Wavestone accompagne de nombreuses victimes dans la gestion de leur crise déclenchée par des attaques de rançongiciel. Ces situations complexes et soudaines, entrainent souvent la prise de mauvaises décisions par des équipes informatiques et de Direction qui sont peu entrainées.

Ce top 10 des pièges à éviter en gestion de crise par rançongiciel est basé sur le retour terrain collecté depuis plus de 5 ans d’accompagnement des victimes.

#1 Penser que payer la rançon permettra de redémarrer plus vite

Bien que l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) recommande[1] de ne jamais payer de rançon, cette question se posera toujours pour certaines parties prenantes, en particulier les décideurs, pas toujours suffisamment sensibilisés à ces sujets. Au-delà du fait que le paiement de rançon encourage les attaquants à poursuivre leurs activités, il convient de rappeler qu’il ne permet pas toujours d’obtenir la clé de déchiffrement.

Dans le cas où le paiement de la rançon permettrait d’obtenir la clé de déchiffrement, il est à noter que le temps de déchiffrement est souvent très long. En effet, en fonction de la taille des fichiers chiffrés, il faut parfois compter plusieurs heures voire dizaines d’heures par serveur ou par poste de travail. Lorsque le parc informatique est important, une coordination stricte est nécessaire pour traiter tous les systèmes. En comparaison, il sera plus rapide de restaurer les systèmes à partir des sauvegardes.

Au-delà du temps nécessaire, l’expérience montre qu’il existe aussi de nombreuses erreurs dans les processus de chiffrement ou déchiffrement. Ainsi, même avec la clé de déchiffrement, certains fichiers, en particulier les plus volumineux sont parfois altérés et ne peuvent pas être réutilisés en l’état.

En synthèse, nous sommes très loin de l’idée reçue qu’un simple clic permet de retrouver un système d’informations fonctionnel après le paiement de la rançon. S’il existe des sauvegardes saines et fonctionnelles, il n’y a aucun intérêt à réfléchir à un paiement de rançon pour redémarrer les services. Dans le cas de vol de données, la question est plus complexe.

#2 Rouvrir trop vite le système d’information

Pour limiter les pertes d’exploitation dues à l’inactivité, la cellule de crise est souvent pressée par les métiers pour redémarrer au plus vite le système d’information. Durant la phase de reconstruction à la suite d’une attaque cyber, il est nécessaire de maitriser les deux principaux risques suivants :

• Reprise par l’attaquant de son attaque et chiffrement à nouveau des systèmes reconstruits
• Vol de nouvelles informations par l’attaquant qui relance l’exfiltration de données

Pour réduire largement ces risques, la première mesure de sécurité à mettre en place est l’isolation du système d’informations par rapport à l’extérieur (accès Internet en entrée et sortie, liens avec les partenaires…). Cette mesure permet de couper les liens entre l’attaquant et ses outils malveillants et réduit ainsi drastiquement le risque de reprise de l’attaque. Pour les activités les plus critiques, certains flux vers l’extérieur peuvent être ouverts unitairement (depuis ou vers un serveur maitrisé, sur un port donné) mais la réouverture de large plage depuis ou vers l’extérieur augmente les risques.

La restauration des serveurs est la première étape du processus de reconstruction. Mais les serveurs n’étant pas toujours sauvegardés simultanément, une resynchronisation des applications et des données est souvent nécessaire avant la mise en service. A titre d’exemple, un redémarrage précipité d’une application de paiement en période de crise a déjà donné lieu à un double paiement de centaines de milliers d’euros, qui avait déjà été transmis à la banque avant l’attaque.

#3 Attendre un niveau de sécurité extrême avant de rouvrir

Les attaques cyber ayant un impact important, elles représentent parfois un traumatisme pour les équipes qui craignent que l’attaque se répète et s’impose un niveau de sécurité extrême avant le redémarrage. Il s’agit de trouver le bon équilibre entre sécurité et reprise rapide d’activité.

Pour la reconstruction des serveurs, deux stratégies sont possibles :

• La stratégie de la zone verte. Elle privilégie la sécurité à la rapidité de redémarrage. Elle consiste en la création d’une nouvelle zone réseau isolée dans laquelle seules les machines reconstruites sont hébergées. Les composants techniques (Active Directory, DHCP, DNS…) sont dédiés à cette zone sécurisée. Cependant, la modification du plan d’adressage peut avoir des effets de bord et ralentir le redémarrage.
• La stratégie de la zone grise. Elle privilégie la rapidité de redémarrage à la sécurité. Elle consiste en la reconstruction ou restauration des serveurs dans leur zone initiale. Les machines compromises peuvent côtoyer les machines restaurées. Cette stratégie représente un risque lorsque la propagation de l’attaque se fait de serveur à serveur.

Le choix de la stratégie doit se faire en considérant les investigations et les techniques utilisées par l’attaquant. Comme indiqué précédemment, l’isolation de l’extérieur reste une mesure clé permettant de réduire largement les risques.

#4 Refuser un redémarrage en mode dégradé

Dans la plupart des entreprises, l’informatique est devenue indispensable au fonctionnement de toutes les opérations. Dans la situation exceptionnelle d’arrêt total du SI, il est souvent inconcevable, au premier abord, de continuer à travailler sans informatique. C’est souvent le discours avancé par les Directions informatique et métiers durant les crises cyber.

Dans de nombreux cas, il est en fait possible de limiter les impacts en travaillant en mode dégradé. Il s’agit notamment d’appliquer certains plans de résilience ou de continuité d’activité déjà définis. Mais aussi d’y réfléchir pendant la crise, lorsque l’activité est arrêtée. Les dirigeants sous-estiment souvent la mobilisation et la créativité des équipes pour travailler différemment (débrayage de processus non essentiels, transfert vers un partenaire, opérations à réaliser manuellement…).

Il est essentiel de trouver un bon équilibre entre le redémarrage d’une première application en mode dégradé dans les deux jours qui suivent, plutôt que d’attendre deux semaines pour avoir la chaîne applicative complète.

#5 Vouloir tout redémarrer en même temps

Les grandes entreprises ont des systèmes d’informations complexes qui comptent parfois plusieurs centaines voire milliers d’applications. Dans les situations de crise cyber, il est impossible de consacrer autant de temps à toutes les applications. Il est essentiel de les prioriser en définissant un ordre de redémarrage.

