, semaines après semaines. Pour bon nombre d’entre vous, cette notion de cybercriminalité reste vague et vous ne vous sentez pas vraiment concernés. De ce fait, vous êtes encore moins préparés pour vous en prémunir. Vous vous dites : comment ma petite PME va intéresser les cybers attaquants ? « Je n’ai pas de données qui ont de la valeur », « je ne suis qu’une association », « je suis un musée, un théâtre, etc… ». Et pourtant, vous êtes une cible. L’objectif de cet article est de vous sensibiliser aux risques d’une cyberattaque de manière concrète et vous donner quelques pistes pour vous en prémunir.

Qu’est qu’une cyberattaque ?

Aujourd’hui, la majorité des cyberattaques se basent sur une technique de rançongiciels (ransomware) basé sur des techniques de crypto-verrouilleurs (cryptolocker). Par exemple, vous recevez un email et vous ouvrez une pièce jointe zippée puis, il ne se passe rien. Enfin en apparence. Car en réalité un petit programme s’initie dans votre ordinateur. Il se lance immédiatement ou reste dormant pour se déclencher un peu plus tard. Ce petit programme va chiffrer l’ensemble de vos fichiers qu’importe son extension (fichiers textes, tableurs, vidéos, images mais aussi des bases de données, machines virtuelles, …), rendant ces fichiers illisibles.

Tant que vous n’aurez pas la clef de déchiffrement (fournie uniquement par l’attaquant), vos fichiers ne vous servent plus à rien. Il vous faudra payer la rançon demandée par l’attaquant pour avoir peut-être la « chance » d’obtenir la clef. C’est une action que je vous déconseille d’ailleurs car aucune garantie ne vous est donnée par ses voyous et c’est parfois la double peine (fichiers cryptés et perte d’argent).

Non seulement, vous n’avez plus accès à vos fichiers mais bien souvent, les assaillants ont pris la peine de récupérer les données dites sensibles. Voici par exemple les informations qui peuvent être gênantes d’être communiquées : documents RH de vos salariés, vos résultats financiers, brevets, facturations, etc… Que peuvent-ils en faire ? Tout simplement vous menacer de les diffuser sur internet à la vue de tous. C’est l’amer expérience qu’a vécu l’hôpital de Versailles ces derniers jours…

On n’entend pas parler des petites structures car elles ne s’en ventent pas mais se retrouvent bien souvent très mal. D’après lemondeinformatique.fr, les entreprises les plus visées (1 sur 2) sont les TPE-PME et la France est le 2ème pays d’Europe le plus touché. L’année 2022 sera encore une année record avec deux fois plus de sociétés touchées que pour l’année 2021. Enfin, les principaux assaillants sont Lockbit 2.0 et Lockbit 3.0. En moyenne, sur une structure de 80-100 salariés, il faut environ 3 semaines pour reconstruire l’environnement informatique dans son ensemble. Et cela à condition d’avoir eu des sauvegardes opérationnelles et d’avoir réagi à temps…

Comment s’en prémunir ?

Je vais vous présenter en quelques lignes des pistes pour limiter grandement les risques d’attaque. Ne reportez pas ces petites actions à demain, vous pourriez vous en mordre les doigts.

Former vos équipes aux bons gestes de sécurité

L’ANSSI propose quelques règles à appliquer tous les jours.  N’hésitez-pas à consulter notre article reprenant un résumé de ces différentes règles. Ces règles sont aussi bien à destination des personnes du métier de l’informatique que de tous les utilisateurs en entreprise.

Former et sensibiliser ses équipes permets de réduire par deux l’intrusions de cyber-attaquants dans votre système informatique.

Renforcer votre sauvegarde

Evidemment, il n’est pas toujours possible d’éviter une attaque par cryptolocker, il faut également protéger vos données ; Pour cela, une solution existe : la sauvegarde de vos données.

