Visant des systèmes pour partie obsolètes, le ransomware WannaCrypt a touché nombre d'institutions publiques et de systèmes industriels. Une situation qui doit alarmer les décideurs, selon le collectif Résistance Cyber, qui veut revoir la vision de la sécurité pour la focaliser sur les bonnes pratiques.
Si le ransomware WannaCrypt n'est pas un électrochoc suffisant, Résistance Cyber veut forcer le changement dans la sécurité informatique. « Collectif spontané » monté hier (dont le nom fera sourire certains), il est composé de spécialistes dans le domaine de la cybersécurité, qui réclament de revoir le modèle de sécurité des entreprises en France.
L'idée : sortir de la vision classique, propre à vendre du matériel mais jugée inefficace, pour insister sur l'hygiène des pratiques et des réseaux, notamment via la formation. Pour Jean-Nicolas Piotrowski, président de la société ITrust et auteur du manifeste, « nous sommes passés très près de la catastrophe » avec WannaCrypt (voir notre analyse). Il faut donc aller plus loin, et de manière plus concrète qu'avec la publication de tweets peu inspirés.
Le ransomware, qui a infecté plus de 200 000 terminaux dans le monde, a été ralenti par l'enregistrement de deux noms de domaine, servant de « kill switch ». Cette infection massive souligne un large problème de maintenance du parc informatique, exploitant une faille corrigée par Microsoft et des versions obsolètes de Windows (dont XP).
Miser sur l'hygiène informatique
« Je n'en peux plus de voir des sociétés piratées, avec un niveau de sécurité catastrophique, s'agace le patron d'ITrust. WannaCry n'est pas une attaque élaborée, c'est même très basique. Ce qui nous exaspère, c'est que ça puisse toucher Renault. » Le constructeur français a mis en pause la production dans trois usines, certains de ses équipements industriels étant affectés.
Dans son manifeste, le collectif attaque frontalement les principaux acteurs du marché, et appelle à organiser la filière pour fournir des solutions simples et peu coûteuses aux PME... En insistant notamment sur le facteur humain.
« On passe à l'idée qu'avec une bonne hygiène numérique, on peut avoir une sécurité à moindre coût. Ça gêne beaucoup de monde de dire ça, quand 80 % du chiffre d'affaires du secteur est dû à la vente de firewalls et d'antivirus » nous déclare Jean-Nicolas Piotrowski, qui propose des formations aux entreprises.
Protéger les industries européennes
L'exaspération affichée doit masquer un certain opportunisme, alors que WannaCrypt s'affiche actuellement jusque dans les journaux télévisés ; une rareté en matière « cyber ». Créé rapidement, le collectif dit agréger rapidement de nouveaux membres tels qu'HexaTrust. « Le dernier soutien est arrivé à 2 h » nous expliquait en début de matinée le président d'ITrust.
À force d'« état d'urgence » et de « terrorisme », le manifeste vise à mobiliser le secteur de la sécurité, d'abord au travers de groupes en ligne (via Facebook et LinkedIn notamment) pour rapidement s'organiser. Le but : « protéger nos emplois, notre savoir-faire européen », cible de nombreuses attaques. Miser sur l'hygiène informatique pour mieux défendre les intérêts français, voire la souveraineté.
Professionnalisation contre sous-investissement
« On n'est pas passés loin de la catastrophe. On avait dit que ça se produirait et rien n'a été fait » lance Piotrowski, qui tance à la fois le sous-investissement chronique dans la sécurité informatique, l'excuse du retour sur investissement difficilement perceptible... et l'incompétence des responsables.
Le collectif estime aussi que la défense périmétrique (défendre son réseau) laisse le champ libre aux attaquants, qui se professionnalisent. « Ces menaces nouvelles [...] utilisent des techniques qui ne sont plus décelées par les protections actuelles » affirme-t-il. Cela même si, dans les faits, il est bien difficile de jeter ce modèle avec l'eau du bain de WannaCrypt.