Chaque Direction a souvent tendance à considérer que sa propre activité est la plus importante de l’entreprise. Un arbitrage de la Direction Générale est souvent nécessaire pour établir un plan de redémarrage qui sera appliqué par tous. Certaines branches, pays ou régions verront leurs applications démarrées plus tard que d’autres.

Il faut également noter qu’il existe de nombreuses dépendances entre les applications. Celles-ci ne sont pas toujours connues par les équipes informatiques mais doivent être prises en compte dans le plan de redémarrage.

#6 Mener des changements importants dans l’urgence

Il est parfois tentant de vouloir profiter de la situation d’arrêt des systèmes pour mener des changements importants dans le système d’informations.

Les équipes sécurité y voit une occasion de mener des chantiers qui ont toujours été refusés par la DSI car vus comme complexes et impactants : cloisonnement du réseau, montée de version de système d’exploitation, tiering de l’Active Directory, authentification multi-facteurs…

Si ces projets sont nécessaires pour renforcer le niveau de sécurité, il conviendra d’éviter d’engager des changements trop importants pendant la période de crise afin de concentrer les équipes sur les actions absolument nécessaires au redémarrage avec un niveau de sécurité maitrisé.

A titre d’exemple, cloisonner le réseau nécessite de revoir le plan d’adressage, d’ajouter des équipements réseaux, de modifier des configurations. Ces actions engendrent souvent des problèmes supplémentaires à traiter (IP enregistrée en dur dans l’application, blocage de flux nécessaires pour le bon fonctionnement de l’application…)

#7 Attendre la fin des investigations et le patient zéro et pour lancer la reconstruction

Les investigations sont essentielles pour comprendre les techniques de l’attaquant et ainsi retracer les vulnérabilités qu’il a exploitées pour réussir son attaque. Elles permettent ainsi de corriger ces vulnérabilités lors de la reconstruction pour éviter une nouvelle attaque. Cependant les investigations sont complexes et nécessitent du temps (parfois plusieurs semaines).

Une erreur standard consiste à attendre la fin des investigations pour lancer la reconstruction. En réalité, il est indispensable de commencer les opérations de reconstruction avant la fin des investigations. Le plan de reconstruction sécurisée sera alors alimenté en continu en fonction des découvertes des équipes d’investigation.

Dans de nombreux cas, il sera même impossible de déterminer le patient zéro ou de reconstituer la chronologie de l’attaque. En effet, les traces (log) conservées sur le système d’information ne sont pas toujours assez précises (verbosité) ou ne permettent pas de remonter assez loin (durée de rétention). Elles ont parfois été supprimées par l’attaquant qui a effacé ses traces.

Enfin, les décideurs demandent fréquemment si des données ont été exfiltrées du système d’information. Il faut noter qu’il est rarement possible de répondre précisément à cette question sauf si l’entreprise dispose de systèmes de sécurité avancés (DLP par exemple).

#8 Ne pas anticiper la gestion des ressources humaines

Les crises cyber sont des situations où les collaborateurs se mobilisent intensément. La motivation des équipes pour résoudre la situation est telle que certaines ne souhaitent pas s’arrêter. Ils enchainent les longues journées (voire nuits) et atteignent parfois de leurs limites. Il est courant de constater des cas de burnout, hospitalisation ou arrêt maladie durant les crises mal gérées.

Dans le cas d’une attaque par rançongiciel d’ampleur, il faudra compter au moins 3 semaines d’intense mobilisation des équipes. Il est essentiel d’organiser, dès le début de la crise des rotations d’équipes, pour permettre de conserver les ressources clé sur la durée.

Il est souvent opportun de faire appel à un renfort de prestataires externes pour des activités d’expertise (investigations numériques, reconstruction Active Directory, système de sauvegardes…) ou pour démultiplier les efforts (réinstallation de postes de travail, montée de version de système d’exploitation, coordination des tâches…).

#9 Cacher la situation aux collaborateurs, aux partenaires, aux clients

Il y a plus de 5 ans, les entreprises qui subissaient une attaque cyber voyaient leur grandement réputation entachée car elles n’avaient pas su se protéger. Avec la multiplication des attaques cyber, de nombreuses organisations sont victimes d’attaques cyber et les entreprises seront autant jugées sur le fait d’être victime que sur leur capacité à gérer leur crise.

Un des premiers réflexes des équipes dirigeantes est souvent de ne pas communiquer aux parties prenantes (collaborateurs, partenaires, clients) pour espérer que l’attaque passe inaperçue. Force est de constater qu’une attaque d’ampleur finit toujours par être communiquée. Dans ces situations, les réseaux sociaux et les médias communiqueront avant la victime qui devra ensuite adopter une posture défensive en réaction. Il est recommandé d’adopter une posture de transparence avec les parties prenantes qui seront rassurées de savoir que la situation est sous contrôle.

Enfin, les partenaires doivent bénéficier d’une communication adaptée. En effet, sans information spécifique, nombre d’entre eux vont couper tous les liens avec la victime et la réouverture sera longue et complexe. Ils seront plus enclins à rouvrir si la victime les a prévenus proactivement.

#10 Ne pas structurer le pilotage de la crise

Une attaque par rançongiciel ayant des impacts très importants sur les systèmes d’informations, elle crée nécessairement un désordre dans l’entreprise. Il n’est plus possible de compter sur les processus de communication et de prise de décision existants.

Certains pensent que la situation de crise autorise un pilotage approximatif : réunions improvisées, suivi d’actions perfectibles, absence de formalisation… Au contraire, les décisions doivent être précises et rapides, formalisées et communiquées à l’ensemble des parties prenantes. Cette discipline est la clé d’une gestion de crise réussie où chacun trouve sa place et est utilisé à bon escient.

Dans certaines crises d’ampleur comme dans les groupes internationaux, il n’est pas inutile de monter une cellule PMO de crise de plusieurs dizaines de personnes. Elle aura la charge de la consolidation d’un état des lieux précis, de l’organisation des comités de crise, de la communication et du suivi des décisions prises par la cellule de crise. Cette cellule constituée de professionnels de la gestion de crise est un atout indispensable pour une gestion de crise efficace.

Une attaque par rançongiciel est un événement soudain qui entraine des impacts très importants sur les activités de l’entreprise. La gestion de crise associée présente de nombreux pièges à éviter pour retrouver une situation fonctionnelle rapidement. Il est fortement recommandé de s’entourer de professionnels de la gestion de crise cyber pour optimiser les opérations et bénéficier de retours d’expériences.

[1] https://www.ssi.gouv.fr/uploads/2020/09/anssi-guide-attaques_par_rancongiciels_tous_concernes-v1.0.pdf

Cet article Top 10 des pièges à éviter pour une gestion de crise rançongiciel réussie est apparu en premier sur RiskInsight.

En février dernier, un chercheur ukrainien diffuse plus de 60 000 messages provenant des conversations internes entre les différents membres du groupe. A travers ces discussions, plusieurs révélations sont faites sur leur fonctionnement interne, nous permettant de comprendre l’écosystème des RaaS (Ransomware-as-a-Service).

Regardons à travers cet article comment fonctionne une plateforme de Ransomware, puis interrogeons-nous sur l’organisation et les bénéfices générés par l’ancien groupe CONTI.

L’écosystème des plateformes de Ransomware

Le nombre d’articles sur la menace Ransomware foisonne depuis quelques années et donne l’impression d’un secteur un plein essor. On dénombre ainsi plusieurs acteurs, pour des vols de données qui se chiffrent en centaines de millions d’euros par an. A titre d’exemple, le CERT-Wavestone partageait qu’environ 60% de ses interventions en 2021 sur des incidents concernaient des attaques de ransomware. ^[2]

Comme indiqué sur le schéma, une plateforme de ransomware ne travaille pas seule. Elle reçoit de l’aide de différents fournisseurs de services ou d’autre plateformes, et propose ses services (sous forme de ransomware) à différents groupes d’attaquants. Enfin, la plateforme peut également directement soutirer des données à ses victimes : particuliers, entreprises, états…

Ces plateformes ont favorisé l’essor d’une économie du RaaS. Le Financial Crimes Enforcement Network (FinCEN) du département du Trésor américain a recensé des transactions en bitcoins d’une valeur d’environ 5,2 milliards de dollars, probablement liées aux dix variantes de ransomware les plus fréquemment signalées.^[3] Il s’agit donc là d’une activité particulièrement rentable.

Mais c’est aussi une activité où l’on dénombre une multiplicité importante de groupe d’acteurs établis qui semblent apparaître et disparaître fréquemment et dont la durée se compte généralement en mois. Derrière ces multiples plateformes se cachent bien souvent les mêmes individus. Si la franchise CONTI, supposé successeur du groupe Ryuk^[4], n’aura survécu que 2 ans, ces ex-membres semblent encore actifs.

Dans ce milieu éclaté et complexe, il est difficile de récupérer des informations consistantes sur le fonctionnement des plateformes. Les discordes internes qui ont suivi la guerre en Ukraine et la publication des Conti Leaks nous ont permis de faire le point sur le fonctionnement de ce groupe si secret avant sa dissolution.

Conti, une entreprise comme les autres ?

Le 27 février 2022 nous découvrons les dessous de l’organisation CONTI. Les révélations s’enchaînent en quelques jours et dévoilent très vite :

• Des processus de recrutement rodés qui peuvent même aller jusqu’à des annonces sur des sites de recrutement légitime

• Une organisation verticale de l’entreprise avec ses fonctions RH, financières, opérationnelles

• Une politique salariale établie en fonction des différentes fonctions dans l’organisation, jusqu’aux bonus par poste après une rançon réussie (cf. étude complète)

Cette organisation réfléchie et efficace semble être l’un des secrets de la rentabilité du groupe de cyberattaquants.

Un modèle économique à forte rentabilité

Nous nous sommes efforcés à recréer de toutes pièces le tableau de trésorerie du groupe CONTI.

Chaque ligne de gain et de coût fait l’objet d’une recherche pour être estimée au plus juste sur une année.

Selon le rapport The 2022 Crypto Crime Report^[5], en 2021, CONTI et ses affiliés ont rançonné au moins $180M en bitcoins, sur des adresses traçables sur la blockchain. On estime que 70% sont reversés à ses affiliés, et que les $45M restant constituent le chiffre d’affaires du groupe.

CONTI doit ensuite faire face à des postes de dépenses traditionnels, que l’on retrouve dans les entreprises classiques. Les principaux constituent sans doute : le blanchiment de l’argent qui peut monter jusqu’à 50% des gains, les achats de services tiers et les coûts de maintenance, et enfin les salaires.

CONTI dégagerait donc un bénéfice net de $16M (si l’on suppose que le groupe ne paie pas l’impôt russe). Le ROI du groupe est quant à lui estimé à environ +163%, selon les mêmes informations.

Conclusion

Les Conti Leaks nous ont permis, à travers l’étude d’un groupe, de mieux comprendre l’organisation et l’écosystème des plateformes de Ransomware-as-a-Service. Ces travaux constituent ainsi une base solide pour une meilleure compréhension et pour la vulgarisation de la menace RaaS.

A propos de notre méthode

L’ensemble des informations présentent dans cette étude proviennent d’observations de terrain de Wavestone ainsi que de multiples sources d’analyses – publiques comme privées : le National Cyber Security Center, Check Point Research, Palo Alto Networks, Breachquest ou encore Chainalysis.

Sources

[1] « Conti ransomware shuts down operation, rebrands into smaller units », Bleeping Computer, Mai 2022

Conti ransomware shuts down operation, rebrands into smaller units (bleepingcomputer.com)

[2] « Cyberattaques en France : le ransomware, menace numéro 1 », Risk Insight, Octobre 2021

https://www.riskinsight-wavestone.com/2021/10/cyberattaques-en-france-le-ransomware-menace-numero-1/ 

[3] « US links $5.2 billion worth of Bitcoin transactions to ransomware », Bleeping Computer, Octobre 2021

https://www.bleepingcomputer.com/news/security/us-links-52-billion-worth-of-bitcoin-transactions-to-ransomware/

[4] « Le rançongiciel Ryuk », ANSSI, Septembre 2021

CERTFR-2020-CTI-011.pdf (ssi.gouv.fr)

[5] « THE 2022 CRYPTO CRIME REPORT », Chainalysis, Février 2022

Crypto-Crime-Report-2022.pdf (chainalysis.com)

Cet article Ransomware : Immersion au sein de l’ancien groupe CONTI est apparu en premier sur RiskInsight.

A l’occasion du lancement du mois européen de la cybersécurité et pour les Assises de la Sécurité (du 13 au 16 octobre 2021), le cabinet Wavestone dévoile la nouvelle édition de son benchmark des incidents de cybersécurité. Pour cela, le cabinet a passé en revue les interventions de son équipe de gestion de crise le CERT-Wavestone entre septembre 2020 et octobre 2021.

Cela représente 60 incidents de sécurité majeurs ayant mené à l’interruption d’activités ou à une compromission avancée du SI et ce, dans des secteurs diversifiés : industrie, secteur public, agroalimentaire, technologies de l’information, finance, etc. L’objectif de ce benchmark est d’éclairer et de montrer l’évolution de l’état de la menace cyber en France, tout en partageant les clés pour une meilleure anticipation et réaction.

« Les groupes de cybercriminels ont réussi leur transformation numérique et leur organisation en plateforme a permis de massifier et rendre plus efficace et rapide leur attaque » Gérôme Billois, Partner Cybersécurité

Au-delà du simple blocage du SI, la combinaison avec un vol de données devient de plus en plus présente. En effet, 30% des attaques ransomwares observées combinent le blocage du SI et le vol de données, ce dernier constituant un levier supplémentaire pour obtenir des gains financiers.

Des attaques ransomwares plus rapides et plus ciblées

Nous constatons une réduction du temps moyen entre l’accès initial et le déploiement du ransomware dans le système avec un minimum de 3 jours pour l’attaque la plus rapide et une moyenne de 25 jours sur les cas gérés. Les attaquants sont de plus en plus déterminés à nuire à leurs victimes. En effet, ils vont maintenant jusqu’à cibler et détruire les mécanismes de sauvegarde pour forcer le paiement de la rançon (21% des cas).

Nous constatons également que dans 90% des cas des données ont été perdues irrémédiablement. A noter, nous observons une baisse significative du paiement des rançons cette année (de 20% l’année précédente à 5% des cas). De multiples facteurs peuvent expliquer cette baisse, entre la meilleure compréhension du faible intérêt à payer (le paiement de la rançon n’accélérant en rien le temps de résolution de la crise), les actions de sensibilisation et de pression sur les intermédiaires de paiements par les différentes autorités.

D’autres types d’attaques sévissent toujours en toile de fond

La menace ransomware ne doit pas faire oublier les attaques de vols de données, de fraude et le gain de capacité d’attaques qui restent bien présentes (25%) même si celles-ci sont moins fréquentes.

En ce qui concerne les canaux d’accès pour s’introduire dans les systèmes, les principales portes d’entrée restent l’utilisation de comptes valides (23%), les emails frauduleux, phishing pour obtenir des informations (20%) et les services d’accès distants en utilisant des failles de sécurité ou des défauts de configuration (18%).

Comment ne pas être une cible facile ? Quelques conseils du CERT-W

56% des victimes n’avaient pas anticipé être la cible potentielle d’une cyberattaque. Elles n’étaient ni dotées d’un contrat de réponse à incident ni d’une cyber assurance et 42% des victimes n’avaient pas réfléchi à leur résilience en cas d’attaque.

« Même si des actions diplomatiques et judiciaires ont permis d’affaiblir l’écosystème cybercriminels, il ne s’agit pas de stopper les efforts, il faut se préparer dès maintenant grâce à des actions simples à mettre en place. » Nicolas Gauchard, Responsable du CERT Wavestone

Les actions les plus importantes sont connues :

• Identifier et protéger les systèmes et les données les plus critiques sans oublier les systèmes techniques comme l’Active Directory
• Améliorer l’efficacité de la détection des attaques avec un service spécialisé 24/7
• Savoir gérer une crise majeure en s’entrainant grâce à des exercices de gestion de crise
• Renforcer la sécurité des sauvegardes et s’entrainer à reconstruire en urgence
• Souscrire à une cyberassurance et un contrat auprès de service spécialisé en cas de crise

Cet article Cyberattaques en France : le ransomware, menace numéro 1 est apparu en premier sur RiskInsight.

Rappel de l’état de la menace

L’ANSSI indique dans ÉTAT DE LA MENACE RANÇONGICIEL – À L’ENCONTRE DES ENTREPRISES ET INSTITUTIONS[1] publié le 05/02/2020 : « Depuis 2018, l’ANSSI et ses partenaires constatent que de plus en plus de groupes cybercriminels possédant des ressources financières et des compétences techniques importantes favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel. ».

Face à ce constat, il est plus que jamais nécessaire de sécuriser les systèmes d’information. Cela passe bien entendu par l’application des fondamentaux de la sécurité : application des mises à jour, gestion des comptes et des mots de passe, gestion de la segmentation réseau etc. Pour rappel, l’application de ces premières mesures permet déjà de réduire sensiblement la probabilité qu’un système d’information soit sujet à un rançongiciel, mais ne peut en aucun cas garantir que cela n’arrivera pas.

Spécificité du secteur industriel

Cependant, même si de nouvelles solutions de défense sont continuellement développées, le coût et la complexité de déploiement de certaines d’entre elles les rendent finalement peu usitées. Cela est d’autant plus vrai en milieu industriel, où leur intégration peut s’avérer complexe, certains systèmes étant figés dans une configuration fonctionnelle. De plus, les budgets alloués à la sécurité informatique en milieu industriel, bien qu’en augmentation ces dernières années, ne sont pas encore suffisants pour bon nombre de sites.

Par ailleurs, un système d’information industriel partage une base commune avec un système d’information classique, et est donc sujet aux mêmes attaques. Bien entendu, des attaques telles que Stuxnet, Triton, ou encore BlackEnergy (à plus faible échelle) nécessitent des compétences supplémentaires. Cependant, il est toujours bon de rappeler que les cibles d’intérêt pour les groupes possédant ce type de moyens sont généralement déjà soumises à des obligations règlementaires (LPM, directive NIS etc.), qui si respectées, limitent grandement les risques qu’une attaque soit réussie à leur encontre. Pourtant, ces systèmes ne sont pas invulnérables, et doivent donc également se préparer à y répondre.

Attaque inévitable sur les systèmes industriels : comment minimiser l’impact et redémarrer les opérations rapidement ?

Il apparait donc que :

• Se protéger de la menace est souvent limité à l’application des mesures de sécurité basiques si aucune obligation règlementaire n’est applicable au système d’information cible ;
• Identifier les sources de menace et détecter une attaque avant qu’elle n’atteigne son objectif nécessite dans l’immense majorité des cas des moyens trop importants vis-à-vis des budgets des systèmes d’information industriels actuels.

En partant du principe que la probabilité qu’un système d’information subisse une cyberattaque réussie, et plus spécifiquement un rançongiciel, dans un avenir proche est quasi certaine, la question suivante se pose donc : « Comment se préparer à une cyberattaque majeure, maintenir les activités critiques dans un mode dégradé, le tout en regagnant rapidement confiance dans le système d’information industriel ? ».

La réponse à cette question est couverte par les deux derniers piliers de la sécurité informatique d’après le framework NIST : respond (répondre) et recover (récupérer). Une tentative de réponse à cette question est présentée dans cet article.

Note : la première partie de cet article « Comment répondre à une attaque avant qu’il ne soit trop tard ? » n’est pas nécessaire à la mise en place des recommandations détaillées dans la seconde partie « Comment récupérer après une attaque si elle n’a pas pu être circonscrite ? ». Bien que l’implémentation de mesures de filtrage réseau soit vivement conseillée, il peut être intéressant pour les sites où la mise en place desdites mesures de filtrage est trop longue, de commencer par la partie préparation de la remédiation à une cyberattaque, plus facile à mettre en œuvre.

Comment répondre à une attaque avant qu’il ne soit trop tard ?

Impliquer les équipes industrielles

Avant de parler des mesures pouvant être mises en place pour répondre à un incident de sécurité numérique, il peut être intéressant de rappeler que le personnel industriel est habitué la gestion de crise.

En effet, bon nombre d’industries organisent régulièrement des exercices de gestions de crises (incendie, risque chimique, catastrophe naturelle etc.). Sur la majorité des sites sensibles, des procédures sont donc déjà disponibles pour répondre à ce type d’incident, le tout sous la direction d’un responsable dédié. Par ailleurs, des protections physiques autonomes sont généralement disponibles : soupape de surpression, clapet anti-retour, sprinkler etc. bien qu’ils soient parfois remplacés par des systèmes instrumentés de sécurité connectés.

Le contexte est donc propice à l’ajout d’une nouvelle procédure afin de répondre à une attaque informatique. Celle-ci consistera généralement en l’isolation du système d’information industriel de l’extérieur via une procédure dite de « bouton rouge ». Afin de rédiger la procédure associée, l’implication du personnel du site sera essentielle, notamment pour s’assurer que l’application de cette dernière ne soit pas plus nocive que l’attaque elle-même.

Un prérequis à la mise en place de posture d’isolement : la maitrise de ses flux et l’implémentation de cloisonnement/filtrage réseau

En effet, il est nécessaire de mesurer les impacts engendrés par l’usage du « bouton rouge ». Pour cela, il faut tout d’aborder lister les interconnexions du site industriel avec d’autres systèmes.

Lister les interconnexions avec d’autres systèmes d’informations

Il peut être intéressant de commencer par lister les flux entre le système d’information industriel et l’extérieur. En premier lieu, il convient de définir ce que contient ce système. Dans un cas basique, il regroupe les automates industriels, la supervision, ainsi que le matériel nécessaire à l’interconnexion des deux premiers.

D’autres équipements peuvent ensuite venir s’y greffer : un serveur d’historisation, des postes clients pour la supervision, un NAS etc. Ce réseau, nommé réseau industriel par la suite, est généralement connecté avec d’autres réseaux afin de partager des informations avec des équipements de ces derniers.

Il est notamment possible de citer :

• Des échanges avec l’ERP de l’entreprise (qu’un MES – Manufacturing Execution System soit présent ou non), généralement localisé sur le réseau bureautique ;
• Des échanges avec des partenaires : régulation des réseaux électriques, d’eau, de gaz etc.
• Des échanges avec des fournisseurs de service : météo, solutions cloud d’optimisation énergétique, de maintenances prédictives etc.

Ces flux, bien qu’utiles pour simplifier l’exploitation, peuvent généralement être temporairement coupés ou remplacés par des moyens de substitution (appel téléphonique pour indiquer les niveaux de production par exemple).

Par ailleurs, chaque site industriel est différent, et gère donc différemment ces interconnexions. Il est notamment courant de voir des réseaux MPLS dédiés aux sites industriels lorsque l’entreprise en possède plusieurs. Dans d’autres cas, le réseau bureautique sera utilisé pour les fédérer. Il en va de même pour les besoins de connexion entre ces réseaux industriels et Internet, qui passent parfois d’abord par le réseau bureautique, ou bénéficient d’une sortie directe.

Lister ses flux internes

Après avoir listé les interconnexions entre le réseau industriel et l’extérieur, il reste à lister les flux internes. La majorité de ces flux devraient être strictement nécessaires au bon fonctionnement du processus industriel, tels que ceux entre la supervision et les automates. La coupure de ces connexions nécessiterait donc de stopper le processus industriel, ou au minimum de le mettre en sûreté.

Il peut alors être intéressant de séparer les équipements et flux associés en plusieurs zones :

• Supervision ;
• Réseau de terrain ;
• Autres (postes clients de la supervision, serveur d’historisations, etc.).

La mise en place de ces zones permet de réduire drastiquement l’exposition de ces composants. En effet, seule la supervision devrait avoir accès aux réseaux de terrain, tandis que la catégorie « autres » ne devrait pouvoir accéder qu’à la supervision.

D’autres zones peuvent être nécessaires à implémenter telles que :

• Une zone d’administration : qui pourrait également être utilisée pour programmer les automates en fonction de la répartition des rôles et des responsabilités sur le site ;
• Une DMZ : pouvant accueillir un serveur relais afin que les équipements extérieurs au site industriel ne se connectent pas directement à la supervision pour venir récupérer les données de production etc.

En fonction des services proposés (serveur WSUS, serveur antivirus, Terminal Server pour la prise en main à distance etc.) d’autres zones peuvent bien évidemment encore être ajoutées.

Evaluer le réel besoin de ses flux

Après avoir listé l’ensemble de ces flux, il est intéressant d’identifier le besoin réel de chacun d’entre eux. Par exemple, est-ce vraiment nécessaire de pouvoir accéder à ses courriers électroniques depuis un serveur de supervision ?

Afin de limiter l’exposition du réseau industriel à l’extérieur, il pourrait également être nécessaire de sortir certains équipements de ce dernier. Par exemple, si une base de données accédée depuis le réseau bureautique est alimentée par la supervision, mais non utile à celle-ci, l’héberger directement sur le réseau bureautique peut s’avérer plus simple que de tenter d’en limiter les accès.

Une fois les flux nécessaires clairement identifiés, il convient de configurer les règles de filtrage associées de manière fine (adresse IP source, adresse IP destination, port de destination). Ce travail nécessite généralement un investissement humain important, principalement des équipes en charge du site industriel, ainsi qu’un coût matériel non négligeable pour se doter d’équipements de sécurité. C’est cependant un prérequis à la mise en place des postures de repli décrites par la suite. Dans un cas idéal, un filtrage applicatif (niveau 7 du modèle OSI) pourrait également être implémenté.

Ce travail, bien qu’essentiel à la mise en place de postures d’isolement, est également l’une des actions fondamentales à réaliser dans le cadre de la sécurisation d’un système d’information (industriel ou non). En effet, chaque flux coupé est un flux qu’il n’est pas nécessaire de surveiller, ainsi qu’un flux de moins exploitable par un attaquant.

Préparer ses postures de repli

L’isolation complète de l’ensemble des équipements d’un système d’information industriel n’est pas toujours souhaitable, même en cas d’attaque. Après avoir listé ces flux, il peut alors être intéressant de ne pas mettre en place une seule posture d’isolement, mais plusieurs postures de repli, permettant dans certains cas de pouvoir continuer à travailler presque normalement.

Posture de repli préventif : isoler l’usine en cas d’attaque sur un réseau tiers

Après avoir identifié les flux entre le réseau industriel et l’extérieur, il est possible de créer une posture de repli associée afin de les désactiver en cas de besoin. L’objectif de cette posture est de couper toutes les interconnexions du réseau industriel avec l’extérieur afin d’empêcher toute propagation d’une attaque. Une solution éprouvée est de regrouper ces flux sur quelques ports Ethernet dédiés. Ainsi, il suffit d’indiquer dans les procédures associées de débrancher les câbles associés pour activer la posture de repli. Cela évite également d’intervenir sur la configuration des pare-feux en cas d’incident de cybersécurité.

Par ailleurs, il est également nécessaire de définir les cas où cette posture devrait être activée. Si elle peut l’être sans poser de problème particulier à la production, ni ajouter trop travail au personnel du site, la question peut se poser de la réelle nécessité de ces flux.

Si cette posture a bel et bien des impacts sur les activités industrielles du site, il faut donc trouver un bon équilibre entre la déclencher trop tôt (dès que l’antivirus d’un poste de travail bureautique remonte une alerte), ou trop tard (après le chiffrement des premiers postes industriels). Cela dépendra également du contexte de l’entreprise et de ses moyens (équipe de veille sécurité dédiée ou non etc.).

Spécificité (sites distribués, non autonomes etc.)

Dans le cas où l’ensemble des flux avec l’extérieur n’ont pas la même destination, il peut être également intéressant de décliner plusieurs postures de repli spécifiques. En effet, si le prestataire en charge de la gestion des caméras du site alerte sur le fait qu’il subit une attaque par rançongiciel, il semble plus optimal de ne déconnecter que les flux entre ce prestaire et le réseau de l’usine, plutôt que l’ensemble des flux, incluant notamment ceux vers l’ERP.

Dans le cas où le processus industriel est distribué sur plusieurs sites (usine de production et de distribution notamment), l’activation de la posture de repli préventif ne devrait pas couper les flux entre ces différents sites. En effet, des liaisons spécifiques devraient y être dédiées. Si cela n’est pas le cas, utilisation du réseau bureautique pour assurer ces connexions par exemple, un projet de refonte du réseau industriel est probablement à prévoir (déploiement d’une VRF dédiée, ou d’un réseau SDWAN par exemple).

Enfin, il est toujours bon de rappeler que chaque usine étant différente, une étude locale sera à mener sur chacune pour en comprendre les spécificités.

Posture de repli de dernier recours : couper le système d’information en cas d’attaque avérée sur l’usine

Enfin, il peut être intéressant de préparer une posture de repli de dernier recours. Cette dernière devrait consister en l’isolation de chaque VLAN (si définis, de préférence avec une interface locale homme-machine par VLAN pour assurer un mode dégradé) ou de chaque équipement (extinction des commutateurs – switch) afin d’empêcher l’attaquant de continuer ses actions, qui, dans les cas d’attaques les plus avancées, pourraient cibler directement le processus industriel du site.

L’objectif est alors de mettre le site en sûreté ou d’en assurer les services essentiels. L’activation de cette posture implique de travailler sans système d’information, et ne devrait être appliquée qu’en cas de compromission avérée d’au moins un équipement du site puisqu’elle aboutit au même résultat immédiat qu’un rançongiciel, si ce n’est pire.

Un travail en amont avec les exploitants sera nécessaire afin de lister l’ensemble des actions à réaliser lors de l’activation de cette posture et définir des modes dégradés. En effet, cela va généralement nécessiter d’activer des astreintes afin de réaliser manuellement certaines tâches : vérification du bon fonctionnement des équipements, notamment sur les sites distants, utilisation des interfaces hommes-machines locales, etc. Par ailleurs, certains processus industriels ne sont plus pilotables manuellement aujourd’hui, et devront donc être compléments stoppés puisqu’aucun mode dégradé n’est disponible.

Afin d’estimer les impacts de l’activation d’une telle posture, il peut être intéressant de s’intéresser aux impacts listés en cas d’incendie ou de panne générale d’électricité. Par ailleurs, seul un test réel de cette posture permet de s’assurer de ses impacts opérationnels.

Comment récupérer après une attaque si elle n’a pu être circonscrite ?

Dans certains cas, l’activation des postures de repli peut ne pas suffire à protéger l’ensemble du système d’information industriel, notamment si elles sont activées trop tard. Il est alors essentiel de pouvoir procéder à la reconstruction de tout ou partie dudit système dans un temps suffisamment court pour limiter les impacts associés.

Les principaux prérequis nécessaires à la restauration d’un système d’information industriel sont listés ci-après.

Que faut-il sauvegarder pour pouvoir restaurer ses automates ?

Afin de pouvoir redémarrer l’usine, il est nécessaire dans la plupart des cas de commencer à restaurer les automates, ce qui nécessite deux éléments principaux.

Posséder une copie à jour de ses programmes automates

Les automates sont épargnés dans la plupart des attaques actuelles, probablement puisque cibler les postes Windows suffit aux attaquants pour atteindre leurs objectifs visés. Cependant, les attaques sont amenées à être de plus en plus ciblées, et la majorité des automates actuellement en service ne sont pas sécurisables (communications non chiffrées et non authentifiées, mots de passe par défaut, fonctionnalité d’administration non désactivables etc.).

Il convient donc de sauvegarder ces programmes, ce qui est déjà généralement le cas, notamment sur le poste de programmation (appartenant parfois à un prestataire) utilisé lors de la mise en service de l’appareil. Il est à noter que ces sauvegardes devraient être stockées sur au moins un support hors-ligne, de façon à ne pas les voir chiffrer au même moment que le poste les hébergeant.

Ces constats restent valables même pour les nouvelles gammes d’automates, qui, bien que bénéficiant d’un niveau de sécurité sans commune mesures avec leurs prédécesseurs, ne sont pour autant pas invulnérables.

Sauvegarder un moyen de télécharger ces programmes sur les automates

La majorité des automates nécessite un logiciel dédié pour être programmé. Et ce, même pour simplement télécharger un programme déjà écrit. Il convient donc de posséder une copie de ces programmes.

Dans certains cas, un poste de programmation déconnecté du réseau et réservé à cet usage peut être une solution. Il est cependant à noter que le maintien en condition de sécurité d’un tel poste peut rapidement s’avérer complexe. Si cette solution est sélectionnée, ce poste pourrait également héberger la copie des programmes automates. Garder un second jeu de sauvegarde hors-ligne (disque dur externe par exemple) serait cependant une sécurité supplémentaire.

Par ailleurs, si de nouvelles gammes d’automates sont utilisées, avec les dernières fonctionnalités de sécurité activées, d’autres éléments sont à sauvegarder tels que : les mots de passe des programmes automates, les certificats utilisés pour certaines communications (ou un moyen d’en regénérer) etc.

Ces prérequis sont également valables pour les équipements réseaux (pare-feux, commutateurs etc.).

Que faut-il sauvegarder pour pouvoir restaurer son matériel informatique essentiel ?

Identifier ce qui est vraiment nécessaire

La restauration des superviseurs, et des postes clients associés, revient généralement à restaurer un système Windows et les programmes associés. Plusieurs questions sont alors à se poser pour identifier les éléments à sauvegarder :

• Quels sont les équipements nécessaires ? Un poste d’ingénierie, un superviseur, quelques postes opérateurs ?
• Est-il possible de réinstaller le superviseur de zéro (nouvelles installations de Windows et du logiciel de supervision) puis d’y déposer une sauvegarde de la configuration du superviseur ? Est-ce réalisable en un temps suffisamment court ?
• Une copie complète du disque du superviseur ne serait-elle pas plus simple ? Il suffirait en effet d’insérer le disque sauvegardé pour redémarrer.
• Des modifications sont-elles régulièrement apportées au logiciel de supervision ? Si oui, est-il nécessaire de toutes les sauvegarder ? Dans ce cas, il parait complexe de réaliser une copie complète du disque à chaque fois.

Sauvegarder intelligemment

Dans la majorité des cas, les sauvegardes des postes Windows sont réalisées de la même manière que celles des programmes automates, c’est-à-dire en réalisant des copier/coller. Il pourrait alors être intéressant de s’intéresser aux mécanismes de sauvegarde automatique. Cependant, ces derniers sont probablement à proscrire pour les usines partant de zéro et ne bénéficiant pas d’un budget suffisant pour les installer sereinement. En effet, la mise en œuvre de ce type de solution de manière sécurisée reste généralement plus complexe que de réaliser une simple copie bit à bit d’un disque dur.

Ne pas négliger la documentation et l’entrainement

Avoir à disposition des sauvegardes complètes n’est cependant pas suffisant. Il est également nécessaire de rédiger les modes opératoires détaillés permettant de restaurer ces sauvegardes. En effet, si une crise venait à survenir, le stress des équipes, et l’indisponibilité potentielle de certains des sachants, pourraient mener à des erreurs de manipulations en l’absence de documentation.

Ces procédures n’ont pas vocation à permettre une restauration complète de l’ensemble des systèmes, mais au moins de permettre de redémarrer les éléments essentiels précédemment identifiés :

• Un poste d’ingénierie avec les logiciels de programmation automates associés ;
• Un superviseur ;
• Deux à trois postes de travail des opérateurs ;
• Les automates essentiels de l’usine.

Par ailleurs, il est généralement recommandé de bénéficier d’au moins deux jeux de sauvegardes, l’un stocké à proximité des équipements concernées, l’autre à stocker sur un site physiquement éloigné, et dont l’accès est limité à un nombre restreint de personnes. Il peut être tentant de stocker un jeu de sauvegarde supplémentaire en ligne, mais il est à noter qu’en cas de cyberattaque, et d’activation des postures de repli, il soit complexe de télécharger ces sauvegardes et de les déposer sur les systèmes à restaurer.

Enfin, il est essentiel de tester l’ensemble de ces procédures pour s’assurer qu’elles sont exhaustives. Un test pourrait par exemple être l’occasion de se rendre compte que la sauvegarde de la configuration du superviseur n’inclut pas la clé de licence, ou encore que les mots de passes configurés lors de la copie complète du disque aient été modifiés depuis sans en garder l’historique.

Conclusion

La gestion des crises est une composante importante du métier de beaucoup d’exploitants de systèmes industriels. Ces mêmes personnes sont également les plus en maitrise sur leur périmètre. Pour autant, il ne s’agit généralement pas d’experts en informatique. Des mesures pragmatiques, et adaptées à leur contexte, seront donc bien plus utiles qu’un guide générique de 200 pages regroupant l’ensemble des bonnes pratiques à appliquer sur un système d’information.

Tout comme en développement avec le principe KISS (Keep it simple,stupid), les postures de repli, ainsi que les procédures de restauration, devraient rester simples à comprendre, et stupides à appliquer.

Par ailleurs, bien que l’application d’une politique de filtrage réseau stricte ne peut qu’être conseillée, elle n’est pas strictement nécessaire à la mise en place des actions de sauvegarde et restauration. Ainsi, même si la probabilité qu’une attaque aboutisse n’en sera que plus forte, il sera toujours possible de restaurer les systèmes critiques.

Enfin, il est à noter que de plus en plus de processus industriels fonctionnent aujourd’hui en flux tendu. Dans ce type de contexte, la préservation du système industriel d’une attaque, ou la capacité de le restaurer rapidement, ne serait pas suffisant à maintenir le niveau de production si la gestion des commandes ou de la distribution par exemple sont indisponibles. La cyber résilience doit donc être prise en compte à l’échelle de l’entreprise, et non uniquement au niveau du site industriel.

Eléments clés

Pour répondre à une attaque avant qu’il ne soit tard il est nécessaire :

• D’impliquer les équipes industrielles (sans quoi il est fort probable que l’informatique survive à l’attaque, mais sans que l’usine ne continue de répondre à sa mission première) ;
• De maitriser ses flux et implémenter un cloisonnement/filtrage réseau afin de pouvoir mettre en place des postures de repli :
  • Préventives, afin d’isoler l’usine en cas d’attaque sur un réseau tiers sans pour autant impacter de manière trop significative le processus industriel ;
  • De dernier recours, afin de couper le système d’information en cas d’attaque avérée sur l’usine avant que l’attaquant ne modifie le processus industriel.
• De tester ces postures de repli, afin de s’assurer que leur activation ne soit pas pire que l’attaque.

Et dans le cas où l’attaque n’a pu être circonscrite, les éléments suivants sont généralement nécessaires afin de pouvoir récupérer de ladite attaque :

• Posséder une copie à jour de ses programmes automates ;
• Sauvegarder un moyen de télécharger ces programmes sur les automates ;
• Posséder au moins une copie de l’ensemble des sauvegardes critiques sur un support hors-ligne (disque dur externe par exemple) ;
• Identifier son matériel informatique essentiel (notamment afin de ne pas restaurer le serveur d’historisation avant celui de supervision…) ;
• Sauvegarder intelligemment, parfois une copie bit à bit du disque dur est plus efficace qu’une copie automatique sur un serveur dédié, généralement chiffré en même temps que le système dont il héberge les sauvegardes ;
• Ne pas négliger la documentation et l’entrainement (dans le cas contraire, une clé de licence oubliée, ou un sachant en vacances pourrait rapidement signer la fin de la restauration…).

[1] www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-001.pdf

Une nouvelle version de l’état de la menace a été publiée en ce début d’année : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-001.pdf

Cet article Cyber résilience en milieu industriel est apparu en premier sur RiskInsight.

Des ransomwares d’un nouveau genre

Les ransomwares sont aujourd’hui très répandus, des milliers d’attaques ont lieu chaque jour et de très nombreuses entreprises sont touchées. Mais cela uniquement par « malchance » car les ransomwares que nous connaissons aujourd’hui ne ciblent personne en particulier. Ils sont  en effet envoyés dans des vagues massives de faux emails, avec des pièces jointes véroles. L’ouverture de  ces pièces jointes permettra au ransomware de se télécharger et entrainera le chiffrement des données présentes sur le poste de travail mais également sur  les disques réseaux partagés.

Quelques postes, quelques serveurs touchés, la gestion de l’incident est alors réalisée en quelques heures, voire quelques jours et les pertes sont souvent limites si des sauvegardes existent.

Mais ce schéma « classique » pourrait se voir supplanter par un nouveau type de ransomware : les ransomwares ciblés.

Des cas récents de ransomwares ciblés

Trois grandes sociétés aux États-Unis auraient été touchées très récemment.  Le mode opératoire de ces nouveaux ransomware rappellent les attaques ciblées : les attaquants s’introduisent sur le réseau en compromettant un poste puis rebondissent jusqu’à prendre le contrôle des infrastructures centrales. A la différence des attaques ciblées classiques, les attaquants ne volent pas de données mais utilisent les droits d’administration acquis pour distribuer un ransomware sur l’ensemble des postes d’une entreprise. Ce n’est alors plus quelques postes de travail qui sont touchés, mais plusieurs milliers. Les impacts sont alors considérables et se rapprochent de ceux subits lors d’attaque visant à détruire les machines comme chez Sony ou chez Saudi Aramco.

Repenser la cyber résilience pour inclure l’évolution de la menace

Même si ces attaques sont encore peu répandues et qu’elles n’ont pas totalement réussies, ces révélations posent beaucoup de questions sur les motivations des attaquants. Ces attaques peuvent  en effet être très lucratives, car pour retrouver les données infectées, le ransomware demande de payer une rançon. La question est de savoir si certaines entreprises paieront cette rançon. Si c’est  le cas, cela motivera encore plus les attaquants. Rappelons le cas de l’hôpital américain qui avait finalement payé la demande de rançon de 17 000 dollars en février dernier pour récupérer les données de leurs patients.

Pour les entreprises il est essentiel de se prémunir de ces attaques mais aussi de savoir les gérer. Se prémunir passe par une bonne hygiène informatique et surtout par une sécurisation poussée des mécanismes d’administration massive du SI (Active Directory, télédistribution…) et en particulier par la sécurisation des postes utilisés par les administrateurs du SI. La compartimentation du SI est aussi clé pour être capable de limiter les impacts (principe des cloisons étanches du bateau). Ces chantiers sont souvent en cours dans les grandes entreprises mais l’apparition de cette nouvelle menace ne peut que renforcer leur priorité.

D’autre part les processus de gestion de crise doivent être adaptés pour prendre en compte ce scénario qui pose le problème de la capacité même à gérer la crise si plus aucun poste de travail ou serveur n’est disponible. On retrouve alors certains mécanismes déjà prévus pour les scénarios destructifs comme l’approvisionnement rapide de machine ou l’existence d’un parc alternatif (avec des OS différents et/ou hors systèmes de gestion de parc classique) pour a minima gérer la crise. Les systèmes dans le cloud peuvent aussi être une réponse au moins partielle à cette problématique. À nouveau, ces réflexions sont en cours mais la prise en compte de ce scenario de risque est certainement à réévaluer.

Les ransomwares évoluent, ils se professionnalisent et font courir aux entreprises des risques forts d’indisponibilité massive du SI. Ces risques sont aujourd’hui inacceptables dans bons nombres d’entreprises. Il faut donc évaluer ces risques et les prendre en compte dans les prochains plans d’action.

Cet article Le jour où les ransomwares ont changé de dimension ? est apparu en premier sur RiskInsight.