Cyberattaque Kaseya: 1 an après

0

Alors que ce mois de juillet marque le premier anniversaire de l’attaque par des hackers du groupe REvil contre la société informatique américaine Kaseya, qui a touché plus de 1 000 de ses clients, les experts de Trellix reviennent sur les éléments marquants qui ont caractérisé cette cyberattaque.

Trellix tire de cette attaque quelques enseignements ci-après détaillés : 

  • Le premier réflexe à avoir est de signaler l’attaque aux autorités : L’un des principaux éléments différenciateurs de l’attaque contre Kaseya a été la réaction de l’entreprise, qui l’a signalée rapidement au FBI. Toutes les organisations devraient suivre cet exemple. En signalant rapidement l’attaque aux forces de l’ordre, l’impact des attaques par ransomware peut être minimisé. 
  • Vérifier l’état de la supply chain : L’attaque de Kaseya a montré l’ampleur que peuvent avoir les attaques de supply chain. Heureusement, l’impact de cette attaque spécifique n’a pas été aussi importante qu’elle aurait pu l’être. En revanche, toutes les organisations qui externalisent leur informatique et leur sécurité doivent procéder à une évaluation approfondie des risques et réaliser des audits de sécurité réguliers sur leur supply chain.
  • Adopter une stratégie d’authentification multifactorielle (MFA) : il convient de recommander aux entreprises d’activer l’authentification multifactorielle même pour leur MSP ou MSSP. Quant à l’accès au réseau, il doit se faire de manière la plus restrictive possible pour en assurer sa protection.

REvil et d’autres gangs de ransomware ont pris pour cible les MSP (Manager Service Provider) bien avant l’attaque contre Kaseya. Les cybercriminels sont principalement motivés par l’appât du gain et les organisations chargées d’assurer la sécurité de leurs clients ont beaucoup à perdre.

Les MSP et les MSSP (Managed Security Services Provider) ne peuvent pas laisser cet aspect obscurcir leur capacité à atténuer une attaque rapidement et stratégiquement. La mise en place d’un plan d’intervention en cas de cyberattaque et le signalement aux forces de l’ordre devraient être des réflexes à mettre en place dès le départ. Toute organisation qui passe un contrat de services avec une autre entreprise doit s’assurer que ceux à qui elle accorde des privilèges sont transparents dans leurs pratiques.

About Author

Avatar

Head of Cyber Investigations & Principal Engineer chez Trellix

Leave A Reply