Les signataires veulent donc dénoncer « des entreprises de sécurité obnubilées par des intérêts économiques maintenant d’un autre âge », à savoir les grands groupes du secteur... Des entreprises à même de s'offrir des labels coûteux, qui représenteraient jusqu'à 20 % du coût d'une prestation pour de petits acteurs. Les David de la cybersécurité taclent donc en règle les problèmes des Goliath, les affirmant obsolètes.
Face à des solutions parfois vendues plusieurs millions d'euros, par moments « non-souveraines » et donnant un faux sentiment de sécurité, Résistance Cyber (et la société de formation ITrust, à sa base) mettent donc en avant la formation et les bons gestes. Comportement des employés, mises à jour logicielles, cloisonnement des réseaux... « Avec 3 000 euros, j'évite WannaCry » pense l'entreprise, qui vise ici les PME.
La société promet déjà de monter des offres dédiées aux petites entreprises, avec deux de ses homologues. Quand l'intérêt général se marie à merveille avec son propre modèle économique. Rappelons que l'ANSSI investit déjà bien le sujet, par exemple avec ses 42 recommandations pour une hygiène informatique de base.
Réagir avant la « deuxième phase », crédit d'impôts en tête
Pour Résistance Cyber, WannaCrypt est une première phase, avant un événement plus grave, comme une attaque étatique réussie sur une infrastructure vitale (centrale nucléaire, réseau électrique...). Soit la deuxième phase. Il ne faut donc pas que le soufflé retombe. « Je vois un gros inconvénient à WannaCrypt, c'est un coup de semonce sans énormément de dégâts, sinon quelques hôpitaux, affirme Jean-Nicolas Piotrowski. Il faut bien dire qu'on a eu de la chance de ne pas passer loin de la catastrophe ».
Il faudrait donc porter un nouveau discours, sans attendre d'initiative publique... Même si Résistance Cyber compte bien sur l'oreille de l'ANSSI pour porter ses revendications. Et elles sont nombreuses.
La première mesure affichée est un crédit d'impôts « sécurité » pour PME et ETI, que des régions seraient déjà en train de valider. Une demande pour laquelle le cas WannaCrypt tombe tout de même à pic. Le collectif veut aussi « stimuler » une offre de sécurisation des petites entreprises, institutions publiques et collectivités, en créer une autre pour les opérateurs d'infrastructures vitales (OIV), mettre en place une plateforme de réponse à incident pour les PME et ETI.
Il souhaite encore regrouper des sociétés innovantes (par exemple dans l'intelligence artificielle et le big data, notamment via French Tech), créer une offre de cyberassurance, lister des produits de confiance adaptés aux PME (avec une plateforme de test) et, enfin, ouvrir des formations aux bonnes pratiques numériques à l'école et d'ingénierie en cybersécurité.
Autant de solutions qui n'ont rien de révolutionnaire, s'appuient pour partie sur l'action publique, et pour l'autre sur des offres commerciales, qu'une partie des signataires sont à même de proposer eux-mêmes.
Commentaires (82)
#1
Moi j’aurais appelé ça les CyberMen…
======> []
#2
de quoi? sous investissement dans l’informatique en entreprise ? Ah bon " />" />
#3
Et bien perso je ne suis pas du tout d’accord avec eux, j’espère que la prochaine vague va faire un max de dégâts,
histoire de bien les foutres dans la mouïse.
#4
Et dire que tout le monde critiquait l’initiative LulzSec… " />
#5
Oui, bien sûr, il faut former les utilisateurs. Et oui, cela permettrait de stimuler l’emploi en France, pour peu que ces formations se fassent sur site. Néanmoins, cela coûte incomparablement plus cher que des logiciels censés apporter cette même sécurité, et… certains utilisateurs resteront sourds à toute mise en garde, formation, ou explication.
#6
#7
Initiative basée sur le buzz et l’espoir du profit ?
#8
Ouais c’est aussi mon premier sentiment..
Je crois que l’on est un peu trop français pour avoir de l’espoir ^^’
#9
#10
Au delà de l’opportunisme affiché, même si ils prennent cher par les user, quand je vois XP dans la liste de boîtes touchées… J’applaudis et dit “bien fait pour vous”.
#11
Quand on voit les process en place dans les grosses sociétés c’est pas étonnant. On est en 2017 et de grosses boites te proposent encore leur template fraîchement validé 2008R2/windows 7 sans mises à jour sans SP. Et quand tu as l’horreur de demander de mettre l’OS à jour, tout le monde panique…
#12
Après une étude des technocrates, il s’avère que le budget de cybersécurité sera déposé sur un fond de placement à +3% et servira de réserve de cash pour payer les rançons en cas éventuel de piratage.
#SadButTrue
#13
C’est le moment de se faire des c… en or en temps que consultants et audits.
En plus si on explique qu’une politique de backup saine permet de récupérer ses données en quelques heures sans payer la rançon, on peut aussi vendre de l’espace disque dans la foulée.
Tout ça en gardant XP .
vive les opportunités
" />
#14
Quand je vois les consignes de ma boite suite à ce problème … “évitez de brancher une clé USB à un ordinateur si elle n’a pas été préalablement scannée avec l’antivirus du poste”
Donc je résume : je ne branche pas la clé avant de l’avoir analyser, mais pour l’analyser je dois la brancher …….
Mais sinon les Windows XP sans SP sur des systèmes qui contrôlent des choses importantes (quand c’est pas du 2000 ou du NT (oui oui!!)) surtout on change rien -_-
#15
#16
C’est de la simple gestion des risques dans une grande entreprise…
Si (Probabilité d’occurrence * Cout de l’action corrective) < Cout de l’action préventive
Alors provisionner budget pour action corrective
Sinon provisionner budget pour action préventive
Ca parait logique… si la rançon c’est 500\( x 2 ou 3 serveurs une fois tous les 5 ans, tu vas pas embaucher un gars a 3000\)/mois pour gérer la cyber-sécurité.
#17
#18
Bonne idée.
Fort de son expertise, la commission copie privée sera chargée d’estimer le volume de données personnelles par Mo de stockage. Pour simplifier les flux financiers, le montant sera collecté par la société Copie France.
#19
ah ouais… mais t’es maléfique en fait " />
#20
Quelqu’un pour écrire le Cyberchant des Partisans (ou le chant des Cyberpartisans ?) ? " />
#21
2 options :
Les entreprises préfèrent le scénario 2… ça va pas chercher plus loin.
#22
Ami, entends-tu le vol noir des données dans nos domaines ?
Ami, entends-tu les cris sourds des disques qu´on malmène ?
Ohé, Cyberpartisans, informaticiens et geeks, c´est l´alarme.
Ce soir l´ennemi connaîtra le prix de la rançon et les armes.
Montez vos firewalls, descendez les malwares, camarades!
Sortez de là, failles, outils, montez les barricades.
Ohé, les tueurs de process, kill, tuez vite!
Ohé, saboteur, attention à ton fardeau : dynamite…
Au suivant pour la suite
#23
Ca semble un poil opportuniste…
#24
" />" />
#25
Ces dégâts sont aussi la conséquence dont les entreprises françaises considèrent leur informatique et leurs informaticiens : comme des choses méprisables sur lesquelles il faut rogner le plus possible quitte à mordre dans l’indispensable. Et même les éditeurs de logiciels français se comportent beaucoup comme ça… :‘(
#26
Quand tu vois qu’il ne faut pas mettre à jour l’OS ou les middleware (Java, etc.) parce que le logiciel de compta/paie/torrefaction ne supporte pas et que ça coûterait trop cher de monter en version et qu’on te dit “c’est comme ça”, tu pleures.
#27
Chez nous c’est pas le logiciel qui ne supporte pas. C’est les 6 mois de tests de non regression à bouffer toute l’équipe qui empêche souvent :)
#28
Oh que oui !!!
Chez nous, on a eu droit a des flyers qui expliquent “les bons comportements”, et quand l’anti virus officiel (Panda) s’est mis a partir en vrille sur des scans de disque tous les matins au demarrage, avec au bas mot 25 machines de l’equipe de dev inutilisables, la reponse de l’IT a ete “essayez de tuer le process le temps qu’on regarde ce qui se passe”…
Bizarrement, ca a resolu le probleme, mais il a fallu qu’on fasse la manip tous les matins pendant 15j avant qu’un “correctif” ne soit appliqué. Open bar pour les cochonneries pendant ce temps.
