• Alexander Rau, Author |
6 minutes de lecture

Vous avez probablement déjà entendu parler de l'histoire de cette entreprise bien en vue qui a reçu encore plus d'attention après avoir perdu des données sensibles aux mains de cybercriminels. Ou encore celle du fournisseur de services de confiance qui se retrouve soudainement hors ligne après avoir été pris « en otage » par un rançongiciel. Ces histoires et les grands titres qui les accompagnent sont trop courants. Toutefois, si vous pensez que le cyberrisque se limite actuellement à ce genre d'incidents, vous vous trompez.

Que vous soyez prêts ou non à les affronter, les cybermenaces continuent d'évoluer. Alors que les organisations perfectionnent leur approche en matière de cybersécurité, les auteurs de menace sont de plus en plus coordonnés, sophistiqués et minutieux.

Par conséquent, de nouvelles histoires prennent forme. À l'heure actuelle, KPMG intervient souvent auprès d'organisations dont la cybersécurité a été compromise par un courtier d'accès initial, dont l'objectif principal consiste à obtenir un accès à l'environnement informatique d'une organisation pour ensuite le vendre au plus offrant sur le marché noir. De même, KPMG a observé des cas dans lesquels des auteurs de menace ont publicisé leurs méfaits dans le but de faire pression sur les organisations pour qu'elles versent des rançons élevées. Étonnamment, ce type de situation est très courant et le devient de plus en plus. Dans le cadre d'un autre mandat récent, nous sommes intervenus à la suite d'un incident survenu dans une organisation d'envergure ayant fait l'objet d'attaques multiples perpétrées par plusieurs auteurs qui avaient tous utilisé des plateformes de rançongiciel clé en main acquises auprès d'une organisation criminelle sur le Web clandestin.

Il ne s'agit pas là de simples histoires à raconter, mais d'incidents réels (et de plus en plus courants) qui soulignent le contexte en constante évolution de la cybersécurité et la nécessité, pour les organisations de tous genres et de toutes tailles, de s'y adapter activement.

L'essor des organisations criminelles dans le cyberespace
En 2021, KPMG a interrogé des professionnels des organisations, des technologies de l'information et du cyberespace afin de brosser un portrait du cyberrisque moderne. Les résultats indiquent plusieurs tendances émergentes.

Tout d'abord, le stéréotype selon lequel les cybercrimes sont perpétrés par des loups solitaires depuis leur sous-sol sombre tire à sa fin. Les cybercriminels d'aujourd'hui ont formé un secteur clandestin alimenté par les courtiers d'accès initial mentionnés précédemment ainsi que des marchés noirs numériques, des vendeurs exploiteurs et des acheteurs de rançongiciels.

« À l'heure actuelle, nous observons divers auteurs d'attaques s'affairant dans plusieurs organisations criminelles, affirme mon collègue Ganesh Ramakrishnan, directeur principal au sein de notre groupe Cybersécurité. Ces organisations comportent divers rôles qui visent à atteindre des objectifs précis. Les courtiers en accès initial ne commettent pas nécessairement d'attaques eux-mêmes, mais ils créent des vulnérabilités ciblées qu'ils vendent aux organisations criminelles ou aux exploitants de rançongiciels.

« C'est un secteur qui est devenu très rentable, poursuit Ganesh. Extrêmement lucratives, les transactions sont faciles à conclure et difficiles à retracer puisqu'elles sont toutes effectuées en cryptomonnaie. »

Les organisations criminelles se spécialisent dans différentes formes d'attaques, mais celles par rançongiciel demeurent les plus courantes. Selon nos recherches, les vulnérabilités de jour zéro et les vulnérabilités non corrigées succèdent à l'hameçonnage au sommet des méthodes pour prendre en otage des infrastructures numériques essentielles.

Si le risque que posent les rançongiciels n'est pas nouveau, leur complexité grandissante prend les organisations au dépourvu. Par exemple, un grand nombre d'auteurs de menaces profitent des rançongiciels clé en main (également appelés des « plateformes » de rançongiciel) que n'importe quel acheteur peut utiliser pour infiltrer des cibles de toutes tailles. Par conséquent, les failles sont exploitées plus rapidement que jamais.

