Cyberattaques contre les entreprises : « il y a clairement plus de cas »

Stefan Rothenbühler travaille depuis six ans pour l'entreprise de cybersécurité InfoGuard AG, basée à Baar. Dans cette interview, l'analyste en sécurité expérimenté explique ce qui se cache derrière la vague actuelle de cyberattaques.

Stefan, ton employeur InfoGuard se concentre sur la cybersécurité ; fais-tu face quotidiennement à des pirates informatiques ?
Stefan Rothenbühler : on peut dire ainsi. Je travaille dans l'équipe de réponse aux incidents de sécurité informatique, c'est le « service d'incendie » d'InfoGuard. Nous intervenons lorsqu'une entreprise a subi une attaque de pirates informatiques. Il ne se passe pas une semaine sans qu'il y ait un ou deux nouveaux cas.

Les cyberattaques ont-elles donc réellement augmenté ou ne s'agit-il que de bruit et de fumée dans les médias ?
Les cyberattaques ont fortement augmenté ces dernières années, ce n'est donc pas que du bruit et de la fumée. Bien sûr, on en parle davantage dans les médias – il règne désormais une plus grande ouverture d’esprit – mais il y a clairement plus de cas.

Quelles sont les entreprises qui s'adressent à vous ?
De nombreuses PME. Entre-temps, les grandes entreprises comme les banques ou les assurances sont moins souvent piratées. Lorsque de grandes entreprises nous contactent, il s'agit surtout d'entreprises industrielles. Comme beaucoup de PME, ces entreprises industrielles n'ont pas encore mis en place une protection aussi solide que celle des banques, par exemple.

Comment se produit une attaque de pirates informatiques ?
Cela se produit généralement via trois portes d'entrée. Tout d'abord en raison de l'absence d'authentification multifacteurs (MFA), c'est-à-dire lorsque l'autorisation d'accès ne passe que par un seul endroit. La MFA est aujourd'hui une obligation pour les entreprises. Dans 70 à 80 % de nos cas, les pirates ont néanmoins pu s'introduire dans le système en raison de l'absence de MFA. En effet, il est très facile de deviner un mot de passe. Il y a des robots sur Internet qui ne font que ça toute la journée. Une faible combinaison du nom de l'entreprise et de l'année est très vite déchiffrée. De nos jours, si une entreprise n'a pas systématiquement installé des MFA partout, elle fait preuve d'une négligence grave et ce n'est qu'une question de temps avant qu’une cyberattaque se produise.

Quelle est la deuxième porte d’entrée ?
Hameçonnage ou spam. Par exemple, ceux qui vous invitent à télécharger un programme pour détecter un colis prétendument perdu. La protection antivirus ne fonctionne souvent pas et des chevaux de Troie dits d'accès à distance sont installés. Même si les collaborateurs indiquent des mots de passe sur un site de phishing, les pirates peuvent accéder immédiatement au réseau si aucun MFA n'est installé.

La troisième surface d'attaque est constituée par les failles de sécurité des produits, qui sont très rapidement exploitées. Il peut s'agir d'une faille dans le serveur Microsoft Exchange ou sur des plateformes collaboratives comme Confluence, que les pirates exploitent en quelques heures.

Une entreprise est-elle sûre si elle maîtrise ces trois points ?
Elle est certainement bien placée. Cependant, il n'existe pas de sécurité absolue. Donc, la question qui se pose est la suivante : « Une entreprise devrait-elle se concentrer uniquement sur la protection ou se préparer déjà à une attaque ? » Les banques et les assurances ont déjà connu un changement de paradigme. Elles se préparent préventivement aux attaques de pirates informatiques. Autrefois, la sécurité signifiait qu'une entreprise construisait une « douve » autour de son infrastructure. Aujourd'hui, nous nous sommes éloignés de cet esprit de château. Il est désormais plus important de détecter rapidement une attaque et d'y réagir correctement.

Cela signifie que tôt ou tard, les entreprises seront de toute façon piratées ?
Voilà, exactement. Car derrière ces attaques se cache toute une industrie avec de nombreux acteurs. Tout d'abord, un collecteur de mots de passe essaie des mots de passe, s'il en trouve un, il l'emmène sur un forum du darknet et le vend pour cinq à dix dollars. Les mots de passe des grandes entreprises sont disponibles à partir de cent dollars. Celui-ci est acheté par un courtier d'accès qui entre dans le réseau et regarde ce qui pourrait être récupéré. Il recueille des informations sur l'entreprise, son chiffre d'affaires annuel et les autorisations de l'utilisateur.

Que se passe-t-il en ensuite ?
Le courtier d'accès se rend à son tour sur le darknet et vend son travail comme accès vérifié à un soi-disant affilié. Il s'agit d'un petit délinquant ou un crypto-kiddy. Ce n'est que cet affilié qui entre dans le réseau pour voler ou chiffrer des données. Mais il ne fait pas le chiffrage lui-même, il achète le rançongiciel pour cela. C'est pourquoi cela s'appelle « ransomware as a service ». Les exploitants de rançongiciel reçoivent une part de la rançon. C'est comme ça que ça se finance.

Il est donc devenu plus facile de pirater quelqu’un ?
Exactement. C’est pourquoi le rançongiciel gagne du terrain. Dans le passé, pour lancer une attaque, il fallait être intelligent et s’y connaître en piratage et en programmation. Tu devais exécuter chaque étape toi-même. Mais aujourd'hui, cette activité a généré un grand marché avec tout un écosystème. C'est pourquoi il est aujourd'hui beaucoup plus facile pour les petits criminels de crypter que de cambrioler une banque.

Combien de temps les victimes doivent-elles faire face aux conséquences d'une cyberattaque ?
C'est très variable, mais c'est au moins des semaines, voire des mois. La plupart du temps, nous apportons notre soutien pendant une à deux semaines. Ensuite, l'entreprise est suffisamment remise sur pied pour continuer elle-même. Un tel coup peut affecter très durement les entreprises. En effet, d'immenses coûts, qui ne sont pas encore visibles au début sont générés. Les demandes de rançon n'en sont qu'une petite partie. Selon le chiffre d'affaires d'une entreprise, les coûts de la perte d'exploitation peuvent atteindre des millions. Ensuite, il y a les heures supplémentaires : de très nombreuses heures de travail sont générées par des prestataires de services informatiques externes et des collaborateurs de l'entreprise, souvent le week-end.

Quel est le montant de telles demandes de rançon ?
Normalement, deux à trois pour cent du chiffre d'affaires annuel sont exigés. Les cas qui vont au-delà sont plutôt rares. Mais, lorsqu'une entreprise réalise un chiffre d'affaires annuel de 500 millions, ce montant atteint rapidement 20 millions.

Le Centre national pour la cybersécurité (NCSC) recommande de ne pas payer la rançon, respectez-vous le même principe ?
Oui. Il s'agit finalement du financement de la criminalité, voire du terrorisme, et des régimes autoritaires comme la Corée du Nord. Parfois, le paiement est malheureusement inévitable. Par exemple, si les sauvegardes sont également chiffrées. Dans ces cas, si le paiement n'est pas effectué, l'entreprise disparaît tout simplement. Mais, la rançon est également payée lorsque des pirates informatiques pourraient publier des données sensibles de particuliers. De nos jours, le chantage ne passe pas seulement par le cryptage, mais aussi par la menace de publication.

Ça veut dire que les cybercriminels communiquent avec vous ?
Oui. Nous menons toujours des négociations fictives pour en savoir plus sur les agresseurs. Nous découvrons ainsi la demande de rançon et voyons comment vous êtes traité. Cela donne des indications sur la provenance. Parfois, cela nous permet même de découvrir comment les cybercriminels sont entrés dans le système. Ils bluffent parfois en disant qu'il a été facile d'entrer d'une certaine manière.

Qu'est-ce que c'est que ce chat et en quelle langue parlez-vous ?
Jusqu'à présent, nous avons toujours essayé en anglais, parfois, nous recevons une réponse en anglais boiteux, parfois en très bon anglais. Dans le cas des rançongiciels, le chat a toujours lieu sur le réseau Tor, dans le Darknet. Il arrive aussi que le cybercriminel s'empare du téléphone et appelle l'entreprise.

Peux-tu discerner les différences entre les cybercriminels ?
Oui, je sens très vite de quel type de cybercriminel il s'agit. Rien que le ton employé me permet de savoir si j'ai affaire à une entreprise criminelle organisée ou à un simple petit délinquant. Un échange avec un cybercriminel professionnel est une opportunité intéressante. L'entretien se déroule à un niveau professionnel. Les petits délinquants commettent des erreurs qui n'arriveraient pas à des groupes professionnels. Par exemple, l'oubli d'un mot de passe.

Ces négociations ressemblent beaucoup au travail de la police. Avez-vous eu des coachings spéciaux ou apprenez-vous avec le temps ?
Notre supérieur a été cyberenquêteur. De plus, on l'apprend « sur le tas ». Nous travaillons très étroitement avec les autorités de poursuite pénale et la Confédération, avec le NCSC et les polices cantonales. Nous sommes en contact étroit avec eux. À ma connaissance, la police elle-même ne mène pas de négociations.

