Sécurité IT, Ne perdez pas trop de temps, ça peut coûter cher

Les risques sont lourds, avec des coûts directs et financiers importants,  puis des pertes d’image et de respectabilité économique et commerciale.

Pour les spécialistes français de la cyberdéfense, indépendants de tout éditeur, le premier semestre 2015 a indéniablement été marqué par des vagues agressives et persistantes (le mot est vraiment approprié quand on pense aux APT – Advanced Persistent Threats), d’attaques de type phishing malware.

Ces attaques répétitives, très souvent reprises par la presse, se caractérisent par un ciblage extrêmement fin et très lié au métier et au profil de l’utilisateur, des changements rapides des codes, des adresses, etc.

Parmi les plus agressifs ces dernières semaines se trouve Dridex. Les auteurs des malwares Dridex sont actifs et créatifs et leurs campagnes de spam sont parmi les plus dynamiques, actuellement (voir aussi Emerging Threats). Ce sont des attaques par spam. Des mails sont envoyés, contenant des pièces jointes – majoritairement des fichiers Microsoft Word ou Excel infectés par des macros (codes binaires) – ou contenant des liens web vers des sites de téléchargement.

Des codes malicieux sont directement téléchargés de sites légitimes compromis ou de sites de hackers ; ces liens malicieux vers des sites web s’appuient sur des liens JJEncoded JavaScript qui activent le download d’un code binaire à travers le navigateur web.

Lors des campagnes d’attaques d’avril-mai 2015, nous avons identifié les codes malicieux Dridex dans des fichiers PDF (en fait des documents Word contaminés dans des fichiers PDF). On pourrait aller plus loin dans les détails techniques de ces attaques, mais ce n’est pas l’objet de ce point de vue.

Ce qui est important, et que nous constatons quotidiennement, c’est qu’il est plus qu’urgent que les entreprises de toutes tailles s’équipent et se mettent en ordre pour répondre à ces campagnes.

Dans toute entreprise, dans tout service, des utilisateurs se sont fait avoir, quelle que soit leur position hiérarchique, du plus haut au plus bas (combien de PDG de très grandes entreprises ne sont pas tombés dans le piège du clic…).

Et ce n’est pas choquant ou honteux du tout. Il faut bien sûr être vigilant et méfiant mais cela arrive fréquemment. Pour y répondre, il faut s’équiper d’outils et processus adaptés. Les antivirius classiques sont notoirement impuissants. D’ailleurs les spécialistes parlent de la mort de l’antivirus… Une génération nouvelle d’outils de lutte antimalware a fait son apparition depuis quelques années.

Ce sont soit des modules fonctionnels proposés par les grands éditeurs antivirus, soit des outils d’éditeurs spécialisés dans la protection antimalware. Chaque entreprise fera son choix selon son environnement, ses exigences de protection, ses préalables d’attaques déjà subies, etc.

Ce qui compte c’est que l’entreprise se protège. Et très vite car les coûts engendrés par ces attaques sont vite très importants, les dommages étant au niveau des endpoints (postes de travail, tablettes, smartphones) avec des coûts de re-mastérisation, de changement des disques et de récupération spécifique des données, un possible sabotage de l’activité de l’entreprise, etc. sans parler du coût et des effets des données volées, revendues…

Certes, il ne faut pas se jeter sur le premier (éditeur) venu, mais il ne faut pas non plus trop tarder car sinon ça risque de coûter plus cher !

A l’instar de cette très belle entreprise du CAC40 française et internationale qui a perdu deux mois, parce que les achats n’ont pas été impliqués dans le processus des tests et acquisition dès le départ, mais uniquement en phase d’acquisition, malgré un RSSI dynamique ayant retenu une bonne solution. Deux mois de trop car plus de deux cents postes ont été infectés, et les coûts ont avoisiné le million d’euros… Presque dix fois plus que la solution d’un antimalware…après remise éditeur !

Le saviez-vous ? Des statistiques récentes (Dynamic Threat Intelligence, DTI) indiquent que dans le secteur financier, par exemple, les deux malware bancaires les plus actifs actuellement, Dridex et Dyre, ont infectés ou infectent sans qu’ils le sachent 65% des établissements Nord-américains et 47% des acteurs Européens.

Les grands de la nouvelle économie l’ont d’ailleurs bien compris : les « historiques » GAFA (Google, Amazon, Facebook, Apple) et les nouveaux NATU (Netflix, Airbnb, Tesla, Uber) investissent massivement en sécurité IP; la protection contre les hackers et les malwares/ APT est primordiale pour leur modèle économique.