« Le plus grand supplice est de craindre ce que l’on peut éviter », déclare Thalès de Milet au VIème siècle avant Jésus-Christ. En 2020, qu’avons-nous tiré comme enseignement de nos inquiétudes et comment pouvons-nous réagir ? C’est à cette question que le groupe Thales tente de répondre en délivrant son rapport sur la cybercriminalité organisée Cyber Threat Handbook, à l’heure où les entreprises sont de plus en plus exposées aux nouvelles menaces.
Des enjeux stratégiques
Guillaume Poupard de l’ANSSI confirme, « la plus grande menace de demain sera la cybercriminalité organisée », et elle a déjà commencé son ascension avec une augmentation de 34% de cyberattaques par rançongiciel depuis l’an dernier. Selon les estimations des Nations Unies et d’Accenture, le coût de la cybercriminalité s’élèverait à 5 200 milliards de dollars entre 2020 et 2025, soit la moitié du PIB de la Chine. Aujourd’hui, la cybercriminalité dépasse les revenus de la contrefaçon et du trafic de drogue.
Un retour nécessaire sur l’analyse des menaces
L’équipe de Cyber Threat Intelligence de Thales apporte une vision innovante de la cybercriminalité organisée où nos propres perceptions empêchent le développement de stratégies adaptées. Elle fait mention d’une différence essentielle entre la cybercriminalité pensée et perçue, où les constructions intellectuelles prennent le pas sur la vérité des menaces. Il devient alors nécessaire d’abandonner une « vision photographique » au profit d’une « vision dynamique » de la cybercriminalité, où l’ère de la classification, du déterminisme et du pragmatisme fait place à une stratégie plus consciente et attentive aux nouveaux liens entre acteurs.
La cybercriminalité comme tissu d’interactions
On assiste à une « dilatation » de la cybercriminalité, où les interactions se multiplient avec des acteurs de plus en plus variés. Un processus dû à une volonté de différenciation et de spécialisation, où chacun définit une identité et une stratégie précise avec des techniques particulières. Ces interactions mènent à une interdépendance entre tous les acteurs cyber, y compris les entreprises. Comme dans une partie d’échecs, les cybercriminels attendent, observent et anticipent pour préparer leur prochain coup.
« Nous devons considérer l’espace cybercriminel comme « interaction cybercriminelle » et « l’interaction cybercriminelle » comme espace cybercriminel. L’objet est un processus, le processus est un objet. » explique le rapport. Ainsi, les politiques de cyberdéfense, les modalités d’investigation et d’analyse (CTI) et les traitements médiatiques sont autant d’interactions qui impliquent chaque acteur dans la cybercriminalité organisée.
Adoption d’une posture dynamique de cyberdéfense
Thales distille ainsi différents conseils pour optimiser la stratégie des entreprises face à la cybercriminalité.
- Se concentrer sur l’analyse des nœuds d’interactions entre les éléments de menace, déterminer des schémas qui sont reproduits ou des comportements cycliques. Par exemple, une forte activité d’un groupe comme Emotet, qui fonctionne cycliquement par vague de compromission de nouvelles machines, implique de se prémunir contre Trickbot et le ransomware Ryuk et si possible contre Nephilim.
- Identifier des schémas d’interaction forts en se concentrant sur les pratiques culturelles des attaquants. Pour envisager leur comportement, il faut déterminer un mode opératoire, un formalisme (note de rançon) ou une éthique (secteurs d’activités épargnés). Si des similitudes sont retrouvées avec d’autres attaquants, il sera plus facile de les analyser.
- Se tenir au courant des nouvelles tendances en matière de cybercriminalité organisée, puisque le renforcement des interactions implique une plus grande probabilité de reproduction des nouvelles tactiques, comme par exemple le chantage à divulgation des données
- Ne pas simplement orienter l’analyse de sa menace en fonction de la nature supposée des attaquants mais en fonction de leurs dernières pratiques et interactions. « Les secteurs d’activité très dépendants des systèmes OT/ICS/SCADA, qui ont l’habitude de se concentrer sur des menaces avancées de type groupes d’espionnage sponsorisés, doivent s’attendre à une recrudescence d’attaques spécialisées de type ransomware suite à l’attaque d’EKANS en juin 2020 contre les entreprises Honda et Enel » selon l’équipe de Cyber Threat Intelligence de Thales
- Inclure les mesures de l’entreprise dans l’analyse de la menace lors de la mise en oeuvre de sa sécurité en anticipant les réactions suscitées auprès des attaquants, comme par exemple l’emploi de stratégies de contournement ciblant la Supply Chain
- Envisager sa gestion de crise de manière globale et plus seulement sous un volet financier. En cas de chantage à divulgation des données par exemple, il faut envisager une gestion de crise réputationnelle, légale, concurrentielle, commerciale, assurantielle, financière et sécuritaire.
Quelques recommandations pour appréhender les menaces
Dans le cas d’une attaque, les experts de Thales recommandent de se rapprocher immédiatement des autorités compétentes, en suivant les conseils détaillés de l’ANSSI :
Pour réduire le risque d’attaque par rançongiciels :
– Sauvegarder les données
– Maintenir à jour les logiciels et systèmes
– Utiliser et maintenir à jour les logiciels antivirus
– Cloisonner le système d’information
– Limiter les droits des utilisateurs et autorisations des applications
– Maîtriser les accès Internet
– Mettre en œuvre une supervision des journaux
– Sensibiliser les collaborateurs
– Évaluer l’opportunité de souscrire à une assurance cyber
– Mettre en œuvre un plan de réponse aux cyberattaques
– Penser sa stratégie de communication de crise cyber
Pour bien réagir en cas d’attaque :
- Adopter les bons réflexes
- Piloter la gestion de la crise cyber
- Trouver de l’assistance technique
- Communiquer au juste niveau
- Ne pas payer la rançon
- Déposer plainte
- Restaurer les systèmes depuis des sources saines
Pierre Jeanne, vice-président Technologies et Solutions de cybersécurité chez Thales rappelle : « les demandes de rançons présentées se chiffrent, non plus en milliers, mais en millions voire en dizaines de millions d’euros et peuvent mettre en péril la survie d’une organisation stratégique. Ce phénomène a définitivement bouleversé le paysage de la menace cybercriminelle puisque les attaquants présentent des caractéristiques se rapprochant des plus grands groupes d’espionnage, tout en conservant une vocation financière ».