L’ouverture peut protéger les entreprises néerlandaises contre les ransomwares
7 min read
Les entreprises aux Pays-Bas sont de plus en plus victimes de ransomwares, mais la vague d’attaques n’est probablement que la pointe de l’iceberg, car beaucoup se taisent lorsqu’elles sont confrontées à des ransomwares.
C’est souvent par honte ou par peur de nuire à leur réputation, mais les entreprises néerlandaises devraient être ouvertes à propos de ces attaques. Dave Maasland, PDG d’ESET Pays-Bas, affirme que cette situation doit changer et que l’industrie aéronautique américaine pourrait en apprendre beaucoup.
Depuis environ 12 ans, il y a eu peu ou pas d’accidents d’avion mortels aux États-Unis. Si les experts de l’aviation avaient entendu cela comme une prédiction au milieu des années 1990, ils ne l’auraient pas cru. C’était une époque où l’aviation aux États-Unis était en proie à de fréquents accidents aériens. Mais finalement, le vent a été renversé par une idée apparemment controversée.
« Un système de signalement a été mis en place dans lequel toute personne impliquée pouvait volontairement signaler des incidents en toute impunité », a déclaré Maasland. « En fait, les gens recevaient des tapes dans le dos lorsqu’ils révélaient des actes répréhensibles, mais si la direction découvrait un incident et que les gens ne le signalaient pas, ils risquaient de perdre leur emploi. Je pense que nous pouvons apprendre beaucoup d’un tel système en ce qui concerne les ransomwares.
Rutger Leukfeldt, directeur du Centre d’expertise sur la cybersécurité de l’Université des sciences appliquées de La Haye, est d’accord. Il est impliqué dans la mise en place d’un tel système au Royaume-Uni. “Ce système est basé sur une base de données unique que nous avons également aux Pays-Bas dans le domaine du crime organisé – l’Organized Crime Monitor”, a-t-il déclaré.
« Ce moniteur existe depuis les années 1990 et permet aux chercheurs d’analyser systématiquement les enquêtes criminelles à grande échelle. Les recherches basées sur le moniteur nous ont beaucoup appris ces dernières années et nous ont donné un aperçu du fonctionnement du crime organisé. »
Une différence majeure par rapport au système de compte rendu de l’aviation américain est que les informations contenues dans le moniteur sont anonymisées et ne sont pas librement accessibles. “Bien que je sois un grand défenseur de l’ouverture et du partage de l’information, je pense qu’un système fermé, auquel seules certaines parties prenantes ont accès, peut également fonctionner”, a déclaré Leukfeldt. « Dans tous les cas, rassembler des informations conduit à plus de connaissances, une meilleure image et donc une meilleure approche. »
Ouverture cruciale pour la sécurité
Alors que de nombreuses entreprises néerlandaises touchées par les ransomwares se taisent, un certain nombre d’organisations ont donné un aperçu franc des attaques qu’elles ont subies au cours des deux dernières années. Par exemple, l’université de Maastricht a été touchée par une attaque de ransomware fin 2019 et a finalement payé une rançon de 197 000 € pour retrouver l’accès à ses fichiers.
L’institution a fait appel à l’expertise de Fox-IT pour enquêter sur comment et où les attaquants l’avaient violée. L’université a partagé ouvertement les leçons qu’elle en a tirées avec le monde. C’était quelque chose qui n’avait jamais été fait aux Pays-Bas auparavant, et cela a mérité les éloges de nombreux milieux.
“L’université a fait un choix inhabituel en étant ouverte”, a déclaré Petra Oldengarm, directrice de Cyberveilig Nederland, qui représente les entreprises de cybersécurité aux Pays-Bas. « J’espère que cet exemple sera suivi plus souvent, car les organisations gardent souvent une attaque silencieuse par crainte de nuire à leur réputation. Bien que cela semble un choix compréhensible, les conséquences sont que d’autres organisations ne peuvent pas apprendre d’incidents comme celui-ci et que le niveau de cybersécurité d’un secteur ou même de l’ensemble de notre pays est à la traîne. »
Maasland préconise un système de rapport similaire à celui utilisé dans l’industrie aéronautique américaine, bien qu’à l’heure actuelle, il ne sache pas à quoi devrait ressembler un tel système dans la pratique. « Je pense que les organisations, publiques et privées, ont le devoir moral de signaler les incidents de ransomware, au moins de manière anonyme », a-t-il déclaré. « Dans le même temps, nous devons essayer de parvenir à un système où les gens peuvent signaler des abus ou des menaces par motivation intrinsèque, car de cette façon, ils peuvent et veulent contribuer à des Pays-Bas numériques plus sûrs.
