Cyber entreprise

Comment la Cyber-sécurité transforme l'Entreprise

Le blog de Guy-Philippe Goldstein

Cybersécurité : 2021 pire que 2020 ?

Publié le

Cybersécurité : 2021 pire que 2020 ?
© Michael Geiger

Le début d’année est la période des bilans et des perspectives. En l’occurrence, 2020 a été une année charnière pour la cybersécurité d’entreprise. Et si, pour reprendre Shakespeare dans La Tempête, "le passé est un prologue", alors l’année 2020 n’est pas des plus encourageantes pour 2021.

 

L’année des rançongiciels ...

2020, c’est l’année de l’explosion des attaques de rançongiciel. Dès septembre 2020, en France, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) notait un quasi doublement des attaques par rançongiciel [1]. Le site cybermalveillance.gouv.fr a, lui, noté plus de 1 100 signalements entre janvier et la fin septembre 2020 [2]. En Europe et en Amérique du Nord, les demandes de paiement auraient doublé par rapport à 2019 [3], avec un paiement moyen d’environ 201 000 dollars. Les secteurs manufacturier, de la construction, la santé, l'IT et l'éducation sont les plus touchés. Le coût au niveau mondial pourrait atteindre 20 milliards de dollars en 2021 – une augmentation d’un facteur 57 comparé à l’année 2015 [4].

La France n’est évidemment pas épargnée. En 2020, si on se limite à quelques exemples d’entreprises commerciales, ce sont des sociétés telles que Bouygues Construction (victime de Maze) [5], Orange [6], Dassault Aviation [7], le groupe de restauration collective Elior [8], Umanis [9], E.Leclerc (via son importateur de carburant Siplec) [10], Ouest-France [11], MMA [12], mais également Sopra Steria [13] ou encore l’armateur français CMA CGM [14] qui ont été touchées. Cette liste fait suite aux nombreux autres cas recensés en 2019, entre autres : Technal [15], Fleury Michon [16], Ramsay Générale de Santé [17], M6 [18], Eurofins [19] ou encore Lise Charmel [20], qui a été forcée de se placer en redressement judiciaire en février 2020 suite à une attaque par rançongiciel en novembre 2019.

 

... mais aussi des DDoS et des fuites des données

Mais il n’y a pas que les rançongiciels. L’année 2020 marque une possible augmentation du nombre d’attaques par déni de service (DDoS), une autre manière d’interrompre les communications internes et externes d’une entreprise en la submergeant d’un flot d’informations qui finit par dégrader l’activité de ses serveurs. Ces attaques auraient crû de 15 à 20% [21], si l’on s’en tient au panel de la société Netscout. Un pic aurait d’ailleurs été atteint en mars, au plus fort du premier confinement en Occident. Pire encore : l’année 2020 aurait été marquée par une hausse de plus de 90% du nombre des fuites de données, selon les chiffres de la société Imperva [22]. Celle-ci aurait identifié 1,7 million de fuites de données, avec une accélération de 47% entre le troisième et le quatrième trimestre. En conséquence, au Royaume-Uni, qui faisait encore partie de l’Europe en 2020, l’ICO (Information Commissioner’s Office, l’équivalent britannique de la Cnil) a vu le volume des amendes pour infraction au règlement européen sur la protection des données (RGPD) augmenter d’un facteur 20, à 45 millions d'euros.

Du reste, rançongiciels, attaques de déni de service et fuites de données sont en train de se combiner afin d’exercer une pression plus forte sur les entreprises ciblées et les forcer à négocier un montant de rançon toujours plus élevé. De très nombreux gangs cybercriminels associent depuis 2019 rançongiciels et menaces de publier les données. Voir leur réputation commerciale mise à mal effraie de plus en plus les entreprises. Bleeping Computer dénombrait 23 gangs en mai 2020 [23], y compris de nombreux sites dédiés et gérés par les rançongiciels les plus dominants (Maze, REvil - Sodinokibi ou encore Netwalker). En France, Bouygues Construction a subi ce double chantage. Et depuis le dernier trimestre 2020 [24], certains de ces gangs utilisent aussi des attaques de déni de service afin d’ajouter un moyen de pression dans la négociation avec les entreprises.

