La sécurité informatique est un risque à gérer, mais nous voyons encore de nombreuses entreprises évaluer de manière incorrecte leurs risques. Ils ne croient pas que leur entreprise pourrait être une cible potentielle.
S'il est facile de penser que votre PME ne serait pas ciblée, sachez que la triste réalité est que oui, les PME courent un risque encore plus grand en termes de cybersécurité si elles ne sont pas suffisamment protégées. En fait, plus de 58 % des victimes de cyberattaques sont de petites entreprises. Le raisonnement derrière cela est simple. Les PME pensent qu'elles ne sont pas une cible. Par conséquent, ils n'ont généralement pas de mesures de cybersécurité très strictes. Pour cette raison, ils deviennent des proies faciles pour les hackers.
Present a pour mission de mieux protéger tous nos clients. Nous détestons recevoir cet appel disant : « Nous avons été piratés, que pouvons-nous faire ? » Et donc, nous partageons l'histoire suivante d'une cyberattaque chez l'un de nos clients pour décrire ce qui peut arriver lorsque vous adoptez une mauvaise approche en termes de sécurité.
Les conséquences d'une brèche sont terribles ; arrêt des opérations pendant plusieurs jours ou semaines, cryptage de vos données, vol de données confidentielles revendues sur le dark web, paiement de rançons, cauchemars juridiques, atteinte à la réputation, etc.
Certaines entreprises ont tendance à s'appuyer sur leur cyberassurance. Mais la vérité est que les assureurs ont été assez durement touchés au cours des 2 dernières années, et ils interrogent de plus en plus leurs clients sur leurs mesures de sécurité en place après une attaque. S'ils constatent que leur client n'a pas suivi les meilleures pratiques courantes, ils ne paient tout simplement pas.
La Cyberattaque
Il y a quelques semaines, l'un de nos clients de services gérés a été attaqué par les pirates informatiques d'Evil Corp. Ils ne faisaient pas partie de nos clients de sécurité gérés, mais ils sont un client de nos services gérés ; par conséquent, nous surveillions leurs systèmes pour nous assurer qu'ils soient opérationnels et performants. C'est alors que nous avons remarqué que quelque chose n'allait pas et qu'ils étaient la cible potentielle d'une attaque de ransomware.
Grâce à l'étroite vigilance de l'équipe des services de Present, nous avons vu des signes avant-coureurs d'une attaque et avons pris la décision de fermer leur serveur Exchange. Des courriels de phishing avaient été envoyés en interne, et ils étaient littéralement à un clic de perdre leurs données à cause d'un ransomware.
Cet incident a déclenché un audit de sécurité, qui a montré que le serveur Exchange était effectivement compromis. L'arrêt du serveur a empêché l'attaque d'aller plus loin.
Mais l'histoire ne s'arrête pas ici ...
Lors de l'audit de sécurité, nous avons également découvert une autre attaque en cours par un autre groupe de pirates informatiques sur un autre serveur. Ils avaient un accès complet à l'infrastructure et étaient bien implantés dans le périmètre, prêts à lancer une attaque. Nous pouvions voir les signes d'une « preuve d'accès », ce qui nous amène à croire que l'accès était à vendre sur le dark web.
Comment sont entrés les hackers
Le client avait quelqu'un dans la gestion qui travaillait avec un compte d'utilisateur avec des droits d'administrateur, malgré nos avertissements que cela n'était pas recommandé. De plus, il utilisait Anydesk (similaire à teamviewer) sur son poste de travail, qu'il laissait ouvert.
Les pirates ont vu cette opportunité et ont exploité cette faille de sécurité pour prendre le contrôle de sa machine, obtenir un accès administrateur, puis accéder aux serveurs où ils ont installé leur porte dérobée et d'autres outils. À partir de ce moment, ils n'avaient plus besoin d'aucun bureau, ou le compte d'utilisateur final. Ils avaient leur propre accès complet à l'infrastructure.
Le résultat
Malheureusement, le client a perdu l'accès à ses e-mails pendant une semaine à la suite de cette attaque. Pourtant, le résultat aurait pu être bien ... bien pire si la brèche n'avait pas été détectée.
Ils comprennent maintenant l'ampleur de leurs erreurs :
- Pour ne pas avoir installé de solution MDR sur tous leurs endpoints
- Pour ne pas avoir migré leur serveur qui n'était plus supporté
- Pour ne pas avoir supprimé les droits d'administration de l'utilisateur
- Pour avoir contourné la solution VPN en utilisant Anydesk
Aller de l'avant
Ils ont appris à leurs dépens qu'ils auraient dû mieux gérer leurs risques de sécurité et étaient reconnaissants de l'aide que nous leur avons fournie. Present a reçu le feu vert pour mettre en œuvre les solutions de sécurité que nous lui avions fortement suggérées auparavant.
Ils disposent désormais de notre solution gérée de détection et de réponse aux points de terminaison (MDR) sur tous leurs points de terminaison, qui est entièrement surveillée et gérée par notre SOC 24h/24 et 7j/7.
Nous les avons également aidés à mettre en œuvre de nouvelles politiques de sécurité autour des applications approuvées (plus d'Anydesk) ainsi que des politiques d'accès restreignant les comptes d'administrateur. Enfin, nous avons également migré leur ancien serveur Exchange vers O365 en leur offrant une solution de messagerie plus sécurisée.
Lorsque vous réfléchissez à la sécurité informatique et à la mise en œuvre de mesures de cybersécurité, il est important de tenir compte du conseil « N'attendez pas ». Il peut y avoir d'autres projets informatiques que vous jugez plus importants, ou le moment n'est pas propice pour mettre en œuvre les éléments essentiels de la sécurité en matière de cybersécurité, mais le moment est venu. Prenez les mesures dès maintenant pour éviter une brèche inévitable.
