En 2022, les entreprises doivent redoubler d’efforts pour affronter les ransomwares
En 2022, les entreprises doivent redoubler d’efforts pour affronter les ransomwares
John Shier, senior security advisor, chez Sophos partage son expertise.Dans le paysage des cybermenaces, cette constatation inquiétante entérine le fait que les cybercriminels continuent de privilégier les attaques par ransomwares. Si 2021 peut être considérée comme une année emblématique en termes de nombre d’attaques par ransomwares, les prévisions pour 2022 ne semblent pas meilleures. Selon une étude de Vanson Bourne, les motifs d’engagement en matière de réponse aux incidents en 2020-2021 concernaient des ransomwares dans 79% des cas. Il est donc primordial pour les entreprises d’organiser une stratégie de défense afin d’empêcher ces attaques de proliférer.Les techniques des cyber malfaiteurs sont de plus en plus élaborées…Auparavant, les acteurs malveillants suivaient des processus uniques, produisaient leurs propres ransomwares et opéraient eux-mêmes les attaques. Depuis peu, on observe une évolution du mode opératoire des assaillants: désormais ils élaborent des rançongiciels qu’ils peuvent ensuite louer comme n’importe quel produit ou service. Ce nouveau business model RaaS (ou Ransomware-as-a-Service) est déjà bien implémenté. Il favorise le développement et l’amélioration des produits et rend ainsi les partenaires, spécialistes en effraction plus productifs. Selon une étude du cabinet Vanson Bourne, au sein des familles de ransomwares étudiées, le taux de contamination de Conti illustre parfaitement l’essor du modèle RaaS. Il est à noter que Conti et Ryuk (28 %), ainsi qu’Everest (15 %) et Lockbit 2.0 (10 %) font partie des groupes les plus actifs en termes d’attaques par ransomwares, notamment contre les entreprises de l’hexagone.Face à ce modèle de ransomware, il devient de plus en plus difficile d’identifier l’origine d’une attaque. Il permet de cibler de plus grandes entreprises en toute impunité et de pénétrer au sein des systèmes de sécurité les plus sophistiqués. Les secteurs de l’assurance et de la finance arrivent en tête des secteurs les plus ciblés, suivis de près par l’industrie et le retail. Par ailleurs, il a également ouvert la voie à une expansion de l’extorsion. Selon Forrester, si les attaques par ransomware se multiplient à un rythme soutenu, à raison d’une attaque toutes les 11 secondes, c’est également le cas des demandes de rançons, qui ont augmenté de 300 % en seulement une année et continuent de progresser.Les méthodes traditionnelles qui reposent sur la demande de rançons et l’échange de clés de déchiffrement sont toujours très lucratives, cependant, de plus en plus d’entreprises font le choix de ne pas payer, notamment grâce à la mise en place d’un système de défense efficace qui permet de récupérer les données. Malgré cela, les criminels ont su trouver la parade en mettant à profit le temps d’accès sur le serveur de l’entreprise piratée afin de collecter les données sensibles pour les acheminer vers leur propre base de données. Ainsi, ils gardent le contrôle de la situation et renouvellent leur menace en ajoutant une nouvelle clause. Dès lors, les entreprises doivent payer la rançon ou les données sensibles seront révélées au grand jour.Dans un contexte où les attaquants semblent prêts à parer à toutes les éventualités, les entreprises sont-elles condamnées à rester des victimes, ou existe-t-il un moyen de déjouer les attaques et les demandes de rançon ?
… mais pas totalement inévitablesFace à cet essor des attaques par ransomware, les entreprises disposent malgré tout de moyens pour les contrecarrer et éviter de perdre ainsi en productivité et de l’argent lors du paiement de la rançon, et ce en déclinant plusieurs étapes.Les organisations doivent commencer par évaluer leur état de préparation actuel et s’attaquer aux points les plus faibles. Il s’agit notamment de s’assurer que les bases informatiques, telles que les correctifs, les sauvegardes et le renforcement de l’identité, sont appliquées, puis de mettre en place des contrôles spécifiques à la sécurité, comme la chasse aux menaces. L’instauration d’une solide culture de la sécurité au sein de l’organisation permettra de s’assurer que chacun, du directeur au personnel situé au quai de chargement par exemple, sait pourquoi la cybersécurité est essentielle à l’entreprise et comment signaler les incidents.Tout commence par la prévention. Il est toujours préférable de stopper les menaces avant qu’elles ne se produisent que de réparer les dégâts d’une cyberattaque. Pour ce faire, les organisations doivent disposer des bons outils de prévention, qui bloqueront automatiquement les menaces, et d’une solide culture de la sécurité, qui servira de deuxième ligne de défense contre les menaces. Toutefois, la prévention seule ne suffit pas. Les entreprises doivent également s’équiper d’outils de détection, qui, alliés à une solide culture de la sécurité, leur permettront de minimiser et de contenir les menaces actives, tandis qu’un plan de continuité d’affaires garantira une restauration rapide et complète.De plus, les entreprises doivent se tenir informées de potentiels changements dans le paysage cybercriminel. Les experts en sécurité doivent se tenir au courant perpétuellement afin de perfectionner leurs solutions. À titre d’exemple, en 2021, grâce à la divulgation publique de documents confidentiels et d’outils utilisés par l’organisation cybercriminelle Conti par un partenaire mécontent (qui exposait les méthodes d’attaque et le business model du groupe), les experts ont pu tirer parti de cette faille et exploiter les données collectées pour renforcer leur système de sécurité. Ainsi, les clients et les administrateurs sont immédiatement alertés dès que des signes annonciateurs d’une attaque sont détectés.Le RaaS est un business model qui n’est donc pas totalement imparable. En effet, les cyberattaquants peuvent être mis en échec grâce aux publications fréquentes concernant les méthodes d’attaques et autres moyens de déjouer ces attaques par ransomware. Cependant, il est vital pour les entreprises de veiller à renforcer constamment leur sécurité et faire preuve de vigilance. Une étude de Gartner révèle que d’ici 2025, la mise en place de nouvelles législations permettra de réglementer les paiements de rançons dus aux ransomwares, ainsi que les amendes et les négociations. 30 % des États seraient prêts à faire adopter de telles réglementations, alors qu’ils n’étaient encore que 1 % en 2021. Même si les entreprises et les gouvernements ont pour préoccupation quotidienne la lutte contre les ransomwares, tous doivent être au fait de l’évolution de ces attaques afin de bâtir des réponses toujours plus sophistiquées.