Alors, je vous déconseille d’utiliser des solutions artisanales pour réaliser vos sauvegardes ou alors, il faut être sûr de votre sécurité. En effet, les logiciels de cryptolocker sont capables de chiffrer les données de votre poste de travail mais également des disques réseaux, NAS, serveurs ou ordinateurs de ses collègues. Pour peu que vous ayez des droits élargis, le cryptolocker fera un vrai carnage.

Il faut idéalement utiliser des logiciels de sauvegarde qui réalisent des enveloppes de vos données et fabriquent des versions afin de vous permettre de restaurer les données sur plusieurs jours. En effet, les attaques se déroulent très souvent le vendredi soir. Si vous avez une sauvegarde quotidienne, le lundi matin, lorsque vous revenez au bureau, votre sauvegarde est également cryptée…

En 4h environ, 2To de données étaient cryptées

La sauvegarde doit être réalisée sur des serveurs différents de ceux où se trouvent vos données. Les droits de la sauvegarde doivent être différents de ceux des utilisateurs. L’objectif est de protéger votre sauvegarde.

Le meilleur moyen pour s’y prévenir, reste la sanctuarisation. Un disque USB que vous déconnectez et intervertissez chaque semaine sur votre serveur vous permet de vous garantir d’une version déconnectée. Et idéalement, si cette version peut être stockée ailleurs de votre entreprise (et dans un endroit sûr), vous vous prémunissez également pour les risques de vols, d’incendie ou d’inondation… Avec ces risques de cyber sécurité, nous avons pu constater le grand retour des lecteurs de bandes. C’est une solution très efficace à condition d’être gérée et suivie sérieusement par un service informatique (renouvellement régulier des bandes, versionning, contrôle quotidien des sauvegardes et test de crash recovery).

Gestion de vos droits en entreprise

La meilleure manière également de limiter les dégâts en cas d’attaque, c’est de limiter les droits à chacun des utilisateurs. Et bien souvent, aussi troublant que cela puisse vous paraître, le PDG, DG ou autre responsable n’a aucune raison d’avoir accès à tous les fichiers. Et je vais vous surprendre également, les administrateurs informatiques n’ont aucune raison d’accéder aux fichiers de l’entreprise avec leurs comptes… J’encourage ces derniers à sanctuariser les droits quitte à avoir plusieurs comptes (un pour le quotidien sans élévation de droit, un pour gérer les postes utilisateurs avec des droits limités aux postes et un autre pour les serveurs).

Cela veut dire sanctuariser les droits par service, par branche, par filiale… Je vais vous donner un exemple parlant : Un PDG d’un groupe hôtelier avait tous les droits d’accès à ces différents hôtels. Il attendait un email d’un cabinet d’avocat, il a cliqué sur un faux email. Cela a déclenché le cryptage sur l’ensemble des données de ces hôtels (branchés sur une même infrastructure informatique). Il ne s’est rendu compte de rien. En 4h environ, 2To de données étaient cryptées. Cela s’est passé un vendredi soir…

Bien souvent, les entreprises utilisent Active Directory pour la gestion des comptes utilisateurs. C’est un bon outil. Néanmoins, les administrateurs système l’utilisent très mal en général. Les droits admins du domaine sont souvent utilisés comme compte du quotidien pour leurs propres postes et l’administration des postes des utilisateurs. Il suffira qu’un poste utilisateur soit corrompu et en quelques minutes, l’attaquant arrivera à élever ses droits en tant qu’administrateur du domaine.

Sanctuariser vos infrastructures serveurs

Dans la même idée, n’intégrez pas toujours vos serveurs dans le domaine de votre entreprise si les utilisateurs n’ont pas à s’y connecter. Si vous avez un ERP avec lequel les utilisateurs se connectent seulement par l’intermédiaire d’une page web, même si l’authentification se fait par le LDAP de l’entreprise, le serveur n’a pas de besoin d’être interconnecté à l’AD. Et en réfléchissant ainsi, on construit des barrières qui seront autant de frein pour l’assaillant.

Multiplier les Active Directory peut être également une solution. Par exemple, créer un AD pour la gestion de vos hyperviseurs (ex HyperV a besoin d’un AD pour son cluster, cet AD n’a pas besoin d’être le même que celui des utilisateurs). C’est simple et c’est une nouvelle barrière.

Il faut également sanctuariser l’Active Directory global de l’entreprise. Il ne faut pas pouvoir se connecter directement à l’Active Directory par bureau à distance. Les comptes d’administration pour gérer les comptes sont spécifiques. Ils doivent avoir une limitation de droits bien définie (pas admin du domaine par exemple).

Enfin, diversifiez vos systèmes d’exploitation, les serveurs Linux sont épargnés par ces attaques (sauf bien entendu les partages de fichiers). Cela peut être une solution pour vos solutions métiers…

Consolidez vos infrastructures réseaux

Aucun accès distant ne doit être possible pour accéder à vos infrastructures. Oubliez systématiquement les PAT (Port Address Translation) pour accéder à distance à un serveur, bureau à distance et autre ouverture sur l’extérieur. Utilisez des VPN, c’est fiable, robuste et sécurisé.

Utilisez des firewalls pour protéger vos accès. Limitez au maximum à vos utilisateurs des droits à l’internet élargis. Cela ne leur sert pas à grand-chose mais cela ouvre des portes inutiles pour des potentielles attaques.

Séparez les réseaux de vos utilisateurs de ceux de vos serveurs et soignez les accès réseaux pour limiter au nécessaire.

Dans l’hypothèse où vous publiez des solutions en ligne (site internet, etc…), mettez ces serveurs dans une DMZ (Zone isolée du reste de votre infrastructure).

Mettez à jour vos équipements

C’est simple, mettre à jour tous ses équipements permet également de se prémunir contre les risques de failles (portes d’entrée potentielles). Cela consiste à mettre à jour les postes utilisateurs (Windows Update, Apt-Get Update, Yum Update…) mais également les serveurs. Ne pas mettre à jour les serveurs relève toujours d’une mauvaise raison.

C’est également mettre à jour les firmwares de vos équipements comme les routeurs, les switchs, les bornes wifi. Ces petits appareils connectés sont d’ailleurs souvent les plus vulnérables et les cibles des assaillants (ex : thermomètre connecté, sonde météo, réfrigérateur connecté, les alexas, chromecasts etc…).

S’appuyer sur une société spécialisée en sécurité et en gestion informatique

Beaucoup d’entreprise aujourd’hui estiment ne pas avoir besoin de déléguer cette mission à des professionnels. Les raisons sont souvent différentes (peu de matériel, tout fonctionne bien, pas d’argent à mettre sur cette question). Je pense que ce n’est pas un bon calcul.

Pour chaque structure, le besoin est bien entendu différent. Néanmoins, même pour les plus petites structures, un regard extérieur permettrait de vous donner les bons repères et ajuster quelques petits points pour sécuriser et fiabiliser votre infrastructure. Le retour sur investissement est en général immédiat.

Pourquoi faire appel à un prestataire d’infogérance ? Les raisons sont nombreuses mais voici quelques exemples :

  • Vous consacrez à votre cœur de métier
  • Sécuriser et garantir des sauvegardes fiables et garanties,
  • Maintenir le parc informatique en bon état de marche (postes et serveurs),
  • Surveiller votre réseau informatique et être alerté en cas de dysfonctionnement,
  • Certifier ses comptes auprès d’un CAC,
  • Vous conseiller et vous donner une visibilité sur les investissements à faire ou pas.
  • Vous conseiller sur votre budget informatique et téléphonique.

Chez Plateforme 37, nous vous proposons des audits informatiques (techniques, fonctionnels et contractuels) permettant de vous donner une visibilité et une lisibilité sur l’ensemble de vos besoins, vos démarches à réaliser dans un court, moyen et plus long terme. Et cela sans avoir besoin d’un bagage technique pour comprendre les actions à mener.

Nous vous proposons également des contrats de maintenance informatique adaptés à toutes les tailles d’entreprise. Vous permettant d’avoir un accès à des experts à moindre coût.

Contactez-nous pour en savoir plus !

 

Crédit photo : Photo de Tima Miroshnichenko