Ces derniers temps il ne se passe pas une semaine sans que ne soit révélée une nouvelle attaque informatique.
Faut-il y trouver une explication dans la crise sanitaire que nous vivons actuellement et le développement du télétravail à marge forcée, qui complique les enjeux de sécurisation des systèmes d’information et ouvre des failles de sécurité ?
En quoi la cyberattaque de SolarWinds est-elle potentiellement effrayante ?
SolarWinds : un acteur très largement implanté
C'est une brèche incroyablement effrayante en raison de l'omniprésence des produits SolarWinds dans le monde. Grace à cette brèche, des cybercriminels ont pu accéder pendant des mois sans être détectés, aux agences fédérales américaines et à de nombreuses grandes entreprises et même à certains serveurs microsoft .
Ce seul fait serait déjà assez grave, mais comme ils sont entrés par une plateforme de surveillance informatique, ils ont eu un accès dangereux à tous ces systèmes compromis. Les dommages cumulés de ce piratage sont presque insondables. Il faudra de nombreux mois, voire des années, avant de comprendre toute l'ampleur de cette attaque et les dommages qu'elle a causés - et il est très probable que nous ne connaîtrons jamais toute l'histoire.
Comment cette brèche a-t’elle pu être possible ?
Il s'agit d'une "attaque de la chaîne d'approvisionnement" classique, dans laquelle l'agresseur trouve un fournisseur clé dans la chaîne d'approvisionnement, le compromet et lance ensuite une attaque sur tous ses clients en même temps. Dans ce cas, le fournisseur était SolarWinds, dont les produits sont omniprésents au sein du gouvernement américain et des grandes entreprises.
Une fois que les pirates ont compromis SolarWinds, ils ont pu installer un code malveillant dans le processus de mise à jour qu'elle utilise pour sa plateforme Orion. Cette mise à jour a ensuite été transmise à environ 18 000 utilisateurs, où le logiciel malveillant a réussi à installer une porte dérobée. Cette porte dérobée a ensuite pu être utilisée par les attaquants pour importer de nouveaux logiciels malveillants et des portes dérobées secondaires pour exploiter les environnements victimes.
Qui a réellement été piraté ?
La mise à jour malveillante a été envoyée à 18 000 clients, selon SolarWinds. La société, et certains experts en sécurité, affirment cependant que seule une fraction de ceux qui ont reçu le logiciel malveillant a été réellement "piratée" parce qu'elle nécessitait un contrôle "manuel et intelligent" pour tirer profit des systèmes compromis. Cela implique que les pirates n'auraient pas pu automatiser l'attaque, au-delà du déploiement initial de la porte dérobée.
Il est extrêmement difficile à l’heure où nous écrivons d’affirmer avec certitude qu’il n’a pas été déployé de nouvelles portes dérobées afin d’y introduire des malwares pour le moment en sommeil, en attendant d’être activés à l’avenir.
D'après les informations que SolarWinds a partagées avant le piratage, il est possible de deviner que leurs clients comprennent la plupart des entreprises du Fortune 500, les cinq branches de l'armée américaine et de nombreuses autres agences fédérales, dont le DHS, le Trésor, le Commerce et l'État mais également certaines grandes entreprises françaises.
Quel est le potentiel de dommages causé par ce piratage ?
Il est extrêmement difficile à ce jour de mesurer les conséquences de cette attaque. Il faut comprendre que les cybercriminels ont eu un accès presque illimité aux systèmes informatiques de l'ensemble de l'armée américaine, de la plupart du gouvernement fédéral et de la plupart des entreprises du Fortune 500. Au minimum, ils ont pu voler de vastes quantités de données à toutes ces organisations, allant des secrets militaires à la propriété intellectuelle des entreprises.
Comme il a fallu beaucoup de temps pour détecter la brèche, les pirates ont également eu tout le temps de cartographier ces réseaux pour de futures cyberattaques, rien ne nous dit qu’ils n’ont pas installé des logiciels malveillants secondaires et des portes dérobées auxquelles ils pourront faire appel plus tard.
C'était comme si on laissait la porte dérobée grande ouverte pendant cinq ou six mois. On ne peut pas dire à quel point les dégâts seront importants.
Une cyberattaque de la "chaîne d'approvisionnement"
Ce type d’attaques de la chaîne d'approvisionnement est un sujet de préoccupation majeur pour le secteur de la sécurité de nos entreprises.
La brèche dont a été victime SolarWinds n'est certainement pas la première attaque de la chaîne d'approvisionnement à laquelle nous devons faire face, mais c'est certainement une des plus importantes. Il ne fait aucun doute qu'au cours des prochaines années, d'autres grandes attaques de ce type auront lieu et nos entreprises doivent s’y préparer. C'est tout simplement inévitable. La plupart des grandes entreprises s'appuient sur les mêmes sociétés pour leurs besoins en matière d'infrastructure et de sécurité informatiques. Cela crée une cible tentante pour les pirates informatiques, en particulier les groupes de cybercriminels travaillant pour des Etats-nation qui disposent d'outils et de tactiques avancés pour mener des attaques sophistiquées. Ce type d'attaque constitue une vraie menace pour toutes les grandes industries.
Les attaques de la chaîne d'approvisionnement sont bien plus dangereuses que les brèches traditionnelles parce qu'elles passent par des tiers de confiance (qui ont souvent des niveaux d'accès élevés et peuvent contourner les programmes de sécurité et de surveillance traditionnels) et parce qu'elles sont très difficiles à détecter. Il est très difficile pour une entreprise de procéder à un audit complet de ses partenaires de la chaîne d'approvisionnement, ou de s'assurer qu'ils prennent les mesures de sécurité appropriées pour protéger leurs actifs et ceux de leurs partenaires. Cela crée une situation de sécurité très compliquée, que des pirates informatiques sophistiqués n’hésitent pas à exploiter.
Quelles conséquences pour les assurances cybercriminalité du marché ?
Face à la multiplication des attaques, au renchérissement des coûts des sinistres, les compagnies d’assurance sont en train de renforcer leurs exigences, notamment en termes d’évaluation de la maturité d'une entreprise en matière de cybersécurité.
La capacité de cyber résilience est désormais devenu un critère essentiel pour pouvoir souscrire un contrat d’assurance cyber.
En vous appuyant sur un courtier spécialisé en assurance cybercriminalité comme CYBER COVER, capable de comprendre votre niveau de maturité, vous pourrez avec l’appui d’experts IT, construire le dossier qui vous permettra de capter une partie de la capacité du marché.