Cette semaine, la faille de la semaine concerne Citycomp. Le fournisseur de services TI allemand a été victime d’une cyber-attaque de rançonnage. Les cyber-criminels auraient, selon leurs dires, opéré un vol de données portant sur 516 Go de données. Ces données contiendraient des informations financières et privées sur tous les clients de Citycomp. Quelles leçons tirer de cette nouvelle violation de données?
Cette semaine encore a vu son lot de violations de données révélées. J’avais évoqué ce sujet il y a quelques semaines déjà dans un article intitulé Violation : un gouffre financier évitable?. Malheureusement, une fois encore le butin des cyber-criminels est important. Quelques 516 Go de données réparties dans pas moins 51.025 répertoires contenant plus de 312,570 fichiers de données personnelles et financières. Et une fois encore, il s’agit d’une attaque de rançonnage.
Les faits : Citycomp victime de rançonnage
A l’origine, il y a une cyber-attaque de rançonnage sur le fournisseur allemand de service TI. Début Avril, les cyber-criminels ont informé Citycomp qu’ils détenaient une grande quantité de données volées sur leur système informatique. Ils leur demandaient de payer une rançon de l’ordre de 5.000$ en Bitcoins avant la fin du mois. A défaut, ils communiqueraient publiquement les données dérobées. Apparemment, l’entreprise a d’abord investigué pour identifier comment les pirates avaient procédé. Elle aurait alors envisagé de payer la rançon.
Puis il semble qu’ayant identifié la faille, Cyticomp ait pris des mesures pour la combler. Suite à cela, la compagnie allemande a finalement refusé de payer la rançon. Les cyber-criminels ont alors eu un mois pour créer un site sur le dark web afin de mettre leur menace à exécution. C’est sur ce site que toutes les données dérobées sont désormais visibles publiquement.
Des clients prestigieux parmi les victimes collatérales
Citycomp est une firme allemande qui se présente elle-même sur son site web comme un prestataire de services de maintenance et d’infrastructure multi-fournisseurs pour tous les systèmes informatiques courants. Etrangement lorsqu’on cherche sur son site web, le mot sécurité n’apparaît nulle part. Pas non plus, dans ses équipes, de trace d’un CISO ou même d’un RSSI. Il ne semble vraiment pas que le sujet des cyber-risques ait été placé par sa gouvernance au centre des préoccupations de l’organisation.
Citycomp, qui affirme maintenir plus de 70 000 serveurs et systèmes de stockage «de tous types et de toutes tailles» dans 75 pays, a annoncé dans un communiqué qu’elle avait «réussi à contrer une attaque informatique» début avril et qu’elle n’avait aucune intention de se conformer à la tentative rançonnage.
Le portefeuille clients de Citycomp est pour le moins prestigieux : on y trouve Airbus, Atos, British Telecom, Dekra, Edeka, Ericsson, Hugo Boss, Kaufland, le groupe hôtelier NH, Oracle, Leica, Rewe, SAP, T-Systems, Toshiba, Unicredit, ou encore Volkswagen. Parmi ces entreprises, certaines manipulent des données classées secret défense. Certaines d’entre elles fournissent même des services professionnels de sécurité pour leurs clients. On ne peut donc que s’étonner de l’absence d’anticipation d’une telle attaque par ces entreprises. Apparemment, un audit de sécurité de leur prestataire aurait dû les dissuader de traiter avec un tel sous-traitant.
La réaction à défaut de prévention
Citycomp ayant refusé de céder à la tentative de rançonnage, les données volées sont désormais téléchargeables librement sur Internet. Le prestataire indique avoir communiqué avec ses clients dès la découverte de l’incident, à savoir début avril.
Citycomp a indiqué que les données ne pourraient pas être préservées, étant donné son refus de capituler. La «transparence totale» étant strictement observée, la société à tenu ses clients informés «dès le départ», a-t-elle déclaré.
Auprès du Handelsblatt, Volkswagen indique examiner l’incident. La firme estime cependant qu’à ce jour, il n’y a rien de confidentiel dans les données volées.
Dans sa déclaration publique, Citycomp communique avoir été amenée à « déconnecter quelques systèmes pour des raisons de sécurité » dans le cadre de la procédure de remédiation. L’entreprise assure également avoir adopté « des mesures techniques et organisationnelles additionnelles pour améliorer la sécurité » de son environnement. Il est dommage cependant que, comme souvent, il ait fallu attendre l’incident pour prendre de telles mesures.
Des mesures prises beaucoup trop tard
Au Spiegel, Citycomp fait état d’une compromission initiale par un vecteur « classique », mais ne fournit pas de détail.
Alors que Citycomp a déclaré que la cyber-attaque avait été stoppée, une société de sécurité avec laquelle elle travaille et qui était autorisée à parler à Motherboard a déclaré que, mardi, l’attaque était toujours en cours.
« Citycomp a été piraté et soumis à un chantage et l’attaque se poursuit. Nous devons être prudents car toute l’affaire est sous enquête policière et l’attaquant tente toutes les ruses. » (Michael Bartsch, directeur exécutif de Deutor Cyber Security Solutions)
C’est un groupe se faisant connaître sur le nom de « l’équipe Snatch » qui revendique l’opération. Il divulgue en plus des données présentées comme dérobées à la Bait Al Mal Ak Khaleeji (compagnie d’investissement), en Arabie Saoudite, au cabinet de conseil en communication KCSA, au spécialiste de la filtration Tecnicas Hidraulicas, ainsi qu’au cabinet comptable Myatt Blume & Osburn. Aucun d’entre eux ne semble avoir, à ce jour, communiqué publiquement sur le sujet.
Des cyber-criminels déjà connus pour du rançonnage
Les pirates ont créé un site sur .onion, le dark web accessible par le navigateur Tor. On peut y consulter et télécharger librement les données volées à Citycomp. La liste des victimes comprend des noms tels que Porsche, Oracle, Toshiba, le New Yorker, Ericsson, Leica, UniCredit, British Telecom, Hugo Boss, le groupe hôtelier NH et Airbus, parmi beaucoup d’autres. Sur le site, les pirates prétendent avoir «312 570 fichiers dans 51 025 dossiers, plus de 516 Go de données, financières et privées sur tous les clients».
Bartsch a confié à Motherboard qu’après avoir informé et prévenu tous les clients et avoir été totalement transparent, ceux-ci avaient apporté leur soutien «unanime».
Les pirates ont indiqué dans un courrier électronique à Motherboard que le but de la cyber-attaque était financier. En utilisant le pseudo « Boris Bullet-Dodger », ils ont confirmé qu’ils avaient réclamé 5.000$ à Citycomp. Sur le site utilisé, les pirates ont inclus une adresse e-mail permettant de les contacter. Cet e-mail est également l’adresse de contact dans au moins une campagne précédente de ransomware.
« Boris » prétend avoir « rôdé » dans les systèmes de Citycomp pendant un peu plus d’un mois. Il affirme avoir ciblé Citycomp en raison de « son système de sécurité absolument épouvantable ».
Le ou les pirates informatiques ont déclaré ne pas avoir l’intention de pratiquer un quelconque rançonnage sur les entreprises clientes elles-mêmes.
« Non, ces entreprises ne sont pas coupables du travail épouvantable de Citycomp. »
Quelles leçons tirer de cette violation de données?
Lorsqu’une organisation s’appuie sur une tierce partie pour supporter un de ses processus métier, elle accepte un certain niveau de risque. Bien sûr, parmi ces risques figure celui lié à la cybersécurité. Il est donc indispensable de suivre certaines étapes fondamentales pour déterminer l’étendue de votre exposition au risque. Vous devez alors planifier votre réponse à ces risques et votre rétablissement au cas où le risque se concrétiserait.
Attention à la rédaction des contrats de sous-traitance
Assurez-vous que les contrats avec des tiers comportent des sections détaillées sur les notifications de violation de données et des exigences de réponse. En cas de violation par un tiers, vous exigerez certainement une notification rapide avec des exigences détaillées sur les besoins du fournisseur. Cela devrait être une partie obligatoire de chaque contrat. Il est également indispensable d’inclure dans le contrat de sous-traitance une clause d’autorisation d’audit du système d’information de votre prestataire par vos soins.
Conservez un registre détaillé des traitements
Conservez des enregistrements détaillés sur les processus métier pris en charge par le tiers en question. Cela vous aidera à atteindre les principaux intervenants internes et à les intégrer aux processus de triage et de réponse aux incidents de sécurité. Cela vous aidera également à fournir des estimations initiales de la portée et de l’impact à la haute direction. N’oubliez pas que les incidents de sécurité nuisent gravement à la réputation et à l’image de l’entreprise.
Soyez pro-actifs
Comme je l’ai déjà mentionné lorsqu’on parle de rançonnage, se défendre contre une attaque déterminée et ciblée exige une défense en profondeur. En outre, comme dans bien des cas, mieux vaut prévenir que guérir. Pour commencer, assurez-vous que vos systèmes sont à jour des correctifs de sécurité et que votre protocole RDP (Remote Desktop Protocol) est bien sécurisé. Assurez vous également d’effectuer des sauvegardes régulières, complètes et hors site, avec des sauvegardes intermédiaires entre deux sauvegardes complètes.
Au delà de l’attaque par rançonnage, il existe de nombreux autres vecteurs d’attaque. Je vous propose de relire un article que j’ai écrit à ce sujet il y a quelques semaines : Top 5 des types de cyber-attaques en 2019.
Comprenez bien ce qui s’est passé
Les données exposées dans la violation de Citycomp comprenaient les codes de verrouillage physique ainsi que les codes de clavier numérique pour les zones sécurisées dans des installations d’hébergement partagées. La modification des codes numériques est probablement possible depuis un emplacement central. Par contre, la modification des paramètres physiques nécessite une intervention manuelle sur site.
Les attaquants ont également eu accès à ces données pendant une période non divulguée. Notons seulement que les cyber-criminels ont informé Citycomp début avril et que « Boris » indique s’être promené dans les systèmes de la société pendant un peu plus d’un mois. Il apparaît donc que ces données ont été exposées pendant une durée d’au minimum deux mois. Il est donc important de conserver un inventaire à jour de ce qui a été stocké dans ces zones durant cette période.
Prenez les assurances nécessaires pour réduire votre risque
Collaborez avec votre société d’assurances pour ajouter des risques cyber et physiques liés à des sous-traitants dans vos stratégies d’atténuation des risques. La cyber-assurance peut aider à couvrir les coûts supportés par votre organisation, qui peuvent inclure des pertes liées au temps et aux ressources d’investigation, une responsabilité pour la divulgation d’informations liée à la violation par un tiers et des pertes directes résultant de problèmes cyber-physiques. La cyber-assurance peut également vous permettre de faire appel aux ressources d’équipes d’enquêteurs dédiées pour gérer toute intervention directe ou à distance nécessaire.
Recrutez au plus vite un CISO si ce n’est déjà fait
Il est indispensable pour toute organisation de gérer la sécurité de ses informations. Les informations doivent être protégées comme tout autre actif de l’entreprise. Le recrutement d’un CISO est donc nécessaire dès lors que les informations sont au coeur de la stratégie de l’organisation. Le CISO est en charge de la sécurité des informations au sens large. Il ne doit donc en aucun cas être placé au sein du département informatique. Il doit occuper une position clé au sein du comité de direction et être en contact régulier avec le conseil d’administration. Pour en savoir plus, je vous invite à relire deux articles que j’ai publiés récemment sur ce blog : CISO – Responsabilités et compétences indispensables et 10 raisons majeures pour embaucher un CISO.
Considérez la mise en oeuvre d’un SMSI conforme à ISO 27001
La mise en oeuvre d’un SMSI conforme à la norme ISO 27001 constitue sans aucun doute une étape essentielle dans la sécurisation de votre système d’information. De plus, il y a fort à parier que les victimes collatérales de la cyber-attaque de rançonnage visant Citycomp seront désormais plus attentives à la qualité de leurs prestataires TI. Une certification ISO 27001 est un gage tant pour l’entreprise que pour ses clients qu’un SMSI est bien en place et en amélioration continue. Cela constitue clairement un avantage stratégique pour votre organisation.
Cet article vous interpelle? Les commentaires vous sont ouverts pour lancer la discussion. N’hésitez pas à faire vos remarques et à poser vos questions. Vous pouvez également nous laisser un petit « j’aime » sur notre blog ou vous abonner sur cette page recevoir une notification lors de la publication d’articles sur le site. Merci de nous suivre.