Vous avez surement dû entendre parler des incidents de sécurité informatique de ce week-end. Pour une fois qu’on parle de cybersécurité sur les chaines nationales, on se devait d’en parler un peu !
Rappel des faits
- Des ordinateurs Windows de plus de 150 pays se sont fait infecter par un virus de type ransomware, qui rend les données de l'ordinateur illisibles en les chiffrant (documents Word, PDF, photos, musique...) et vous propose de les récupérer en payant une rançon de quelques centaines d'euros.
- Le ransomware pénètre une entreprise via une vulnérabilité dans des serveurs Windows vulnérables exposés sur Internet.
- Le ransomware se propage d'ordinateur en ordinateur en exploitant une faille dans le protocole de partage de fichiers SMB, connue et exploitée depuis longtemps par la NSA pour ses opérations d'espionnage.
- Les détails de la faille ont été divulgués à Microsoft qui a publié une mise à jour en mars mais qui n’a pas été appliquée par tous, d'où les vagues de contamination.
- Devant l'ampleur des dégâts, Microsoft a aussi publié un patch pour les systèmes qui ne sont normalement plus supportés, développé en février mais diffusé seulement après l'infection.
- Un chercheur en sécurité a réussi à ralentir la diffusion du ransomware, jusqu'à ce que des versions modifiées émergent.
Quel coût pour les entreprises ?
Beaucoup de sociétés choisissent de ne pas agir de manière proactive pour la sécurité de leur système d'information. Nous entendons souvent dire "on a perdu une matinée, on a restauré et c'est bon". Mais perdre une demi-journée de travail est si anodin ? En additionnant :
- la demie journée-homme perdue,
- les charges,
- la valeur du travail effectué,
Multiplié par le nombre de salariés... ça commence à chiffrer ! On peut également ajouter :
- la valeur de la rançon (dans le cas de WannaCrypt, entre 300$ et 600$ par poste),
- le temps d'arrêt de l'infrastructure,
- les frais d'intervention d'une société de sécurité,
- les pertes de contrats suite à la perte de réputation,
- ...
Les coûts cachés d'un incident de sécurité peuvent être nombreux.
Si je ne suis pas infecté, je ne risque plus rien ?
Pas forcément. En effet, WannaCrypt n'était que la première version. D'autres évolutions du ransomware ont suivi, notamment pour modifier ou supprimer le kill switch (le mécanisme qui bloque le fonctionnement du malware lorsqu'il est analysé dans une machine isolée d'Internet, une sandbox) et vont continuer à suivre. De plus, ce malware n'a utilisé que l'une des nombreuses failles connues de la NSA. Il y a fort à parier que d'autres failles seront exploitées à l'avenir pour reproduire ce type de menace.
Comment se protéger ?
En sécurité, le principe de protection en couche est privilégié : aucun mécanisme n'est sûr à 100%, il faut donc multiplier les mécanismes et mesures de protection pour accroître sa sécurité. Se contenter de déployer un logiciel antivirus ou un pare-feu n'est pas la solution, ce n'est qu'une étape indispensable. Un incident de sécurité, moindre soit-il, peut couter de l’argent, voire influer sur la pérennité de n’importe quelle structure. Voici les étapes pour vous en protéger.
Faire les mises à jour de Windows
WannaCrypt peut contaminer un poste seul, comme tout autre ransomware. Mais dans le cas présent, il s'est propagé du fait que la mise à jour corrigeant la vulnérabilité n'a pas été appliquée. Cela provient donc d'une gestion non-conforme de la maintenance du parc informatique.
Nous vous rappelons donc que les mises à jour de Windows doivent être activées de manière automatique, et si tel n'est pas le cas, un suivi rigoureux doit être effectué pour compenser.
Superviser votre infrastructure
Nous vous conseillons de réaliser une supervision du système d'information afin de surveiller les modifications massives de données d'un poste ou d'un serveur, et de mettre en place des alertes en cas d'incident.
Anticiper les problèmes avec des sauvegardes
Faire des sauvegardes c’est bien. Pouvoir les restaurer c’est encore mieux ! AlgoSecure vous conseille de mettre en place des sauvegardes, mais aussi et surtout, de tester la restauration des sauvegardes. Qui plus est, ces sauvegardes doivent se trouver sur une partie de votre infrastructure qui ne sera pas à risque d'être contaminé.
Contactez-nous !
Un doute, une question ? N'hésitez pas à nous contacter, et retrouvez la liste de nos services sur notre site Internet.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !