L'arrêt des activités est la dernière chose qu'une entreprise souhaite, mais c'est un risque bien réel lors d'une attaque par rançongiciel. C'est une leçon que le fournisseur américain de passerelles de paiement BridgePay a apprise à ses dépens.
Par Kate O'Flaherty
En février, le fournisseur américain de passerelles de paiement BridgePay était victime d'une attaque de ransomware qui a mis hors service des systèmes clés, provoquant une panne généralisée.
L'incident a eu un effet domino, perturbant les activités de nombreux clients de BridgePay pendant des semaines. Restaurants et commerces de détail ont été forcés pour informer les clients qu'ils ne pouvaient plus accepter les paiements par carte, tandis que le portail de paiement en ligne de la ville de Palm Bay, en Floride, était mis hors service.
BridgePay La panne a été une leçon. dans l'importance de la résilience, notamment dans des secteurs critiques tels que la finance« L’attaque a entraîné une paralysie des opérations », explique Oliver Newbury, directeur de la stratégie chez Halcyon. « Cela montre que la résilience n’était soit pas prévue pour ce scénario, soit n’avait pas été correctement testée. »
Ransomware de manuel
Cela survient à un moment où la résilience face aux ransomwares est à l'ordre du jour, avec un Interdiction des paiements au Royaume-Uni pour infrastructure nationale critique et des organisations du secteur public à l'horizon. Enquêtes de Verizon sur les violations de données Un rapport indique que les entreprises ont détecté des logiciels de rançon dans 44 % des cyberattaques.
Par ailleurs, 19 % des répondants IO's État de la sécurité de l'information Le rapport indique qu'ils ont subi une attaque de ransomware au cours des 12 derniers mois.
Lorsqu'une proportion importante d'organisations ont subi des attaques, impliquant souvent le chiffrement de données et l'extorsion, les coûts augmentent considérablement lorsque la réponse et la récupération sont improvisées plutôt que planifiées.
Dans le cas de BridgePay, l'incident était une attaque de type ransomware par messagerie texte, explique Harry Mason, responsable des services clients chez Mason Infotech, fournisseur de services informatiques gérés. « L'identité d'un utilisateur a été compromise, les services ont été désactivés par l'attaquant et une rançon a été exigée pour leur rétablissement. La plateforme est ainsi restée hors service pendant trois semaines avant d'être de nouveau pleinement opérationnelle. »
Bien que les données des cartes bancaires des clients soient restées intactes, le coût de l'incident s'est rapidement accumulé. « Beaucoup de temps et d'argent ont été consacrés à l'embauche des équipes de spécialistes en criminalistique numérique, en récupération de données et en sécurité nécessaires pour rétablir le service », souligne Mason.
Les attaques de type ransomware, comme celle qui a touché BridgePay, réussissent et perturbent les activités en raison de lacunes dans la supervision, explique Rob O'Connor, RSSI EMEA chez Insight. « Ces lacunes incluent un manque de clarté dans les responsabilités, des plans de reprise d'activité insuffisamment testés, une gestion des risques fournisseurs déficiente et une surveillance insuffisante de la cybersécurité. »
Risque systémique
Dans de nombreuses organisations, les lacunes entre les fonctions de cybersécurité, de continuité des activités et de conformité engendrent des risques systémiques. Selon Newbury de Halcyon, le problème s'aggrave lorsque ces fonctions sont cloisonnées au lieu d'être pleinement intégrées.
Les problèmes surgissent souvent « aux frontières entre les équipes », explique Stewart Parkin, directeur technique mondial d'Assured Data Protection. IO« La sécurité vise à isoler et à contenir l'incident. La continuité des activités souhaite un rétablissement rapide des systèmes. La conformité exige des rapports précis et des notifications aux autorités de réglementation. Si ces discussions n'ont pas eu lieu avant un incident, elles entreront en conflit lors de celui-ci. »
Ce n'est que lors d'une attaque de ransomware que le manque de coordination devient flagrant, confirme Newbury. « Les responsabilités décisionnelles s'entremêlent, les priorités divergent et les procédures d'escalade sont bloquées. Résultat : les interruptions de service s'éternisent, non pas parce que la technologie est irrécupérable, mais parce que l'organisation n'était pas préparée à réagir. »
Le cas de BridgePay, où un ransomware a littéralement mis hors service l'entreprise et ses clients, illustre pourquoi les interruptions de service des systèmes de paiement sont désormais considérées comme un risque systémique, avec des implications réglementaires et de réputation.
L’incident BridgePay a eu un impact aussi important parce que « seulement une poignée d’acteurs clés » prennent désormais en charge « une part importante » des paiements numériques mondiaux, explique Luke Fardell, analyste cyber principal en souscription cyber chez Tokio Marine Kiln.
Cela signifie qu’une seule perturbation « peut se propager en cascade à de multiples secteurs et industries à la fois », affectant potentiellement les détaillants, les services publics, les services publics et les petites et moyennes entreprises (PME), explique Fardell.
Face à la nécessité d'éviter de telles perturbations dans les secteurs critiques, les autorités de régulation imposent de plus en plus de mesures allant au-delà de la simple prévention des attaques. « On peut avoir d'excellents pare-feu et se retrouver malgré tout hors ligne », souligne Parkin d'Assured Data Protection. « Désormais, les autorités exigent la preuve que vous pouvez rétablir vos données, correctement et dans les délais impartis. »
Le Loi de l'UE sur la résilience opérationnelle numérique (La réglementation DORA en est un exemple clé. Elle impose aux entreprises, telles que les banques et les compagnies d'assurance, de démontrer leur capacité à reprendre leurs activités normales dans un délai déterminé.
« Un élément clé de cette démarche consiste à effectuer régulièrement des tests de résistance qui les soumettent à des objectifs spécifiques de "retour à l'exploitation" et de "point de restauration" », explique Mason de Mason Infotech.
Gouvernance de la résilience structurée et visible par le conseil d'administration.
L’incident BridgePay et ses répercussions en cascade illustrent le coût réel des interruptions de service dues aux attaques de rançongiciels. Pour éviter un sort similaire, les infrastructures financières doivent désormais mettre en place une gouvernance de la résilience structurée et transparente pour le conseil d’administration.
En clair, cela implique que le conseil d'administration comprenne précisément quels services sont essentiels et combien de temps leur indisponibilité est acceptable, selon Parkin d'Assured Data Protection. « Cela signifie que les dépendances sont correctement identifiées, que la reprise d'activité est testée régulièrement et que les fournisseurs sont tenus de respecter des normes de résilience claires. La prise de décision doit être préparée, et non improvisée. »
Pour des résultats optimaux, la formation est essentielle et doit couvrir « l'ensemble des activités de l'entreprise », affirme Mason de Mason Infotech. Les dirigeants doivent savoir ce que l'on attend d'eux et comment y répondre, explique-t-il, ajoutant que « chacun doit comprendre les risques liés à la chaîne d'approvisionnement », avec une « attention particulière portée aux dépendances des fournisseurs de premier rang et au plan de continuité d'activité en cas de panne ».
Parallèlement, des cadres tels que ISO 27001 peut aider les entreprises à identifier, évaluer et traiter les menaces potentielles, en assurant une protection robuste des données sensibles et le respect des normes internationales.
Un signalement et une évaluation réguliers des risques sont essentiels pour garantir qu'une entreprise soit prête à se remettre en ligne si elle est « victime d'une attaque de ransomware demain », ajoute Mason. « Cela ressemble à une mise en œuvre RTO et RPO Des échéanciers doivent être établis et testés régulièrement afin de vérifier leur faisabilité. En cas d'attaque, un système de signalement des incidents doit également être mis en place.
L'incident BridgePay recèle de nombreux enseignements, mais il nous rappelle surtout que les rançongiciels ne se limitent plus au simple chiffrement de fichiers, explique Newbury de Halcyon. « Dans le secteur des paiements, c'est un test direct de la robustesse des mécanismes de gouvernance et de reprise d'activité, capables de garantir la continuité des opérations en cas d'échec des mesures de prévention. »
Élargissez vos connaissances
Podcast: Phishing for Trouble Épisode n° 09 – Ce qu'il ne faut pas faire en cas de catastrophe
