Cybersécurité : pourquoi les ESN sont dans le viseur des attaquants ?

Altran, Akka Technologies, Inetum, sont quelques exemples d’ESN, pourtant sensibles et formées à la cybersécurité, qui ont fait les frais d’une cyberattaque réussie. Pourquoi les attaques s’intensifient contre les Entreprises de Services Numériques ? Comment peuvent-elles mieux protéger l’accès à leurs SI ?

Cyberattaques : toutes les entreprises sont concernées

Cybersécurité, tous concernés. En 2021, plus d’une entreprise sur deux a subi au moins une cyberattaque selon le CESIN. Derrière ce chiffre alarmant, une réalité : toutes les structures, des TPE aux grands groupes, sont concernées par la cybersécurité. Et pourtant : aucune DSI ne peut prétendre être protégée à 100 %.

La plupart du temps, les hackers visent les entreprises pour des raisons pécuniaires. Il en effet rentable pour eux d’accéder aux données sensibles d’une entreprise pour les revendre. Mais, il est également possible que les cyberattaquants visent une entreprise en particulier avec une autre motivation :

• Sabotage
• Espionnage
• Réalisation d’un exploit (Uber, Rockstar games…)

Les motivations et les typologies des pirates sont si diverses et complexes que toutes les entreprises peuvent un jour ou l’autre être touchées.

Les risques d’intrusion sont par ailleurs facilités par la transformation numérique effrénée qui accroît la surface d’exposition des organisations. En ajoutant et en connectant entre eux différents services grâce à des logiciels et applications variées, parfois sans aval de la DSI sur les dits services, les entreprises facilitent l’entrée et l’accès aux données sensibles d’un hacker qui serait entré dans le SI.

Blocage du système de production = piratage réussi

Qu’importe le flacon, pourvu qu’on ait bloqué l’accès à la production, pourrait être un dicton de pirate. Hôpitaux, usine de lingerie, pipeline de gaz, les hackers sont peu regardants sur l’activité de la cible qui aura mordu à leur hameçon.

Ils s’en prennent généralement au système de production de l’entreprise en inoculant un rançongiciel dans le réseau interne. Il s’active lorsqu’un collaborateur ouvre par mégarde une pièce jointe vérolée ou clique sur un lien malveillant reçu par mail ou SMS. Il suffit d’une seule manipulation opérée sur un simple terminal fixe ou mobile pour que l’ensemble du système informatique soit impacté, entraînant un possible arrêt de la production.

Le chantage au rançongiciel en augmentation constante

Certes, quelques entreprises réactives parviennent à s’en sortir sans trop de dommages. C’est notamment le cas de Damart qui a réussi à éviter le drame au mois d’août 2022. En détectant rapidement l’intrusion, les pirates n’ont pas eu le temps de totalement déployer le ransomware. Malgré cette détection, les équipes IT ont dû couper l’ensemble du système pour éviter la propagation, perturbant ainsi les ventes en magasin et en ligne, et protéger les données personnelles

Pour les autres, l’expérience peut être beaucoup plus difficile. Si le ransomware s’est propagé et que les pirates ont pu chiffrés les données, l’entreprise est dans l’impossibilité de poursuivre son activité. Bien souvent, sa seule porte de sortie consiste à régler le montant de la rançon exigée afin de réceptionner une hypothétique clé de déchiffrement lui donnant de nouveau accès à ses données.

Bien évidemment, plus l’entreprise tarde à régler l’addition, plus ses pertes s’accumulent. Pour assombrir le tableau, la montée en puissance de la double extorsion, visant à exiger une seconde rançon pour éviter que les données sensibles ne soient revendues sur le dark web, se fait de plus en plus fréquente en 2022.

Le baromètre ANOZR Way montre que les attaques par rançongiciels sur les 4 premiers mois de 2022 ont déjà atteint 50 % de toutes celles perpétrées en 2021.

Baromètre AnozrWay ¹

Payer la rançon n’est pas la solution

Il est normal de vouloir régler la rançon exigée pour reprendre au plus vite son activité. Cependant, l’entreprise n’est pas assurée de retrouver ses données et celles de ses clients et partenaires. L’ANSSI, dans son guide des attaques par rançongiciels ², recommande de ne pas payer la somme exigée :

« Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels. »

Les données sensibles des ESN : cibles privilégiées des hackers

Les ESN visées sur la chaîne d’approvisionnement

Mais alors, pourquoi les ESN sont-elles tant ciblées par les pirates ?

