Le gouvernement américain publie les meilleures pratiques en matière de rançongiciels pour 2021 à la suite des cyberattaques contre les infrastructures essentielles

La Maison Blanche a publié une nouvelle série de directives pour aider à protéger les entreprises, grandes et petites, contre la menace des rançongiciels. Voici ce que les MSP doivent savoir.

Au cours de la dernière décennie, les attaques par ransomware ont considérablement augmenté, touchant des entités des secteurs public et privé du monde entier. Les rançongiciels sont dans le collimateur des leaders de l'industrie technologique depuis 2005, mais beaucoup ignorent que la première attaque par rançongiciel a eu lieu en 1989, par le biais de disquettes livrées à des chercheurs sur le sida dans plus de 90 pays. En bref, le problème n'est pas nouveau, il ne fait que s'intensifier. Avec l'essor des plates-formes de ''ransomware-as-a-service'' (RaaS) et la prolifération d'outils d'attaque faciles à utiliser, les barrières à l'entrée continuent de diminuer et de plus en plus de cybercriminels considèrent cette méthode comme une opportunité de gains importants.

La ligne de tendance est en hausse constante depuis des années, mais plusieurs attaques récentes très médiatisées touchant l'approvisionnement en pétrole et en denrées alimentaires aux États-Unis (la cyberattaque de Colonial Pipeline et de JBS, le plus grand emballeur de viande du monde ) ont suscité un regain de sensibilisation et incité les responsables américains à reconnaître la gravité de la menace.

Le 2 juin, la Maison-Blanche a publié une nouvelle série de directives visant à protéger les entreprises, grandes et petites, contre la menace des ransomwares. Voici ce que la Maison Blanche demande instamment aux entreprises de faire dès maintenant pour améliorer leur préparation à la cyberdéfense.

1. Sauvegardez vos données, vos images système et vos configurations, testez-les régulièrement et conservez les sauvegardes hors ligne

2. Mettez à jour et corrigez vos systèmes rapidement

3. Testez votre plan de réponse aux incidents

4. Vérifiez le travail de votre équipe de sécurité (tests de sécurité et test d'intrusion)

5. Segmentez vos réseaux pour maintenir les opérations en cas d'incident cybernétique

Ce que ces directives signifient pour les MSP

Ces directives ne sont évidemment pas nouvelles pour les fournisseurs de services gérés soucieux de sécurité, mais elles rappellent clairement que le déploiement passif d'outils ne suffit plus. En tant que gardiens des réseaux de leurs clients, les MSP sont fortement encouragés à tester et à répéter leurs plans de sécurité et leurs procédures de sauvegarde à un rythme encore plus élevé que les années précédentes. Les tests de sécurité proactifs et les exercices sur table sont recommandés comme essentiels pour que tous les employés connaissent leurs rôles et responsabilités en cas d'incident cybernétique.

Les conséquences d'une tentative de rançongiciel réussie — une rançon moyenne de 220 298 dollars et 23 jours d'interruption de service — dépassent largement l'investissement.

La pandémie de COVID-19 a modifié la façon dont les employés et les entreprises travaillent, tout en obligeant les responsables informatiques à réimaginer la cybersécurité dans un monde de travailleurs en mode distribué. Faites le point sur les activités de cyberdéfense de base énumérées ci-dessus et réévaluez/testez vos procédures actuelles pour voir si elles fonctionnent.

Ce que ces directives signifient pour vos clients

Ces directives sont également l'occasion idéale pour les MSP de lancer ou de relancer la conversation sur la sécurité avec leurs clients. Si vous préconisez de nouveaux services et/ou projets, le mémo de la Maison Blanche pourrait vous aider à faire avancer les choses.
S'il y a un message à tirer de ces recommandations, c'est que vous et vos clients devez adopter la mentalité "assumez la fuite" qui suppose que les incidents sont quelque chose que vous essayez non seulement d'éviter, mais auquel vous devez aussi vous préparer activement.

Ces nouvelles directives, si elles sont communiquées correctement à vos clients, représentent un nouveau champ d'opportunités de vente. Les experts politiques pensent que ces directives strictes et le fait que le gouvernement fédéral considère les rançongiciels comme une menace pour la sécurité nationale ne sont qu'un début - la prochaine étape sera la réglementation. Positionnez cette situation comme une opportunité pour les entreprises de prendre de l'avance. En investissant aujourd'hui dans des solutions de cyberdéfense, elles n'auront pas à se battre avec le reste du troupeau demain.

Le point de vue de notre CSO sur les directives

J'ai eu la chance d'entrer en contact avec Lewis Huynh, CSO de NinjaOne, au sujet des nouvelles directives et il a pris le temps de partager les précautions prises par NinjaOne, ainsi que son point de vue sur la façon dont les MSP devraient continuer à faire évoluer leurs pratiques de sécurité :

“ Avec la récente annonce de la Maison Blanche sur les rançongiciels, l'équipe de NinjaOne souhaite partager ses approches face à ces menaces. Au premier trimestre 2019, dans la foulée des avertissements d'octobre 2018 émis par le DHS et la CISA et de l'avertissement de janvier 2019 émis par le FBI, Ninja a entamé une mission de sécurité visant à durcir progressivement nos politiques internes, nos pratiques de codage et de développement, nos environnements cloud et d'infrastructure, ainsi que les fonctionnalités et les implémentations de Ninja App. Les meilleures pratiques énoncées dans le décret de l'administration Biden (authentification multi-facteur, détection et réponse aux terminaux, chiffrement, équipe de sécurité interne solide), ainsi que les recommandations fournies dans ce dernier mémo (sauvegardes, correctifs et mises à jour, réponse aux incidents, tests d'intrusion, segmentation du réseau), étaient essentielles à notre plan. Nous faisons fortement écho à ces recommandations.

En outre, alors que les menaces se multiplient et s'intensifient, NinjaOne reste vigilant et fait constamment évoluer son équipe, ses pratiques et ses implémentations en matière de sécurité afin d'offrir aux clients de NinjaOne des niveaux de protection et de sécurité toujours plus élevés. Nous avons également accéléré les fonctionnalités liées à la sécurité dans l'application NinjaOne, permettant à nos clients de suivre également les conseils de l'administration : authentification multi-facteurs par défaut, authentification multi-facteurs pour toutes les activités destructives, gestion améliorée des correctifs/mises à jour logicielles, script amélioré et la formidable fonctionnalité — Ninja Data Protection. Nous sommes également constamment engagés auprès de nos partenaires et de la communauté au sens large par le biais de notre blog, de DoJo et de l'équipe chargée de la protection de la vie privée (e-mail : ).

En regardant vers l'avenir, notre mission est de revigorer continuellement notre équipe de sécurité, d'améliorer nos pratiques et outils de sécurité et d'adapter notre feuille de route pour refléter l'évolution des menaces pour la communauté.”

 

— Lewis Huynh, responsable de la sécurité chez NinjaOne

 

Ressources supplémentaires

Si vous cherchez de l'aide pour améliorer votre niveau de sécurité et/ou celui de vos clients, ces ressources sont un bon point de départ :

• CISA Ransomware Guidance and Resources
• Guide de la cybersécurité MSP
• CIS Controls Framework
• Incident Response Playbooks
• NinjaOne - 2020 Ransomware Resiliency Report