 

Raisons et horizons

Plusieurs facteurs peuvent expliquer cette évolution continue de la cybercriminalité. Il y a bien sûr les raisons classiques. On citera, entre autres, l’augmentation de la surface d’attaque via la poursuite de la numérisation et de la nouvelle connectivité des processus administratifs et productifs au sein des entreprises. Mais aussi la lenteur, volontaire ou non, à mettre à jour les systèmes, même après l’identification de vulnérabilités. Ou encore l’absence de diffusion de procédures simples, comme l’autorisation multi-facteurs, qui permettent de mieux protéger les accès plutôt que d’utiliser des mots de passe facilement identifiables.

Mais il y a également le moment particulier qu’a constitué l’année 2020, année de la crise Covid-19. Plusieurs chocs ont alors frappé l’entreprise. Tout d'abord le stress généré par cette crise sanitaire, que peu avaient vu venir, malgré les premiers signes en janvier 2020 – et par la suite les limitations budgétaires qui ont pu affecter les services IT et cyber. Au même moment, employeurs et salariés ont dû s'adapter à la transformation non préparée de l’environnement de travail vers le travail à distance. Or tout changement est un moment de vulnérabilité et donc d’opportunité pour les cybercriminels. Ainsi, dès avril 2020, McAfee constatait une augmentation de 630% des attaques externes contre les clouds d’entreprises [25], alors même des entreprises de visioconférence comme Cisco Webex annonçaient une augmentation des usages de 600%. Enfin, l’irruption de la crise sanitaire et de nouvelles urgences ("Vos collègues ont-ils été dépistés ?", "Votre PME voudrait-elle bénéficier de nouvelles aides d’État ?") a été l’occasion pour de nombreux cybercriminels de démultiplier les opportunités de faux e-mails d’hameçonnage.

Il existe enfin un facteur propre aux rançongiciels et qui explique leur essor. Il s’agit du gain en maturité des cybercriminels… en même temps que celui de leurs victimes. L’une des grandes évolutions des rançongiciels, c’est leur professionnalisation, ce qui s’est traduit par des rançons. Celles-ci sont passées de quelques milliers d’euros au milieu des années 2010, sans ciblage nécessairement très précis des victimes, à une moyenne de 200 000 euros aujourd'hui – avec parfois des montants jusqu'à plusieurs dizaines de millions d'euros –, avec un choix délibéré des cibles économiques [26]. Ces groupes ont non seulement amélioré leurs techniques, mais de surcroît ils se sont professionnalisés dans leur ciblage et leurs stratégies de négociation [27]. S’ils ont pu le faire, c’est parce que les entreprises et leurs partenaires ont mieux compris depuis deux ou trois ans les enjeux économiques liés à ces attaques. Évidemment, dans les opérations industrielles où la livraison à temps du client est clé, toute éventuelle rupture de la continuité des opérations fait peser un risque commercial évident – et donc monnayable. Mais même si l’entreprise diminue ce risque via des systèmes de sauvegarde, il reste la nouvelle « valeur » de la donnée. Or, si les gangs cybercriminels font monter les enchères et menacent, depuis la mi-2019, de mettre en ligne les données, c’est aussi parce que les entreprises sont désormais plus sensibles au risque que les fuites de données font courir à leur réputation. Données pour lesquelles la mise en place de RGPD en 2018 a été un moment clé de sensibilisation.

On se retrouve dans un phénomène de coévolution, où la sensibilisation de l’entreprise crée un marché potentiel plus large pour les assaillants,donc une incitation à investir davantage en termes de techniques et de recherche – puisque l’entreprise est potentiellement prête à payer plus.

