Recrudescence des cyberattaques pendant les fêtes

Noël 2021 : une période mouvementée pour la cybersécurité

Cette fin d'année se profile comme étant l'une des pires de l'histoire de la cybersécurité. En effet, plusieurs éléments se mettent en conjonction actuellement :

Un relâchement de la vigilance et des équipes moins présentes pour réagir aux éventuelles attaques dans les entreprises lors des fêtes
Une multiplication des utilisations hybrides entre matériel professionnel et matériel personnel avec le développement du télétravail dû au Covid-19
Des statistiques relativement sombres avec 30 % d'attaques en plus lors des périodes de vacances et 70 % d'attaques en plus en novembre / décembre par rapport à janvier / février (Source : Rapport du 2.12.2021 de Darktrace)
Et depuis le 10 décembre, la vulnérabilité LOG4J qui donne des sueurs froides aux DSI, ESN - Entreprises de Service du Numérique - et à toute la profession, avec plus de 1000 tentatives d'exploitation par seconde (Source : Cloudflare Blog - Article du 14.12.2021)
Le développement du RAAS depuis 2020, ou Ransomware-as-a-service, qui met à disposition de groupes cybercriminels des plateformes de rançongiciels "clé en main", avec service de paiement et de distribution, interface d'échange avec les victimes, support technique, ce qui contribue à faire exploser les attaques (Sources : Rapport de l'ANSSI sur l'état de la menace rançongiciel du 01.09.2021)
Le ciblage récurrent de certains types d'activité comme les collectivités locales, l'éducation, la santé ou les ESN, qui deviennent des cibles privilégiées des pirates informatiques, en raison de leur type de données (sensibles, santé,...), du faible niveau de protection en moyenne pour ces organisations, de précédents juteux de rançons payées ou des impacts sociaux et politiques très difficiles à gérer pour les collectivités par exemple. (Sources : Rapport de l'ANSSI sur l'état de la menace rançongiciel du 01.09.2021)

Quelles mesures prendre pour un retour serein en 2022 ?

Des mesures préventives fortes sont à prendre :

Vis-à-vis des utilisateurs, une piqûre de rappel s'impose quant aux bonnes pratiques de sécurité : ne jamais cliquer sur un lien douteux ni télécharger de pièce jointe non vérifiée
Avoir mis en place un système de firewall efficace
Avoir rédigé et testé un PRA - Plan de Reprise d'Activité - pour pouvoir redémarrer l'activité rapidement et sereinement en cas d'attaque
Avoir inclus une sauvegarde externalisée au PRA pour garantir une récupération complète des données (Retour d'expérience sur les vertus d'un PRA bien testé avec l'incendie OVH vu de l'équipe admin système Kiwi Backup)
Avoir une équipe ou au moins une personne d'astreinte pour mettre à jour et monitorer les systèmes, ainsi que pour réaliser une veille sur les vulnérabilités remontées, via le CERT-FR par exemple, alerter et apporter les premières mesures de protection en cas d'attaque
Avoir fait des tests de restauration pour être sûrs que toutes les données dont vous aurez besoin sont bien incluses dans la sauvegarde
Avoir traité les alertes de non sauvegarde (portable éteint, fichier corrompu, problème de connexion, firewall mal configuré,...) afin de ne pas dormir à tort sur ses 2 oreilles, alors que sauvegardes ne se font plus ...