Que peut faire le secteur public contre les rançongiciels?

By and Philip Fodchuk | 7 minute read | 10 novembre 2022

Les rançongiciels constituent la principale cybermenace à laquelle sont confrontés les Canadiens, et le nombre d’incidents est en hausse. Lors d’une attaque par rançongiciel, les cybercriminels utilisent un logiciel malveillant pour chiffrer, voler ou supprimer des données, puis exigent le paiement d’une rançon pour les restaurer. Il en résulte des temps d’arrêt, des pertes de données, des violations de la vie privée, des atteintes à la réputation et des coûts élevés de reprise.

Récemment, IBM a pris part à l’Ontario Leadership Forum organisé par l’IAPC afin d’examiner en profondeur la situation actuelle relative aux rançongiciels, les mesures que le secteur public peut prendre pour se préparer et se protéger, et la manière de réagir au mieux en cas d’attaque.

 

Situation actuelle des rançongiciels

La Centre canadien pour la cybersécurité prévient que les auteurs des menaces font preuve de plus en plus d’agressivité en ciblant le secteur public. En 2021, plus de la moitié des victimes canadiennes de rançongiciels étaient des fournisseurs d’infrastructures essentielles. Les hôpitaux et les universités subissent également de plus en plus d’attaques.

Que se passe-t-il? Plusieurs facteurs sont en jeu. Premièrement, la technologie de transformation numérique a accru la complexité des TI, les angles morts et les surfaces d’attaque. Dans cet environnement, les rançongiciels sont considérés comme un crime très rentable et peu risqué, en plus d’être facile à exécuter. En outre, les entreprises sont prêtes à payer la rançon pour reprendre rapidement leurs activités; ainsi, la majorité des attaques ne sont pas signalées.

Depuis le début de la pandémie, le nombre d’attaques par rançongiciel visant des établissements universitaires de recherche et de soins de santé a explosé. Les auteurs de menaces coordonnent de plus en plus leurs activités et les acteurs géopolitiques orchestrent leurs efforts pour s’attaquer à des entités spécifiques dans le cadre d’un programme mondial. La vitesse des attaques a également augmenté de façon spectaculaire. Les logiciels malveillants peuvent chiffrer des systèmes ou exfiltrer des données en quelques heures, voire quelques minutes. Auparavant, cela pouvait prendre des jours ou des semaines.

 

Qu’est-ce qui motive les attaquants?

Qu’il s’agisse de cybercriminels de bas niveau cherchant à gagner rapidement de l’argent ou d’États-nations soutenant des attaques visant des infrastructures essentielles et des technologies opérationnelles, les rançongiciels constituent désormais un marché important. De grandes organisations cybercriminelles ont même des bureaux de service que les gens peuvent contacter lorsqu’ils ont été touchés par un rançongiciel. (Étrange, mais vrai!)

Les auteurs des menaces pourraient tenter d’accéder à de la propriété intellectuelle ou de générer des renseignements ou des profils en vue d’attaques futures. Les institutions universitaires et publiques, qui constituent un vaste répertoire de propriété intellectuelle et de capital intellectuel pour notre pays, sont particulièrement concernées.

Les infrastructures publiques essentielles peuvent être très vulnérables. Bien qu’il soit conseillé aux hôpitaux, aux gouvernements et à d’autres organisations du secteur public de ne pas payer la rançon, ces derniers peuvent choisir de le faire pour préserver le fonctionnement des infrastructures essentielles, pour protéger la propriété intellectuelle ou les renseignements privés, pour protéger leur réputation ou parce qu’ils ne disposent pas d’une copie de sauvegarde.

 

Pourquoi les technologies de vérification systématique sont cruciales

La connaissance des vulnérabilités, des expositions et des risques connexes est essentielle pour toute organisation qui établit des contrôles de prévention et de détection des menaces. Sans ces données, les angles morts peuvent être exploités par les auteurs des menaces.

Steve Fraser, directeur en chef de la sécurité de l’information et chef de la sécurité de l’information (CISO) à l’Université Carleton, était conférencier invité à l’événement organisé par l’IAPC. Il a expliqué que les établissements d’enseignement supérieur utilisent les renseignements partagés comme un outil pour se protéger des attaques. En outre, les responsables informatiques du secteur de l’enseignement supérieur rencontrent régulièrement le Centre canadien pour la cybersécurité afin de recevoir des renseignements actualisés concernant les menaces et d’améliorer leurs connaissances et leur sensibilisation en matière de cybersécurité.

