Petya : les entreprises n’en ont tiré aucune leçon !

Petya : ce que les cyberattaques révèlent sur les entreprises

On ne présente plus Petya, Wannacry et NotPetya. Leur envergure mondiale ainsi que leurs conséquences économiques en ont fait les trois plus importantes cyberattaques de ces dernières années.

Si Petya avait déjà alerté les entreprises ciblées sur leurs vulnérabilités, ses deux cousins ont marqué un tournant dans le domaine de la cybersécurité : les virus ont, en effet, évolué pour s’affranchir des attaques ciblées et se propager en réseau.

Potentiellement, il suffit qu’un device soit infecté pour contaminer toute l’entreprise. Un danger parfaitement illustré par NotPetya : les entreprises originellement ciblées étaient situées en Ukraine, mais le virus a fait des dégâts à l’échelle mondiale en se propageant.

Pourtant, l’envergure de ces attaques aurait pu être largement limitée par une veille efficace sur la sécurité informatique. En effet, Wannacry et NotPetya ont exploité une vulnérabilité publiquement révélée un mois avant les attaques.

Malgré le fait que la faille liée à Microsoft ait été officiellement « patchée », les entreprises n’étaient pas informées de cette vulnérabilité ou n’avaient pas encore effectué la mise à jour et ont dû en payer le prix fort.

Petya, un an après : quel bilan ?

Presqu’un an après la médiatisation de ces attaques et malgré de grandes campagnes de communication poussant les entreprises à la vigilance, force est de constater que peu de choses ont changé.

Les e-mails et le web restent les vecteurs d’attaques les plus exploités… et les plus efficaces, puisque ce sont deux outils largement utilisés en entreprise. En effet, les solutions de sécurité intégrées aux boîtes mails ne permettent pas de détecter 100 % des attaquants.

En parallèle, si des solutions existent pour protéger les postes de travail, notamment les systèmes par des solutions reconnaissant les paradigmes d’attaque, les entreprises ne se tiennent pas informées des mises à jour de sécurité, ou n’ont parfois pas les moyens – humains ou financiers – de s’en prémunir au quotidien.

Petya, comment appréhender la sécurité informatique ?

Malgré un fort niveau d’alerte et des attaques d’envergure, les entreprises semblent toujours aussi désarmées face à la cybersécurité. Cela s’explique notamment par le fait qu’elles sont noyées sous une forte quantité d’informations liées à la sécurité informatique sans avoir les outils ou les compétences pour définir leur(s) priorité(s). Leur culture informatique est, en effet, trop faible : même lorsqu’elles souhaitent avoir recours à des solutions externes, elles ne savent pas identifier leurs vulnérabilités et donc leurs besoins pour se protéger efficacement.

Par ailleurs, le coût – supposé lourd – d’une réelle politique de sécurité informatique constitue encore un frein majeur pour la plupart des entreprises, malgré le fait qu’elle représente un investissement moindre par rapport aux conséquences d’une cyberattaque.

De manière plus générale, il y a un véritable manque de pédagogie sur la sécurité informatique. Les entreprises, submergées par des notions qu’elles ne comprennent pas et qu’elles appréhendent mal, n’ont pas les armes pour se prémunir de cette menace qui évolue très vite.

Aujourd’hui, lorsque l’on parle de virus informatique, on imagine un fichier infecté sur un poste de travail. Cette image de la cyberattaque ne correspond plus à la réalité. Cela est d’autant plus vrai que le rançongiciel a été largement démocratisé par Petya, Wannacry et NotPetya : désormais, on le connaît, on sait le détecter. Il est donc probable que les attaques évoluent vers des virus qui se propagent plus facilement et plus viralement.

Une problématique d’autant plus d’actualité que les modes de travail évoluent progressivement vers une collaboration à distance comprenant des échanges par mail, wifi ou réseaux, applications SaaS, parfois même via des devices personnels qui vulnérabilisent encore davantage les entreprises.