Rançongiciel : et si la solution était sous nos yeux depuis longtemps ?
Alors que les technologies employées pour les ransomwares deviennent de plus en plus élaborées et aisées à mettre en œuvre, est-il concrètement possible de se prémunir de ces attaques ?
Le 12 septembre dernier, le groupe de hackers Lockbit confirmait être à l’origine de la prise en otage des données d’un centre hospitalier situé à Corbeil-Essonnes. Les multiples rebondissements de cette affaire et la communication savamment orchestrée par ce groupe aux allures de multinationale de la cyber-malveillance ont certainement permis au grand public de réaliser l’ampleur du phénomène des rançongiciels (ou ransomware). Selon l’ENISA, l'Agence de l'Union européenne pour la cybersécurité, qui commente la hausse vertigineuse de 150 % des attaques par ransomware entre avril 2020 et juillet 2021. Le plus inquiétant est que cette tendance semble devoir se poursuivre, voire s'accélérer. L'instabilité politique, l'élargissement des surfaces d'attaque et l'essor du "ransomware-as-a-service" (formule effrayante en soi) font du rançongiciel l’un des crimes les plus rentables de la cyber !
Alors que les technologies employées deviennent de plus en plus élaborées et aisées à mettre en œuvre, est-il concrètement possible de se prémunir de ces attaques ? La réponse est oui, il existe aujourd’hui une méthode de défense particulièrement efficace contre les rançongiciels : mettre en place une stratégie de micro-segmentation. Le principe n’est pas nouveau, loin s’en faut : la segmentation est l'une des plus anciennes méthodes de la cybersécurité, utilisée depuis des décennies sous de multiples formes par la vaste majorité des entreprises du monde entier. Pourtant, la vérité est que seules 2 % des entreprises l’utilisent pour protéger leurs actifs critiques.
Qu’est-ce que la micro-segmentation ?
L'une des raisons de ce taux très faible est qu’une segmentation efficace des réseaux modernes est assez difficile à mettre en œuvre. L'utilisation d'outils traditionnels tels que les réseaux locaux virtuels (VLAN) pour segmenter le réseau perd son efficacité à mesure que l’architecture réseau se complexifie. Qu’elle soit virtuelle ou physique, située dans le cloud, en périphérie ou sur site, chaque machine génère un trafic entrant et sortant. Or, la menace croissante exige une segmentation de plus en plus poussée pour réduire la surface d'attaque. Dans la pratique, les VLAN sont tout simplement trop lents et trop chers pour faire face aux menaces croissantes.
C'est là qu'intervient la micro-segmentation. Elle applique les mêmes principes que la segmentation, mais sous la forme d’une couche logicielle, permettant à l’entreprise d’appliquer des contrôles de sécurité touchant directement aux processus et ressources en cours d’utilisation dans leurs datacenters ou dans le cloud. L'entreprise dispose ainsi d'une plus grande souplesse et d'une meilleure granularité d’approche, lui permettant de détecter et d’empêcher les attaquants potentiels de se déplacer à leur guise dans le réseau complexe des environnements hétérogènes désormais courant dans de nombreuses organisations, regroupant datacenter, cloud public, privé et hybride.
Comment la mettre en place ?
La micro-segmentation permet aux entreprises de bénéficier d'une meilleure visibilité et leur offre la possibilité d'appliquer des politiques de sécurité depuis le niveau du réseau jusqu'au niveau des processus individuels. Toutefois, cette flexibilité s'accompagne d'un problème : il existe de nombreuses façons de mettre en œuvre la micro-segmentation, et ces options peuvent facilement submerger ceux qui commencent à adopter cette technique.
Avec l’aide d’un spécialiste de la micro-segmentation, les entreprises devraient commencer par recueillir des informations détaillées sur l'environnement réseau, applicatif et système et les transformer en une représentation visuelle pour aider les équipes informatiques et de sécurité à prendre les bonnes décisions. L'équipe de sécurité peut ensuite utiliser cette visibilité accrue pour commencer à définir des politiques de micro-segmentation. La meilleure pratique consiste à commencer par des contrôles de micro-segmentation généraux, puis à ajouter progressivement des politiques plus ciblées et spécifiques adaptées aux besoins de l’entreprise.
Une bonne première étape dans l'élaboration d'une véritable stratégie de micro-segmentation consiste à identifier les applications et les services qui ont besoin d'un large accès à de nombreuses ressources. Les systèmes de log management, les outils de surveillance et les contrôleurs de domaine sont des exemples de systèmes qui exigent une grande liberté de communication au sein de leur environnement. Cela en fait également des cibles de choix pour les cyber-attaquants, comme la vulnérabilité de Log4j, largement médiatisée à la fin de l'année dernière l’a démontré de façon spectaculaire. Ces applications et services doivent être protégés en priorité.
Une fois cette étape réalisée, la stratégie de micro-segmentation peut prendre différentes directions, en fonction de la nature de l’activité. Il est possible de segmenter, par exemple, par environnement, par juridiction réglementaire ou par type d'application. Ce qu'il faut retenir, c'est qu'il n'est pas nécessaire de mettre en œuvre toutes les méthodes de micro-segmentation possibles dès le début !
« Confiance zéro »
Internet est appelé à devenir, ces prochaines années, un endroit beaucoup plus périlleux pour les entreprises. Le développement du travail à distance, l'adoption explosive du cloud computing et de l'automatisation, ainsi que les progrès constants des technologies sont autant de facteurs qui contribuent à élargir radicalement la surface d'attaque des entreprises.
Plus nos réseaux se complexifient, plus ils deviennent vulnérables. C'est pourquoi les entreprises adoptent une architecture de "confiance zéro" pour leurs systèmes informatiques, éliminant la confiance implicite des utilisateurs et exigeant une validation continue en tout point du réseau. Conçue pour fonctionner dans ce cadre, la micro-segmentation s’impose comme la seule technologie susceptible d’accompagner la croissance exponentielle des menaces cyber.