Les conflits entre Etats exacerbent le risque de cyberattaques contre les entreprises

Une période d’intensification des menaces de cyber attaques

On ne peut pas parler de défense sans évoquer la cybersécurité. La guerre est aujourd’hui hybride : les stratégies militaires reposent sur des attaques physiques et des cyber-armes. L’invasion de l’Ukraine par la Russie est un exemple récent d’un conflit majeur impliquant des cyberopérations à grande échelle.

« Plusieurs heures avant le lancement de missiles ou le mouvement de chars le 24 février 2022, le Threat Intelligence Center (MSTIC) de Microsoft a détecté une nouvelle série de cyberattaques offensives et destructrices dirigées contre l’infrastructure numérique de l’Ukraine ». Ces cyberattaques comprenaient un nouveau package de logiciels malveillants appelé « Foxblade », un effaceur de données, lancé contre 19 entités gouvernementales et d’autres infrastructures critiques à travers l’Ukraine.

Par conséquent, non seulement les infrastructures militaires et de défense sont visées, mais également les services numériques civils, y compris le secteur financier, l’agriculture, les services d’intervention d’urgence, les efforts d’aide humanitaire et les organisations et entreprises énergétiques.

Ce malware Foxblade a été développé et lancé par le même groupe associé au renseignement militaire russe qui a développé et lancé l’attaque NotPetya contre l’Ukraine en 2017. Cette attaque NotPetya s’appuyait cependant sur une stratégie russe différente : l’objectif était de lancer un « vermifuge » destructeur malware qui peut passer d’un domaine informa- tique à un autre et ainsi traverser les frontières internationales pour propager des dommages économiques. Finalement, cela a touché des organisations dans quelque 65 pays, dont les États-Unis, le Royaume-Uni, la France, l’Allemagne, l’Italie, le Danemark, l’Australie et l’Inde.

Depuis lors, le secteur privé est de plus en plus la cible d’at- taques informatiques, directes ou indirectes. Depuis le début de la guerre, des efforts d’intrusion du réseau russe ont été déployés sur 128 cibles dans 42 pays en dehors de l’Ukraine. Les victimes étaient l’informatique, l’énergie et d’autres entreprises impliquées dans la défense critique ou d’autres secteurs économiques.

Les acteurs de la menace peuvent avoir des motivations financières ou géopolitiques et idéologiques, en plus d’être soutenus par un gouvernement. Les motifs d’espionnage stratégique et de déstabilisation sont donc d’autres facteurs de motivation, amenant les attaquants à adapter leur tactique en fonction de leur objectif.

Ces attaquants continuent d’améliorer leurs moyens de compromettre les entreprises ciblées. « Cette amélioration montre en particulier comment les attaquants ont progressé dans la sélection des réseaux des cibles auxquels ils cherchent à obtenir un accès discret et à long terme ». L’obtention d’un tel accès n’est pas la même chose qu’une grève unique dont le but est de gagner de l’argent en faisant chanter des entreprises (comme des attaques de ransomwares ou d’autres activités cybercriminelles telles que des escroqueries, la vente d’accès en tant que service (AaaS) ou de malware-as- a-service (MaaS) et cryptominage. Ce type d’intrusion à long terme peut causer de terribles dommages à une entreprise, car son objectif est de ne pas être détecté pour maximiser l’exfiltration de données.

« Ce ciblage est également illustré par le type d’entités ciblées et confirme l’intérêt des attaquants pour les entrepreneurs, les fournisseurs, les sous-traitants, les organismes de réglementation et l’écosystème plus large de leurs cibles ultimes ».

Quelques conclusions concernant ce contexte de menaces accrues de cyberattaques peuvent être tirées :

1. Les entreprises basées dans les États membres de l’OTAN sont les principales cibles, mais les entreprises du monde entier peuvent être victimes de cyberattaques ;
2. Les cyberopérations malveillantes ciblent des entreprises de secteurs divers mais spécifiques, pour la plupart considérés comme « critiques », ainsi que des fournisseurs ;
3. Les entreprises sont exposées à de multiples cybermenaces, et les principaux objectifs des attaquants restent le gain financier, l’espionnage et la déstabilisation.

 

Le phishing reste la forme la plus courante de cybercriminalité

Le phishing reste un vecteur d’accès initial important pour les attaquants. Dans leur forme répandue, les e-mails de phishing peuvent usurper l’identité de la direction d’une entreprise ou de toute forme d’autorité reconnue, contenant un lien de téléchargement et invitant les cibles à télécharger soit une mise à jour de leur système d’exploitation, soit un fichier exécutable malveillant qui, une fois exécuté, permet à l’attaquant de voler cookies et mots de passe des navigateurs. De 2020 à 2022, les campagnes de phishing russes dirigées contre les utilisateurs des pays de l’OTAN ont bondi de 300 %.

La perte de fonds ou de données, la corruption des données, les opérations interrompues et les coûts monétaires ou de réputation sont à prévoir pour une entreprise touchée par des cyberattaques. De plus, la reconstruction sécurisée du système informatique compromis et le retour à un fonctionne- ment nominal peuvent nécessiter des travaux coûteux et de longue haleine.

 

Un tel contexte géopolitique nécessite une vigilance accrue

L’invasion russe de l’Ukraine a sûrement instauré un climat de cybermenaces, durant lequel les entreprises des secteurs de la défense et de l’énergie doivent plus que jamais se préparer à faire face aux cyberattaques. Nous devrions éviter la rhétorique alarmiste ou le sensationnalisme que l’on trouve souvent dans le cyberespace. Cependant, les belligérants convoitent les précieux actifs et les informations critiques des entreprises. Ces entreprises, si elles sont vulnérables, seront perçues comme ne se souciant pas de la protection de leurs données, ce qui peut entraîner des sanctions commerciales et réglementaires.

 

Se poser les bonnes questions pour lutter contre les cybermenaces

Les attaquants, toujours soucieux d’améliorer leurs techniques, aiment l’expérimentation. Dernièrement, nous avons vu l’utilisation de formats de fichiers non conventionnels pour augmenter le taux de réussite des campagnes de ransomwares. Les acteurs motivés financièrement empruntent de plus en plus des techniques efficaces à d’autres cyberattaques.

Dans ce contexte d’un tel pic d’activité de spear-phishing, la direction doit se saisir du sujet et se poser les questions sui- vantes : l’entreprise est-elle prête à faire face à une attaque de ransomware ? Les investissements financiers pour couvrir les risques cyber sont-ils pertinents et bien dépensés ? Quelles sont les bonnes pratiques à suivre ? Quelles sont les mesures à prendre pour renforcer la résilience de l’entreprise ?

Parmi les mesures concrètes que les entreprises doivent mettre en place, l’évaluation du niveau de formation de leurs salariés est essentielle. L’utilisation de tous les meilleurs logiciels de cybersécurité n’empêchera pas une attaque de phishing de réussir.

L’évaluation et l’audit de votre état de préparation aideront votre organisation à réduire à la fois le risque d’attaque avec de- mande de rançon et le risque de dommages en cas d’attaque.