Les attaques de ransomware (rançongiciel en français) ont récemment fait parler d’elles en raison d’une nouvelle vague ayant touché un nombre important d’entreprises. Cette souche du virus appelée « Petya » ou “NotPetya” a réussi à infecter le système de refroidissement de la centrale nucléaire de Tchernobyl, ainsi que des centaines de milliers de systèmes informatiques et des millions d’utilisateurs. Dans le cas de la première attaque WannaCry en mai 2017, c’est une faille du système Microsoft Windows qui avait été exploitée, bloquant les utilisateurs hors de leur système et exigeant le paiement d’une rançon en Bitcoin pour en retrouver l’accès.
Alors que Microsoft avait publié des correctifs (patchs) pour ces dysfonctionnements en mars 2017, il a suffi qu’une seule machine soit vulnérable pour propager l'infection – le point commun entre les attaques rançongiciels WannaCry et Petya est qu’elles s’étendent à toutes les machines reliées à un réseau similaire. Même les entreprises qui ont effectué les mises à jour de sécurité restaient soumises au risque. En effet, les quelques machines qui ne s’étaient pas connectées au réseau de l'entreprise depuis un certain temps ne pouvaient pas être considérées comme protégées.
Après le passage initial de la tempête WannaCry, un expert en cybersécurité a souligné la tendance suivante : « Dès que la propagation s'est arrêtée, nombreuses sont les entreprises qui n'ont pas effectué leurs corrections Windows. Cela montre bien la difficulté quotidienne dans laquelle travaillent de nombreuses équipes informatiques et prouve que la correction des vulnérabilités est encore difficile à mettre en place dans les entreprises. Une fois qu'elles ont appris que WannaCry s’était arrêté, ces dernières se sont automatiquement reconcentrées sur des tâches de travail plus pressantes à leurs yeux. »
De nombreuses organisations étaient encore en train de réaliser leurs mises à jour lorsque Petya a frappé – pour rappel, il s’agit de la même vulnérabilité de Microsoft Windows qui a été exploitée lors des deux attaques. Comme expliqué ci-dessus, de nombreuses organisations n’ont pas la capacité ou la visibilité permettant de réparer toutes les versions vulnérables de Microsoft Windows.
Effectuer une mise à jour peut devenir un véritable parcours du combattant dans de grands groupes. Les équipes informatiques ne peuvent réparer que les systèmes pour lesquels on a fait appel à leurs services. Le plus difficile reste de savoir si l’appareil a bien été redémarré et le patch de sécurité appliqué.
Comprendre l'étendue du risque
Les attaques de ransomware de ces deux derniers mois sont un cas de figure parfait pour démontrer à quel point il est essentiel que les entreprises aient une visibilité complète de l'ensemble de leur système informatique. Cela implique de savoir exactement quels systèmes d'exploitation, quels logiciels et solutions SaaS sont utilisés par les collaborateurs.
Quand une machine vulnérable est capable de mettre en danger un réseau dans sa totalité, il est essentiel que les entreprises soient à même d’identifier tous les périphériques exécutant le système d'exploitation vulnérable. Ce qui, pour certaines d’entre elles, qui ont des réseaux étendus, peut constituer un véritable défi.
Une fois que les machines exécutant la version vulnérable de Microsoft sont identifiées, les Responsables de la Sécurité des Systèmes Informatiques (RSSI) ne savent pas si le patch de sécurité a été effectué. Lorsqu’une mise à jour est réalisée, le périphérique doit, en général, être redémarré pour qu’elle soit installée. Et même si des courriels sont envoyés à l’ensemble des collaborateurs pour les encourager à faire leurs mises à jour, ils restent trop souvent ignorés.
La visibilité est la clé
Les vulnérabilités sont omniprésentes dans les logiciels et les systèmes d'exploitation. La base de données VulnDB liste 4 837 vulnérabilités logicielles pour le premier trimestre de 2017. Plus de 35% d’entre elles avaient des « exploits » facilement accessibles au public en ligne rendant ainsi ces failles exploitables. Les éditeurs de logiciels publient constamment des patchs de sécurité pour pallier à ces vulnérabilités connues. Cependant, il appartient aux entreprises de s'assurer de leur implémentation. Aujourd’hui, Il existe des solutions de gestion d’actifs logiciels (appelées aussi Software Asset Management, le SAM) qui permettent d’avoir une vision d’ensemble des logiciels utilisés par les collaborateurs de l’entreprise, notamment la gestion du cycle de vie et le suivi des dépenses en licences logicielles, mais surtout qui offrent une vision d’ensemble sur le réseau et les dernières mises à jour effectuées, ce qui peut être une aide précieuse pour prévenir les entreprises des failles de sécurité.
Les attaques WannaCry et Petya ont montré la nécessité pour les équipes IT d’avoir une visibilité complète sur les logiciels et les systèmes d'exploitation déployés sur l'ensemble de l'environnement informatique. Ainsi, lorsque les patchs de sécurité sont mis en place par les fournisseurs, les responsables informatiques peuvent être confiants quant à leur capacité à protéger l’ensemble des appareils vulnérables avant la prochaine explosion des attaques de ransomware.