BRIGHTER

Ransomware

Chaos, risques et ordre : comment lutter contre les ransomwares

Les ransomwares comptent parmi les menaces les plus répandues et les plus redoutables de ces dernières années. En cas d’attaque par ransomware, les entreprises se retrouvent dans l’incapacité d’accéder à des données ou à des systèmes pourtant critiques. L’impact sur l’activité est alors considérable... et immédiat. Particulièrement visibles, ces attaques constituent désormais un sujet brûlant du débat public.

À titre de comparaison, seul le vol de capitaux financiers présente un impact encore plus direct sur les résultats d’une entreprise. Or, les vols de capitaux ne concernent qu’un nombre réduit d’entreprises opérant dans certains secteurs alors que les ransomwares, eux, peuvent cibler n’importe quelle structure.

Les pertes de données, de leur côté, peuvent avoir un impact financier plus tardif et diffus, avec des dommages importants en termes de réputation. Les amendes réglementaires sont souvent infligées plusieurs années après l’incident, et la perte d’activité s’étale sur une plus longue période. Le choc économique est moins évident : il n’est pas immédiatement visible sur le bilan, comme c’est le cas pour les attaques par ransomware.

QUELS SONT LES RISQUES POUR VOTRE ENTREPRISE ?

L’évaluation des risques constitue un véritable enjeu pour les responsables de la sécurité. Cet exercice peut s’avérer déterminant. Mais par où commencer ? Pour calculer le risque, l’analyse d’impact ne suffit pas : il faut aussi tenir compte des probabilités d’attaque.

COMMENT CALCULER CES PROBABILITÉS ?

C’est la grande question. Comme l’explique notre responsable des ventes, Paul Brucciani (1), les humains démontrent un talent limité lorsqu’il s’agit de chiffrer les risques avec précision. Ce constat est particulièrement vrai dans le secteur de la cybersécurité : les entreprises tendent à sous-estimer la probabilité (2) d’un événement négatif lorsque sa probabilité est supérieure à 30 %.

Il n’existe pas de solution miracle pour calculer le risque. Si vous interrogez dix cadres seniors sur la probabilité d’attaque par ransomware sur leur entreprise, vous obtiendrez dix réponses différentes, s’appuyant sur dix méthodologies différentes. Les entreprises bien établies évoqueront sans doute un risque faible. À l’inverse, celles ayant été récemment victime d’une cyber attaque surestimeront les risques. Difficile de savoir si l’estimation proposée par un professionnel est réaliste ou si elle est, au contraire, totalement erronée. La plupart des décideurs en cyber sécurité ne possèdent pas de méthodologie clairement définie pour chiffrer ces probabilités. Le risque joue pourtant un rôle central dans la cybersécurité : l’absence d’une approche de référence constitue donc un véritable handicap pour le secteur, qui doit se mobiliser pour résoudre ce problème.

PISTES D’AMÉLIORATION

Tout d’abord, il est important de reconnaître qu’il n’existe pas de formule mathématique magique permettant de calculer le risque. Certes, les chiffres inspirent la confiance et peuvent constituer un langage commun. Ils semblent précis et concrets. Malheureusement, dans le domaine de la cyber sécurité, ils peuvent aussi procurer un sentiment de sécurité illusoire. Déterminer la probabilité d’une attaque par ransomware est un exercice plus que complexe : les données quantitatives manquent et l’éventail de variables en jeu est extrêmement large.

En gestion des risques, les approches quantitatives doivent s’appuyer sur des données statistiques fiables. Lorsque ces données ne sont pas disponibles, il convient de recourir à des approches plus qualitatives. Dans le domaine de la cyber sécurité, de nombreuses variables inconnues (par exemple, le profil du cyber criminel) rendent tout travail de quantification extrêmement ardu.

"Vous ne disposerez jamais d’informations totalement exhaustives permettant de chiffrer précisément le cyber risque. Votre analyse reposera toujours sur des informations imparfaites... Et vous évaluerez le risque plutôt que de le calculer. Cette nuance terminologique est importante car elle vous permettra de mieux définir vos attentes et objectifs."

Cela étant, il existe un domaine de recherche capable d’apporter de précieux éléments de réponse en matière d’évaluation des risques : le renseignement (ou « intelligence » en anglais). Cette discipline existe depuis de nombreuses années, et vise notamment à mener des évaluations difficiles, à partir d’informations imparfaites. Le renseignement en cyber sécurité est récent, mais il s’appuie largement sur les théories et méthodologies traditionnelles du renseignement.

Le renseignement n’est pas une science exacte et a connu quelques échecs retentissants comme, par exemple, l’attaque de 1941 sur Pearl Harbor ou encore les attentats du 11 septembre aux États-Unis. Cette discipline cherche donc à se doter de processus et d’outils toujours plus efficaces. Un ouvrage de référence publié par le gouvernement américain identifie les principaux problèmes auxquels sont confrontés les professionnels du renseignement :

« Les éternels problèmes du renseignement sont : la complexité des événements survenus à l’international, des informations incomplètes et ambiguës, et les limites inhérentes à l’esprit humain. Comprendre les intentions et les capacités des adversaires et autres entités étrangères tient du défi, surtout lorsqu’elles sont dissimulées. »(3)

Cela vous semble-il familier ? La complexité, les informations incomplètes - en particulier face à des ennemis invisibles - et nos propres limites psychologiques sont des problèmes auxquels les professionnels du cyber risque sont confrontés au quotidien. Heureusement, le domaine du renseignement propose plusieurs enseignements permettant de mieux évaluer les risques et de prendre des décisions plus éclairées.

Pour commencer, vous devez apprendre à repérer vos biais cognitifs, pour ensuite les atténuer au moyen d’une méthodologie analytique solide. Pour ce faire, vous devez recourir à des techniques structurées, qui amélioreront la précision de votre analyse.

Ces techniques peuvent être classées en trois catégories :

  • Techniques de diagnostic qui permettent de s’assurer que les hypothèses, les arguments analytiques et les limites sont plus explicites, et donc plus rigoureux.
  • Techniques contradictoires qui remettent en question les hypothèses et les certitudes de l’époque.
  • Techniques de réflexion imaginative qui permettent de développer de nouvelles idées et de nouvelles perspectives, pour proposer des solutions alternatives.

Le concept de techniques d’analyse structuré peut, à première vue, passer pour un terme académique poussiéreux sans aucune application pratique. Ce n’est pas le cas. Vous utilisez inconsciemment un grand nombre de ces techniques dans votre vie personnelle et professionnelle. Voici quelques exemples de techniques utiles dans les évaluations des risques de cyber sécurité :

  • Vérification des hypothèses Cette technique de diagnostic consiste à examiner toutes les hypothèses. Cet exercice cognitif, aussi difficile soit-il, consiste à s’assurer que les évaluations ne sont pas fondées sur des hypothèses d’emblée erronées. Dans le domaine de la cyber sécurité, cette technique peut avoir de nombreuses applications. Elle invite les professionnels à réévaluer les dangers et opportunités liés aux différentes technologies.
  • Vérification de la qualité de l’information Cette technique de diagnostic est l’un des fondements de toute pensée critique. Nous l’utilisons inconsciemment, au quotidien. Par exemple, pour traverser une route, nous nous fions rarement à notre seule ouïe : nous savons que les vélos et les voitures électriques font très peu de bruit. Nous nous appuyons donc également sur des signaux visuels : nous prenons le temps de regarder autour de nous, pour vérifier qu’aucun véhicule n’approche. Cette vérification de la qualité de l’information permet d’attribuer un score de confiance aux différentes évaluations et d’identifier les lacunes liées à la collecte des éléments de réponse. Parmi les informations recueillies, certaines ne sont que des points de vue : il peut donc être difficile de les pondérer, mais cela reste possible. Vous pouvez notamment rechercher les données concrètes venant appuyer tel ou tel avis.
  • Analyse à fort impact mais de faible probabilité Il s’agit d’une technique de contrôle visant à s’assurer que les événements à faible probabilité sont analysés et pris en compte dans la prise de décision. Grâce à ce type d’analyse, vous pouvez identifier des facteurs-clés, pour anticiper à la fois les événements à forte et à faible probabilité. Ce type d’analyse se prête particulièrement bien à l’évaluation des risques liés aux ransomwares.
  • L’approche « outside-in » Il s’agit d’une technique de réflexion imaginative privilégiant la prise en compte des facteurs externes dans le processus d’analyse. Cette technique est particulièrement utile dans le domaine de la cyber sécurité, où la menace externe (= le hacker) constitue un facteur de risque majeur. Par exemple, au moment d’étudier les risques liés aux ransomwares, cette analyse permet de prendre en compte les vols de données opérés par un nombre croissant de ransomware, en plus du chiffrement.
  • Brainstorming Il s’agit d’un exercice de réflexion imaginative généralement réalisé en groupe. Le brainstorming permet de générer de nouvelles idées, de maximiser les connaissances du groupe et de promouvoir une réflexion originale qui serait normalement limitée si elle était menée individuellement. Confronter les points de vue peut s’avérer très utile en matière d’évaluation des risques.

Les techniques d’analyse structurée rendent les évaluations plus rigoureuses, plus claires. Elles permettent de maximiser le potentiel de réflexion de vos équipes. Cette transparence peut vous aider à identifier les améliorations nécessaires et à éviter certaines erreurs.

"L’approche du « renseignement » insiste également sur le principe de diversité cognitive. Les techniques d’analyse structurées vous aident à promouvoir la diversité de pensée au sein de votre équipe, pour obtenir de meilleurs résultats. Ensemble, des individus aux approches et aux visions différentes peuvent éviter les préjugés collectifs. Les services de renseignement traditionnels ont toujours eu certaines difficultés à recruter des analystes présentant des approches cognitives diverses, mais ils ont tenté de remédier à ce problème au cours des dernières années."

Matthew Syed évoque avec brio le concept de diversité cognitive dans son livre intitulé Rebel Ideas. Il propose de constituer des équipes de « rebelles » pour résoudre des problèmes complexes comme, par exemple, l’évaluation des risques en cyber sécurité.

1. Un individu intelligent – limité à son propre sous-ensemble de connaissances

2. Équipe de clones – Beaucoup d’individus intelligents pensant de la même manière

3. Équipe de rebelles – ils ne sont pas plus intelligents que l’équipe de clones, mais ils assurent une couverture cognitive plus large et envisagent les défis sous plusieurs angles

4. Rebelles sans cause – Une équipe de rebelles, mais qui ne travaille pas en synergie

5. Équipe diversifiée avec dominance – Les membres de l’équipe n’expriment que ce que le leader veut entendre.

6. L’équipe imite le leader (effet perroquet) – il ne s’agit plus que d’une équipe de clones.

Comme présenté dans le troisième scénario, une équipe de rebelles, ou diversifiée du point de vue cognitif, a plus de chances de couvrir des problématiques complexes. Comme nous l’avons déjà évoqué, l’évaluation des risques implique un nombre complexe de variables, et le fait de disposer d’une expertise avec différentes approches peut s’avérer très utile.

En d’autres termes, vous devez vous appuyez sur différents cadres de référence et d’expertise au sein de votre entreprise. Si vous identifiez un domaine d’expertise que votre équipe n’est pas capable de couvrir, tenez-en compte et envisagez d’éventuelles solutions, comme le recours à des services de consulting.

Voilà plusieurs années que le domaine du renseignement cherche à mieux comprendre la psychologie des jugements, pour mieux tenir compte des pièges cognitifs auxquels se heurtent les êtres humains. En mettant en application les leçons du renseignement, vous bénéficierez de plusieurs avantages :

  • Vos évaluations des risques seront plus cohérentes vous pourrez prendre des décisions plus éclairées quant à vos priorités en termes de travail et d’investissements.
  • Vous minimiserez les biais inhérents à votre processus d’évaluation vous disposerez d’évaluations plus précises, en limitant les erreurs humaines et les variables non-représentatives.
  • Vous exploiterez le plein potentiel de vos équipes vous tirerez avantage de la diversité cognitive et maximiserez l’utilisation des connaissances collectives.
  • Vous tirerez le meilleur de vos données vous ne disposerez jamais de données parfaites mais vous aurez la certitude de bien les utiliser. Vous veillerez à ce qu’aucune donnée précieuse ne soit négligée, et écarterez les variables non-pertinentes.

L’évaluation des risques s’adresse à un public spécifique. Il est extrêmement important de parler la même langue que ce public. Si les résultats ne sont pas communiqués de manière compréhensible, votre travail n’aura servi à rien. Vous pouvez, à cet égard, opter pour des solutions simples et pratiques, en proposant des scores de confiance (élevé, moyen et faible) ou bien des pourcentages, en fonction des attentes de votre auditoire.

CONCLUSION

Pour en revenir à notre question initiale : quel est le risque de ransomware pour votre entreprise ?

Ce document propose une approche permettant de répondre à cette question de manière structurée et analytique. Les outils présentés - ainsi que les liens et ouvrages mentionnés - vous fournissent une base solide pour bâtir un processus d’évaluation des risques de meilleure qualité.

Cette évaluation qualitative des risques vous apportera plus de cohérence et de clarté. Elle vous permettra d’avancer plus sereinement et de susciter la confiance des parties prenantes. Vous ne pouvez pas chiffrer précisément le risque, mais vous pouvez établir un processus pertinent pour mieux l’évaluer.

Nous avons évoqué ici la notion d’impact et celle de probabilité. Pour bien évaluer les risques, il est essentiel de prendre également en compte votre profil de menaces et les contrôles d’atténuation déjà mis en place par votre entreprise. En étudiant de près ces différentes variables, vous pourrez non seulement évaluer les risques, mais aussi savoir dans quoi investir, pour mieux protéger votre organisation.

F-Secure Countercept : Service de Threat Hunting Managé en 24/7