La détection rapide est cruciale en cas de cyberattaque

« Selon la dernière estimation, l'ensemble de nos entreprises belges paieraient environ 100 millions d'euros de rançon par an à la suite d'attaques de ransomware. À titre de comparaison, on estime que le coût des récents dégâts des inondations dans notre pays est du même ordre de grandeur. Cela montre bien que ce n'est plus une futilité », déclare Willem Janssens (Product Manager
Cybersecurity). 

« En outre, il est à craindre que ces chiffres ne soient que la partie émergée de l'iceberg : de nombreuses entreprises préfèrent ne pas rendre publique une cyberattaque. Même si le vent semble tourner. Les entreprises qui admettent avoir été victimes d'une telle cyberattaque, mais qui communiquent en même temps clairement les mesures qu'elles ont prises après l'attaque, regagnent beaucoup plus vite la confiance de leurs clients. »

Willem Janssens: « Il reste du pain sur la planche. Il s'agit généralement d'une recherche constante du juste équilibre entre les intérêts commerciaux et la protection contre la cybercriminalité. Nous pensons qu'il existe encore une certaine marge de progression, notamment dans l'évaluation des risques : quels risques veut-on protéger au juste, et jusqu'à quel niveau les risques sont-ils acceptables ? Il ne s'agit pas seulement d'une question financière : aujourd'hui, on assiste aussi à une pénurie mondiale d'experts. »

« La cybercriminalité est devenue un gros business avec des modèles économiques très rentables. Les pirates investissent le produit de leurs attaques dans de nouvelles technologies et décident eux-mêmes où et quand ils frappent, ce qui leur donne bien sûr un solide avantage concurrentiel. C'est un jeu permanent du chat et de la souris. Les entreprises doivent donc se protéger contre de nouveaux types d'attaques et de nouvelles techniques. »

Kris Bogaerts (Manager Detection & Response): « Il s'agit surtout de détecter certains signaux le plus vite possible et, pour cela, il faut recueillir et analyser un maximum d'informations. Les pirates s'infiltrent via des mails de phishing qui contiennent un lien vers un logiciel malveillant, via des systèmes vulnérables et accessibles au public ou des fuites de données d'accès à l'organisation. »

« Notre conseil est donc le suivant : privilégiez les différentes couches de protection. Essayez de sensibiliser vos propres collaborateurs aux risques : apprenez-leur par exemple à reconnaître les mails suspects et à ne surtout pas cliquer dessus. Installez les mises à jour logicielles nécessaires dès que possible afin qu'aucune vulnérabilité ne puisse être exploitée. Et utilisez une sécurité individuelle sur les portables ou les ordinateurs de vos collaborateurs. »

« Une fois que vous avez constitué les couches nécessaires, vous devez créer la visibilité nécessaire pour toutes ces données afin de pouvoir déterminer les risques et l'impact potentiel le plus efficacement possible. Pour ce faire, bien sûr, vous avez besoin d'une intelligence analytique. »

Kris Bogaerts: « Une bonne préparation à une cyberattaque est un élément essentiel de la stratégie de protection. Ce n'est qu'ainsi que vous pourrez minimiser l'impact d'une telle attaque. Le lancement immédiat des bons processus à un tel moment peut faire une énorme différence, car chaque seconde compte. »

Kris Bogaerts: « Nous les voyons souvent s'appuyer sur un système antivirus traditionnel, qui ne détecte par exemple que les logiciels malveillants connus. Les nouveaux systèmes de sécurité détectent les comportements anormaux, les processus inhabituels dans un système et, dans le cas d'un ransomware, par exemple, empêchent que des fichiers soient rendus inutilisables par le cryptage. »

Willem Janssens: « Auparavant, la cybersécurité consistait à prévenir les attaques, mais les pirates sont devenus si rusés que cela n'est plus tenable. Aujourd'hui, il faut avant tout être capable de détecter rapidement une attaque afin de la stopper au plus vite et de limiter les dégâts. »

Willem Janssens: « Le cadre MITRE a identifié toutes les tactiques et techniques que les pirates utilisent pour contourner votre sécurité. Si un utilisateur ouvre une pièce jointe suspecte, un pirate peut avoir déjà accédé à son ordinateur. Ensuite, le pirate s'introduit progressivement dans d'autres ordinateurs de l'entreprise et, à un moment donné, il est capable de faire tomber toute l'entreprise. C'est généralement le moment de lancer une attaque de ransomware et de faire savoir qu’on est là. »

Kris Bogaerts: « Effectivement, et les entreprises le sous-estiment trop souvent. Par exemple, que pouvez-vous faire si votre réseau a déjà été tellement infiltré par des pirates que vous ne pouvez plus faire confiance à aucun mot de passe ni à aucun ordinateur ? Si vous devez encore inventer une procédure pour modifier tous vos mots de passe, y compris ceux des administrateurs réseau, vous êtes désespérément en retard. Une telle procédure peut être préparée, de façon à ce qu'elle puisse être déployée beaucoup plus vite pour tous les systèmes et utilisateurs. » 

Willems Janssens: « La première étape est toujours l’analyse des risques. Quels sont les processus les plus critiques et les activités les plus risquées dans mon entreprise ? À cette fin, faites appel à un spécialiste externe, qui posera les bonnes questions. Ensuite, mieux vaut se demander si vous avez toujours pris les bonnes mesures de prévention actuelles. L'étape suivante consiste à élaborer une bonne stratégie de détection. Vous pouvez aller très loin dans ce domaine, mais commencez par les bases : la détection sur les systèmes d'extrémité, comme les ordinateurs portables et les serveurs, peut souvent repérer de nombreuses choses suspectes sans exiger de processus complexes. »