AVIS D’EXPERT – En février dernier, les États-Unis et le Royaume-Uni gelaient les comptes en banque de sept ressortissants russes, soupçonnés d’être derrière l’entité Trickbot, l’un des groupes de cybercriminels les plus prolifiques au monde, et interdisait tout paiement de rançons.
Jean Baptiste Grandvallet, directeur technique chez Cohesity, fait le point sur cette décision ôtant le dernier espoir que nourrissaient certaines entreprises de récupérer leurs données.
Avec cette condamnation, les deux pays ne font pas seulement qu’accroître la pression sur les auteurs d’attaques par ransomware, ils promettent aussi des sanctions fortes aux organisations qui leurs versent des rançons. Dans une déclaration, ils ont souligné qu’il était désormais interdit de payer une rançon à ces individus, y compris sous la forme de cryptomonnaies. Les entreprises dont les données ont été détournées par le célèbre ransomware voient donc s’évanouir leur dernier espoir de récupérer leurs données volées ; en effet, si elles payaient la rançon, elles s’exposeraient à de lourdes conséquences juridiques. C’est une nouvelle déconvenue, qui démontre que le paiement de rançons n’est jamais la garantie de récupérer ses données. En France, si le paiement des rançons est encadré par la loi, les sanctions américaines pourraient tout de même s’appliquer dans le cadre de paiements versés à ce groupe de cybercriminels. C’est arrivé notamment durant le traitement d’autres affaires par l’OFAC. La BNP Paribas a été contrainte de payer une amende de 6,5 milliards d’euros aux États-Unis pour avoir enfreint l’International Emergency Economic Powers Act, bien que n’ayant commis aucune action illégale en France. Autre cas de figure : Interpol vient d’annoncer l’arrêt de plusieurs cybercriminels du groupe DoppelPaymer et la saisi de tous leurs appareils électroniques. Il est maintenant impossible pour eux de renvoyer une clé de déchiffrement, même si la rançon a été payée par l’organisation victime de leurs attaques. Leurs données sont désormais perdues à jamais.
La cyber résilience plutôt que la rançon
On peut s’attendre à ce que les autorités occidentales accentuent la pression sur d’autres groupes de ransomware. Les entreprises touchées pourront difficilement racheter leurs systèmes piratés à moyen terme, sans avoir à craindre d’énormes risques d’amendes. Une partie de l’assurance cyber qui couvre le paiement éventuel d’un ransomware perd ainsi de son intérêt. Jusqu’à présent, la plupart des RSSI ont concentré leurs budgets sur la défense de l’entreprise. Selon une étude réalisée par Deloitte, 80 % de leurs ressources y seraient consacrées, alors que 20 % seulement serait dédié à l’atténuation des effets en cas d’attaque réussie. Un meilleur équilibre devrait être recherché pour améliorer la cyber résilience de l’entreprise, notamment la capacité à maintenir les éléments les plus importants en fonctionnement, même en cas d’attaque réussie, tout en se penchant sur l’analyse de l’attaque elle-même. Les solutions modernes de sécurité et de gestion des données peuvent couvrir ces disciplines en stockant régulièrement des sauvegardes de toutes les données de production sous forme d’instantanés (ou snapshots). Par le passé, les entreprises considéraient ces sauvegardes comme une assurance contre la perte, le vol ou la corruption des données. Les cyberattaques ont changé cette vision pour toujours, car la sauvegarde est désormais la police d’assurance ultime contre les cyberattaques. Les instantanés décrivent le cycle de vie des données en direct et montrent leur statut d’hier, de la semaine dernière, du mois dernier ou même de l’année dernière. Les équipes de sécurité peuvent travailler en tandem avec les équipes d’infrastructure informatique dans un scénario de salle blanche afin que les systèmes récupérés ne soient restaurés que dans un état stable. Elles peuvent également utiliser leurs audits pour détecter les données laissées par les cybercriminels, et suivre le parcours des attaquants. Il est ainsi possible de détecter des changements de configuration, de nouveaux faux comptes ou des fragments de logiciels malveillants dans les fichiers instantanés.
Réduire les coûts de l’assurance cyber et fournir des preuves
Les politiques d’assurance cyber complètes peuvent aider à financer les investissements critiques en ce qui concerne les experts, le matériel de remplacement et d’autres services en cas de perte. Cependant, les fournisseurs exigent désormais des organisations qu’elles puissent cocher un certain nombre de cases pour pouvoir bénéficier d’une cyberassurance. Ces exigences concernent à la fois les aspects techniques ainsi que les questions de formation et de politique interne. Quiconque dépasse ces critères grâce à un niveau de protection élevé — par exemple en étant capable d’isoler les données à l’aide d’un air gap — bénéficiera par exemple de cotisations d’assurance moins élevées. En outre, en cas d’attaque réussie, les entreprises pourront prouver qu’elles ont installé tous les mécanismes de contrôle nécessaires. En effet, la reconstitution via les snapshots fournira les preuves nécessaires, même si des données de production importantes ont été supprimées, manipulées ou chiffrées lors de l’attaque. Ces documents techniques constitueront des preuves importantes pour l’entreprise lésée dans le cadre d’investigations.
Pour le futur : les cybercriminels à la solde des États ?
Le succès des nombreuses opérations de ransomware au cours des derniers mois a relégué à l’arrière-plan d’autres scénarios d’attaque tels que les attaques par wiper, beaucoup moins lucratives puisqu’elles se contentent de supprimer l’ensemble des données des appareils infectés. Cependant, si le ransomware devient lui aussi de moins en moins lucratif grâce à ce type d’initiatives, ce secteur d’activité se restreindra progressivement. Le nombre d’attaques par wiper ayant des motifs politiques et militaires a considérablement augmenté en raison de la guerre en Ukraine. Au total, 17 variantes différentes d’attaques par wiper ont été lancées contre l’Ukraine au cours des derniers mois. Il est tout à fait concevable que les acteurs s’impliquent davantage dans ce domaine et étendent leurs attaques à des cibles et à des infrastructures critiques dans des pays qui soutiennent directement ou indirectement l’Ukraine. Dans ce contexte, il est d’autant plus important de renforcer la cyber résilience sur internet. Ainsi, lorsqu’une attaque se produit, l’équipe informatique et les équipes de sécurité travaillent en étroite collaboration pour maintenir les services critiques en vie pendant que les équipes de sécurité analysent l’attaque en arrière-plan. C’est la seule façon pour l’économie et la société de survivre face aux cybercriminels et à leurs attaques.
Jean Baptiste Grandvallet, directeur technique chez Cohesity
