Photo par Burst
L’infection par un ransomware révèle des problèmes plus importants pour les entreprises du secteur financier
Outre le paiement d’une rançon pour récupérer les fichiers verrouillés, une protection de sécurité inadéquate empêche une entreprise de services financiers de se conformer aux réglementations du secteur.
Depuis plus de sept ans, Anthony Oren est le PDG et le maître de la technologie de Nero Consulting, un fournisseur de services gérés (ou MSP) et un consultant en technologie situé à New York, spécialisé dans la fourniture de solutions basées sur le cloud et de stratégies de continuité des activités, moyennant une redevance mensuelle forfaitaire, à des entreprises de toutes tailles et de tous secteurs d’activité.
L’une des plus grandes tendances que M. Oren a observées ces dernières années et qui touche la majorité des entreprises est l’augmentation exponentielle des menaces liées à la cybersécurité, en particulier les ransomwares qui, selon le FBI, représentent aujourd’hui un problème d’un milliard de dollars. « Le temps que certaines entreprises nous contactent pour obtenir de l’aide, elles n’ont d’autre choix que de payer la rançon pour récupérer leurs données », explique-t-il.
C’est exactement ce qui est arrivé récemment à une société de services financiers de 15 personnes. Bien que l’entreprise ait utilisé un service de sauvegarde cloud populaire, les données n’ont pu être récupérées qu’un fichier à la fois. « Il aurait fallu une semaine voire plus pour restaurer leurs plus de 100 000 fichiers », explique Oren. « À ce stade, il était plus économique de payer l’amende, qui s’élevait à environ 1200 dollars ou 2฿ en bitcoins , et de récupérer les données auprès des criminels, ce qui a pris environ deux heures. » Heureusement, l’histoire de l’entreprise ne s’arrête pas là. L’incident a donné l’occasion à Nero Consulting de montrer à l’entreprise qu’il s’agissait d’un symptôme d’un problème beaucoup plus grave, qui nécessitait ce qu’Oren appelle l’expertise d’un Ninja .
Une sécurité insuffisante et une mauvaise configuration des réseaux sont les principales causes de vulnérabilité
Après avoir aidé l’entreprise de services financiers à récupérer ses données, Nero Consulting a convaincu l’entreprise de procéder à une évaluation complète de son réseau. Comme on pouvait s’y attendre, l’exercice a immédiatement révélé plusieurs signaux d’alarme. « Ils utilisaient des logiciels antivirus gratuits sur tous leurs ordinateurs », explique Oren. « Non seulement c’est une violation de l’accord de licence de l’utilisateur final [EULA], mais ces produits autonomes n’offrent qu’une protection de sécurité corrective, et il n’y a pas de fonctions d’alerte ou de visibilité des problèmes jusqu’à ce qu’il soit trop tard ». Nero Consulting a découvert un autre problème : le réseau de l’entreprise était largement ouvert, ce qui permettait à une infection sur un terminal de se propager rapidement à d’autres terminaux connectés au réseau.
Selon M. Oren, ces deux constatations indiquent que l’entreprise n’aurait pas été en conformité avec les nouvelles réglementations du secteur, telles que 23 NYCRR Part 500, qui est entrée en vigueur le 1er mars 2017. Le règlement stipule les exigences de l’État de New York en matière de cybersécurité pour les sociétés de services financiers comptant au moins 10 employés et générant un revenu annuel brut d’au moins 5 millions de dollars, critères auxquels répondait le client . Le règlement exige que chaque entreprise, appelée « entité couverte », élabore et implémente des politiques et des procédures écrites conçues pour garantir la sécurité de ses systèmes d’information et des informations non publiques qui sont accessibles à des fournisseurs de services tiers ou détenues par eux », explique-t-il. « Chaque entité couverte doit également procéder à une évaluation des risques et démontrer qu’elle a mis en place les contrôles de sécurité appropriés ».
Atténuer les futures menaces de ransomware grâce à l’offre de services de sécurité gérés de NinjaOne
Après avoir aidé la société de services financiers à prendre conscience de la gravité de la situation, l’entreprise MSP lui a présenté une solution de sécurité gérée complète. « En plus d’aider le client à élaborer des politiques et des procédures de sécurité, nous avons recommandé notre offre de services de sécurité gérée pour protéger ses systèmes et ses données informatiques », explique Oren. « Nous utilisons une solution groupée qui s’articule autour de la solution de surveillance et de gestion à distance [RMM] pour MSP de NinjaOne, de la protection next-gen des terminaux Webroot, de la sauvegarde et de la reprise après sinistre [BDR] Datto et du logiciel de contrôle à distance TeamViewer ». Grâce à l’agent NinjaRMM, nous sommes en mesure de déployer à distance des applications antivirus, antimalware et autres. De plus, NinjaOne nous permet de créer des politiques de sécurité et de les appliquer au niveau du backend. NinjaOne s’intègre également à nos autres produits de services gérés, ce qui nous permet, par exemple, de voir les alertes de serveur et les attaques de logiciels malveillants à partir du portail NinjaOne au lieu d’avoir à nous connecter à plusieurs portails. Non seulement nous sommes au courant des problèmes avant nos clients dans de nombreux cas, mais nous pouvons souvent résoudre un problème avant qu’il n’entraîne une perte de productivité ou d’autres problèmes
M. Oren reconnaît qu’aucune protection de sécurité n’est à 100% infaillible, mais avec un bon BDR en place, on s’en rapproche. « Si ce client devait subir une autre infection par ransomware à l’avenir, nous avons des fichiers de sauvegarde et des images de ses données sauvegardées localement et sur le cloud, que nous pouvons récupérer. La solution BDR prend des instantanés de fichiers et d’images système toutes les 15 minutes, ce qui nous permet d’être précis lorsque nous effectuons un retour en arrière. Notre solution BDR effectue également des tests de restauration réguliers et automatiques et prend une capture d’écran des résultats, de sorte que nous n’avons pas besoin d’attendre une urgence réelle pour savoir qu’elle fonctionne. En protégeant notre client avec la solution de surveillance proactive du réseau pour MSP de NinjaOne, nos solutions de sécurité de réseau géré et une solution BDR, l’entreprise n’a plus à se soucier de contacter un cybercriminel pour racheter ses données si elle subit une autre violation. De plus, le client est désormais conforme aux réglementations nationales de sécurité, ce qui rend l’investissement très rentable pour lui. Nous sommes également satisfaits de jouer un rôle clé dans sa tranquillité d’esprit ».