Chris Walker, directeur principal au sein de notre groupe Enquêtes technologiques, rapporte l'exemple qui suit : « Nous sommes intervenus auprès d'un client ayant subi une attaque de quatre à six heures après qu'une vulnérabilité de jour zéro a été publiée ou découverte dans l'un de ses logiciels d'entreprise. »

Et il ne s'agit pas d'un cas isolé. Selon Chris, dès qu'une faille est rendue publique, les auteurs de menaces se mettent à balayer les systèmes connectés à l'Internet pour repérer les organisations qui exécutent des versions de logiciels vulnérables dans le but de pénétrer dans leurs systèmes informatiques.

Il ne faut pas sous-estimer le savoir-faire des auteurs d'attaques actuels. Un nombre grandissant d'organisations criminelles se forment dans le cyberespace, et les plateformes de rançongiciel ne feront que prendre de l'importance parmi leurs tactiques principales.

Tous dans la mire
Notre étude de 2021 sur la cybersécurité confirme que tout le monde est à risque. Aucune entreprise ou organisation du secteur public n'est trop petite ou trop modeste pour échapper à l'attention des cybercriminels.

« Le problème est généralisé, insiste Chris. Les auteurs de cyberattaques ne ciblent pas d'entreprises ou de secteurs en particulier. Ils exploitent plutôt toutes les failles et les vulnérabilités connues. »

Le mot clé est « cibler ». Les attaques aléatoires deviennent de moins en moins courantes, tandis que le volume d'attaques ciblées contre des organisations et des secteurs s'accroît. Les grandes multinationales sont touchées autant que les cibles de moindres envergure et maturité, qui sont considérées comme des proies faciles ou des tremplins pour atteindre des cibles plus imposantes de leur chaîne d'approvisionnement.

« Dans bien des cas, les auteurs d'attaques opteront pour une organisation peu complexe en sachant qu'elle ne sera pas sur ses gardes. Ils veulent simplement s'infiltrer et générer assez de problèmes pour recevoir de l'argent sans faire trop de vagues », explique Ganesh.

Nous pensons souvent que les auteurs de cyberattaques visent principalement les données. C'est encore vrai, mais les organisations criminelles vont également au-delà des systèmes informatiques pour atteindre les technologies opérationnelles au moyen d'attaques de jour zéro, de vers, de virus effaceurs, de chevaux de Troie et d'autres logiciels malveillants.

Le problème, c'est que les organisations ne consacrent généralement que peu de temps, d'efforts ou de ressources financières pour réparer, corriger ou mettre à niveau leurs technologies opérationnelles. En effet, elles considèrent que leur système fait l'affaire tant et aussi longtemps qu'il est fonctionnel. Pourtant, comme le fait judicieusement remarquer Ganesh, « les auteurs de menaces sont conscients que les systèmes opérationnels ne sont pas protégés, et ils commencent à les cibler en sachant qu'ils peuvent attaquer les entreprises autrement. »

Agissez dès maintenant
Les incidents comme ceux que nous avons abordés mettent en évidence la nécessité d'améliorer l'hygiène informatique. Pour ce faire, il faut commencer par adopter une approche systématique à la gestion des risques, ce qui exige d'investir dans la formation du personnel, des outils de vérification des utilisateurs, la collecte de renseignements sur les menaces et une surveillance en temps réel. Il faut également veiller à élaborer un plan d'intervention en cas d'incident avant d'être victime d'une attaque. Ce plan doit comprendre une liste de tiers qui peuvent être sollicités pour contribuer à atténuer les conséquences d'un incident, tels que des conseillers en cas d'atteinte à la protection des données, des avocats, des sociétés d'enquête, des agences de relations publiques et des fournisseurs de cyberassurance.

N'oubliez jamais que vous n'êtes pas seuls. Des organisations criminelles se forment, mais les organisations aussi ont accès à un réseau de soutien en matière de cybersécurité. Vous souvenez-vous de l'organisation qui a été attaquée par plusieurs auteurs de menaces exploitant la même faille? Cet incident fait partie des nombreux cas dans lesquels nous sommes intervenus. Grâce à notre équipe, qui a su évaluer rapidement l'attaque, l'organisation a pu récupérer ses données à partir de ses sauvegardes et éviter de verser une rançon.

En somme, alors que les grands titres portent sur des attaques qui se complexifient, nous entendons également parler d'organisations qui déploient toutes les mesures nécessaires en amont pour ne pas en être victimes. Vous devriez déployer tous les efforts possibles pour devenir ce type d'organisation.

Publication multilingue

Cette publication est aussi offerte dans les langues suivantes :

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.