La réussite des attaques témoigne-t-elle d’une vulnérabilité du côté des systèmes d’information ou d’une sophistication des méthodes exploitées par les acteurs malveillants ?
Au cours des derniers mois, de nombreuses collectivités, administrations et centres de santé ont été la cible de cybercriminels, parmi lesquels l’hôpital de Corbeil-Essonnes, le centre hospitalier de Versailles, mais aussi la région Guadeloupe et Normandie, pour ne citer que quelques exemples. Touchés par des cyberattaques, parfois de grande ampleur, ces organismes ont dû faire face à des perturbations importantes de leur activité ; une tendance qui soulève aujourd’hui de nombreux questionnements dans un climat de cybermenaces omniprésentes.
Pourquoi ces organismes sont-ils des cibles attractives ? La réussite des attaques témoigne-t-elle d’une vulnérabilité du côté des systèmes d’information ou d’une sophistication des méthodes exploitées par les acteurs malveillants ? Quoi qu’il en soit, il est impératif de comprendre les problématiques et leur origine afin d’agir dès maintenant pour les résoudre, car les cyberattaques seront bel et bien encore à l’agenda en 2023.
Visibilité politique, solvabilité et vulnérabilités des cibles
Plusieurs raisons expliquent que les cybercriminels continuent de cibler les administrations, les collectivités ainsi que les organismes de santé.
D’un part, ces établissements traitent et stockent des données liées aux citoyens, qui sont donc susceptibles d’être sensibles.
De plus, une cyberattaque réussie n’impacte pas seulement les organisations, mais aussi les aspects de la vie quotidienne des particuliers. Elle peut être à l’origine de tensions politiques importantes et bénéficier d’une large couverture médiatique.
La menace d’une compromission faisant la Une des journaux augmente alors les chances d’un cyberattaquant d’obtenir la rançon exigée auprès de sa cible qui préfèrera payer que d’être mise sous les projecteurs.
D’autre part, au moment de sélectionner leurs cibles, les cybercriminels évaluent la capacité à payer de ces dernières. Ils recherchent en effet la solvabilité, sur le fait de pouvoir exercer une pression sur les organismes dont l’activité est la plus cruciale.
Ces victimes potentielles ont généralement les moyens de payer une demande de rançon contre un retour à la normale ou une restitution des données par exemple, dans le cas d’une attaque par ransomware.
En outre, la protection insuffisante des ressources et des infrastructures de ces organisations explique également leur vulnérabilité. Alors que les organisations françaises prennent conscience de l’importance des cybermenaces, elles sont en effet confrontées en parallèle à une pénurie d’experts. Les ressources informatiques et humaines sont en effet sous-dimensionnées.
Ainsi, pour établir la stratégie la plus efficace possible, les organisations doivent investir dans quelques domaines spécifiques et critiques, qui amélioreront et optimiseront la posture globale de cybersécurité.
La protection des identités au cœur de la cybersécurité
Les cybercriminels cherchent sans cesse à affuter leurs méthodes d’attaque et à profiter de la moindre vulnérabilité ou du moindre faux pas pour parvenir à leurs fins. Dans cette quête, la compromission d’identifiants est bien souvent la porte d’entrée du royaume vers des données sensibles et de valeur.
C’était même le vecteur d’attaque initial le plus courant en 2021, responsable de 20 % des fuites de données, selon l’Institut Ponemon. C’est pourquoi la protection des identités doit être une priorité pour toutes les organisations, y compris les collectivités, les administrations et les acteurs de la santé.
La pierre angulaire de l’identité est la capacité à maitriser son cycle de vie, c’est-à-dire être de savoir qui accède à quoi et quand. L’étape la plus importante consiste ainsi à renforcer la sécurité des comptes à privilèges, qui confèrent à leurs utilisateurs plus d’accès que les comptes ordinaires, plus particulièrement au niveau des trois piliers sur lesquels reposent les identités, à savoir l’infrastructure, l’accès aux applications et l’accès aux données.
Pour une protection optimale, le système d’information doit faire converger ces trois vecteurs d’attaque, ce qui implique de construire une solution de gestion et de gouvernance des identités capable de contrôler qui accède à quoi, permettant dès lors de renforcer la sécurité sur l’ensemble de la surface d’attaque.
La stratégie Zero privilège permanent, dans laquelle les droits d’accès élevés ne sont accordés que lorsqu’ils sont nécessaires et seulement pour une durée déterminée, est une approche efficace pour diminuer les risques. Ce modèle d’architecture de sécurité implique en effet que la confiance ne soit jamais accordée de façon implicite.
L’accès aux ressources, aussi bien depuis l’intérieur que depuis l’extérieur du réseau, est réduit jusqu’à ce que la validité de la requête soit confirmée. Ces politiques obligent ainsi les utilisateurs et les services à vérifier leurs données d’identification lorsqu’ils essayent d’accéder aux ressources de l’organisation, ce qui rend l’accès à l’architecture vitale beaucoup plus difficile pour les utilisateurs non autorisés, et donc potentiellement pour les cybercriminels.
Le long terme doit primer sur le court terme
Les équipes informatiques étant surchargées et les ressources limitées, des solutions court terme sont souvent privilégiées et superposées pour aller plus vite. En réalité, cette tactique n’est qu’une forme de pansement qui offre une posture de cybersécurité superficielles aux organisations.
Au contraire, il est nécessaire d’élaborer et de mettre en œuvre une politique de sécurité fondatrice, stratégique et approfondie pour résoudre les problématiques et relever durablement des défis imposés par les cybermenaces.
Cela implique également de former régulièrement et de sensibiliser l’ensemble du personnel concernant les cyber-risques et les bonnes pratiques. Ces mesures doivent faire partie intégrante de la stratégie de sécurité, au-delà des solutions mises en place, sans quoi le risque d’attaque réussie augmente.
Arrêt des services aux citoyens ou des soins, transferts imprévus de patients, retards dans les versements d’aides sociales ou même un retour au papier sans accès au numérique, les conséquences d’une cyberattaque sont nombreuses et peuvent avoir un impact négatif considérable.
Les cybermenaces se sont multipliées en 2022 et les organisations doivent s’attendre à ce que la tendance perdure encore cette année. C’est pourquoi, autant que possible, alors que les consciences sont pour la plupart éveillées, il faut passer à l’action et accélérer la mise en place d’une stratégie de sécurité profonde, sur le long terme, qui accorde une place centrale aux identités, par le biais d’un modèle Zero privilège permanent, tant au niveau de l’infrastructure, de l’accès aux applications et aux données.
Cette approche holistique de la cybersécurité sera déterminante dans la capacité pour les organisations à lutter contre les cybermenaces.
