La principale information qui ressort, parmi toutes celles qui ont été divulguées, est le fait que le groupe Conti a une structure organisationnelle et une masse salariale qui ressemblent à celles d'une entreprise légitime. Alors que de récents articles publiés évoquent une scission du groupe de hackers, cette organisation compte entre 65 et 100 pirates informatiques et sa masse salariale semble s'élever à 6 millions de dollars par an. Conti a réussi à voler des données et à extorquer beaucoup d'argent - on parle de 180 millions de dollars en 2021.

C'est un fait, Conti adopte une approche disciplinée, et une bonne hygiène numérique qui vise à protéger au mieux l'anonymat en ligne et hors ligne de ses salariés. Un système de formation est également mis en place avec de la documentation et des tutoriels vidéo pour aider les « attaquants » les moins expérimentés à gagner en technicité et ainsi devenir rapidement de vrais professionnels de la cybercriminalité.

Aujourd'hui, après l'invasion de l'Ukraine et le risque de cyberguerre qui plane, nous devons nous demander comment les circonstances vont affecter Conti et les autres groupes du genre.

La cyberguerre est à nos portes et les acteurs étatiques de la menace vont se spécialiser davantage encore et leurs attaques deviendront de plus en plus sophistiquées. Les progrès que nous avons constatés et qui implique l'usage de l'automatisation et de la programmation low code / no code se traduisent déjà dans le domaine de la cybercriminalité.

Maintenant que la Russie a décrété que les droits de propriété intellectuelle ne sont plus protégés pour les nations non alliées, quelles conséquences pourraient dissuader quelqu'un de se lancer dans la cybercriminalité ? Étant donné que de nombreuses personnes compétentes en matière de cybercriminalité en Russie sont susceptibles de soudainement perdre leur emploi ou subissent des sanctions, combien de professionnels de la sécurité pourraient alors faire le choix de rejoindre des groupes de cybercriminels existant ou d'en former de nouveaux ? Dans ce contexte, les gangs de ransomware pourraient alors devenir des entreprises reconnues ou des départements de R&D auxiliaires. Dans tous les cas, leurs cibles sont vos données.

Pourquoi vous devriez vous attendre à une violation ?

Les chats de Conti qui ont fait l'objet d'une fuite le montrent : tout système, compte ou individu peut être à tout moment un vecteur d'attaque potentiel. Avec une surface d'attaque aussi vaste, vous devez partir du principe que les attaquants s'introduiront dans au moins un vecteur, s'ils ne l'ont pas déjà fait.

Une fois que vous avez présumé de l'intrusion, réfléchissez à l'endroit où un attaquant irait le plus probablement s'il voulait maximiser ses profits. Si votre organisation est structurée comme la plupart des autres, c'est directement vers vos plus grands magasins de données critiques qu'ils se rueront.

Cette logique se confirme dans nos observations : une fois à l'intérieur des systèmes d'une entreprise, les attaquants prennent le contrôle à distance, exploitent toutes les faiblesses qu'ils peuvent trouver, s'attaquent aux comptes disposant des accès les plus sécurisés (car potentiellement les comptes les plus importants) et utilisent ces comptes pour dérober des données. Malheureusement, ils opposent rarement une grande résistance une fois qu'ils sont à l'intérieur.

Les attaquants n'ont bien souvent même pas besoin de travailler très dur : il leur suffit de compromettre un seul utilisateur. Dans la plupart des organisations, la plupart des employés ont un accès inutile à des milliers, voire des millions de fichiers.

Comment savoir si un attaquant ou un initié mal intentionné a accédé à une quantité inhabituelle de données critiques ? Nous voyons très peu d'organisations capables de repérer les attaquants suffisamment tôt pour éviter la perte de données.

En parlant d'initiés, vos employés sont votre organisation. Bien que la plupart d'entre eux soient honnêtes, n'oubliez pas qu'un seul initié malhonnête peut avoir un accès important et causer des dommages considérables. Si vous aviez besoin d'une autre raison de vous inquiéter, sachez que les gangs de rançongiciels recherchent activement des employés prêts à leur donner un accès interne.

Comment alors rendre la tâche d'un attaquant plus difficile ?

Votre mission consiste à réduire au maximum votre rayon d'action (les utilisateurs ne peuvent accéder qu'à ce dont ils ont besoin) et à détecter les accès inhabituels qui pourraient indiquer qu'une attaque est en cours. Chaque étape de validation supplémentaire est une nouvelle façon d'éloigner un attaquant ou un initié et ainsi potentiellement de contrecarrer une attaque.

La première étape consiste à faire l'inventaire de vos données les plus critiques, c'est-à-dire celles que les attaquants chercheront à atteindre. Où se trouvent votre propriété intellectuelle, votre code source, vos dossiers clients et employés ?

L'étape suivante consiste à faire l'inventaire des contrôles qui entourent vos données critiques. Les bonnes personnes y ont-elles accès, tant à l'intérieur qu'à l'extérieur de l'entreprise ? Êtes-vous en mesure de repérer toute activité inhabituelle sur ces données critiques ? Si une configuration critique était modifiée, qu'est-ce qui permettrait de la repérer et de la rétablir ?

Une fois que vous avez fait l'inventaire de vos données critiques et de leur contrôle, vous pouvez vous concentrer sur des mesures concrètes pour optimiser et maintenir ces contrôles. C'est à ce prix que la sécurité de votre entreprise sera maintenue.

N'oubliez jamais : après vos employés, vos données sont votre actif le plus précieux.