En plus des données propres à leur activité, les ESN sont également détentrice de nombreux accès chez leurs clients dont la sécurité peut être plus ardue à outrepasser. Elles deviennent alors une aubaine pour des pirates informatiques. En s’en prenant aux ESN, les hackers visent des entreprises à forte croissance et ont la possibilité d’atteindre indirectement les clients de ces dernières grâce à des attaques par chaînes d’approvisionnement.

Ces attaques, appelées attaques par rebond ou par chaîne d’approvisionnement (supply chain) sont en augmentation constante.

Le constat de l’ANSSI

Dans son Panorama de la menace informatique³, l’ANSSI souligne que les attaques par chaîne d’approvisionnement ont augmenté entre janvier 2020 et juillet 2021. L’agence de sécurité a dû traiter 18 compromissions affectant des entreprises de service numérique (ESN) en 2021, contre seulement 4 en 2020. L’ANSSI ajoute que « ce ciblage accru des fournisseurs de services numériques présente des risques nouveaux puisque leurs outils numériques peuvent devenir des vecteurs de propagation rapide d’une cyberattaque et entraîner des compromissions en cascade. »

Des exemples en cascade

Les ESN sont particulièrement impactées par les hackers. Les dernières actualités prouvent cette montée en puissance :

• La société américaine Okta, spécialisée dans la gestion des identités et des accès, a ainsi subi une attaque début 2022 qui a touché 366 de ses clients⁴. Les hackers se sont intéressés en priorité aux 15000 clients de l’entreprise, parmi lesquels des entreprises françaises, dont Leclerc, Foncia et la Croix Rouge.
• En 2019, l’entreprise Umanis, spécialisée dans les services du numérique, a également subi une cyberattaque⁵. Là encore, les pirates ciblaient notamment ses clients dont Orange, PSA, AXA, Engie et Sanofi…
• En 2020, ce fut au tour du spécialiste de la transformation digitale Sopra Steria d’être touché par le rançongiciel Ruyk⁶.

Quelles sont les conséquences d’une cyberattaque pour une ESN ?

Comme pour toute entreprise, les conséquences d’une cyberattaque sur une ESN ou un éditeur de logiciels peuvent être nombreuses :

• Arrêt de la production,
• Immobilisation du personnel,
• Dépenses dues à la restauration des postes et serveurs,
• Consé d’image de marque,
• Etc…

Côté équipes, fournisseurs et clients, les effets néfastes sont également nombreux. Ces derniers sont en effet susceptibles de nouer de nouveaux partenariats avec des entreprises concurrentes ayant pris la mesure de la sécurité du SI.

Selon une étude de la société Bessé⁷, les conséquences d’une cyberattaque peuvent faire perdre à une organisation cotée en bourse jusqu’à 9% de sa capitalisation. Les entreprises non cotées subissent également de plein fouet ces impacts en moyenne 3 mois après l’intrusion : l’élévation du risque de défaillance s’élève à + 51 % comparé à avant la crise.

L’entreprise a tout intérêt à (mieux) se protéger

Si personne n’est à l’abri d’une cyberattaque, certaines entreprises sont plus résilientes que d’autres, particulièrement lorsque DSI a pris la mesure des enjeux de sécurité actuels et à venir. De la TPE au grand groupe, en passant par les ESN, il est vital de déployer des équipements et des politiques de sécurité, sans oublier de les faire évoluer. Terminaux, réseaux, clouds… : la cybersécurité doit être orchestrée sur toute la chaîne, en interne ou avec l’aide de prestataires extérieurs intégrateurs de solutions de sécurité.

D’autant plus que le facteur humain continue de représenter un gros risque : selon un rapport du CESIN 2022, les attaques par phishing sont utilisées à 73 % comme vecteur d’entrée principal d’un réseau d’entreprise.

L’ingénierie sociale demeure un fléau puisque 90 % des cyberattaques relèveraient de cette technique de tromperie ciblant les collaborateurs. Les DSI doivent cibler le risque humain et technique, et s’assurer que l’entreprise est correctement protégée de toute tentative d’intrusion.

Vous l’aurez compris, dans un monde où les cyberattaques sont de plus en plus nombreuses, il est impératif de s’informer sur le sujet, afin de savoir s’en protéger. Sécuriser vos accès et ceux de vos collaborateurs constitue d’ailleurs un premier pas facile à mettre en place en entreprise ! On en discute