Au-delà du battage médiatique, le principal enseignement que l’on peut tirer de cet événement est que seuls les négligents ont été touchés.
‘WannaCry ? Smile, you have WatchGuard !’
En effet, il semble qu’aucune entreprise ou organisation ayant mis en place une politique de cyber sécurité strictement mise à jour n’ait été touchée. Notamment, tous nos clients sont dans ce cas.
Notre slogan ci-dessus en réponse à cette attaque en est la meilleure illustration.
Examinons les faits :
- Le ransomware appelé WCry 2.0, WannaCry 2.0 ou WannaCryptor 2.0, exploite une faille SMB dans les systèmes Windows, identifiée en mars dernier par la NSA, et qui a fait l’objet d’un correctif, le MS-017-010, diffusé par Microsoft dans les jours qui ont suivi.
- Le ransomware est connu par l’industrie de la sécurité depuis avril 2017, car il a été publié par un groupe de pirates, les « Shadow Brokers », qui affirme avoir piraté la NSA pour obtenir les détails de la faille.
- Le ransomware n’infecte que les ordinateurs tournant sur d’anciennes versions de Windows, en premier lieu Windows XP, qui n’est plus mis à jour par Microsoft. Windows 10, par exemple, n’est pas touché.
En conséquence, il apparaît que seules ont été touchées par le ransomware les entreprises et organisations qui :
- N’ont pas mis à jour l’OS Windows de leurs systèmes avec le correctif MS-017-010, disponible depuis mars 2017, pour corriger la faille.
- Ne disposent pas d’une passerelle antivirus de nouvelle génération capable, si elle a été correctement mise à jour, de détecter WannaCry. Celle fournie par WatchGuard par exemple, est dans ce cas.
- Ne disposent pas d’une solution de protection contre les menaces avancées, appelées APT ou ‘zero day’, capables d’identifier les malwares temporairement non détectables par les passerelles antivirus. APT Blocker de WatchGuard en particulier, est capable de détecter toutes les variantes de WannaCry.
- Ne disposent pas d’une solution de prévention contre les intrusions (IPS) performante et à jour. La solution IPS de WatchGuard par exemple, est capable d’identifier la faille dans Windows que WannaCry utilise pour se diffuser dans les réseaux.
En conclusion, cette nouvelle cyber attaque majeure nous confirme une fois encore que :
- Les nouvelles cyber menaces qui sont à l’œuvre aujourd’hui ne tolèrent plus la moindre négligence en matière de sécurité de la part des entreprises et organisations.
- La mise en place de politiques de sécurité strictement mises à jour sur toute le périmètre des réseaux d’entreprise – un seul poste vulnérable suffit pour diffuser un malware tel que WannaCry – est devenue indispensable.
- Les anciennes technologies de sécurité, notamment les antivirus d’ancienne génération encore présent dans de nombreuses entreprises, n’offrent plus qu’une protection illusoire.
