A côté de la tragédie Sunburst ayant frappé le logiciel de cybersécurité Orion de SolarWinds, l'année 2020 a été marquée par une particulière recrudescence de cyber-attaques frappant des entreprises utilisatrices. Beaucoup de ces attaques auraient pu et dû être évitées. Alors que l'annus horribilis 2020 va céder la place dans quelques heures à une année nouvelle, il appartient à chacun de tirer les leçons du passé pour préparer l'avenir. Plusieurs études récemment publiées peuvent contribuer à aider les DSI. Ceux-ci ont dû parfois, à partir du printemps 2020, transiger sur la cybersécurité pour permettre le maintien de l'activité de leur organisation malgré une bascule du jour au lendemain en télétravail en lien avec la crise sanitaire, notamment en permettant l'emploi de terminaux personnels mal sécurisés.
L'assureur Hiscox, spécialisé dans les cyber-risques, a ainsi listé les attaques les plus marquantes de l'année en les rapprochant des faiblesses identifiées en début 2020 dans son baromètre annuel « Rapport Hiscox sur la gestion des cyber-risques ». Dès le 30 janvier, c'est l'entreprise de cosmétiques Estée Lauder qui a ouvert le bal en se faisant voler 440 millions de données, heureusement pas des données personnelles de clients. En avril, plus de 52,2 millions de données personnelles de client du Groupe Marriott ont été subtilisées grâce au détournement des identifiants et mots de passe de deux employés. Ensuite, une faille dans un bouton d'une page web a exposé les informations personnelles des participants aux cagnottes en ligne Leetchi. Hiscox rappelle que entreprises victimes de cyberattaques ont constaté une perte de confiance auprès de leurs prospects (15 % des cas), de leurs clients (11 %) mais également de leurs partenaires commerciaux (12 %). Outre la nécessité de recourir à des identifications fortes à double facteur, il convient de correctement former les utilisateurs. Or seules 25 % des entreprises ont investi en 2019 dans la formation de leurs salariés suite à un cyber-incident.
346 millions d'euros de pertes à cause de ransomwares
Bouygues Construction, l'AP-HP (Assistance Publique Hôpitaux de Paris) et, en Octobre, l'Hôpital de Düsseldorf ont été victimes de ransomwares malgré une réactivité correcte. Outre la paralysie de l'activité, une telle attaque aboutit en général à une captation de données potentiellement très sensibles avec demande de rançon pour leur non-divulgation. En juin, la célèbre Université de Californie à San Francisco (UCSF) s'est ainsi résolu à payer une rançon d'un million de dollars pour éviter la divulgation de données sensibles. Selon Hiscox, les demandes de rançon représentent 19 % des attaques et une perte totale de 346 millions d'euros l'année écoulée. En France, 18 % des entreprises ont payé une rançon en 2019 suite à une cyberattaque.
L'AP-HP n'est pas la seule organisation à avoir été victime d'une attaque en pleine crise majeure : la compagnie aérienne Easyjet a ainsi déploré la consultation illégitime de plus de 9 millions de données de clients (adresses e-mails et information de voyage), dont 2 000 données de cartes bancaires. Elle a cependant promptement réagi en communiquant de manière efficace auprès des clients concernés. La compagnie de transport maritime CMA CGM a, elle, été victime de deux attaques successives en six mois. Selon Hiscox, seulement 32% des entreprises effectuent une évaluation régulière de la sécurité à la suite d'une cyberattaque et 26% adoptent de nouvelles exigences de sécurité. Enfin, Certains documents relatifs à la soumission réglementaire pour le vaccin de Pfizer et BioNTech à l'Agence Européenne du Médicament ont été récemment et illégalement consultés, documents comprenant des informations sur les tests opérés et les personnes concernées. Même si, en l'occurrence, les deux laboratoires pharmaceutiques n'avaient guère le choix, Hiscox souligne à cette occasion que 40% des entreprises s'assurent que leurs partenaires commerciaux ou intermédiaires se conforment aux exigences de sécurité requises avant de leur transmettre des données.
La situation ne s'améliore pas
Selon une étude de Check Point Software, la moitié des organisations a constaté une recrudescence des cyber-attaques au fil de l'année. Moins d'une sur cinq estime qu'il y a actuellement un retour à un niveau de menace antérieur à la crise sanitaire. La sécurité des télétravailleurs est le principal défi à traiter selon cette étude (47 % des répondants), suivi de la prévention du phishing et des attaques d'ingénierie sociale (42%), de la sécurisation de l'accès à distance (41%), et de la protection des applications et de l'infrastructure dans le Cloud (39 %). Du coup, assez logiquement, la sécurisation du télétravail est citée en tête des priorités jusqu'en 2023 (61 % des répondants), suivie de la sécurité des postes de travail et des mobiles (59%), puis de la sécurité des Clouds publics et du multi-Clouds (52%), bien avant la sécurité des objets connectés (30%) et de la messagerie (24%).
Une fois la cyber-attaque découverte, il est fortement préférable, rappelle l'éditeur Kaspersky, de communiquer spontanément quelque soit la taille de son entreprise. En cas de communication proactive sur une brèche des données d'une organisation, le coût moyen à supporter par les organisations de moins de 1000 salariés est estimé à 93 000 dollars (environ 77 000 euros), tandis qu'il s'élève à 155 000 dollars (environ 128 000 euros) pour les entreprises qui voient la faille rendue publique par les médias. Dans les entreprises de plus de 1000 salariés, les chiffres sont respectivement 1,134 millions de dollars (environ 936 000 euros) contre 1 583 millions de dollars (environ 1,307 millions d'euros). La précocité dans la découverte de l'attaque joue d'ailleurs un rôle dans la non-révélation publique de l'attaque par les médias : 15 % des cas aboutissent à une révélation non-maîtrisée lorsque la faille est aussitôt détectée, 30 % si la détection prend plus d'une semaine. Cependant, seuls 46 % ont choisi de révéler une brèche de manière proactive, 30 % préférant ne rien dévoiler et 24 % allant même jusqu'à tenter de dissimuler l'incident mais l'ont vu fuiter dans les médias.
Commentaire