Une partie du travail des responsables de la cybersécurité consiste à examiner des événements discrets et à relier les points. Il s'agit de discerner des modèles, d'avoir une vue d'ensemble et d'aller au-delà des avertissements catastrophiques, vers des stratégies pour un avenir numérique plus radieux. L'attaque par ransomware de Kaseya qui s'est déroulée pendant le week-end du 4 juillet, aussi terrible soit-elle, offre une occasion évidente de relier les points entre eux.
L'attaque de Kaseya a touché des milliers de victimes, pour la plupart, selon le rapport de Kaseya sur les dommages, des organisations plus petites avec des portefeuilles plus minces : "cabinets dentaires, cabinets d'architectes, centres de chirurgie plastique, bibliothèques, etc. Les attaquants ont néanmoins fait preuve de bon sens économique, car Kaseya a servi de plaque tournante pour la distribution de leur logiciel empoisonné. Kaseya VSA, l'offre SaaS d'automatisation informatique largement utilisée de la société, est devenue le système de livraison involontaire - au service des chapeaux noirs.
Choquant ? Tout sauf. Il s'agit de la même stratégie que celle utilisée lors de l'attaque de SolarWinds à la fin de 2020. Là aussi, l'infiltration d'un fournisseur de SaaS a fait des victimes parmi une longue liste de cibles. Et le coupable apparent de l'attaque de Kaseya, REvil, lié à la Russie, est également considéré comme responsable de l'attaque par ransomware du Memorial Day contre l'entreprise internationale de transformation de la viande JBS.
Reliez les points. Les conclusions s'imposent d'elles-mêmes :
- Le détournement des fournisseurs de SaaS permet de lancer des attaques massives sur de petites cibles de manière rentable.
- La confiance dans les stratégies traditionnelles de prévention des attaques a conduit, encore et encore, à des conséquences coûteuses et humiliantes. Malware pénètre régulièrement dans les périmètres des cibles sans être détecté.
- La plupart d'entre nous ne réexaminent pas leur niveau de préparation à la cybercriminalité avec la même urgence que celle qui s'impose aujourd'hui. Les similitudes entre les attaques de SolarWinds, Colonial Pipeline, JBS et Kaseya sont suffisamment claires. Elles nous donnent une courbe d'apprentissage claire à gravir. Dans l'ensemble, nous ne réagissons pas.
La procrastination a ses attraits, et c'est peut-être dans la nature humaine. Mais il vaut mieux investir dans la préparation que dans la gestion de crise post hoc. Après l'attaque de SolarWinds, Vectra a interrogé 1 112 professionnels de la sécurité travaillant dans des entreprises de taille moyenne à grande. L'une des principales conclusions :
"Un niveau élevé de confiance a été révélé parmi les équipes de sécurité quant à l'efficacité des mesures de sécurité de leur propre entreprise : près de 4 sur 5 affirment avoir une bonne ou très bonne visibilité des attaques qui contournent les défenses périmétriques telles que les pare-feux.
En réalité, nous savons qu'aucune application, aucun réseau, aucun centre de données n'est invulnérable. Si les décideurs d'une organisation ont un faux sentiment de sécurité quant à leur capacité à repousser les pirates informatiques, il est probable qu'ils ne disposent pas des outils nécessaires pour réussir.
L'attaque de Kaseya nous rappelle une fois de plus que la complaisance peut coûter très cher. Le risque de préjudice n'étant plus limité aux entreprises tentaculaires aux poches bien garnies, l'incident devrait susciter de nouvelles discussions sur la sécurité dans un plus grand nombre de départements informatiques. Les relations d'abonnement SaaS et les politiques de sécurité des fournisseurs de services gérés devraient faire l'objet d'un nouvel examen. Lorsque votre entreprise s'appuie sur des produits tels que Kaseya VSA, vous n'êtes pas plus sûr que votre fournisseur. Au fur et à mesure que les entreprises deviennent plus dépendantes du stockage des données et des solutions SaaS externalisées sur le site cloud, les vulnérabilités peuvent s'accroître.
L'année dernière, nous avions dit qu'il faudrait des mois pour mesurer l'ampleur des dégâts causés par l'attaque de SolarWinds ; aujourd'hui, nous disons exactement la même chose à propos de l'attaque du ransomware de Kaseya. Néanmoins, nous devrions être optimistes et penser qu'en tant que société numérique, nous allons relier les points et inverser la tendance. Depuis des années, nous comprenons les vertus d'une surveillance robuste des réseaux et d'une détection rapide des brèches inévitables. Le décret du président Biden de mai 2021 fait de la détection des attaques et de l'amélioration des capacités d'enquête et de remédiation des priorités pour le gouvernement fédéral. J'invite les chefs d'entreprise du monde entier à réagir à l'attaque du ransomware Kaseya en accélérant leur migration vers une stratégie de cybersécurité plus efficace.
La calamité de Kaseya peut un jour être considérée comme un point de basculement qui a conduit à une meilleure posture de sécurité. Si tel est le cas, les cyberpirates nous auront rendu un service improbable et involontaire.