2 mai 2019
Les menaces diffèrent selon le type d’entreprise. Celles qui fournissent des services sont exposées à des risques liés à la compromission des données à caractère personnel de leurs clients. Les TPE et PME qui fabriquent des produits sont quant à elles menacées par les ruptures des chaînes de production ainsi qu’à des pertes d’informations de fabrication, comme les plans de conception par exemple. Enfin, les sociétés qui traitent avec d’autres sont menacées par le vol de leurs carnets d’adresses ainsi que de leurs contrats.
Le niveau de prise de conscience reste encore trop faible. Nous entendons souvent les propos suivants : « Pourquoi mon entreprise serait-elle ciblée ? » ou encore « Je ne suis pas exposé, je ne cours aucun risque en interne comme à l’externe ». C’est ainsi malheureusement suite à une attaque que la prise de conscience se fait.
Un industriel a fait appel à nos services après avoir perdu l’intégralité de ses sauvegardes et de ses données. La source de l’attaque était une machine exposée sur Internet protégée par des identifiants très faibles ; un attaquant opportuniste a simplement déposé un ransomware qui a chiffré les données. Le bilan est une perte de tous les plans de conception réalisés depuis deux ans. L’entrepreneur a dû embaucher 20 personnes à temps plein pour reproduire ce qui a été perdu : une perte qui s’est chiffrée en millions d’euros.
Elles disposent a minima d’un antivirus et d’un pare-feu. A part cela, nous retrouvons rarement d’autres mesures de sécurité. Il faut savoir que très souvent, les entreprises que nous auditons n’ont pas forcément de service informatique à proprement parler. C’est alors un prestataire qui administre les serveurs, fournit les postes aux utilisateurs et effectue les actions de support.
Les diagnostics sécurité que nous proposons sont surtout conçus pour les entreprises encore néophytes concernant la cybersécurité. Le premier niveau relevé lors de nos missions reste donc très faible car les mesures de sécurité basiques ne sont pas mises en place.
Cependant, je remarque une amélioration au niveau de la stratégie de sauvegarde depuis quelques années : les entreprises suivent l’actualité et commencent notamment à craindre les attaques par ransomwares qui séquestrent leurs données. La prise de conscience se fait sur la sauvegarde des données, avec de la redondance et des sauvegardes croisées entre sites. Ce qui est très positif.
Les failles techniques et organisationnelles retrouvées chez les clients sont souvent les mêmes. Les procédures d’arrivée et de départ des salariés, tout comme celles relatives aux mots de passe manquent. Nous trouvons encore des mots de passe comme « Janvier2019 » ou le nom de la société…
A cela s’ajoutent des pratiques d’administration faibles ; les mots de passe par défaut ne sont pas changés. Aussi, des comptes à fort niveau de privilège sont utilisés pour des tâches qui ne nécessitent que de simples droits d’accès.
En outre, les machines ne sont pas mises à jour. Cela signifie qu’elles sont exposées à des vulnérabilités classiques, faciles à exploiter mais surtout très simples à corriger. Ce qui est bien dommage. Enfin, aucun filtrage n’est effectué au niveau du réseau : il est ainsi possible d’accéder à n’importe quelle machine depuis n’importe quel câble réseau, et ce, sans authentification.
Dans un premier temps, nous planifions des entretiens avec les différentes responsables de l’entreprise. Lors de ces échanges, nous abordons un ensemble de questions issues du guide d’hygiène informatique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cela nous permet de comparer le niveau de sécurité de l’entreprise face aux bonnes pratiques. Cette phase dure en général une journée.
Suite à ces entretiens qui ont déjà permis d’identifier les premières faiblesses, nous entamons les tests techniques. Nous réalisons ce qu’on appelle un « test du stagiaire » : nous nous mettons dans la peau d’un hacker pour s’introduire au sein du réseau de l’entreprise. Ce test s’appelle ainsi car le client ne nous fournit ni compte ni mot de passe. Nous disposons littéralement des mêmes accès qu’un stagiaire qui brancherait son ordinateur personnel sur le réseau de l’entreprise. A titre informatif, lors des différents diagnostics que j’ai réalisés, j’ai souvent réussi à devenir administrateur de l’annuaire de l’entreprise (Active Directory) sans aucune information de la part du client. Et ce, en moins de deux jours.
Enfin, des options complémentaires existent. Il est alors possible de vérifier et tester l’exposition externe du client (adresse IP, applications, serveurs accessibles sur Internet) ainsi que la robustesse du Wi-Fi de l’entreprise.
Tout type d’entreprises fait en général appel à nos services pour cette prestation ; cela va de la TPE (15 personnes) à la PME (500-1000 personnes). Nous avons par exemple mené cette mission pour des laboratoires d’analyse médicale, des industriels produisant des pièces usinées, des sociétés de services, des entreprises issues du secteur du luxe ou encore des chaînes de restauration.
Plusieurs situations poussent nos clients à faire appel à ce genre de prestation : une attaque informatique ayant abouti à la perte de données pour le client, une nouvelle règlementation en place demandant d’assurer un niveau de sécurité minimum, une attaque subie par des concurrents, le changement de direction ou encore la réorganisation du département informatique. Enfin, la demande de leurs propres clients de fournir un niveau de sécurité minimum est aussi un déclencheur.
La question d’aujourd’hui n’est plus de savoir si une entreprise sera attaquée mais quand. La plupart des cyberattaques touchant les PME ne sont pas ciblées, mais sont le résultat de l’opportunisme et du manque de robustesse des solutions mises en place. Se protéger n’est plus une éventualité mais une obligation.
Nous pensons souvent que le premier réflexe est de débrancher les serveurs et les postes de travail électriquement. Ceci est une erreur. Pour reprendre l’exemple du client industriel ayant subi une attaque par ransomware, cela a été son premier réflexe, et a empêché les experts de récupérer les données chiffrées car la mémoire du serveur s’était vidée.
Mon premier conseil est donc d’isoler les machines infectées du réseau, voire de déconnecter le réseau complètement, puis de faire appel à des spécialistes afin de les aider à trouver d’où vient la faille pour la corriger et restaurer les différents systèmes.