Cyberattaque Kaseya : le point de basculement ?
Le 4 juillet 2021 a eu lieu une attaque par ransomware sur la société informatique américaine Kaseya, revendiquée par le groupe REvil. Les cyberattaquants ont opéré sous couvert d’un rôle de logiciel, lors d’un week-end particulièrement calme pour les entreprises américaines.
Une partie du travail des responsables de la cybersécurité consiste à examiner des événements isolés et à relier les éléments. Ils doivent discerner les tendances, avoir une vue d’ensemble pour élaborer des stratégies et visualiser un avenir numérique moins inquiétant. L’attaque par ransomware de Kaseya qui s’est déroulée au cours du week-end du 4 juillet 2021, aussi terrible qu’elle soit, offre une occasion de rapprocher les éléments éparpillés.
L’attaque de Kaseya a touché des milliers de victimes, la plupart, selon le rapport même de Kaseya sur les conséquences, étant de petites organisations au portefeuille moins important : « des cabinets dentaires, des cabinets d’architectes, des centres de chirurgie plastique, des bibliothèques, etc ». Il n’en reste pas moins que les attaquants ont trouvé un intérêt économique dans le fait que Kaseya a servi de centre de distribution efficace pour leur logiciel corrompu. Kaseya VSA, l’offre SaaS d’automatisation informatique largement utilisée par la société, est devenue le système de livraison involontaire au service des cybercriminels.
Étonnant ? Pas du tout. C’est la même stratégie qui a été mise en évidence dans l’attaque de SolarWinds fin 2020. Là aussi, l’infiltration d’un fournisseur SaaS a fait de nombreuses victimes. Et le coupable apparent de l’attaque Kaseya, REvil, lié à la Russie, est également considéré comme responsable de l’attaque par ransomware du Memorial Day contre le producteur international JBS.
Les conclusions s’écrivent d’elles-mêmes :
- Le détournement de fournisseurs SaaS permet de lancer des attaques de masse sur de petites cibles, de manière rentable.
- La confiance dans les stratégies traditionnelles de prévention des attaques a conduit, encore et encore, à des conséquences coûteuses et humiliantes. Les logiciels malveillants pénètrent régulièrement dans les périmètres des cibles sans être détectés.
- La plupart des professionnels ne revoient pas leur position de cybersécurité, alors que la situation est désormais une situation d’urgence. Les similitudes entre les attaques de SolarWinds, Colonial Pipeline, JBS et Kaseya sont suffisamment claires. Elles imposent à tous une courbe de progression à gravir, nette et précise. Et pourtant, dans l’ensemble, personne ne réagit.
Aucune application, aucun réseau, aucun centre de données n’est invulnérable. Si les décideurs d’une organisation nourrissent un faux sentiment de sécurité quant à leur capacité à lutter contre les pirates, ils ne disposent probablement pas des outils nécessaires pour réussir.
L’attaque de Kaseya rappelle une fois de plus que la complaisance peut coûter cher. Le risque de préjudice n’étant manifestement plus limité aux entreprises tentaculaires aux moyens financiers importants, l’incident devrait déclencher de nouvelles discussions sur la sécurité dans davantage de départements informatiques. Les relations d’abonnement SaaS et les politiques de sécurité des fournisseurs de services gérés devraient faire l’objet d’un nouvel examen. Lorsqu’une entreprise s’appuie sur des produits tels que Kaseya VSA, sa sécurité dépend de celle de son fournisseur. À mesure que les entreprises deviennent plus dépendantes du stockage des données et des solutions SaaS externalisées dans le nuage, les vulnérabilités risquent de s’accroître.
L’année dernière, il semblait évident qu’il faudrait des mois pour évaluer l’ampleur des dégâts causés par l’attaque de SolarWinds ; aujourd’hui, la situation est exactement la même, à propos de l’attaque par ransomware de Kaseya. Néanmoins, il faut rester optimistes et croire qu’en tant que société numérique, il est possible de rapprocher les éléments dispersés et d’inverser la tendance. Depuis des années, on comprend les vertus d’une surveillance robuste des réseaux et d’une détection rapide des inévitables brèches. Le décret du président Biden de mai 2021 fait de la détection des attaques – et de meilleures capacités d’enquête et de remédiation – des priorités pour le gouvernement fédéral .Les chefs d’entreprise du monde entier doivent réagir à l’attaque par ransomware de Kaseya en accélérant leur propre migration vers une stratégie de cybersécurité plus efficace.
On se souviendra peut-être un jour de la calamité de Kaseya comme d’un point de basculement qui a finalement conduit à une meilleure posture de sécurité. Si tel est le cas, les cyber-pirates auront rendu un service inattendu et involontaire à toutes les organisations.
Les plus lus…
L’Agence nationale de la sécurité des systèmes d'information (Anssi) a sollicité l’expertise du Cesin dans le cadre de la transposition…
Devant être transposée au plus tard en octobre 2024 en France, la directive européenne NIS 2 marque un changement…
L’absentéisme pour maladie diminue dans les grandes entreprises mais augmente dans les TPE. C’est le constat du baromètre Malakoff Humanis…
Un avis sur les méthodes normalisées de référence pour les mesures de l'air, l'eau et les sols dans les…
En janvier 2024, le Groupement des entreprises de sécurité privée (GES) a présenté un tableau visualisant les effectifs salariés…
De nombreuses entreprises travaillent encore avec d’encombrants bacs de récupération d’huile. Or, les tapis textiles flexibles offrent les mêmes fonctionnalités…
