Quand y’en a plus, et ben y’en a encore ! Sortir d’une cyberattaque ne signifie pas que les hackers vont s’arrêter là. Quel que soit l’état de l’entreprise, les cybercriminels peuvent revenir pour terminer le travail ou passer le flambeau à d’autres « confrères » qui profiteront des faiblesses de la victime. En 2022, la société de cybersécurité Cybereason indiquait dans un rapport que 74 % des sociétés qui ont versé une somme aux pirates ont eu droit à une nouvelle attaque, moins d’un mois après la première. Même si la statistique est considérée comme exagérée dans le milieu de la cyber, cela mérite en revanche de se pencher sur des cas de seconde attaque, plus courants qu’on ne le croit.
AISI, entreprise de cybersécurité spécialisée dans les ETI, PME et services publics, nous a présenté deux cas d’attaques rencontrées en 2023. Après avoir subi une première compromission, l’organisme ciblé vit, six mois plus tard, une nouvelle cyberattaque par ransomware. « Le souci réside d’abord dans le manque d’enquête. L’entreprise alertée parvient à arrêter la compromission. Une fois que l’état des lieux est fait et que le système peut être redémarré, elle relance pleinement son activité par souci de production », nous raconte Rodolphe Amewoui, directeur technique chez AISI.
« En relançant la machine aussi vite, on perd énormément d’informations pour comprendre l’origine de l’attaque. Quant au cybercriminel, il voit qu’il a toujours ses accès chez la victime. Il peut donc relancer le travail d’infiltration dans le système jusqu’à lancer le chiffrement de données, comme ce fut le cas pour la victime », ajoute l’expert en cyber.
Des vulnérabilités à combler
Dans l’autre cas, l’attaque a été menée, plus en profondeur, et la victime refuse de payer la rançon. Malgré la reconstruction du système, elle est victime d’un nouveau ransomware quelques mois plus tard. « Si on ne corrige pas toutes les failles qui ont permis la compromission, il y a de forte probabilités de cyberattaques. Les groupes de ransomware discutent entre eux. C’est un petit milieu et tout le monde cherche à se faire de l’argent. Ils se partagent donc des victimes et des organismes déjà fragilisés », nous explique Pierre-Antoine Bonifacio manager cybersécurité chez AISI.
« Ici, c’est le travail d’assainissement qui sera déterminant. Il ne suffit pas de restaurer les données, il faut combler toutes les failles pour éviter que les attaquants reprennent les mêmes brèches », précise-t-il. Les TPE, PME et ETI ont été particulièrement visées en 2022 par les cyberattaques. Elles représentent 40 % des attaques par rançongiciel traitées ou rapportées à l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2022. Et, pour certaines entreprises spécialisées dans le numérique, perdre l’ensemble de ses dossiers et interfaces client en un soir, c’est synonyme de faillite.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !