“Un fournisseur de services gérés est considéré comme un service informatique externalisé”, a déclaré Eugene Ishis (photo), directeur de la souscription Cyber & Tech chez Tokio Marine HCC – Cyber & Professional Lines Group (CPLG). Entreprises basées à Houston, Texas. “Ils fournissent une variété de services informatiques, tels que l’hébergement de données, les services de sauvegarde et de récupération, la gestion du réseau, les mises à jour logicielles et la surveillance de la sécurité.”
Alors que les grandes entreprises les utilisent, les petites et moyennes entreprises ont également tendance à s’y fier fortement.
Il a déclaré que les MSP permettent à ces entreprises de “se concentrer sur leur cœur de métier, d’économiser de l’argent en n’engageant pas d’employé informatique en interne, ce qui peut être coûteux, et de croire que leurs systèmes informatiques sont gérés par des experts en informatique”.
Le type de politique le plus courant pour les MSP est la politique relative aux erreurs et omissions techniques.
“Les MSP sont en fait le type de classe le plus courant que nous voyons lorsque nous souscrivons aux entreprises technologiques. Ils sont partout », a-t-il déclaré. “Nous avons beaucoup d’expérience en les garantissant directement ainsi qu’un grand nombre de leurs clients. Les MSP sont utilisés par une variété d’entreprises et d’industries, de l’éducation et de la fabrication aux soins de santé. Nous voyons les deux côtés du spectacle : les MSP eux-mêmes et leurs clients. »
Des défis uniques
Les MSP peuvent travailler n’importe où, mais des défis surviennent en matière de cybersécurité. “En raison du grand nombre de clients qu’ils ont, les MSP ont accès à un large éventail de données clients, ce qui en fait généralement une cible importante pour les pirates”, a expliqué Eychis. De nombreux clients sont souvent gérés sur le même service ou réseau, “ce qui peut augmenter le risque d’attaque”, a-t-il déclaré. Essentiellement, les pirates peuvent accéder simultanément aux systèmes informatiques de plusieurs entreprises.
Les MSP ont généralement des privilèges administratifs qui leur donnent “des autorisations spéciales à l’échelle du système qui permettent aux utilisateurs d’apporter certaines modifications”. Par conséquent, les pirates peuvent soudainement se retrouver avec ces privilèges en main, car ils peuvent “installer des programmes et accéder à de nombreux fichiers importants”.
De nombreux MSP s’appuient sur RMM (logiciel de surveillance et de gestion à distance) “pour accéder à distance aux systèmes de leurs clients. Si le système d’un MSP est compromis, les pirates peuvent utiliser le même logiciel RMM pour accéder aux systèmes de leurs clients et installer des logiciels malveillants ou lancer des attaques de rançongiciels. .”
Cela fait du MSP une sorte de trésor pour le pirate informatique.
“Du point de vue d’un pirate informatique, il est bien préférable d’accéder à un seul MSP qui a de nombreux clients avec des données sensibles que d’essayer d’accéder à lui seul à différentes entreprises séparément”, a déclaré Ishis. “Une fois dans le réseau MSP, le pirate pourrait potentiellement exiger une demande de rançon du MSP et/ou pourrait exiger des rançons individuelles de clients individuels du MSP. Nous avons vu cela se produire”, avec une demande d’attaque de rançon, où le pirate a demandé une importante demande de rançon de la part du MSP, les clients concernés ont reçu des demandes de rançon plus petites.
Cela crée une situation où le MSP fait face à la responsabilité de ses clients, sans parler des atteintes à la réputation.
Solution
Alors, que peuvent faire les MSP pour empêcher une attaque de ransomware et mieux se protéger d’une telle situation potentiellement dévastatrice ?
“Certainement pas une sorte de solution miracle, mais une combinaison d’éléments clés irait loin”, a déclaré Ishis.
Ils peuvent inclure :
- Avoir MFA (Multi Factor Authentication) en place, en particulier pour RMM.
- Avoir EDR (Endpoint Detection and Response) en place pour tous les terminaux. EDR est un outil de surveillance continue, qui enregistre et stocke les comportements à l’échelle du système et détecte les comportements suspects du système.
- Avoir des sauvegardes système hors ligne.
- Organisez une formation sur l’hameçonnage avec les employés.
- Soyez sélectif et restreignez qui a des privilèges administratifs spéciaux, ainsi que procédez à des examens réguliers de ces entrées.
- Assurez-vous d’obtenir une cyber-assurance appropriée auprès d’un opérateur qui a de l’expérience avec les MSP.
Sur le dernier point, il explique qu’une police peut “aider à atténuer les coûts d’un événement de ransomware. La couverture est relativement peu coûteuse en termes de dommages financiers et de réputation potentiels d’être exposé à une attaque de ransomware et d’avoir à y faire face sans assurance. “