#29
If you wanna crypt my lover !
Remix Spice Girls.
" />
" />
#30
#31
Interface Clavier => Chaise on vous a dit mes bons messieurs/mesdames " /> " />
#32
Sur mon poste informatique, à part moi et trois autres personnes, je ne branche aucune autre clés usb. Même si j’ai des sauvegardes externes, cela m’emmerderez grave de réinstaller tout.
#33
#34
#35
Je comprends pas ces grosses DSI qui maintiennent un parc de machines “validées” avec des OS obsolètes. En parallèle quand on développe un nouveau service, elle imposent de supporter leur vieux Windows ou IE.
Elles se croient plus maline que Microsoft, Google ou Firefox en bloquant les mises à jour auto pour avoir le loisir de les valider par rapport à leurs softs spécifiques.
À la place, ils feraient mieux de laisser leurs employés choisir leur outil de travail avec pour seule hygiène d’imposer les mises à jour auto. Ainsi plus de virus/ransomwares exploitant des failles connues, une moindre portée des attaques basées sur du 0-day, et plus de frein à la mise à jour de l’Infra en raison d’une dépendance sur un OS / navigateur spécifiques.
Et un truc qui ferait hurler n’importe laquelle des ces DSI: UTILISEZ LE CLOUD. Google docs, Office 365, whatever. Quite a faire du private cloud si vous avez les moyens. Le ransomware, il ne peut fonctionner qu’en local…
J’espère que des boites ayant des DSI qui continuent à jouer à Dieu sur Terre couleront à cause de ransomwares du même genre. Que cela fasse une leçon à toutes les autres et qu’on s’en souvienne longtemps.
#36
Ce qui reste dingue c’est en 2017, d’exposer les ports SMB sur Internet, c’est de la faute professionnelle
#37
J’interviens chez un client qui à des machines de prod en NT4 … Et il viens d’en faire installé une nouvelle qu’il vient de racheter d’occaz. Le vrai problème c’est le process au final. Le client va chercher les prog sur un lecteur réseau donc pas le choix de les mettre au réseau.
Après effectivement on peux monter en VLAN avec les machines en NT4 2000 et XP dessus avec un accès qu’au partage mais l’usine est pas toute jeunes et donc le câblage ou l’emplacement des baie ne correspond pas et en plus sur un secteur (fabrication de pièce autos sur presse) qui à de forte tendance à délocalisé car les commandes des donneurs d’ordres ne souhaitent plus ça en France car “trop chère”. Tout ça réduit fortement le budget alloué au SI malheureusement.
Et encore je filtre à mort ses postes via l’UTM déjà et le client n’a pas été touché par WannaCrypt ce qui me rassure un peu pour le coup " />
#38
#39
" /> le sous titre " />
#40
#41
Il a pas de lecteur disquette pour l’installation ? ?
#42
En bref, ils veulent des sous dans leurs budgets " />
#43
Rassure toi (oupa), ce mal touche bien d’autres secteurs des entreprises, souvent même le cœur de métier! Et dans une usine qui fabrique des produits physiques, crois moi c’est bien plus dommageable encore que les sous-investissements dans le secteur IT (même si je ne cautionne ni l’un ni l’autre).
#44
Dans l’hôpital de ma femme, ils ont installé des bornes pour scanner ton matos USB avant de pouvoir le brancher sur ton poste.
J’ai trouvé l’initiative pas mal.
#45
A EDF, en environnement indus il y a encore des postes sous 95⁄98, voire parfois en 3.1.
C’est très rare, ils ne sont pas co au réseau, mais il y en a.
D’un autre coté, projet en cours pour virer les Vista et les remplacer par des Se7en, certaines branches commencent a être en win10.
#46
Faut avouer que chez EDF, niveau réseau ils sont bien carrés.
Tout est bien séparé avec des niveaux différents de criticité.
