Les entreprises victimes d’une compromission ne sont pas à l’abri d’une seconde cyberattaque dans les mois suivent. Les experts en cyber nous décrivent deux cas d’attaques avec quelques mois d’intervalle.

Quand y’en a plus, et ben y’en a encore ! Sortir d’une cyberattaque ne signifie pas que les hackers vont s’arrêter là. Quel que soit l’état de l’entreprise, les cybercriminels peuvent revenir pour terminer le travail ou passer le flambeau à d’autres « confrères » qui profiteront des faiblesses de la victime. En 2022, la société de cybersécurité Cybereason indiquait dans un rapport que 74 % des sociétés qui ont versé une somme aux pirates ont eu droit à une nouvelle attaque, moins d’un mois après la première. Même si la statistique est considérée comme exagérée dans le milieu de la cyber, cela mérite en revanche de se pencher sur des cas de seconde attaque, plus courants qu’on ne le croit.

AISI, entreprise de cybersécurité spécialisée dans les ETI, PME et services publics, nous a présenté deux cas d’attaques rencontrées en 2023. Après avoir subi une première compromission, l’organisme ciblé vit, six mois plus tard, une nouvelle cyberattaque par ransomware. « Le souci réside d’abord dans le manque d’enquête. L’entreprise alertée parvient à arrêter la compromission. Une fois que l’état des lieux est fait et que le système peut être redémarré, elle relance pleinement son activité par souci de production », nous raconte Rodolphe Amewoui, directeur technique chez AISI.

« En relançant la machine aussi vite, on perd énormément d’informations pour comprendre l’origine de l’attaque. Quant au cybercriminel, il voit qu’il a toujours ses accès chez la victime. Il peut donc relancer le travail d’infiltration dans le système jusqu’à lancer le chiffrement de données, comme ce fut le cas pour la victime », ajoute l’expert en cyber.

Des vulnérabilités à combler

Dans l’autre cas, l’attaque a été menée, plus en profondeur, et la victime refuse de payer la rançon. Malgré la reconstruction du système, elle est victime d’un nouveau ransomware quelques mois plus tard. « Si on ne corrige pas toutes les failles qui ont permis la compromission, il y a de forte probabilités de cyberattaques. Les groupes de ransomware discutent entre eux. C’est un petit milieu et tout le monde cherche à se faire de l’argent. Ils se partagent donc des victimes et des organismes déjà fragilisés », nous explique Pierre-Antoine Bonifacio manager cybersécurité chez AISI.

Une série de revendications sur le site de Lockbit. // Source : Numerama
Cet été, le groupe Lockbit a revendiqué une dizaine d’attaques, dont une majorité contre des PME françaises. // Source : Numerama

« Ici, c’est le travail d’assainissement qui sera déterminant. Il ne suffit pas de restaurer les données, il faut combler toutes les failles pour éviter que les attaquants reprennent les mêmes brèches », précise-t-il. Les TPE, PME et ETI ont été particulièrement visées en 2022 par les cyberattaques. Elles représentent 40 % des attaques par rançongiciel traitées ou rapportées à l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2022. Et, pour certaines entreprises spécialisées dans le numérique, perdre l’ensemble de ses dossiers et interfaces client en un soir, c’est synonyme de faillite.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.