Secu
Démantèlement de LockBit : 6 conseils pour faire face aux prochaines crises cyber
Par Thierry Derouet, publié le 22 février 2024
Face à l’escalade des cyberattaques menées par des réseaux criminels, dont LockBit est un exemple notoire, et malgré les succès obtenus par des opérations telles que « Cronos », les entreprises restent des cibles privilégiées. David Corona et Anne-Gervaise Vendange de la société In_cognita offrent leur expertise pour aider les organisations à se préparer contre ces menaces persistantes.
Depuis 2020, un réseau de cybercriminels est à l’origine de plus de 1 700 attaques sur le territoire américain, générant des revenus illicites supérieurs à 90 millions de dollars via des demandes de rançon. En 2022, le ransomware LockBit a été identifié par les autorités de sécurité des États-Unis comme le variant le plus actif et le plus nuisible à l’échelle mondiale. Ce programme malveillant se distingue non seulement par sa capacité à infiltrer les systèmes informatiques, mais également par son modèle économique innovant : la vente de ses services à d’autres groupes malveillants contre une rétribution financière (voir encadré ci-dessous). L’une des attaques les plus médiatisées perpétrées par ce groupe a ciblé l’hôpital de Corbeil-Essonnes en 2022. Selon Check Point Research, en 2023, LockBit dominait le classement en termes d’attaques recensées, avec plus de 1000 organisations publiquement exposées.
L’opération « Cronos », menée conjointement par Europol et la gendarmerie nationale, a réussi à porter un coup significatif à l’infrastructure de ce réseau de cybercriminels, constituant une étape cruciale dans la lutte contre les activités de LockBit.
Toutefois, ce succès ne marque pas la fin des cyberattaques. Selon le X-Force Threat Intelligence Index d’IBM, 59 % des attaques recensées en France visent le secteur des services aux entreprises, soulignant l’importance pour ces dernières de se préparer à faire face à de telles crises. Dans ce contexte, David Corona, ancien du GIGN, et Anne-Gervaise Vendange, spécialiste en profilage et systèmes chez In_cognita, proposent une méthodologie destinée à préparer les entreprises à anticiper et gérer efficacement les crises cyber comme celles de LockBit.
1. Construire une forteresse numérique : la préparation avant tout
« La première ligne de défense contre une crise cyber, c’est la préparation et l’anticipation. Si vous attendez que l’attaque se produise, il est déjà trop tard, » prévient David Corona. La création d’un plan de réponse aux incidents, incluant des procédures claires et des rôles définis, est essentielle. La formation continue et les simulations de crise permettent d’évaluer et de renforcer la réactivité de l’organisation.
David Corona insiste sur l’importance de la vigilance proactive : « Il ne s’agit pas seulement de construire des murs plus hauts, mais de développer une culture de la sécurité au sein de chaque équipe. » Anne-Gervaise Vendange ajoute : « Chaque employé doit être un gardien de la sécurité numérique, conscient des menaces et armé pour y faire face. » Chez In_cognita , ils encouragent les entreprises à adopter une approche holistique, qui tient compte non seulement des aspects techniques, mais aussi du facteur humain. « La technologie évolue rapidement, mais les principes de la sécurité de l’information restent les mêmes. C’est en alliant technologie et compétence humaine que nous pouvons espérer rester un pas devant les cybercriminels, » conclut David Corona.
Pour approfondir leur expertise, In_cognita propose des ateliers de travail centrés sur la sensibilisation aux risques cyber, en mettant l’accent sur des scénarios réalistes et sur l’importance d’une communication efficace lors d’incidents. « En simulant des attaques dans un environnement contrôlé, nous préparons les dirigeants à reconnaître rapidement une menace et à agir de manière décisive pour minimiser les dommages, » explique Anne-Gervaise Vendange. Ces initiatives visent à établir une routine de sécurité qui devient une seconde nature pour tous les membres de l’organisation.
2. Honnêteté et ouverture : les piliers de la confiance en temps de crise
« En période de crise, la transparence est votre alliée. Informer sans délai ni détour renforce la confiance et la résilience, tant en interne qu’avec vos clients » souligne Anne-Gervaise Vendange. La communication transparente aide à maintenir la confiance des parties prenantes et peut même améliorer la réputation de l’entreprise en démontrant son engagement envers la sécurité et l’intégrité.
David Corona appuie cette idée en affirmant : « La vérité est la meilleure ligne de défense dans le chaos d’une cyberattaque. Admettre rapidement une faille peut paraître contre-intuitif, mais cela permet de gérer les attentes et de mobiliser les efforts de rétablissement. » In_cognita met l’accent sur l’importance de préparer des plans de communication d’urgence, qui incluent des messages préapprouvés et des stratégies pour adresser les médias et les parties prenantes en cas d’incident. « Il ne s’agit pas de dévoiler chaque détail technique, mais de reconnaître la situation, d’informer sur les mesures prises et de rassurer sur les actions à venir, » explique Anne-Gervaise Vendange.
3. Au-delà de la technologie : la dimension humaine de la cybersécurité
« Nous avons observé que les aspects techniques, bien qu’essentiels, ne sont qu’une partie de la solution. La crise se gagne ou se perd sur le terrain humain, » affirme David Corona. L’accompagnement psychologique des équipes, le leadership efficace et la communication interne sont des aspects qu’In_cognita met en avant pour maintenir la cohésion et l’efficacité en période de crise.
Pour illustrer la pertinence de cette approche, Anne-Gervaise Vendange explique : « La technologie peut créer des barrières, mais c’est l’humain qui les franchit. Nous formons les dirigeants et leurs équipes à détecter les signaux faibles, à réagir avec empathie et à prendre des décisions éclairées sous pression. »
L’entreprise s’engage également à développer des programmes de bien-être pour les employés, reconnaissant que le stress et la fatigue peuvent compromettre la vigilance nécessaire pour combattre les menaces cybernétiques. « S’assurer que les équipes sont non seulement techniquement préparées, mais aussi psychologiquement soutenues, c’est augmenter notre résilience globale, » considère David Corona.
4. Unir les forces pour renforcer la cyberdéfense
« Le partage d’informations et la collaboration entre entreprises, autorités et spécialistes en cybersécurité créent un réseau de défense beaucoup plus résilient, » conseille Anne-Gervaise Vendange. Elle encourage les entreprises à participer à des forums et des groupes de travail sur la sécurité pour partager les tendances, les tactiques et les solutions en matière de cybersécurité.
David Corona renchérit sur cette idée, soulignant l’importance de l’intelligence collective : « Face à des adversaires organisés et constamment en évolution, l’isolement est notre plus grand ennemi. En unissant nos connaissances et nos ressources, nous formons un front uni beaucoup plus difficile à pénétrer. » In_cognita promeut une approche intégrée de la cybersécurité où la mise en commun des expertises et des expériences enrichit la capacité de chaque acteur à anticiper et réagir aux menaces.
Pour faciliter cette union des forces, In_cognita propose des plateformes d’échange et des programmes de mentorat où les nouveaux venus dans le domaine peuvent bénéficier de l’expérience des vétérans, et où les innovations peuvent être rapidement diffusées et adoptées. « C’est en partageant nos succès et nos échecs que nous apprenons et nous améliorons. La cybersécurité n’est pas une compétition, mais une coopération pour la sécurité de tous, » affirme Anne-Gervaise Vendange.
5. La négociation avec les cyberattaquants : une arme à double tranchant
« Négocier avec les attaquants peut parfois sembler contre-intuitif, mais utilisé correctement, elle peut fournir des informations vitales et gagner du temps pour une réponse technique, » explique David Corona. Cependant, il met en garde contre le paiement des rançons sans une analyse approfondie des risques et des conséquences potentielles.
Anne-Gervaise Vendange appuie cette notion avec prudence, « La négociation n’est pas un blanc-seing pour céder aux exigences des attaquants. C’est une stratégie délicate qui doit être menée par des experts formés à cette confrontation particulière. »
L’accent est également mis sur l’importance de préparer les équipes internes à gérer ces situations tendues. « Des simulations de négociation peuvent aider à comprendre la psychologie des attaquants et à élaborer des contre-mesures efficaces, » indique Anne-Gervaise Vendange. In_cognita insiste sur le fait que payer une rançon ne doit jamais être le plan A, et souvent, pas même le plan B, mais que cela doit être considéré uniquement après avoir épuisé toutes les autres options stratégiques et en plein accord avec les autorités compétentes. « Il faut toujours garder à l’esprit que chaque décision prise pendant une crise a des répercussions à long terme sur la sécurité de l’organisation, » souligne David Corona.
6. De l’échec à l’opportunité : tirer les leçons des crises
« Chaque incident doit être une source d’apprentissage. Analyser ce qui a bien fonctionné et ce qui n’a pas permis d’ajuster et d’améliorer continuellement les stratégies de sécurité, » affirme Anne-Gervaise Vendange. In_cognita recommande de conduire des débriefings post-crise et d’intégrer les enseignements dans les plans de sécurité et de réponse aux incidents.
David Corona renforce cette approche en déclarant : « Un débriefing efficace transforme les erreurs en étapes vers la réussite. En reconnaissant ouvertement les lacunes, nous créons une culture où l’innovation sécuritaire est alimentée par l’expérience vécue. » In_cognita encourage une pratique régulière de tests de pénétration et d’audits de sécurité pour identifier les vulnérabilités avant qu’elles ne soient exploitées.
L’importance de documenter chaque incident est également soulignée : « Le détail des cyberattaques antérieures, y compris les tactiques des assaillants et les réactions de l’entreprise, est une mine d’or pour la formation et le renforcement des défenses, » explique Anne-Gervaise Vendange. « Ce n’est qu’en comprenant les erreurs du passé que nous pouvons espérer sécuriser notre avenir numérique, » conclut David Corona.
À LIRE AUSSI :
LockBit : une renaissance dans un avenir proche ?
LockBit a su s’imposer depuis septembre 2019 grâce à son modèle RaaS – Ransomware-as-a-Service. Ce système leur permet de distribuer leur logiciel malveillant à travers un réseau d’affiliés qui orchestrent les attaques, élargissant ainsi leur spectre d’action et leur nombre de cibles. Dans leur arsenal, la technique de la double extorsion est une corde redoutable : après le chiffrement des données des victimes, si la rançon n’est satisfaite, ces dernières se voient exposées par la publication de leurs informations sur le blog du groupe.
Comme rappelé par Check Point Research, les industries manufacturières et le secteur de la vente au détail, représentant près de 25 % des cibles, sont les plus affectés, avec une empreinte particulièrement forte aux États-Unis, au Royaume-Uni, en France, en Allemagne et au Canada.
Récemment, LockBit a été au cœur d’une controverse sur une plateforme clandestine russe de renom, conduisant à son exclusion du territoire pour pratiques commerciales peu scrupuleuses. Cette action légale représente un coup dur pour le groupe, s’ajoutant à l’ostracisation préalable sur deux forums russes de cybercriminalité de premier plan. Il est plausible que la convergence de ces événements affecte substantiellement les opérations de LockBit, entravant leur capacité à recruter et à fidéliser des affiliés, et ébranlant leur réputation. Toutefois, il est coutumier que ces entités ne s’éteignent pas sans réagir. Ainsi, il serait prudent de s’attendre à une renaissance sous un nouveau nom ou une nouvelle marque dans un avenir proche.
