La panne des concessionnaires automobiles paralyse ces derniers depuis plusieurs jours. Les experts estiment qu'il s'agit là de la nouvelle norme en matière de cyberattaques.
Le plus récent incident cybernétique à recevoir une large attention poursuivit cette tendance : une incident en cours à CDK Global, dont le logiciel est utilisé par les concessionnaires automobiles pour gérer tout from scheduling to records, a rendu impossible l'exploitation des concessionnaires depuis plusieurs jours maintenant, sans fin en vue.
En mai, un cyberattaque sur Ascension, un réseau non lucratif basé à Saint-Louis comprenant 140 hôpitaux dans 19 États, a contraint le système de détourner des ambulances de plusieurs de ses hôpitaux. Il a mis presque un mois pour résoudre complètement le problème.
Et en février, un attaque de ransomware sur Change Healthcare, une filiale du groupe de santé massif UnitedHealth Group, a provoqué des perturbations de facturation dans les pharmacies aux États-Unis et menaçait de mettre certains fournisseurs de soins de santé hors d'affaires.
Les experts disent que les pirates informatiques deviennent de plus en plus sophistiqués et peuvent se cacher dans les systèmes d'une organisation pendant plus longtemps sans être détectés. Ces pirates visent les entreprises dans un style d'attaque en chaîne, en prenant entièrement des industries en chasse pour obtenir plus d'argent. Et certaines industries qui utilisent fréquemment des systèmes obsolètes, comme la santé, deviennent des cibles encore plus faciles.
"Nous ne pouvons même pas comparer ce qui se passait dix ans auparavant à ce qui se passe aujourd'hui," Dror Liwer, co-fondateur de la société de cybersécurité Coro, a déclaré à CNN. "Ils sont dans le jeu pour des gains beaucoup plus importants qu'avant."
Pourquoi les hacks sont si dévastateurs
Les pirates informatiques ne sont pas seulement plus sophistiqués, mais ils sont également plus patient, a déclaré Liwer.
Les pirates se cachent dans le cadre d'une organisation pendant un certain temps et se déplacent ensuite à travers ce cadre, affectant de multiples parties du système. Ils attendent qu'il soit le bon moment pour lancer des attaques. Et plus longtemps les pirates attendent, plus grand est le dommage.
"Lorsqu'ils lancent l'attaque et exécutent, c'est vraiment dévastateur pour l'organisation, ce qui génère alors plus de revenus pour eux," Liwer a déclaré.
Les experts avec lesquels CNN a parlé ont déclaré qu'il était difficile d'obtenir des détails spécifiques sur des cyberattiques individuelles immédiatement. En effet, les entreprises veulent protéger leur réputation de marque en cas de poursuites judiciaires. De plus, les organisations ne veulent pas révéler des détails spécifiques de l'attaque avant que l'enquête ne soit terminée, ont déclaré les experts, afin d'éviter les imitateurs potentiels.
Eric Noonan, PDG de CyberSheath, un fournisseur de cybersécurité, a déclaré que les attaques de ransomware généralement pénètrent par des voies telles qu'un courriel phishing. Ces pénétrations peuvent rester inchangées pendant des jours ou même des semaines, tandis que le pirate se déplace latéralement.
L'affichage réel de ransomware est souvent rapide et généralisé, Noonan a déclaré. La plupart des victimes découvrent qu'elles ont été piratées lorsqu'elles perdent l'accès à des fichiers importants ou reçoivent des notes de chantage numériques.
"Le ransomware est l'équivalent numérique de squatters qui s'emparent d'une maison. L'entrée initiale passe inaperçue, permettant aux squatters de s'installer et de contrôler la propriété, et lorsque les propriétaires remarquent qu'il y a un problème, le processus pour reprendre le contrôle et la propriété est perturbé et coûteux," Noonan a déclaré.
Bien que les entreprises aient utilisé des systèmes moins interconnectés au passé, le passage au cloud et la dépendance aux systèmes tiers – malgré leur aide à la conduite des opérations quotidiennes – créent des systèmes complexes plus susceptibles à des hacks larges.
"Cela crée également un bouclier et aide les agresseurs à se concentrer sur des types spécifiques d'infrastructure ou des plateformes cloud particulières," Noonan a déclaré.
Et les pirates visent expressément les organisations qui servent dans la chaîne d'approvisionnement des industries. En attaquant le logiciel de CDK par exemple, les pirates ont pu mettre l'industrie des concessionnaires automobiles debout. Change et Ascension, des chaînes hospitalières importantes, n'ont pas pu fournir des soins adéquats à leurs nombreuses succursales. Cela donne aux pirates de la traction pour demander des sommes de plus en plus importantes, a déclaré John Dwyer, directeur de la recherche en sécurité à Binary Defense, une entreprise de solutions de cybersécurité.
Même si les pirates disposent de plus de traction, la réussite de la règle de paiement d'un rançong et une récupération rapide est incertaine, ont déclaré les experts.
"Il n'y a jamais eu d'histoire écrite sur une entreprise qui a réussi à payer une rançong et à rapidement récupérer ses systèmes," Noonan a déclaré.
La santé est une cible facile
Noonan a déclaré que ce n'est pas forcément que les pirates deviennent plus avancés, mais que beaucoup d'organisations manquent de systèmes modernes et à jour. La plupart des organisations ne font pas de exercices d'incident response, ce qui explique pourquoi il prend plus longtemps pour récupérer de ces grandes hacks.
"Beaucoup de notre infrastructure critique est bien en arrière en termes de préparation pour la reconnaissance des menaces cybersécurité lorsqu'elles apparaissent, mais encore plus important, de la récupération de celles-ci," Noonan a déclaré.
Un rapport de la FBI a révélé que les attaquants de ransomware ciblaient le secteur de la santé et des services publics le plus.
Alors que les systèmes deviennent de plus en plus interconnectés, il y a seulement autant qu'une entreprise puisse faire pour entretenir sa cybersécurité – particulièrement lorsqu'elle dépend de systèmes tiers, comme c'est le cas des concessionnaires automobiles avec CDK.
"Les concessionnaires automobiles ne sont pas dans l'affaire de la cybersécurité, donc elles ne sont pas réellement aptes à protéger ce genre de système. C'est à charge du fournisseur," Cliff Steinhauer, directeur de la sécurité d'information et d'engagement à l'Alliance nationale de cybersécurité a déclaré.
Steinhauer a également déclaré qu'il s'agissait d'une partie de "jeu de chat et souris".
"Chaque fois que nous réparons quelque chose, le pirate peut toujours le casser. Et ils n'ont qu'à être juste une fois, nous devons être juste chaque fois," Steinhauer a déclaré.
Les attaques hospitalières ont connu une forte augmentation. Un infirmier qui travaille à l'hôpital Ascension Providence Rochester Hospital près
Autres disent que la santé est visée à cause de la technologie obsolète de ce domaine, a déclaré Steven McKeon, fondateur et PDG des sociétés logiciels MacguyverTech et MacNerd, dans un communiqué de presse. Cette technologie permet aux patients de demander des renouvellements de prescriptions, de consulter les résultats de tests et de planifier des rendez-vous, mais est également plus susceptible aux intrusions informatiques.
CNN a contacté Ascension et Change pour obtenir un commentaire.
Comment prévenir des arrêts prolongés
Dwyer a déclaré que les entreprises peuvent faire un meilleur usage de l'expertise tiers depuis que beaucoup des équipes de sécurité intérieures sont assez petites. Les meilleurs exemples utilisent une équipe intérieure qui est un expert des systèmes internes de l'organisation et engagent des fournisseurs de sécurité informatique tiers pour renforcer leur effectif.
Les entreprises peuvent également mettre en place des systèmes capables de regarder sur la sécurité dans leur entreprise.
Autres disent qu'il devrait y avoir des exigences minimales de sécurité informatique obligatoires pour les sociétés cotées en bourse. Ces normes minimales devraient être vues comme des ceintures de sécurité et de coussin gonflables, a déclaré Noonan — elles ne préventraient pas les accidents de se produire, mais les prépareraient mieux.
"Il y a beaucoup de sociétés logiciels ou fabricants critiques ou parties de chaînes de fournisseurs auxquelles les Américains n'ont jamais entendu parler – ces sociétés, les applications et le logiciel ou les pièces qu'elles fabriquent n'existent plus une fois qu'elles ne sont plus disponibles. Il y a beaucoup d'autres CDK's à la carte.", a déclaré Noonan.
Le CNN a contribué à ce rapport CNN's Sean Lyngaas.
Les pirates informatiques commencent de plus en plus à viser des industries à technologie obsolète, comme la santé, pour tirer plus d'argent des attaques de ransomware. Ces attaques peuvent toucher de nombreuses parties d'un système, les pirates cachant des agissements inconnus pendant un temps avant de lancer leurs attaques. Par exemple, l'incident cybernétique sur CDK Global a paralysé les concessionnaires automobiles pendant des jours, démontrant comment viser une industrie clé peut mettre toute l'industrie à l'arrêt.
Lorsque les systèmes deviennent de plus en plus interconnectés, les entreprises peuvent faire un meilleur usage de l'expertise tiers pour renforcer leurs mesures de sécurité informatique, particulièrement lorsqu'elles se appuient sur des systèmes tiers comme cela est le cas pour les concessionnaires automobiles avec CDK. L'implémentation de normes minimales de sécurité informatique obligatoires pour les sociétés cotées en bourse pourrait également les aider à s'adapter à ces attaques.
