Depuis mars 2020, la crise sanitaire liée à la pandémie de covid-19 a changé les pratiques et les conditions de travail au CIMUT comme dans de nombreuses entreprises. Cette situation a sans doute favorisé une recrudescence des attaques par rançongiciels, avec parfois de lourds impacts sur les systèmes informatiques et l’activité de nombreuses organisations.
Cela n’aura échappé à personne, le nombre de cyber-attaques a fortement augmenté, faisant ces derniers mois, la une de nombreux titres de la presse spécialisée. Les victimes de ces attaques par rançongiciels, sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie. Néanmoins notre secteur d’activité, celui de l’assurance, n’a pas été épargné.
Petit rappel, un rançongiciels, c’est quoi ?
Le ransomware (aussi appelé rançongiciel ou cryptolocker) est un programme informatique malveillant conçu pour chiffrer les fichiers d’un système d’information en le rendant inutilisable. L’attaquant adresse un message à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données. Aujourd’hui, une autre tendance notable apparaît, où le rançongiciel vole simplement les données et exige le paiement d’une rançon pour ne pas les rendre publiques.
Pour les organisations victimes de ces cybercrimels, le préjudice va au-delà de la perte des données ou du préjudice financier lié au paiement de la rançon, puisque qu’elles doivent faire face à de nombreuses autres conséquences : arrêt de la production, risques juridiques liés à la divulgation de données, perte de la réputation, perte de confiance des clients…
Durant l’année 2021, le CIMUT, comme de nombreuses entreprises, a fait l’objet de tentatives de cyber-attaques utilisant les canaux de communication de fournisseurs ou de clients. Notre politique de sécurité et les dispositifs mis en place, nous ont permis de réagir et d’adopter les bons réflexes afin de ne pas être impactés par ces menaces.
Dans cet article, nous allons mettre l’accent sur ce sujet un peu moins traité, à savoir le « risque sous-traitant » et vous présenter des exemples communs d’attaques ainsi que des moyens simples de s’en prémunir.
Les cybers criminels ne s’attaquent pas toujours directement à leur cible finale, certains choisissant de passer par leurs sous-traitants. Pourquoi ? Car bien souvent, c’est un ou le maillon faible. Comme dit le dicton populaire quand « la porte est fermée alors il faut passer par la fenêtre » !
En effet, les entreprises investissent dans des mesures de sécurité de plus en plus sophistiquées et efficaces. Malheureusement ce n’est pas toujours le cas de tous leurs sous-traitants. Et c’est bien là que le bât blesse…
De plus en plus de société font le choix d’externaliser pour des raisons de coût ou de compétences disponibles, tout ou partie de leurs activités informatiques, les ressources humaines, la paie… offrant ainsi un nouveau terrain de jeu aux cybercriminels.
Un exemple a fait couler beaucoup d’encre en 2019, celui d’une grande société d’aéronautique. En passant par des sous-traitants, ses attaquants auraient tenté à plusieurs reprises de pénétrer les infrastructures informatiques du constructeur afin de lui dérober des données stratégiques.
La mise au point de ces attaques hautement sophistiquées, s’était étalée sur plusieurs mois. Ce type d’attaque provenait plutôt d’états ou de groupes d’attaquants très expérimentés et compte tenu de l’investissement, les cibles étaient plutôt des très grandes entreprises.
Néanmoins, depuis quelques années, des schémas d’attaque plus simples sont mis en œuvre pour cibler toutes sortes d’entreprises.
Quels sont les principaux types d’attaques via des fournisseurs ?
1 – La fraude à la facture fournisseur
Des fraudeurs se font passer pour le fournisseur d’une entreprise pour inciter les clients à envoyer un paiement sur leurs comptes bancaires plutôt que sur celui du fournisseur réel. Les fraudeurs peuvent simplement envoyer par la poste ou par mails, de fausses factures imitant celles d’un fournisseur dans l’espoir qu’elles seront payées par erreur.
Pourtant, il est assez facile par exemple de s’avoir à quel hébergeur, quel fournisseur de nom de domaine fait appel une entreprise.
À ce titre, le CIMUT a reçu en 2021, de nombreuses fausses factures provenant soit disant de sociétés de services d’hébergement Internet ayant pignon sur rue….
Comment atténuer le risque ?
Voici quelques conseils, souvent de bon sens, qui vous permettront de minimiser les risques et de gagner un peu de sérénité.
Un moyen simple est de faire correspondre la facture au bon de commande de manière à ce que vos services de comptabilité fournisseurs, ne paient pas de factures illégitimes.
Les paiements conséquents doivent évidemment nécessiter une attention particulière. Avant de procéder à leur règlement, vous devez impérativement échanger avec le fournisseur en question pour s’assurer qu’il crédite le bon compte.
Autre cas de figure, lorsqu’un fournisseur demande un paiement immédiat, il ne faut jamais modifier vos processus de traitement pour le satisfaire. Vous devez expliquer au fournisseur que vous traiterez sa facture le plus rapidement possible et suivront leur processus standard.
2 – Pirater la messagerie d’un fournisseur ou d’un client
Un attaquant peut facilement pirater le système de messagerie d’un fournisseur d’une entreprise et envoyer des factures à partir d’une adresse e-mail légitime, demander la modification des coordonnées bancaires, ou encore, envoyer un lien vers un site dangereux qui installera un ransomware sur le système d’information cible.
Le CIMUT a fait face en 2021 à ce type d’attaque. En effet, le fournisseur de mail de l’un de nos clients, s’est fait pirater. Le pirate a ensuite utilisé la messagerie corrompue pour transmettre des messages contenant des liens dangereux.
Des actions de sécurité ont immédiatement été actionnées pour parer à cette tentative de piraterie.
Comment atténuer le risque ?
Vos services comptabilité fournisseurs ne doivent jamais modifier les modalités de paiement d’un fournisseur à partir d’un seul mail. Ils doivent mettre en place un processus en plusieurs étapes pour valider la demande : effectuer une confirmation par e-mail et vérifier avec un contre appel téléphonique.
Sensibiliser vos collaborateurs au phishing est également une action simple à mettre en œuvre, qui permet de réduire fortement les risques.
Petit rappel, le phishing, c’est quoi ?
L’hameçonnage ou phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels ou installer des logiciels malveillants.
La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance via un site officiel contrefait ou l’envoi de mails ou de SMS.
3 – Utiliser un bug logiciel
L’année 2021, a aussi été marquée par un nombre très important de bugs critiques sur des logiciels couramment utilisés. (Netlogon, Microsoft Exchange, log4j).
En utilisant ces failles, les attaquants pouvaient obtenir des accès distants à des systèmes d’information. L’attaque via le logiciel de gestion et de supervision IT Orion développé par Solarwinds est un parfait exemple du genre. Par ce biais, des hackers ont piraté la société Microsoft et ont accédé à certaines parties du code source de sa plateforme cloud Azure et du service de messagerie Exchange.
Comment atténuer le risque ?
Il est primordial d’utiliser des logiciels qui sont maintenus, et sur lesquels la société éditrice peut rapidement développer des patchs de sécurité.
Un suivi régulier des bugs de sécurité est impératif. Cela dit, ce n’est pas suffisant comme le montre le bug log4j. En effet le temps de prendre en compte le bug et d’installer les patchs de sécurité, une faille peut être exploitable durant plusieurs jours.
Dans ce cas précis, la mise à jour automatique des règles de sécurité du Firewall du CIMUT a joué un rôle prépondérant. Les requêtes malveillantes ayant très rapidement été bloquées sans que les équipes du CIMUT n’aient à modifier le paramétrage en place.
La menace fournisseur au CIMUT
Le CIMUT prend en compte cette menace depuis plusieurs années. L’analyse des risques fournisseurs fait l’objet d’une étude annuelle.
Pour limiter ce risque, le CIMUT a aussi fait le choix de ne pas externaliser ses activités critiques. Ainsi, toute la partie hébergement se fait dans notre propre datacenter.
La menace évolue, le CIMUT aussi.
La rentabilité des attaques est importante ce qui explique leurs proliférations et laisse, hélas, présager d’une hausse de la menace et la mise en œuvre d’attaques de plus en plus sophistiquées.
C’est pourquoi, le CIMUT prend en compte cette évolution et améliore chaque année ses systèmes de défense et ses processus.
Le suivi et les audits de nos sous-traitants feront également l’objet d’une attention particulière en 2022.