AMRAE - ATOUT RISK MANAGER

ACTUALITÉ DE L’AMRAE

ÉVÉNEMENTS

ChQeratta`ue egtr"mement ra_ide mais aug d g ts ona[ement RirRonsRrits HannaCrh a

soulevé de nombreuses questions techniques et globales pour les gestionnaires de risques et

d’assurances. Elle donne l’occasion de faire évoluer les pratiques des entreprises et les polices

cyber. Un café-échanges à l’AMRAE le 2 juin dernier a réuni des Risk Managers autour de deux

experts. Les enseignements.

CYBERATTAQUE WANNACRY

LEÇONS ET ENSEIGNEMENTS

Il est très rare qu’une cybeattaque touche des

dizaines de secteurs différents simultané-

ment et aussi rapidement en les contraignant

à arrêter tout ou partie de leurs activités

». En

quelques mots, Gérôme Billois résumait les raisons de

la large couverture médiatique attribuée à la cyberat-

taque «WannaCry», en dépit de sa brièveté (24 h à son

_Proghb\e et de bo] UPXQle VPX] o]P]RXer `del`deb

centaines de milliers d’euros seulement ont été payés

aux auteurs du rançongiciel). A l’AMRAE, le Cyber secu-

rXth De]Xor >P]PVer de HPeebto]e UPXbPXt _rooter l¬Pb-

sistance de son expertise reconnue pour apporter des

éléments clés de compréhension de l’attaque, et délivrer

Qo]b Ro]beXlb et _Xbteb de r pegXo].

UN VIRUS LUI-MÊME FAILLIBLE

Le ransomware «WannaCry » a utilisé une méthode par-

ticulière pour se propager : une fois sur un PC (ce sont

les systèmes Windows qui ont été infectés), WannaCry

a scanné les ordinateurs alentour pour repérer leurs

failles et les infecter… sans aucune action de la part

de l’utilisateur ! «

Le scan préalable des ordinateurs

vulnérables dans le monde a permis aux auteurs de l’at-

taque de créer autant de foyers d’infection

», expliquait

Gérôme Billois.

Ironie du sort : le virus était lui-même vulnérable. Pour

10,69 $ exactement, un Anglais expert en cybersécuri-

té achète un nom de domaine après avoir découvert une

vulnérabilité dans un extrait du code du virus. «

Cette

vulnérabilité appelée ‘killswitch' est un bouton d’arrêt

d’urgence du virus, qui le désactive si un site qui ne de-

vrait pas exister lui répond

bX\_lXoPXt 8 r+\e 3XlloXb.

Si un site répond, cela indique au code malveillant qu’il

est en train d’être analysé par un système de détection

des menaces cyber, que ses créateurs tentent d’éviter

».

LES MESURES À ADOPTER

PENDANT LA CRISE…

En attendant que le « héros » inopiné intervienne, les

entreprises touchées ont dû réagir très rapidement.

L’expert recommandait 3 actions primordiales :

1. Renforcer le cloisonnement entre les réseaux des

postes de travail et des serveurs ;

2. Mettre à jour Windows ;

t. CeWPdbber leb \drPXlleb ]d\ rX`deb e rXoRPtXo]

et durcissement des pares-feux, sondes anti-intru-

sions, et anti-virus…

La rapidité de la réaction des cellules de crise a été pri-

mordiale pour éviter la propagation du ransomware au

sein d’une entreprise, et entre entreprises interconnec-

tées (sous-traitants, fournisseurs, prestataires…).

Bien sûr, informer tous les salariés et collaborateurs

rP_Xde\e]t ebt ] RebbPXre Po] d¬ eXter deb o_ rPtXo]b

dangereuses : «

Dans ce cas particulier, le meilleur réflexe

était de débrancher le câble réseau ou de couper le Wi-Fi

afin que le virus ne puisse plus se propager. Par contre,

éteindre les ordinateurs nécessite un redémarrage manuel

de tous les appareils pour vérification, ce qui augmente

Gérôme Billois,

Cyber security Senior

Manager de Wavestone

ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE

I N°13 I

ÉTÉ 2017