« Il est important que toutes les parties impliquées participent au signalement, non seulement la victime, mais aussi une société de sécurité, le partenaire informatique impliqué, la direction, le service informatique, etc. Plus l’approche est holistique, meilleure est l’image qui se dégage.
Le partage d’informations est crucial pour mieux comprendre le fonctionnement des attaquants et des attaques, mais ce faisant, il n’est pas toujours important de partager des détails à un niveau technique, a déclaré Leukfeldt. « En tant que chercheur, je ne trouve pas très intéressant de savoir quel port reste ouvert, mais je préfèrerais examiner les processus sous-jacents », a-t-il déclaré. «Afin de partager des informations pertinentes, il est important de savoir comment une attaque s’est produite et quels sont les liens entre les criminels maltraités afin d’entrer.
« Mais après cela, il est particulièrement important de savoir comment cela a été résolu et quels éléments et processus une organisation a ajustés. Quelles leçons pouvons-nous tirer pour minimiser l’impact d’une telle attaque ? »
Apprendre des cyberattaques est crucial. À la demande du Conseil néerlandais de la cybersécurité, un certain nombre de scientifiques ont enquêté en 2018 sur l’efficacité de l’obligation de signaler les violations de données aux Pays-Bas. Les chercheurs ont conclu que les Pays-Bas ont trop peu appris des rapports qui ont été faits, en partie parce que pas assez d’informations utiles ont été partagées par l’Autoriteit Persoonsgegevens (Autorité des données personnelles), qui traite les rapports.
« Le partage d’informations commence par une ouverture sur les cyberincidents, les méthodes d’attaque et les vulnérabilités », a déclaré Oldengarm. « Ce faisant, diverses organisations ont un rôle à jouer, tant publics que privés. »
Le gouvernement néerlandais travaille depuis un certain temps à la mise en place « d’un système national de partenariats de cybersécurité, au sein duquel les informations sur la cybersécurité sont partagées plus largement, efficacement et efficacement entre les parties publiques et privées », a déclaré le programme néerlandais de cybersécurité en avril 2018. Depuis l’avènement de la loi nationale sur la sécurité des réseaux et des systèmes d’information, Cyberveilig Nederland a été désigné comme une plaque tournante pour le partage d’informations.
« Cela ouvre la voie à l’échange d’informations entre le secteur de la cybersécurité et le Centre national de cybersécurité », a déclaré Oldengarm. « Cela nous rapproche d’un partage d’informations efficace, mais nous avons encore un long chemin à parcourir.
« D’une part, nous devons faire circuler l’information du NCSC vers le secteur de la cybersécurité, et d’autre part, en tant que secteur, nous devons nous mettre au travail. Nous avons également des informations sur les menaces qui doivent être partagées dans la mesure du possible. Nous devons examiner conjointement les connaissances que nous pouvons partager avec d’autres parties prenantes et nous devons discuter avec nos clients de la possibilité de partager des informations sur, par exemple, les attaques de ransomware qui ont eu lieu dans leurs locaux.
Exemple du Royaume-Uni
Pour cela, les Pays-Bas pourront peut-être s’inspirer du système en cours de mise en place au Royaume-Uni, dans lequel Leukfeldt est impliqué. “L’Université VU d’Amsterdam et l’Université d’Oxford collaborent également à ce sujet”, a-t-il déclaré. « L’objectif est de créer une base de données publiquement disponible sur les cas de cybercriminalité, basée sur notre Dutch Organized Crime Monitor. L’objectif est d’apprendre des cas qui ont été clôturés. Ceux-ci sont mis dans la base de données de manière anonyme, et éventuellement des analyses peuvent être faites et nous pouvons apprendre à différents niveaux.
«Je m’attends à ce qu’un système dans lequel les cas peuvent être rendus anonymes, mais avec suffisamment de détails pour pouvoir en tirer des leçons, puisse également réussir aux Pays-Bas. En tout cas, je pense que ça vaut le coup d’essayer.
Maasland a ajouté : « La cybercriminalité pénètre de plus en plus profondément dans notre société et ce n’est qu’une question de temps avant que cela ne commence à coûter des vies à plus grande échelle. En tant qu’industrie, entreprise et gouvernement, nous devons rechercher des moyens de rendre les informations publiques et de les partager, afin d’éviter d’autres victimes. »
