Cet article a également été publié sur LinkedIn.
Dans un sketch du Saturday Night Live de 1991, l’animateur Joe Mantegna mettait en scène un fonctionnaire de la ville de New York chargé de réduire les crimes violents. Il faisait passer des brochures intitulées « Alors, vous avez été abattu », « Alors, vous avez été poignardé » et « Alors, vous avez été aspergé d’essence et incendié ». Le message satirique était qu’être victime d’un crime est inévitable, mais « c’est le prix à payer pour vivre dans la ville la plus dynamique et la plus excitante du monde ».
D’après un point de vue dans certains cercles informatiques, être victime d’un ransomware n’est pas seulement un risque, mais une fatalité, et la meilleure chose qu’un DSI/CISO/CTO/CEO puisse faire est de se préparer au rétablissement. Au mieux, il s’agit d’une hypothèse fataliste et erronée qui renforce l’engagement des entreprises en faveur de modèles défectueux de sécurité basée sur le périmètre. Au pire, c’est une acceptation cynique de la défaite qui invite à une attaque adverse : « les ransomwares arrivent, mais c’est le prix à payer pour s’en tenir à la façon dont les choses ont toujours été faites ».
Se préparer à payer une rançon n’est pas la même chose que se préparer pour un ransomware.
L’année dernière, le groupe Cybersecurity du WSJ a parrainé un webinaire qui mettait en avant le message de l’inéluctabilité des ransomwares. Les participants à la session, dont plusieurs victimes de ransomwares, ont discuté de la manière dont les entreprises devraient réagir aux attaques. Ils ont consacré peu de temps à conseiller les participants sur la manière dont les entreprises pourraient prévenir proactivement les attaques de ransomware en premier lieu. L’un des intervenants a recommandé aux DSI de développer des compétences en négociation et d’investir dans le bitcoin pour faciliter le paiement des rançons. Un autre a raconté avoir négocié avec un hacker « amical », un « père de famille » dont le modérateur a suggéré qu’il était un « gentleman cambrioleur ». (Je m’attendais presque à voir une diapositive intitulée « Alors, vous avez été piraté »).
Je n’arrive pas à croire que je doive dire cela, mais prétendre qu’il existe un quelconque sens de l’honneur chez les criminels du ransomware est tout simplement naïf. Quelles que soient leurs méthodes, les motivations des hackers sont simples, sinistres et matérialistes. Ils peuvent chercher à exfiltrer des données. Ou bloquer les données. Ou exiger une rançon avec la promesse de ne pas détruire ni divulguer les données. (Ceci dit, cette « promesse » ne vaut pas le papier sur lequel elle n’est pas imprimée.)
Une infrastructure obsolète constitue une cible facile.
Les réseaux traditionnels, les architectures de sécurité traditionnelles et les modes de pensée traditionnels sont autant d’éléments qui amplifient les dégâts potentiels d’une attaque de ransomware.
La sécurité dite « cloisonnée » a été conçue il y a plus d’un demi-siècle pour protéger les réseaux locaux sur place avant l’Internet. Aujourd’hui, elle ne peut pas sécuriser de manière efficace le travail effectué en dehors du périmètre du réseau. (Comment établir une frontière autour de l’Internet ouvert ?) Pire encore, il est relativement facile pour un hacker de violer le pare-feu d’un réseau d’entreprise traditionnel. Comme nous, les experts, aimons le souligner, un hacker qui utilise un ransomware ne doit avoir de la chance qu’une seule fois pour percer un périmètre. La « chance » d’un hacker (ou, plus probablement, d’une organisation criminelle parrainée par un État) vient souvent d’un employé peu méfiant qui clique sur une pièce jointe dans un e-mail de phishing (ou de spear phishing). Ou d’un mot de passe deviné. Ou d’un déploiement logiciel soit-disant « fiable ». Une fois à l’intérieur du périmètre, le hacker et son malware peuvent se déplacer latéralement en toute impunité à travers le réseau de l’entreprise, infectant (et s’emparant) des données, systèmes ou applications adjacents.