Étant donné qu’un grand nombre d’étudiants, de membres du personnel, de professeurs et de chercheurs universitaires se connectent au réseau, les équipes informatiques et de sécurité utilisent des techniques sophistiquées de gestion des risques pour déterminer les niveaux de sécurité nécessaires en fonction des différents types de données et d’activités.

Carleton, qui en est actuellement à la troisième année de son programme quinquennal de modernisation des TI, s’assure que les technologies de vérification systématique sont à la base du processus. Comme le souligne Steve, la vérification systématique est une capacité, et non un outil ou une approche unique. Une combinaison de processus et de technologies crée une capacité de vérification systématique de bout en bout, laquelle se compose de trois éléments essentiels :

  • l’activation du principe d’accès minimal/des segmentations par rapport à une approche ouverte;
  • la vérification continue après octroi de l’accès, avec un accès contextuel aux applications, aux données, aux API et aux points de terminaison dans l’environnement infonuagique hybride;
  • une surveillance automatisée, une détection permettant une découverte et une réponse rapides aux menaces.

 

4 étapes pour diminuer votre risque d’attaque par rançongiciel

Que la motivation soit financière ou géopolitique, il est essentiel de réfléchir à la manière dont votre organisation réagirait à une attaque par rançongiciel. Quelles technologies ou quels outils sont en place pour repérer une faille? Disposez-vous d’un plan de communication, d’un plan de réponse aux incidents et d’une liste des principaux décideurs?

Steve Fraser, de Carleton, a partagé quatre étapes essentielles permettant de réduire le risque d’attaque :

  1. Mettez l’accent sur la prévention. Les rançongiciels pénètrent souvent dans le réseau par le biais de courriels ou de messages. Malheureusement, les générations montantes accordent une confiance inhérente au courrier électronique. Formez-les à l’esprit critique. Mettez en place des outils de protection proactifs, tels que le filtrage du courrier électronique, des contrôles de sécurité supplémentaires pour assurer la protection des points de terminaison, une surveillance et une intervention 24 heures sur 24 et 7 jours sur 7, ainsi qu’une formation de sensibilisation à la sécurité pour les utilisateurs.
  2. Comprenez les données de votre entreprise, leur contexte et leurs capacités. Sachez où sont stockées vos données et applications sensibles et assurez-vous qu’elles sont protégées de manière appropriée. Assurez-vous que vos sauvegardes sont suffisantes, qu’elles sont chiffrées, stockées dans un endroit sûr et régulièrement testées. Trouvez les failles dans vos défenses afin de pouvoir repérer, suivre et corriger les vulnérabilités.
  3. Créer une stratégie de cybersécurité. Cette démarche doit refléter les besoins et les objectifs de votre entreprise, le type et l’emplacement de vos données, ainsi que le niveau de risque. Désignez les principaux décideurs aux échelons supérieurs.
  4. Soyez prêt et disposez d’un plan éprouvé de réponse aux incidents. Effectuez des exercices. Apprenez au personnel à tout remettre en question. Simulez des attaques de hameçonnage et de rançongiciels. Effectuez des exercices pour tester vos réponses, puis mettez à jour votre plan d’intervention pour l’ensemble des politiques, des processus, des parties prenantes désignées, des flux de communication, des définitions d’incidents et des guides.

 

Soyez informé, soyez préparé, soyez prêt

De quelle manière les responsables informatiques du secteur public peuvent-ils protéger leur organisation contre une menace aussi omniprésente que les rançongiciels? Face à des enjeux sans précédent, veillez à ce que les décideurs soient au courant, soyez prêts et suivez votre plan. Plus vous serez préparé et plus vous pourrez réagir rapidement, plus vous serez protégé.

La sensibilisation s’est accrue, mais il en est de même pour les conséquences d’un manque de préparation à une attaque par rançongiciel. Il peut s’écouler moins d’une heure entre le début d’une attaque par rançongiciel et la compromission complète d’un réseau; vous devez donc être en mesure d’agir rapidement et de manière intelligente. Exploitez les ressources fournies par le Centre canadien pour la cybersécurité. Vous y trouverez des guides, des outils et des renseignements tant à l’intention des gestionnaires que des techniciens.

Conclusion : les attaques par rançongiciels sont une question de « quand », plutôt que de « si ». La mise en place d’une stratégie de cybersécurité efficace constitue une garantie bien plus importante que les mesures correctives après coup. IBM a la solution.

 

Philip Fodchuk, Chef national de la gestion de la cybermenace, IBM Canada

 

Pour en savoir plus

Visitez la page  Solutions de protection contre les rançongiciels

[autopilot_shortcode]