Aller au contenu principal

Comme relaté récemment dans IT World Canada, une entreprise au Canada a dû verser 425 000 $ en bitcoins pour se rétablir d'une attaque par rançongiciel ayant crypté tant sa base de données de production que de secours.

Pour les organisations, les rançongiciels sont aujourd'hui la nouvelle forme d'attaque la plus insidieuse. C'est aussi celle dont les coûts sont les plus faciles à chiffrer. Pourquoi? Parce que l'opération est simplissime. Voici l'argumentaire traditionnel des vendeurs pour faire valoir le RCI de leurs solutions logicielles (de sécurité ou autre, c'est souvent du pareil au même) :

  1. Combien d'heures avez-vous consacrées au rétablissement et au postmortem?
  2. Combien de clients l'attaque vous a-t-elle fait perdre?
  3. Quelle est l'incidence d'une atteinte à la protection des données sur votre marque?

Ces éléments sont calculables, mais il s'agit fréquemment de calculs sans fondements établis et, soumis à l'analyse, ils suscitent des débats sur la méthode plutôt que sur ce qui compte vraiment : l'atténuation des risques.

Alors, que pensez-vous de cette méthode de calcul du RCI?

Le coût correspond à 425 000 $. Des coûts connexes s'y ajoutent sans doute, mais la somme déboursée AUJOURD'HUI est de 425 000 $. Le coût décaissé actuel est de 425 000 $. Le coût de renonciation de l'attaque d'aujourd'hui s'élève à 425 000 $. Au cours du change d'aujourd'hui, il en coûte 425 000 $.

Je pense que nous avons tous compris.

Combien d'entreprises canadiennes peuvent payer une telle rançon et survivre? Dans l'incapacité de payer une rançon, combien d'entreprises se tireraient d'affaire malgré la perte d'un système crucial? Soyons réalistes, les malfaiteurs qui exigent une rançon visent plutôt à être payés qu'à tuer l'entreprise. Puisqu'ils gèrent le raçongiciel comme une entreprise (en anglais) ils réclameront une somme réaliste par rapport à la société touchée. C'est pourquoi le rançongiciel le plus célèbre de l'histoire, WannaCry, n'exigeait que 300 $ US (au départ). Donc, chaque organisation a son prix qui n'atteint pas forcément les six chiffres, mais qui peut néanmoins paralyser ses activités, et nos organisations canadiennes passant sous le radar sont aussi ciblées que les autres.

Dans ce cas particulier, la brèche s'est produite à la suite de tentatives d'hameçonnage réussies bien ciblées qui ont poussé le personnel à exécuter des fichiers malicieux. Double coup dur : le rançongiciel a profité de serveurs désuets. Ces leçons sont celles qu'il est difficile de retenir, puisqu'elles exigent de constamment faire appel au bon sens. La vaste majorité des gens et des organisations font preuve de bon sens et de cohérence. Mais à quelle fréquence excellons-nous sur ces deux plans? Il faut dire qu'une seule erreur (très minime) pourrait coûter… euh… 425 000 $.

L'article paru dans IT World Canada conclut qu'à cause de la dimension humaine, on ne peut jamais maîtriser totalement l'hameçonnage. Mais nous pensons que la dimension humaine s'apparente à celle des TI. Elle exige une stratégie de défense approfondie alliant des couches et des couches de paramètres défensifs visant à atténuer le risque sur lequel vous « n'avez pas prise ». À tout le moins, ces couches comprennent :

  • La formation;
  • L'audit;
  • Des pare-feu de périmètre;
  • Des pare-feu DNS;
  • Un logiciel antivirus;
  • Le blocage/filtrage de contenu.

Et nous ne parlons même pas des couches d'application – juste de la dimension humaine.

La rapidité est essentielle

Dans une situation du jour zéro (le jour de la découverte d'une nouvelle souche de maliciel), vous devez vous protéger aussi vite que possible. Et c'est là qu'entrent en jeu les couches de défense. Le rythme auquel les divers fournisseurs actualisent leurs définitions varie. Qui plus est, vos propres politiques risquent d'être mises à jour seulement quand vous en aurez le temps. Dans ce cas, un logiciel de serveur désuet figurait vraisemblablement sur la liste des points à corriger, mais sans l'avoir été. Mais tout ne peut être fait sur-le-champ. Les mesures comprennent même des démarches humaines, par exemple l'envoi de courriels de mise en garde au personnel lorsque vous soupçonnez qu'une attaque se trame ou lors qu'une nouvelle menace mondiale se dessine.

Le rôle d'un pare-feu DNS consiste à bloquer les maliciels

À l'ACEI, notre pare-feu DNS D-Zone est actualisé en temps quasi-réel en intégrant les plus récentes menaces, et puisqu'il s'agit d'un service nuagique, les mises à jour s'appliquent automatiquement à toutes les organisations. Il contribue à maîtriser l'hameçonnage, puisqu'il bloque les liens aux menaces connues ou présumées en se fondant sur l'analyse de ces derniers. De plus, puisque certains maliciels utilisent le DNS aux fins du commandement et du contrôle, il peut être utile alors qu'il bloque les communications entre ce dernier et son serveur hôte.

Ainsi, avancer qu'il est impossible de maîtriser à 100 % l'hameçonnage semble raisonnable. Mais la raison pour laquelle nous avons lancé un pare-feu DNS canadien consiste à fournir une couche cruciale de protection sous forme de service nuagique. En mettant à profit l'infrastructure DNS hébergée à proximité de vos utilisateurs, vous profitez en plus d'une vitesse récursive qui tient la route, peu importe la complexité des politiques ou la distance. Ainsi, il n'est pas qu'utile en matière de sécurité, mais aussi d'efficacité.