Dans la nuit du 20 au 21 août 2022, le Centre hospitalier Sud Francilien (Essonne) a été victime d’une cyberattaque. Une partie de ses données et des applications portées par le système d’information est devenue indisponible. L’établissement a dû travailler en mode dégradé. Une attaque lourde de conséquences : si des actions ont été menées avec succès pour redémarrer les services critiques, « la reconstruction sécurisée du système d’information ainsi que le retour à un fonctionnement nominal nécessiteront un travail de long terme », explique l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
24 % des entreprises auraient été touchées en 2022.
Comme l’établissement de santé, un nombre croissant d’organisations publiques ou privées ont été victimes ces dernières années de rançongiciels ou ransomwares, un type de cyberattaque où les agresseurs cherchent à obtenir une rançon. La démarche n’a rien de marginale : 24 % des entreprises auraient été touchées en 2022 d’après le baromètre réalisé par le Club des experts de la sécurité de l’information et du numérique (CESIN).
Le principe est simple : « Les agresseurs envoient le plus souvent de faux mails au personnel, et lorsque quelqu’un clique, un petit programme s’installe et va permettre aux hackers de prendre la main, explique Julien Mousqueton, chief technologist chez Computacenter, lors d’un atelier du dernier Dell Technologies Forum. Ils vont alors pénétrer dans le système d’information de la structure et chiffrer des documents clés, c’est-à-dire les rendre illisibles. Ces fichiers ne seront de nouveaux accessibles qu’avec une clé qui sera délivrée contre le paiement d’une rançon ».
Si l’intrusion par mail est la plus courante, certains rançongiciels peuvent également se propager après l’exploitation d’une faille de sécurité ou suite à une navigation sur un site infecté.
Des attaques ciblées, des hackers professionnels
Initialement dirigées contre des particuliers, ces attaques se sont progressivement orientées vers le monde professionnel, avec la promesse de gains financiers plus importants. Certaines entités sont ainsi devenues des cibles privilégiées, comme les collectivités territoriales. Elles ont représenté en France près d’un quart (23 %) des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI en 2022. Des attaques potentiellement « destructrices », explique l’ANSSI. Elles peuvent perturber « services de paie, versement des prestations sociales ou gestion de l’état civil ».
Les collectivités ont représenté en France 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI en 2022.
Dans le même temps, ces agressions se sont perfectionnées. « Les hackers envoyaient auparavant des mails à un maximum de salariés sans distinction ; ils ciblent désormais des profils précis, explique Julien Mousqueton. Ils font par ailleurs des recherches poussées sur internet pour rédiger les messages les plus crédibles possibles et tromper ainsi la vigilance de ceux qui les reçoivent ». Les attaquants présents sur le dark web ont ainsi professionnalisé leur activité. « Ce sont désormais de véritables PME qui ont des personnes dédiées au développement du logiciel, le ransomware, d’autres en charge du marketing, à la formation, etc. », poursuit-il.
Se méfier des cyber-apparences
Face à cette menace, comment les organisations peuvent-elles se protéger ? Cela passe tout d’abord par le déploiement de systèmes de protection et de détection. Les correctifs de sécurité du système d’exploitation et de l’écosystème logiciel doivent être appliqués régulièrement -tout comme les mises à jour de l’antivirus et du pare-feu. Dans le même temps, il est essentiel d’effectuer des sauvegardes régulières des données. C’est ce qui permettra de redémarrer rapidement l’activité après l’attaque.
La protection face aux rançongiciels impose également « des actions de sensibilisation en direction des collaborateurs », note Julien Mousqueton. Grâce à ce travail de prévention, ils gagneront en vigilance à la lecture des messages reçus. Il est par exemple important de ne pas se laisser avoir par des éléments jugés, à première vue, crédibles (logos, noms de clients, adresses mail…). De même, les extensions des fichiers doivent être l’objet d’une attention toute particulière : certaines comme .scr ou .cab sont connues pour être utilisées par des hackers lors de campagnes malveillantes.
Enfin, des réflexes simples pourront réduire les risques d’intrusion : éteindre son ordinateur lorsque l’on ne s’en sert plus, mais aussi réduire autant que possible les informations diffusées en ligne sur son organisation, les agents ou salariés qui y travaillent et les spécificités de son système informatique.
