Les données ESG sont-elles la prochaine cible des acteurs du ransomware ?

Comme le disait une célèbre grenouille, ce n’est pas facile d’être vert. Fin janvier, rapports ont fait surface d'une attaque de ransomware contre la division Sustainability Business de Schneider Electric, soulevant la question : quelle est la valeur des données de développement durable des entreprises ? Alors que les organisations se lancent sérieusement dans des stratégies environnementales, sociales et de gouvernance (ESG), elles devront peut-être faire davantage pour garder ces informations sous clé.

Que s'est-il passé chez Schneider Electric ?

Le groupe de ransomware Cactus affirmait détenir 1.5 To de données de l'entreprise, menaçant de les rendre publiques si la multinationale française ne payait pas. Un mois plus tard, il publié 25 Mo de données pour repousser la menace. On ne sait toujours pas si Schneider Electric a payé une rançon pour les données, ni si Cactus a chiffré les informations tout en les volant, ce qui constitue son mode opératoire général.

Schneider Electric a déjà subi une attaque de ransomware ; le gang Clop a eu accès à certaines de ses données en mai 2023 dans le cadre de l'attaque contre le service de transfert de fichiers MOVEit de Progress Software, qui a aspiré les informations de milliers d'entreprises.

Cette fois, l’attaque s’est concentrée sur une division spécifique. La division Sustainability Business est une opération au sein de Schneider Electric qui se concentre sur un marché relativement nouveau : la collecte et le reporting de données sur le développement durable.

Un besoin croissant de données ESG

Les données sur le développement durable représentent le « E » de l’ESG, un mouvement croissant visant à rendre les entreprises plus responsables de leur impact sur la planète et la société. L'aspect développement durable traite de mesures incluant la consommation (de ressources comme l'énergie et l'eau), ainsi que les émissions (généralement de gaz à effet de serre).

Ces données sont utiles aux investisseurs qui notent de plus en plus les entreprises en fonction de leurs performances ESG. Société de gestion de placements Groupe Capital trouvé que neuf professionnels de l'investissement sur dix dans le monde intègrent l'ESG dans leurs stratégies, 10 % d'entre eux estimant qu'ils peuvent découvrir des opportunités d'investissement attrayantes. Toutefois, 57 % d’entre eux déclarent que ces données sont plus difficiles à obtenir. Plus les investisseurs en disposent, plus ils se sentent à l’aise d’investir de l’argent dans ces entreprises.

.- D’autres pressions incitent les entreprises à se concentrer sur les rapports en matière de développement durable. Dans l'UE, le Directive sur les rapports de développement durable d'entreprise (CSRD) appliquera le Normes européennes de rapport sur le développement durable (ESRS), en appliquant des rapports de durabilité plus détaillés aux entreprises de l’UE ou à celles qui opèrent dans le bloc.

Pour comprendre la valeur des données de durabilité soutenant ces initiatives, suivez l’argent. Les Big Four mènent activement des activités de développement durable basées sur les données. Deloitte investi 1 milliard de dollars dans ses pratiques de développement durable et climatique en avril 2022, et propose un service d'analyse de la durabilité pratique qui aide les clients à surveiller l’utilisation des ressources à la fois en interne et dans l’ensemble de leurs chaînes d’approvisionnement. EY, KPMG et PwC proposent tous des services pour créer une stratégie de développement durable, puis intégrer les données opérationnelles pour la soutenir.

Une surface d’attaque en expansion

La collecte et la communication de ces données engendrent plusieurs risques pour les entreprises :

Profondeur et étendue des données

Les entreprises collectent un large éventail de données d'exploitation sur leurs propres installations, allant de la consommation électrique de machines individuelles à la production de déchets, en passant par les quantités de carburant et le nombre de flottes.

Certains, comme PwC, avocat des lacs de données qui contiendront un mélange de données opérationnelles, de biodiversité et de sécurité. Ceux-ci seront associés à d’autres lacs de données contenant des informations sur les clients et le marché, ainsi que des données provenant de systèmes ERP, de capteurs IoT et même de données RH. Il envisage que toutes ces informations circulent via des outils de reporting sur le développement durable.

Portée des données

L'autre menace réside dans la portée des données collectées, qui s'étend au-delà des opérations exclusives d'une organisation jusqu'aux données de ses fournisseurs. Le modèle de PwC pour les données sur le développement durable inclut des informations tierces provenant d'autres acteurs de la chaîne d'approvisionnement de l'entreprise.

L'attaque contre Schneider Electric a compromis sa plateforme EcoStruxure Resource Advisor. Il s'agit d'un système basé sur le cloud qui collecte et analyse des données sur les opérations des installations et les chaînes d'approvisionnement. Cela permet aux clients de surveiller et de prévoir la consommation d’énergie et de générer des rapports sur les émissions. Son matériel promotionnel indique fièrement qu'il s'approvisionne non seulement à partir des propres flux de données de ses clients, mais également auprès de fournisseurs tiers.

Centralisation des données

Des entreprises comme Schneider Electric recherchent des profits grâce aux services de données sur le développement durable en retirant la collecte et l'analyse de ces données aux clients. Cela fait de ces fournisseurs de services de données sur le développement durable une cible attrayante pour les cybercriminels qui souhaitent récolter de grands volumes de ces précieuses informations sur leurs clients. L'unité de développement durable de Schneider Electric comptait parmi ses clients plusieurs entreprises de grande valeur, notamment Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo et Walmart.

Comment rester en sécurité dans la poursuite de la durabilité

Il n'est pas clair si l'attaque contre Schneider Electric était ciblée ou s'il s'agissait simplement d'un heureux hasard de voleurs opportunistes, mais dans tous les cas, ces données sensibles constituent clairement une cible précieuse. Alors, que peuvent faire les entreprises pour se protéger ?

Il est essentiel d’évaluer les pratiques de sécurité efficaces des fournisseurs, notamment en évaluant leurs certifications en matière de contrôles de cybersécurité. Cependant, ces certifications ne garantissent pas une sécurité à 100 %. D'autres mesures peuvent réduire la probabilité de vol de données.

Il est important de maintenir un inventaire de données solide : garder une trace de toutes les données partagées et documenter clairement les types d'informations sensibles auxquelles un fournisseur de services tiers peut accéder. L’établissement de protocoles pour gérer les risques d’accès, tant par les prestataires de services tiers qu’en interne, constitue également une bonne pratique de sécurité.

Qu’il s’agisse de traiter avec un fournisseur de services tiers ou de rassembler et conserver toutes les données en interne, la protection contre les ransomwares est cruciale. Cela signifie mettre en place des contrôles, tels que la détection et la prévention de base des points finaux jusqu'à la détection et la réponse gérées (MDR). Une cyber-hygiène de base, comprenant des mises à jour de sécurité en temps opportun et une formation des utilisateurs finaux, constitue également une ligne de défense utile.

Les données ESG deviennent un atout de plus en plus attractif pour les escrocs en ligne, qu’ils les captent sans discernement dans leurs filets ou qu’ils les recherchent volontairement. Des mesures de cybersécurité efficaces et bien documentées contribueront grandement à protéger ce nouveau joyau de la couronne.