Un bilan lourd en termes de cyberattaques sur les entreprises tunisiennes en 2019, comment faire mieux en 2020?
Les entreprises font face à une recrudescence des cyberattaques, due à plusieurs facteurs :
- L’élargissement des surfaces d’attaques : Le développement technologique, les efforts de numérisation des services et la transformation digitale des entreprises, les exposent davantage ; en interconnectant les réseaux, en publiant des services vers l’extérieur, et aussi en diversifiant les technologies d’accès pour des soucis de convivialité ;
- L’incohérence entre le niveau du risque et les moyens de protection : Les protections classiques comme les firewalls et les antivirus sont insuffisants pour la sécurisation des systèmes et des données vue l’évolution des menaces, la sophistication des attaques et l’organisation des cybercriminels. De nos jours, les entreprises manquent d’engagement et parfois elles sont mal-conseillées, elles continuent à acheter des technologies de protection classiques et négligent les aspects essentiels pour traiter des attaques de plus en plus complexes nécessitant une meilleure défense, une proactivité et une gestion continue et opérationnelle de la sécurité. Une entreprise qui ne dispose pas d’une stratégie, d’une gestion opérationnelle, des moyens de contrôle continu et de supervision, aura du mal à se protéger contre ces attaques, à les détecter et à y répondre ;
- La diversification des profils de pirates qui se développent en nombre et en qualité : Il est à noter aussi que la vulgarisation de l’usage de la technologie a conduit à la banalisation des techniques d’attaques et de fraudes. Il suffit qu’un novice disposant d’un minimum de connaissances, avec un peu de recherche et de pratique se transforme en un attaquant redoutable. Ceci a permis la prolifération des attaquants. D’autre part, les sites du Dark Web offrent un service de piratage à la demande, il suffit de payer, et ils accomplissent la mission, avec une grande efficacité en offrant même un service après-vente. Les arnaques « à la veuve du président africain demandant de l’aide et promettant une grosse somme d’argent en contrepartie », sont devenues aujourd’hui plus sophistiquées. Ces arnaqueurs maîtrisent désormais les techniques de piratage et sont en train de causer des dégâts via les attaques par emails, via les fraudes de falsification de factures voir même via les intrusions complexes.
Cette situation a fait qu’en 2019, les attaques ont augmenté considérablement en nombre mais aussi en termes de pertes engendrées aux entreprises.
Selon le CSIRT.tn, qui est une entité tunisienne spécialisée dans le traitement des cyberattaques, l’impact des attaques a atteint des records en 2019. Les experts du CSIRT.tn ont dressés la liste du Top 5 des attaques, qui sont :
- Attaque par ransomware : il s’agit généralement d’une attaque bien étudiée. Le scénario le plus récurrent est le suivant ; Les attaquants essaient de repérer les entreprises qui utilisent le service de Bureau à Distance (RDP) accessible depuis Internet et qui ne disposent pas d’une bonne protection, lancent par la suite une attaque de brute force pour casser le mot de passe d’un compte sur le serveur ciblé, prennent l’accès et se déplacent latéralement dans le réseau pour localiser les serveurs critiques afin de crypter leurs données. Outre le RDP, les attaquants exploitent aussi des failles sur les équipements frontaux les routeurs, modems et même les firewalls, et plus fréquemment, les services web accessibles depuis l’Internet. Les ransomwares atterrissent aussi par le biais des pièces jointes à des emails bien conçus pour convaincre leurs cibles de les ouvrir.
- Falsification de factures : il s’agit en général d’une attaque plus au moins complexe à travers laquelle l’attaquant prend accès sur une boite email apparentant à une personne en charge d’opérations de paiement et entre en ligne avec une opération de paiement d’un fournisseur (généralement étranger). Lors de l’envoie de la facture, l’attaquant l’intercepte et change le compte bancaire du fournisseur. L’entreprise victime, réalise le transfert sur un compte erroné et perd son argent. Ceci est un exemple simple, les scénarios sont en réalité divers et variés, mais la finalité est toujours la même : une perte d’argent, des fournisseurs impayés, de l’argent volatilisé et irrécupérable et des litiges entre client et fournisseur. Les cas de fraudes par falsification de factures sont innombrables, les montants volés s’élèvent à des dizaines de millions de dinars.
- Extorsion : un phénomène qui a proliféré en 2019 sous plusieurs formes, en voici quelques exemples :
- l’attaquant envoi un email à un employé indiquant son mot de passe (au niveau de l’objet de l’email). L’expéditeur prétend qu’il l’a piraté et qu’il l’a enregistré en train de regarder des sites indécents. Réellement, il n’y a pas eu d’attaque mais l’expéditeur a tout simplement récupéré son mot de passe à partir des bases de données volées et publiées sur Internet. Sur une de ces bases, l’employé a créé auparavant un compte (LinkedIn, Yahoo, etc.) et le mot de passe qui lui a été volé est souvent le même qu’il utilise partout.
- l’attaquant envoi un email à un employé en utilisant son propre adresse email, l’attaquant prétend qu’il a piraté son poste de travail et a pu l’enregistrer en train de regarder des sites indécents. Il demande une rançon pour ne pas publier la vidéo. Réellement, il n’y a pas eu d’attaque mais l’envoie d’email spoofé est une technique très banale surtout si l’entreprise ne configure pas bien son service email.
- On lance une attaque DDoS pour une courte durée et on envoie à un employé un email demandant une rançon pour éviter de lancer une autre plus sévère qui risque de le déconnecter pendant des jours.
- Vol et fuite de données : soit par des employés internes ou par des attaques externes, le vol de données est devenu très intéressant pour les attaquants surtout si ces données présentent une grande valeur pour l’entreprise. Certaines données sont vendues, d’autres sont publiées directement sur Internet tandis que d’autres sont utilisées pour faire un chantage ou pour s’attaquer à une personne ou une entreprise pour des fins diverses.
- Les attaques DDoS : elles sont devenues très répondues surtout avec la multiplication des sites du Dark Web qui vendent ce service à la demande (DDoS as A Service). Générer un trafic de 1 Go/s pour une heure ne coûte que quelques dizaines de dollars.
Le défi est énorme pour les entreprises qui utilisent la technologie pour se développer. Les solutions existent, mais il faudra disposer d’une approche de sécurité permettant à l’entreprise de traiter convenablement les menaces et d’assurer une meilleure sécurité qui est en mesure d’accompagner le développement technologique et la transformation digitale.
Ce n’est pas une question de solution technologique mais plutôt une question d’approche globale qui doit être mise en œuvre, tout en accordant l’importance nécessaire à la question de sécurité surtout si le business dépend fortement des moyens technologiques.
L’année 2020 sera éventuellement plus difficile en termes de cyberattaques, les entreprises doivent être mieux conseillées et assistées pour comprendre les enjeux et développer un programme de cybersécurité capable de les protéger contre ces menaces en évolution permanente.
Par Haythem EL MIR, CEO Keystone.