 

Toutes ces raisons font que ni certains groupes privés de cybersécurité, ni des autorités nationales telles que la Korea Internet & Security Agency (Kisa) dans son rapport pour 2021, ne sont particulièrement optimistes au sujet de l’évolution de la menace à court terme des rançongiciels. Tout ceci doit forcer à pousser la réflexion plus loin sur les stratégies de réduction de la menace. Ce sera l’un des objectifs de ce blog en cette nouvelle année 2021.

 

----------

[1] https://www-org.gendcom.gendarmerie.interieur.gouv.fr/actualites/2020/rancongiciel-l-autre-virus/

[2] https://www.bienpublic.com/faits-divers-justice/2020/10/01/rancongiciels-les-collectivites-et-la-sante-de-plus-en-plus-vises

[3] https://kivuconsulting.com/new-report-joins-data-from-kivu-and-hiscox-to-provide-key-ransomware-trends-of-2020/

[4] https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021/

[5] https://www.lemonde.fr/pixels/article/2020/02/14/bouygues-construction-victime-emblematique-d-une-nouvelle-forme-de-chantage-au-rancongiciel_6029502_4408996.html

[6] https://www.forbes.com/sites/daveywinder/2020/07/17/orange-europes-fourth-largest-mobile-operator-confirms-ransomware-attack-nefilim-data-theft/#a313be447801

[7] https://www.lemagit.fr/actualites/252493649/Dassault-Falcon-Jet-les-ranconneurs-mettent-leurs-menaces-a-execution

[8] https://www.lemagit.fr/actualites/252489422/Sodinokibi-ce-ransomware-que-le-groupe-Elior-peine-a-digerer

[9] https://www.silicon.fr/ransomware-umanis-mma-351576.html

[10] https://www.usine-digitale.fr/article/siplec-l-importateur-de-carburant-des-enseignes-e-leclerc-a-ete-touche-par-un-ransomware.N1027479

[11] https://www.01net.com/actualites/le-journal-ouest-france-victime-du-ransomware-egregor-2011316.html

[12] https://www.lemagit.fr/actualites/252486873/MMA-le-bras-de-fer-avec-le-ransomware-se-poursuit

[13] https://www.lemagit.fr/actualites/252490877/Sopra-Steria-frappe-par-un-ransomware

[14] https://www.journalmarinemarchande.eu/actualite/shipping/peril-informatique-apres-cma-cgm-lomi

[15] https://www.capital.fr/entreprises-marches/le-producteur-daluminium-norsk-hydro-victime-dune-cyberattaque-1332056

[16] https://www.cio-online.com/actualites/lire-un-malware-joue-un-tour-de-cochon-a-fleury-michon-11167.html

[17] https://www.20minutes.fr/sante/2583255-20190814-cyberattaque-groupe-hopitaux-cliniques-prives-ramsay-generale-sante-victime-virus-depuis-cinq-jours

[18] https://securityaffairs.co/wordpress/92575/hacking/m6-group-ransomware-attack.html

[19] https://www.usinenouvelle.com/article/comment-l-attaque-par-ransomware-a-plombe-les-resultats-d-eurofins.N878810

[20] https://www.zdnet.fr/actualites/lise-charmel-l-entreprise-lyonnaise-en-redressement-judiciaire-suite-a-un-ransomware-39900133.htm

[21] https://www.itproportal.com/news/a-record-number-of-ddos-attacks-took-place-in-2020/

[22] https://www.itproportal.com/news/data-leakage-attacks-saw-huge-rise-in-2020/

[23] https://www.bleepingcomputer.com/news/security/list-of-ransomware-that-leaks-victims-stolen-files-if-not-paid/

[24] https://www.bleepingcomputer.com/news/security/another-ransomware-now-uses-ddos-attacks-to-force-victims-to-pay/

[25] https://cyberhedge.com/insights/daily/2020/05/27/mcafee-reports-630-percent-increase-in-external-attacks-on-cloud-based-services/#:~:text=Data%20from%2030m%20McAfee%20MVISION,over%20the%20same%20time%20period.

[26] https://www.wired.com/story/ransomware-gone-corporate-darkside-where-will-it-end/

[27] https://www.wired.com/story/ransomware-2020-headed-down-dire-path/

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte