L’identification des risques est la première démarche à réaliser.
Remarque
La crise sanitaire que nous vivons depuis 2020 du fait de la Covid-19 a mis à l’arrêt de nombreuses entreprises mais n’a malheureusement pas stoppé les pirates informatiques. Ceux-ci ont trouvé là un moyen d’exploiter la situation, tirant parti du télétravail et de la migration de données vers des clouds, la cybersécurité au domicile des salariés étant moindre.
La définition donnée par l’ANSSI est la suivante : « Un rançongiciel (ransomware en anglais) est un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon ».
C’est un logiciel qui est introduit dans un système d’information et dont le but est malveillant c’est-à-dire qu’il a pour mission de chiffrer (crypter) des données. Le cyber criminel fait ensuite connaître à sa victime la demande de rançon.
En contrepartie du paiement de la rançon, le criminel s’engage alors à remettre la clé de déchiffrement permettant d’accéder de nouveau aux données.
Dans ce type d’attaque classique par ransomware, les données ne sont pas dérobées mais elles sont rendues inaccessibles car chiffrées.
Toutefois, les cyber criminels ne manquant pas d’ingéniosité pour optimiser les chances de paiement des rançons, ceux-ci ont récemment créé une variante de l’attaque par ransomware. Ils ont combiné deux types d’attaque : l’introduction d’un logiciel malveillant et le vol de données.
Les attaques par ransomwares existent depuis de très nombreuses années et bien qu’il existe des variantes, l’ANSSI distingue trois types d’attaques par ransomwares.
Les cybercriminels ont, dans un premier temps, ciblé des entreprises via le phishing (ou hameçonnage) : il s’agit d’une technique visant à leurrer l’internaute pour qu’il communique des données personnelles (code d’accès, identifiants…) ou bancaires en imitant le mode de communication d’un tiers de confiance. La stratégie adoptée était la loi du plus grand nombre. Ces attaques visent un grand nombre d’internautes, dans l’espoir que certains d’entre eux « mordent à l’hameçon ». On pourrait résumer cela par : plus il y aura d’entreprises visées, plus il y aura de chances d’être payé !
Le coût des attaques est peu élevé car les attaques ne sont pas très sophistiquées et les pirates misent surtout sur l’absence de sécurité informatique de leurs cibles pour réussir. Ce type d’attaque est connue sous le terme « Fire and Forget » ou encore « Spray and Pray ». Ces méthodes sont toujours d’actualité car malheureusement elles fonctionnent toujours très bien et sont très lucratives pour leurs auteurs.
Le désormais célèbre WannaCry a marqué les esprits en 2017. Des entreprises du monde entier ont été frappées par ce ver informatique (dont la particularité est de se propager à très grande vitesse sur l’ensemble du réseau informatique de la cible) de l’Ukraine jusqu’aux États-Unis. C’est ainsi que plus de 200 000 machines ont été infectées dans plus de 150 pays. Même si aucune entreprise n’était spécifiquement visée, cette attaque a été qualifiée de « campagne massive à propagation automatique », car c’est le même code d’exploitation dénommé Ethernal Blue qui a été utilisé. En France, de nombreuses entreprises ont été victimes de cette attaque parmi lesquels on peut citer Renault, Saint Gobain, Auchan…
Il s’agit d’attaques menées par des collectifs ou groupes de cyber criminels qui disposent de moyens financiers et de compétences techniques très importants et qui ciblent certaines entreprises ou institutions avec des attaques par ransomwares très puissantes.
Les méthodes et techniques utilisées par ces groupes (qui sont préparées des mois à l’avance) ressemblent très fortement à « des opérations d’espionnage informatique opérées par des attaquants étatiques » rappelle l’ANSSI et ces attaques sont dirigées vers des grandes entreprises parce qu’elles auraient la capacité financière pour payer des rançons très élevées (plusieurs millions, voire dizaine de millions d’euros).
Contrairement aux attaques massives non ciblées, les attaquants vont ici plutôt miser sur leur capacité à s’introduire discrètement sur le réseau de la cible et à y rester sans être découvert afin de prendre le temps de localiser les données qui seront chiffrées, voire dérobées et chiffrées.
Les chiffres sont éloquents : l’ANSSI a traité 203 incidents en 2021, contre 192 en 2020 et contre 54 en 2019 (Rapport CERT-FR, Panorama de la menace informatique 2021, 9 mars 2022 ).
L’ANSSI a observé plusieurs tendances en 2021 :
Il s’agit de l’introduction dans le système d’information de la victime et du vol de données. Les pirates informatiques vont copier-coller les données, enrichissant ainsi leur base de données et par là même leur base de futures victimes !
C’est le chiffrement des données dans le système d’information de la victime.
Il s’agit de la première demande de rançon adressée à la victime.
Une seconde demande de rançon est adressée en menaçant la victime de la dénoncer aux Autorités et à ses propres clients. Si cette menace reste sans effet, la menace consiste alors à publier les données en ligne.
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, toutes les entreprises publiques ou privées qui détiennent des données à caractère personnel de citoyens européens ont l’obligation d’informer :
Les entreprises qui ne respecteraient pas les obligations décrites ci-dessus s’exposeraient à des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires de l’année précédente de l’ensemble du groupe avec un minimum de 20 millions d’euros.
En menaçant les entreprises d’une telle dénonciation, les pirates informatiques doublent ainsi leur chance d’obtenir le paiement de la rançon.
En 2022, le groupe Meta a été condamné par la DPC (équivalent irlandais de la CNIL) à une amende de 265 M€ pour n’avoir pas respecté les engagements du RGPD, suite à l’attaque de 2021 qui avait permis de collecter les données de 500 millions d’utilisateurs de Facebook.
Le Comité européen de la protection des données (CEPD) a adopté le 14 décembre 2021 la version finale de ses lignes directrices qui fournissent aux responsables de traitement et aux sous-traitants des exemples concrets de cas de violations de données personnelles, observées par les différentes autorités de contrôle au sein de l’UE depuis l’entrée en application du RGPD ( Lignes directrices CEPD n° 01/2021, 14 déc. 2021 ). Elles complètent utilement les lignes directrices qu’avait adoptées le G29 sur les notifications de violation de données en 2017 ( Lignes directrices du G29 WP250, 3 oct. 2017 ) et apportent toutes les clés pour réagir en cas de violation de données, notamment à la suite d’une attaque par ransomware, dont le CEPD rappelle qu’elle engendre une violation de disponibilité et parfois aussi de confidentialité des données.
Remarque
Un organisme victime d’un rançongiciel mais qui aurait mis en place un système de chiffrement et de sauvegarde efficace, ne sera, a priori, pas soumis à l’obligation de notification, sauf si l’indisponibilité des données a des impacts sur les personnes concernées, ce qui peut être le cas si l’attaque vise des données de patients, par exemple.
Le guide de l’ANSSI
Prendre conscience des risques et s’y préparer, tels sont les bonnes pratiques et les bons réflexes rappelés par l’ANSSI (Agence nationale pour la sécurité des systèmes d’information) dans son guide en partenariat avec la Direction des affaires criminelles et des grâces (DACG) du ministère de la Justice, publié le 4 septembre 2020 et intitulé « Attaques par rançongiciels, tous concernés - Comment les anticiper et réagir en cas d’incident » ?
L’ANSSI rappelle que les ransomwares « augmentent en nombre, en fréquence, en sophistication et peuvent être lourds de conséquences sur la continuité d’activité, voire la survie de l’entité ».
Alors que le risque d’attaque par ransomware reste classé dans le top 3 des attaques subies par les entreprises, et également dans le top 3 des risques identifiés par les entreprises dans les cartographies de risques, de nombreuses entreprises en sont victimes.
Les données détenues par les entreprises peuvent valoir de l’or et ce sont aussi les données qui doivent être protégées en complément des systèmes d’information. Il est primordial que chaque entreprise mette en place des Back-up afin d’être en mesure de restaurer les données dans l’hypothèse où celles-ci ne seraient plus accessibles.
Pour bon nombre d’entreprises qui ont subi une attaque par ransomware et qui ont pris la décision de ne pas donner suite à la demande de rançon, c’est parce qu’elles disposent d’une sauvegarde qui va leur permettre la continuité d’activité.
Mettre en place des sauvegardes ne reste cependant qu’une première étape car il est également nécessaire de tester lesdites sauvegardes. Il est en effet nécessaire de vérifier si l’ensemble des données sauvegardées l’ont bien été et ne pas attendre de subir une attaque pour réaliser que toutes les données ne faisaient pas partie du périmètre de la sauvegarde.
Lorsqu’une attaque survient, c’est souvent parce que les pirates informatiques ont exploité une vulnérabilité. Il est important que les entreprises soient à la fois capables d’identifier ces vulnérabilités pour les corriger et ainsi éviter d’être attaquées. De nombreuses sociétés de cyber sécurité proposent des solutions visant à identifier ces vulnérabilités (des tests de pénétration par exemple). Ces tests doivent être réalisés à intervalle régulier afin d’optimiser la protection des systèmes.
Les entreprises les plus matures en termes de cyber sécurité ont mis en place des Bug Bounty Program (prime aux bugs). Ce sont des programmes qui sont publics ou privés et qui invitent les Ethical Hackers (pirates éthiques) à rechercher les failles dans la sécurité informatique de l’entreprise et à les dévoiler à l’entreprise contre rémunération.
Enfin, il convient d’être particulièrement vigilant sur les correctifs et autres mises à jour publiés par les éditeurs de solution qui apportent également une protection efficace.
Pour les systèmes d’information qui tournent sur des systèmes d’exploitation qui ne sont plus mis à jour (XP par exemple), une attention particulière doit être apportée et une grande vigilance est de mise si lesdits systèmes sont connectés à internet ou à d’autres réseaux. C’est notamment le cas de la plupart des systèmes industriels (autrement appelés ICS- Industrial Control Systems ou systèmes de contrôle industriels, dédiés au pilotage et au contrôle d’équipements industriels – incluant les SCADA – Supervisory Control and Data Acquisition ou systèmes de contrôle et d’acquisition de données).
Cette recommandation peut sembler une évidence, toutefois il faut garder à l’esprit que plusieurs virus naissent chaque jour, aussi les mises à jour sont aussi importantes que l’installation de l’antivirus lui-même.
La particularité d’un virus c’est qu’il se propage vite, très vite. Si des mesures sont mises en place pour limiter sa propagation et ainsi le ralentir ou l’empêcher de poursuivre sa route, ce sont in fine des postes en moins à décontaminer, une continuité d’activité assurée avec les postes et les systèmes qui n’ont pas été chiffrés et donc un business qui n’est pas à l’arrêt, du moins pas totalement.
Cloisonner les systèmes d’information ou créer des zones à l’intérieur d’un système est primordial.
Autrement appelés adéquation des accès et droits avec le profil de l’utilisateur, ici le but est de circonscrire les accès de chaque employé au strict nécessaire, c’est-à-dire uniquement au réseau ou système ou logiciel dont il a besoin pour l’exercice de son activité. Un employé du service des ressources humaines par exemple ne doit pas avoir accès au réseau ou applications qui concernent la comptabilité et inversement.
Ici aussi il est bien sûr question de ce que chaque employé a droit de faire ou d’installer sur son PC. Les droits administrateurs sont limités à certains salariés, c’est ce que l’on appelle des comptes privilèges.
L’ouverture des systèmes d’information à internet peut être dangereuse et une configuration spécifique est nécessaire pour limiter les risques d’attaque par ransomware. Certains sites sont malveillants et télécharger des fichiers ou cliquer sur certains liens peut être le premier pied mis par le pirate d’informatique dans un système d’information.
Il est recommandé de mettre en place une véritable politique de journalisation afin d’assurer une supervision des incidents de sécurité. Selon l’ANSSI, « cette politique doit permettre d’enregistrer les événements générés par les différents services hébergés. En complément, elle doit permettre d’enregistrer les événements associés à l’authentification, à la gestion des comptes et des droits (une attention particulière doit être portée aux objets associés à de forts privilèges), à l’accès aux ressources, aux modifications des stratégies de sécurité ainsi qu’à l’activité des processus et du système sous-jacent ». La CNIL a adopté, le 14 octobre 2021, une recommandation relative aux modalités de conservation et d’usage des données de journalisation ( Délib. CNIL no 2021-122, 14 oct. 2021 : JO, 30 oct.).
Il s’agit ici sans doute de la première des recommandations. Comme nous l’avons déjà évoqué, la plupart des attaques par ransomwares surviennent car grâce au phishing, les employés ont permis au virus de s’introduire. Sensibiliser l’ensemble des salariés est essentiel (de la personne qui travaille à l’accueil, jusqu’aux dirigeants). De nombreuses entreprises proposent à leurs salariés des e-learnings ou des formations en présentiel afin d’alerter les salariés sur ces risques et leurs conséquences. Il est également important de tester les salariés après ces séances de formation en faisant réaliser des faux e-mails avec pièces jointes ou lien inclus dans l’e-mail, et de mesurer ainsi l’efficacité des formations.
Pour l’ANSSI, il est nécessaire de considérer l’achat ou non d’un contrat d’assurance cyber. Ces contrats d’assurance nés il y a maintenant une dizaine d’années en France offrent des garanties étendues et proposent aussi tout un panel d’experts pour assister l’entreprise assurée dans la gestion de la crise. Les coûts de ces experts sont pris en charge par le contrat d’assurance ainsi que l’ensemble des conséquences pour l’entreprise (pertes d’exploitation, pénalités contractuelles, dommages et intérêts versés aux tiers…).
Connaître les risques qui pèsent sur son entreprise est un préalable nécessaire, mais se préparer à ce que lesdits risques surviennent est une autre démarche essentielle. Il faut mettre en place en interne un plan de réponse à incident qui va décrire l’ensemble des démarches qui devront être entreprises si le risque survient. Ce plan de réponse à incident devra bien évidemment être testé via un ou des exercices de crise afin de se mettre en situation.
Enfin, dernière recommandation préconisée par l’ANSSI : penser sa stratégie de communication. Communiquer en interne et en externe est tout aussi important pour limiter les impacts sur l’entreprise et sur sa réputation.
Pour l’ANSSI, le premier réflexe est d’« ouvrir une main courante permettant de tracer les actions et les événements liés à l’incident. Chaque entrée de ce document doit contenir, a minima :
Ce document doit permettre à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises ».
Il faut également et dans la mesure du possible mener plusieurs actions concrètes :
L’ANSSI rappelle aussi l’utilité du projet commun d’Europol du National High Tech Crime Unit de la police néerlandaise et de l’éditeur McAfee dénommé No More Ransom qui « recense les moyens de déchiffrement applicables à un grand nombre de rançongiciels ».
Il s’agira ici d’activer le plan de réponse à incident qui aura été mis en place et testé et de monter dans les toutes premières heures de la crise, une War Room autrement appelée cellule de gestion de crise. Plusieurs groupes peuvent composer cette cellule de gestion de crise : groupe IT, groupe Métier, groupe Directions Générales, groupe Communication.
Cette cellule est un élément clé dans la réussite de la gestion d’une attaque et de ses conséquences. Il faut aussi garder à l’esprit qu’une attaque dure des heures, voire des jours et plusieurs équipes peuvent se relayer.
Certaines attaques sont très sophistiquées et y faire face seul serait illusoire. De grands groupes de cyber sécurité ont des équipes spécialisées dans la réponse à incident et sont à même d’intervenir chez leurs clients en quelques heures. Elles sont aguerries à cet exercice et bénéficient par ailleurs d’une expérience acquise sur d’autres attaques qui n’est pas négligeable. Par ailleurs les moyens et techniques employés par ces entreprises de cyber sécurité sont reconnus. Pour les entreprises ayant le statut d’Opérateurs d’Importance Vitale ou d’Opérateurs de Services Essentiel, ces entreprises de cybersécurité doivent avoir au préalable reçu une certification de l’ANSSI.
Informer et rassurer sont les maîtres mots de la gestion de crise. L’information est à la fois interne (communiquer auprès des collaborateurs et de la direction générale) mais également externe (presse, clients mais aussi les Autorités de Contrôle et Régulateurs).
Rappelons :
Il pourrait être tentant de payer car cela apparaît comme la solution la plus rapide, et finalement la moins coûteuse (que les coûts engagés pour restaurer les données, décontaminer les PC et serveurs et redémarrer…) et surtout la plus discrète (pas d’impact sur la réputation).
Dans les cellules de gestion de crise, que l’on soit en phase d’exercice ou en réel, vient très vite le sujet de la rançon et de son paiement.
Plusieurs sujets vont être discutés et engendrer des questions telles que :
Remarque
Les entreprises qui payent les rançons et qui en font état dans la presse sont peu nombreuses, mais on peut citer :
En 2021, le montant total des paiements enregistrés par les banques aux États-Unis pour le versement de rançons s’élève à 1,2 M€, soit le triple du montant de 2020.
Il est recommandé de porter plainte afin qu’une enquête soit menée et qu’elle puisse aboutir à l’arrestation des auteurs. Cette plainte doit mentionner les motifs ayant conduit l’entreprise à porter plainte afin que l’enquête judiciaire qui va être menée soit qualifiée.
Remarque
A titre d’exemple Bouygues Construction a déposé plainte lors de l’attaque dont elle a été victime en janvier 2020 et une enquête judiciaire a été ouverte pour :
La restauration des données et des systèmes peut sur le papier paraître simple, mais ce n’est pas si aisé. Il faut d’abord bien s’assurer que les sauvegardes elles-mêmes n’ont pas été ni contaminées ni affectées de quelque manière que ce soit par le ransomware ou tout autre virus. Cette restauration peut prendre du temps en fonction du nombre de serveurs à restaurer.
En conclusion, nous ajouterons un dernier conseil : faire jouer son assurance cyber ! En effet, le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), en cours d’adoption, prévoit notamment l’encadrement des clauses de remboursement des cyber-rançons par les assureurs, et requiert un dépôt de plainte dans les 72 heures après avoir pris connaissance de l’attaque.
Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes
![Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg"/>)