#47
Oui, j’avais rencontré un team de l’ANSSI pour tester un site blindé en wifi (plus de 800 bornes " />), et ils ont été assez satisfait, c’est toujours agréable même quand tu y as humblement participé.
(Pour l’anecdote, tu te rends très vite compte que ces mecs, assez jeunes, sont des gros brutos dans leur domaine)
#48
Bawi, la sécurité c’est un budget et pour certains c’est un budget trop important / non justifié… à ceux là parfois j’ai envie de leur dire : “si vous pensez que la sécurité coûte chère, essayez la non sécurité, et attendons de voir ce qu’il se passe…” et bim, une attaque “simple” mais astucieuse permet de mettre à terre une partie des SI :/
L’hygiène informatique, les bonnes pratiques, toussa pour eux ce n’est que “théorique”, jusqu’au jour où…
#49
Je clashe parfois les gens en leur disant que la sécu info, c’est comme le sexe !
Pas de capote, pas de problème, jusqu’à coucher avec la (les ? " />) mauvaise personne…
#50
#51
#52
Bon, je me lance mais je ne suis pas un champion pour ça" />
La compta à nos trousses et la fatigue qui nous pousse, la misère!
Il y a des boites où les DSI aux creux des lits font des rêves!
Ici, nous, vois-tu, nous on reboot, et nous on upgrade, nous on crève.
4. Ici personne sait ce qui tourne, ce qu’on fait quand ça plante.
3.1 si tu tombes, un NT sort de l’ombre a ta place.
Demain du stagiaire séchera au grand soleil sur les routes.
Déboguez, compagnons, dans la nuit la DG vous engueule.
5. Ami, entends-tu ces cris sourds des disques qu’on enchiffre* ?
Ami, entends-tu le vol noir des malwares sur nos domaines?
*néologisme volontaire
#53
+1 pour le sous titre :)
#54
#55
#56
#57
#58
#59
#60
#61
+1
(ma boite utilise de XP, et je viendrais pas pleurer quand cela foutra la merde).
#62
Ca doit être super intéressant de voir la gestion de la sécurité de grosses boites critiques, comme les fournisseurs d’eau, de gaz, d’électricité. J’avoue que je ne me suis même pas penché sur le fonctionnement sécu de ma boîte (la SNCF). Faudrait que j’aille y passer un tour à la DSI pour voir comment ils gèrent la sécurité des circulations :)
#63
En fait, c’est tellement eclaté que tu vois pas forcement grand chose…
C’etait en plus en centrale nuc.
#64
Pas mal
#65
Pas mal!
#66
Ouais j’imagine bien, mais je donnais juste ma pensée profonde, mon envie de voir un peu l’ensemble de la gestion. Même si c’est sur que c’est extrêmement compliqué etc.
#67
Les logiciels rançon savent chiffrer les fichiers Dropbox (tiens une nouvelle version et le client Dropbox envois vers le serveur les données indéchiffrables).
#68
#69
on m’a dit un jour (légende urbaine ?) que l’a SNCF gardait une gestion “manuelle” des trains qui utilisent les voies ; en parallèle de la gestion numérique, puisqu’en cas de panne sinon tu ne sais pas prévenir un accident. J’ignore la réalité de ce qu’il en est derrière…
#70
#71
?? tu peux m’expliquer la relation avec la scientologie ? c’est un soft codé par Tom Cruise " />
#72
#73
#74
je peux plus édite un autre lien
http://archives-lepost.huffingtonpost.fr/article/2008/05/31/1200644_la-scientolo…
#75
Je ne saurais répondre à la question malheureusement.
J’imagine que oui, comme à Paris Gare de Lyon où ils ont informatisé le poste d’aiguillage qui gère la Garde de Lyon et Paris Bercy. L’ancien poste doit toujours pouvoir servir en cas de coup dur.
#76
Utiliser le mot cyber en 2017 montre leur sérieux
#77
#78
Cyberdyne ça aurait fait T2…
#79
L’ancien poste Thomson et Houston est déposé, donc je ne pense pas ^^
#80
Ah ben c’est caca alors en cas de problème sur le PAI :(
#81
Il ni a pas eu de campagne de fishing ….
#82