2020 a déjà démarré sur les chapeaux de roue en matière de cybermenaces avec les attaques visant Bouygues Construction, Lise Charmel ou encore l'AP-HP et les villes d'Antibes, Marseille ainsi que la métropole Aix Marseille Provence. Le confinement actuel obligeant les salariés à travailler depuis chez eux en accédant au SI de leur entreprise de manière parfois peu orthodoxe n'est pas sans arranger la situation. Contacté pour un point sur la situation en France, le directeur général d'Orange Cyberdéfense Michel Van Den Berghe, dresse un état des lieux peu encourageant de la situation en dépit des moyens de lutte mis en oeuvre partout en France pour lutter contre les cybermenaces.
« Nous sommes intervenus sur pas mal de réponses à incidents, on est sur la brèche 24h/24 et 7j/7 », nous a expliqué Michel Van Den Berghe. « Il y a une recrudescence des attaques et on voit que toute faille est exploitée hyper-rapidement ». Pour illustrer son propos, le dirigeant nous a expliqué que sur les 15 derniers jours, 8 900 domaines ont été identifiés à des termes « coronavirus », soit le plus du double par rapport au mois dernier. Ces derniers servent à héberger des sites de phishing dont de plus en plus profitent de la situation pour cibler les entreprises qui effectuent des demandes auprès des sites gouvernementaux pour des aides au crédit. « Des clients nous ont remonté plus de 600 mails pour voir s'ils étaient frauduleux et plus de 20% le sont », fait savoir Michel Van Den Berghe. « Nous avons identifié 45 nouvelles familles de malwares relatives au Covid-19 »
Des sas de décontamination pour limiter les cybermenaces
Au-delà du constat, le dirigeant nous a expliqué que les équipes d'Orange Cyberdéfense sont mobilisées à différents niveaux : soit en mode pompier pour remettre le SI des clients et l'activité sur les rails le plus rapidement possible en reconstruisant ce qui a été abîmé, ou bien être proactif pour éviter - tout du moins limiter - l'impact désastreux de cyberattaques plus ou moins ciblées. « Le pire ce sont les cryptolockers qui ré-écrivent les fichiers, il faut donc être proactif et prévenir en préconisant sur seul l'administrateur peut y accéder en écriture, gérer les fichiers sensibles avec des mots de passe et contre les attaques DDoS on active la mitigation comme pour les grands hôpitaux pour lesquels on a déjà activé les grands centres opérationnels de sécurité », explique Michel Van den Berghe.
Parmi les conseils prodigués, certains sont simples mais peuvent se révéler salvateurs le pire moment venu, à savoir tout faire pour séparer l'environnement de travail professionnel des postes personnels. Plus facile à dire qu'à faire malgré tout. Pour répondre à cet enjeu et prévenir les menaces cyber larvées, introduites par les pirates profitant de la situation actuelle des multiples connexions au SI de l'entreprise depuis un environnement extérieur pas toujours bien sécurisé, Orange Cybedéfense a sorti l'artillerie. « Nous lançons des sas de décontamination pour aider les entreprises avec des clés USB qui vont lancer des scans sur les PC et remonter les codes malveillants. Cela sera fait à la demande, mais on n'est pas dans une démarche de profiter de la crise », prévient le dirigeant. Il est également prévu, d'ici quelques jours, la mise en ligne d'un service cloud dédié permettant de scanner les vulnérabilités et limiter au maximum les risques d'infection.
Dans le contexte actuel de télétravail, l'ouverture en masse de ports RDP et le non recours systématique à des VPN constituent une autoroute pour les pirates. Si la solution de facilité serait d'arrêter de télétravailler, elle n'est pas sérieusement envisageable d'un point de vue économique, risquant jusqu'à la mise en péril et la survie même de l'entreprise. Si tout le monde n'a pas les moyens de se protéger, comme les PME par exemple aux ressources informatiques et financières mais aussi de temps limités, on ne peut que recommander, une fois de plus, de se tourner vers les bonnes pratiques mises en avant par l'ANSSI et sur le site public cybermalveillance.gouv.fr, riche en conseils de prévention et assistance. Pour autant, ce n'est pas le moment d'agir dans la précipitation : « Il y a actuellement des offres très généreuses d'éditeurs qui poussent leurs offres, mais on peut se demander si c'est la meilleure période pour installer des solutions que l'on ne connait pas. Un bon firewall et un bon antivirus, cela va déjà protéger énormément », tempère le dirigeant d'Orange Cyberdéfense.
Un déconfinement par étapes pour mieux éviter les cyberisques
Si la période actuelle est semée de cybermenaces, l'avenir s'annonce aussi compliqué et des attaques de l'ombre sont à prévoir via des exploits de failles rendues possibles par les inattentions des entreprises, non préparées à l'ouverture en masse de leur SI pour le télétravail. Comment éviter le pire ? « Heureuses les entreprises qui étaient en avance sur le cloud et qui n'ont pas été embêtées pour basculer à 90% en télétravail », souffle Michel Van den Berghe qui pointe également le fait de bénéficier - le plus souvent - de VPN dédiés. « D'autres qui avaient des datacenters on premise ont augmenté leurs capacités VPN et SSL, l'authentification forte par token et gestion des tokens en masse ». Si beaucoup d'entreprises ont pu bénéficier du cloud pour permettre de « garder au chaud leurs serveurs dans le château fort », il n'en reste pas moins qu'il va falloir que les entreprises qui n'y sont pas réfléchissent à la période de déconfinement qui finira bien par arriver. « Le piège serait d'avoir un retour à la normal comme si de rien n'était », analyse Michel Van den Berghe. « On pourrait imaginer un retour à la normal progressif pour éviter des contaminations en masse, on n'est pas obligé de faire revenir tout le monde le 4 mai ».