Des attaques de ransomware ? Mauvaise nouvelle. Des hackers ? Très mauvaise nouvelle. Voilà, tout est dit…
Lancer une attaque de ransomware est peu coûteux pour un hacker. En revanche, se remettre d’une telle attaque est coûteux pour une entreprise. Pour les hackers, les ransomwares sont simples et lucratifs. Ils lancent des attaques plus sophistiquées et développent des modèles commerciaux plus complexes. Certains groupes de hackers proposent même des kits de « Ransomware-as-a-service » pour recruter de nouveaux hackers.
Leurs attaques sont également plus destructrices : certains hackers redoublent d’efforts pour monétiser la criminalité, exigeant une rançon pour « déverrouiller » les données chiffrées d’une entreprise, puis exigeant un autre paiement pour ne pas vendre aux enchères ces mêmes informations exclusives au plus offrant sur le Dark Web. (Et puis ils pourraient détruire les données de toute façon. Des gentlemen cambrioleurs, en effet.)
Vous voulez vous préparer pour les ransomwares ? Adoptez le Zero Trust.
Si nous voulons vraiment faire quelque chose contre les menaces de ransomware, quelque chose de plus significatif que de stocker de la monnaie numérique pour faciliter le paiement du prochain Sandworm, nous devons supprimer les incitations proposées aux hackers. Comment faire en sorte que les ransomwares soient moins rémunérateurs pour les cybercriminels ? Nous ne pouvons pas dévaluer les actifs propres. Mais nous pouvons faire en sorte que les hackers aient plus de mal à s’emparer de ces actifs (données, applications, systèmes), ou qu’il leur soit impossible de s’en emparer.
Les pirates attaquent ce qu’ils peuvent voir. La plupart des entreprises exposent encore leurs adresses IP sur Internet. Chaque adresse IP publiquement visible représente un vecteur d’attaque potentiel. Dans un environnement réseau traditionnel, les applications cloud peuvent également présenter des risques : la publication d’applications sur le cloud public via un pare-feu traditionnel les rend visibles aux hackers, ce qui augmente la surface d’attaque de l’entreprise.
Il existe deux manières de décourager les attaques de ransomware : obscurcir la surface d’attaque de l’entreprise et éliminer les déplacements latéraux. Les deux options peuvent être réalisées par l’adoption d’une architecture Zero Trust (ZTA). Les solutions ZTA supplantent le modèle de réseau traditionnel en le remplaçant par une connectivité éphémère et directe, que ce soit d’utilisateur à application, d’utilisateur au data center ou d’application à application. La sécurité est basée sur des politiques, spécifique à l’utilisateur, proxy et fournie inline via un service en périphérie du cloud. Rien, et je dis bien rien, n’est visible au monde extérieur. ZTA élimine les risques de déplacement latéral : sans un réseau MPLS traditionnel pour se déplacer, un hacker, même s’il réussit à pénétrer un seul terminal, ne peut pas infecter les systèmes à proximité. Si vous supprimez toute possibilité de se déplacer vers d’autres destinations, les hackers ne disposeront d’aucun chemin interne à parcourir, ni de ressources d’entreprise à piller, et n’auront par conséquent aucune raison de mener une attaque.
Nous ne pouvons jamais considérer les menaces ou les adversaires malveillants comme inéluctables. Nous devons tous nous préparer pour les ransomwares. Mais la préparation au ransomware ne doit pas pour autant présumer de son caractère inévitable. Les CXO qui s’en tiennent à « la façon dont les choses ont toujours été faites » exposent leur entreprise à des risques inutiles et ouvrent grand leurs portes aux cyberattaques. Nous pouvons tous aspirer à plus qu’une brochure « Vous avez été piraté ». Nous pouvons passer de la « préparation aux ransomwares » à leur prévention… avec une architecture Zero Trust.
