Passer au contenu principal
Groupe de jeunes collègues travaillant dans un bureau faiblement éclairé
Articles de fond
Magazine Pivot

Votre entreprise est-elle parée contre les cyberattaques?

Tous les jours, des milliers d’entreprises sont victimes d’attaques au rançongiciel. Voici ce qu’il faut savoir.

Groupe de jeunes collègues travaillant dans un bureau faiblement éclairéLe dispositif de défense le plus crucial, le moins cher, et le plus facile à mettre en œuvre, reste la sensibilisation des employés(Getty Images/Yuri_Arcurs)

Une requête déposée devant un tribunal du Royaume-Uni en janvier 2020 nous apprenait qu’un assureur canadien (qui a tenu à garder l’anonymat) avait été victime d’une attaque par rançongiciel en octobre dernier. Les pirates avaient infiltré ses systèmes et réussi à installer le maliciel BitPaymer sur un millier d’ordinateurs et une vingtaine de serveurs. Pour décrypter les fichiers, les criminels exigeaient une rançon de 1,2 M$ US en bitcoins. 

Prévoyant, l’assureur avait souscrit une cyberassurance auprès d’un réassureur du Royaume-Uni, qui, en 10 jours, a négocié une entente avec les pirates pour ramener la rançon à 950 000 $ US. Puis, afin de récupérer son dû, le réassureur a poursuivi les pirates anonymes et Bitfinex, le courtier en cryptomonnaies qui détenait l’essentiel de la rançon dans un portefeuille numérique. 

La Cour supérieure a immobilisé les 96 bitcoins en question et a enjoint à Bitfinex, immatriculée dans les îles Vierges britanniques, mais dont le siège est à Hong Kong, de révéler l’identité des pirates. Bitfinex s’est-elle exécutée? On l’ignore. 

Cette décision a une portée considérable : en droit anglais, elle vient préciser le statut des cryptomonnaies et des cryptoactifs, qualifiés de « biens », ouvrant ainsi la porte à des ordonnances de saisie.

Une victoire jurisprudentielle marquante, mais qui reste trop fragile pour endiguer un flot incessant d’assauts. Le FBI, qui vient d’alerter encore une fois entreprises, gouvernements et institutions, le déplorait en 2017 : « En moyenne, plus de 4 000 attaques par jour ont été perpétrées depuis le 1er janvier 2016, contre 1 000 attaques par jour en 2015, soit une hausse de 300 %. »

Les attaques par rançongiciel sont un fléau en croissance. D’ici 2021, on en prévoit une toutes les 11 secondes.

En octobre 2019, Cybercrime Magazine prédisait une aggravation catastrophique du fléau. « Une entreprise sera prise pour cible toutes les 11 secondes d’ici la fin de 2021 », écrivait Steve Morgan, rédacteur en chef. Selon Cybersecurity Ventures, société mère du magazine, « les dommages se chiffreront à 20 G$ US d’ici 2021, à l’échelle de la planète, soit 57 fois plus qu’en 2015. L’attaque par rançongiciel est le type de cybercrime qui croît le plus vite ».

Bref, les hostilités s’intensifient, les rançons s’alourdissent, et surtout, les entraves aux activités des organisations ciblées se multiplient. Pourtant, le niveau de préparation de ces dernières reste largement insuffisant. Faut-il prendre exemple sur l’assureur assuré, cité plus haut? Peut-être, mais plusieurs choses entrent en ligne de compte.

D’abord, s’assurer coûte cher. De plus en plus cher. Et la franchise est à l’avenant. Ensuite, et c’est paradoxal, les entités assurées seront peut-être dans la mire des pirates. Le spécialiste en sécurité informatique Fleming Shi, directeur des services techniques et ingénieur fondateur de l’américaine Barracuda Networks, avance qu’une entreprise assurée sera jugée plus facile à rançonner. Selon lui, la cyberassurance a aussi contribué à faire monter les enchères : aux États-Unis, en moyenne, la rançon exigée serait passée de 4 000 $ US par attaque en 2018 à 41 000 $ US à la fin de 2019.

Par ailleurs, qu’une organisation décide de s’assurer ou pas, il est impératif qu’elle fasse de la protection contre les rançongiciels une priorité. Comment? En déterminant son profil de risque, notamment avec l’aide d’un expert qui jouera les pirates pour évaluer la solidité des remparts et tenter d’y ouvrir une brèche, en mode réel ou simulé. Il convient de mettre en place une équipe spécialisée en cybersécurité, composée de membres du personnel, mais aussi de conseillers externes, qui leur prêteront main-forte. Les pirates redoublent d’ingéniosité, et les experts internes sont souvent trop occupés pour se tenir au courant de leurs dernières manigances. S’appuyer uniquement sur le directeur des TI pour demeurer au fait des nouvelles techniques offensives et défensives n’est sans doute pas idéal.

Il serait aussi prudent de se renseigner sur la marche à suivre pour se procurer des bitcoins ou un autre type de cryptomonnaie (les 10 principales occupent 85 % du marché). Si vous êtes victime d’une attaque et que vous décidez de payer la rançon, le temps sera compté. Plus vos systèmes resteront inaccessibles longtemps, plus vous risquez de subir des préjudices considérables.

Cependant, le dispositif de défense le plus crucial, le moins cher, et le plus facile à mettre en œuvre, reste la sensibilisation des employés. Nombreux sont les cybercriminels qui arrivent à s’infiltrer dans un système après l’envoi d’un simple courriel d’hameçonnage. Une étude menée par le fournisseur de données Statista, entreprise allemande, a révélé que les pourriels et les courriels d’hameçonnage étaient les premières causes à montrer du doigt.

Il est probable que les attaques par rançongiciels ne feront qu’augmenter dans un proche avenir. Bien qu’il n’existe aucune solution imparable contre ces intrusions dévastatrices, les organisations vigilantes peuvent déjouer les manœuvres des pirates et atténuer les pertes en cas d’incursion, en prenant des mesures d’emblée. À elles de se préparer à une offensive clandestine; c’est une triste réalité de l’univers numérique d’aujourd’hui.

EN SAVOIR PLUS

Découvrez quelles répercussions les atteintes à la cybersécurité peuvent avoir sur votre entreprise et comment, en tant que CPA, vous pouvez aider votre organisation à réduire les risques numériques.