Certaines attaques sont signalées au NCSC. Dans notre colonne de commentaires, il est dit qu'il suffit alors de remplir une ligne dans Excel et c'est bon – est-ce vrai ?
(rires) Je ne sais pas comment fonctionnent les procédures internes du NCSC. Nous considérons que la collaboration avec le NCSC est très précieuse et qu'elle nous permet d'atteindre nos objectifs. Une telle ligne Excel peut avoir une grande valeur. Outre les attaques, les transferts sont également enregistrés. Si un groupement fait une erreur à un moment donné et que l'attaque peut être attribuée à quelqu'un, l'argent sera peut-être retourné. Aujourd'hui déjà, les entreprises cotées en bourse, les entreprises soumises à la Finma ainsi que certaines parties de l'infrastructure critique ont l'obligation d'annoncer les attaques de pirates informatiques. Outre l'obligation de déclarer, il est également important d'informer le public. Il y a eu un changement. Les entreprises font beaucoup plus état des attaques, car le sujet n'est plus aussi tabou qu'auparavant. Cela présente de grands avantages.

Pourquoi ?
Il est toujours préférable que les entreprises informent elles-mêmes de l'attaque plutôt que le public l'apprenne par les médias. Si la communication est claire, la compréhension est plus grande. Cela peut aussi conduire à une aide extérieure inattendue. Nous avons eu des clients qui sont allés voir la presse après une attaque, on leur a alors soudainement proposé de l'aide de tous ceux qui avaient déjà fait l'expérience de telles attaques. Je trouve cela louable.

Quelles leçons les utilisateurs privés d'Internet peuvent-ils tirer de cette vague d’attaques ?
Faire preuve de bon sens et exécuter les tâches plus consciemment – et bien sûr, il y a aussi des mesures techniques concrètes. Tout d'abord, il y a la MFA, qui doit absolument être activée lorsque cela est possible, C’est déjà une excellente mesure de protection. Certes, il y a là aussi des attaques, mais la barrière est beaucoup plus haute.

Le deuxième point est à nouveau la vigilance : ai-je vraiment besoin d'un programme pour suivre mon colis ? Pourquoi dois-je cliquer sur ce lien ? La visite de sites web illégaux, comme les sites de streaming illégaux, est bien sûr particulièrement problématique. Là, il peut se passer n'importe quoi n'importe où et on clique facilement sur quelque chose de faux. J'ai souvent affaire à des « patients zéro », c'est-à-dire à des personnes qui ont cliqué là où elles ne devaient pas. Et elles racontent toujours qu'une seconde après avoir cliqué, elles ont réalisé qu’elles n'auraient pas dû le faire. Avant de saisir des mots de passe, il faut donc absolument y réfléchir à deux fois.

Et le troisième point ?
Un conseil concret pour les services bancaires par Internet : les utilisateurs devraient créer un utilisateur séparé pour les services bancaires par Internet sur leur ordinateur. En effet, les chevaux de Troie bancaires n'infectent généralement que le contexte de l'utilisateur et non l'ensemble du système. Ainsi, en cas d'attaque, seul le contexte isolé de l'utilisateur est infecté. Le quatrième point est celui-ci : pas de « Password Reuse ». Un mot de passe différent devrait être utilisé sur chaque site Internet. C'est pourquoi nous recommandons l'utilisation d'un gestionnaire de mots de passe. En outre, les mots de passe devraient être changés une fois par an. Le dernier point est d'effectuer régulièrement des mises à jour de sécurité. Elles sont certes automatiques, mais cela ne fait pas de mal de jeter parfois un coup d'œil aux applications.

Si tu pouvais regarder dans une boule de cristal, quelle serait pour toi la situation idéale en matière de cybersécurité°?
Malheureusement, nous ne pourrons probablement pas nous débarrasser de ces attaques. Nous pourrions toutefois éloigner quelque peu la Suisse de la ligne de mire Notre richesse est connue et cela fait de nous une cible lucrative. J'aimerais que la Suisse redevienne un havre de paix, comme par le passé, non seulement pour les personnes, mais aussi pour les données. Je pense que cela a été quelque peu affecté ces derniers temps.

En raison des conditions générales ou parce que la Suisse a raté quelque chose?
On peut toujours se demander si la Suisse a raté quelque chose avec la numérisation ou pas. Je connais la perspective des entreprises : elles veulent produire – la sécurité n'est pas la priorité – ce qui est compréhensible. Mais, si nous pouvions renforcer le réseau lors de telles attaques avec toutes les personnes concernées, nous serions sur la bonne voie.

Tu es donc plein d’espoir ?
Même si j'ai beaucoup d'espoir, certains faits me font peur. Aujourd'hui, il s'agit d'entreprises industrielles piratées, mais que se passerait-il si une centrale nucléaire ou un hôpital était touché ? Que se passe-t-il lorsque des vies humaines sont en jeu ? Avec la numérisation, de plus en plus de domaines de notre vie dépendent des infrastructures numériques. Tu roules à 100 kilomètres à l'heure sur l'autoroute et ta voiture autonome se fait pirater ; que fais-tu alors ? Ce genre de cauchemars me hante.

Ces articles pourraient aussi vous intéresser