Le ransomware constitue la plus grande cybermenace pour les PME suisses. Les dommages vont d’interruptions d’activit\u00e9 de plusieurs jours au paiement de ran\u00e7ons, en passant par la perte totale de donn\u00e9es. Pourtant, une id\u00e9e re\u00e7ue persiste : de nombreuses entreprises croient que les groupes de ransomware utilisent des exploits zero-day sophistiqu\u00e9s contre lesquels il est quasiment impossible de se prot\u00e9ger. La r\u00e9alit\u00e9 est diff\u00e9rente, et elle est \u00e0 la fois pr\u00e9occupante et encourageante.<\/p>\n
La grande majorit\u00e9 des attaques par ransomware ne repose pas sur des vuln\u00e9rabilit\u00e9s zero-day, mais sur des failles de s\u00e9curit\u00e9 connues et document\u00e9es depuis longtemps<\/strong>, pour lesquelles des correctifs sont disponibles. Les \u00e9tudes montrent que plus de 80 pour cent des attaques par ransomware r\u00e9ussies exploitent des vuln\u00e9rabilit\u00e9s connues depuis des mois, voire des ann\u00e9es.<\/p>\n Cela signifie que ces attaques auraient pu \u00eatre \u00e9vit\u00e9es dans la plupart des cas. Non pas gr\u00e2ce \u00e0 une technologie co\u00fbteuse, mais par une gestion rigoureuse des vuln\u00e9rabilit\u00e9s.<\/p>\n Le Centre national pour la cybers\u00e9curit\u00e9 (NCSC, aujourd’hui OFCS) de la Suisse a enregistr\u00e9 en 2023 et 2024 un flux constant de signalements de ransomware, notamment de la part des PME. Les vecteurs d’entr\u00e9e les plus fr\u00e9quents sont d’une pr\u00e9visibilit\u00e9 alarmante.<\/p>\n Les appliances VPN de Fortinet, Citrix, Ivanti et Pulse Secure figurent parmi les cibles pr\u00e9f\u00e9r\u00e9es des groupes de ransomware. La raison est simple : ces appareils sont directement expos\u00e9s sur Internet et offrent, en cas d’exploitation r\u00e9ussie, un acc\u00e8s imm\u00e9diat au r\u00e9seau interne.<\/p>\n Certaines des vuln\u00e9rabilit\u00e9s les plus d\u00e9vastatrices de ces derni\u00e8res ann\u00e9es concernaient pr\u00e9cis\u00e9ment ces syst\u00e8mes :<\/p>\n Le plus pernicieux : de nombreuses PME utilisent ces appareils sans savoir quelle version de firmware est install\u00e9e ni si des vuln\u00e9rabilit\u00e9s connues les affectent. L’appliance \u00ab fonctionne \u00bb : c’est pr\u00e9cis\u00e9ment le probl\u00e8me.<\/p>\n Le RDP expos\u00e9 reste l’un des vecteurs d’entr\u00e9e de ransomware les plus fr\u00e9quents. Les attaquants utilisent soit des attaques par force brute sur des mots de passe faibles, soit des vuln\u00e9rabilit\u00e9s RDP connues comme BlueKeep (CVE-2019-0708). Tout syst\u00e8me dont le port RDP (3389) est directement accessible depuis Internet est rep\u00e9r\u00e9 en quelques heures par des scanners automatis\u00e9s.<\/p>\n Les serveurs Exchange on-premise ont \u00e9t\u00e9 une cible privil\u00e9gi\u00e9e ces derni\u00e8res ann\u00e9es. Les vuln\u00e9rabilit\u00e9s ProxyShell et ProxyLogon (CVE-2021-26855 et apparent\u00e9es) permettaient l’ex\u00e9cution de code \u00e0 distance sans authentification. De nombreuses PME exploitent encore des serveurs Exchange qui ne sont pas enti\u00e8rement patch\u00e9s.<\/p>\n Les installations WordPress avec des plugins obsol\u00e8tes, les syst\u00e8mes Joomla ou les applications web d\u00e9velopp\u00e9es en interne pr\u00e9sentant des vuln\u00e9rabilit\u00e9s d’injection SQL offrent \u00e9galement des points d’entr\u00e9e. Via une application web compromise, un attaquant peut souvent acc\u00e9der au serveur sous-jacent et se d\u00e9placer ensuite dans le r\u00e9seau.<\/p>\n \u00ab Nous avons des sauvegardes, donc nous sommes prot\u00e9g\u00e9s. \u00bb Cette phrase revient dans presque chaque discussion avec une PME sur le ransomware. Et elle est fondamentalement erron\u00e9e.<\/p>\n Les sauvegardes sont un \u00e9l\u00e9ment important de la strat\u00e9gie de r\u00e9cup\u00e9ration, mais elles n’emp\u00eachent pas une attaque. Les groupes de ransomware modernes ont fait \u00e9voluer leurs tactiques :<\/p>\n La pr\u00e9vention, c’est-\u00e0-dire emp\u00eacher l’acc\u00e8s initial, est sup\u00e9rieure \u00e0 toute mesure r\u00e9active. Et c’est pr\u00e9cis\u00e9ment l\u00e0 qu’intervient la gestion des vuln\u00e9rabilit\u00e9s.<\/p>\n La gestion des vuln\u00e9rabilit\u00e9s r\u00e9duit la surface d’attaque avant qu’un attaquant ne puisse l’exploiter. Le processus est clair :<\/p>\n \u00c9tant donn\u00e9 que les appliances VPN figurent parmi les points d’entr\u00e9e les plus critiques, elles m\u00e9ritent une attention particuli\u00e8re. Mais c’est pr\u00e9cis\u00e9ment l\u00e0 que r\u00e9side le d\u00e9fi : de nombreux scanners de vuln\u00e9rabilit\u00e9s d\u00e9tectent les ports ouverts, mais ne parviennent pas \u00e0 d\u00e9terminer de mani\u00e8re fiable la version sp\u00e9cifique du firmware d’une appliance Fortinet ou Ivanti.<\/p>\n ExposIQ r\u00e9sout ce probl\u00e8me avec une approche sp\u00e9cialis\u00e9e : 28 chemins de connexion diff\u00e9rents<\/strong> pour les produits VPN et d’acc\u00e8s \u00e0 distance courants sont v\u00e9rifi\u00e9s de mani\u00e8re cibl\u00e9e, combin\u00e9s \u00e0 des milliers de templates Nuclei testant des vuln\u00e9rabilit\u00e9s sp\u00e9cifiques de ces produits. Ainsi, ce ne sont pas seulement les ports ouverts qui sont d\u00e9tect\u00e9s, mais la vuln\u00e9rabilit\u00e9 r\u00e9elle de l’appliance qui est d\u00e9termin\u00e9e.<\/p>\n L’Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS, anciennement NCSC) recommande express\u00e9ment aux entreprises suisses de r\u00e9aliser des scans de vuln\u00e9rabilit\u00e9s r\u00e9guliers comme pilier de la cyberd\u00e9fense. Les recommandations concr\u00e8tes comprennent :<\/p>\n Toutes ces recommandations supposent que vous savez quels syst\u00e8mes fonctionnent dans votre r\u00e9seau et quelles vuln\u00e9rabilit\u00e9s existent. Sans gestion des vuln\u00e9rabilit\u00e9s, vous op\u00e9rez \u00e0 l’aveugle.<\/p>\n La pr\u00e9vention du ransomware ne doit pas commencer par un budget de plusieurs millions. Une approche pragmatique pour les PME se pr\u00e9sente ainsi :<\/p>\n ExposIQ accompagne les PME suisses dans cette d\u00e9marche. Avec plus de 35 moteurs de scan, 64’000 CVE et des v\u00e9rifications sp\u00e9cialis\u00e9es pour les passerelles VPN, la plateforme couvre les vecteurs d’entr\u00e9e de ransomware les plus fr\u00e9quents. H\u00e9berg\u00e9e en Suisse, conforme \u00e0 la nLPD et disponible d\u00e8s CHF 99 par mois. Parce que la pr\u00e9vention est toujours moins co\u00fbteuse que la restauration : exposiq.ch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Le ransomware constitue la plus grande cybermenace pour les PME suisses. Les dommages vont d’interruptions d’activit\u00e9 de plusieurs jours au paiement de ran\u00e7ons, en passant par la perte totale de donn\u00e9es. Pourtant, une id\u00e9e re\u00e7ue persiste : de nombreuses entreprises croient que les groupes de ransomware utilisent des exploits zero-day sophistiqu\u00e9s contre lesquels il est … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"pr\u00e9vention ransomware gestion vuln\u00e9rabilit\u00e9s","rank_math_title":"Pr\u00e9vention des ransomwares par la gestion des vuln\u00e9rabilit\u00e9s","rank_math_description":"La plupart des attaques ransomware exploitent des vuln\u00e9rabilit\u00e9s connues. RDP, appliances VPN et Exchange sont les points d'entr\u00e9e les plus courants.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1177","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1177"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1177\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Les points d’entr\u00e9e les plus fr\u00e9quents du ransomware<\/h2>\n
1. Passerelles VPN et appliances d’acc\u00e8s \u00e0 distance<\/h3>\n
\n
2. Remote Desktop Protocol (RDP)<\/h3>\n
3. Microsoft Exchange Server<\/h3>\n
4. Applications web et CMS obsol\u00e8tes<\/h3>\n
Pourquoi la sauvegarde seule ne constitue pas une pr\u00e9vention<\/h2>\n
\n
Le scanning continu comme strat\u00e9gie de pr\u00e9vention<\/h2>\n
\n
V\u00e9rifier sp\u00e9cifiquement les passerelles VPN<\/h2>\n
Appliquer les recommandations de l’OFCS<\/h2>\n
\n
L’approche pragmatique pour les PME<\/h2>\n
\n