Inflation, hausse des taux d’intérêt, tension sur le marché du travail et sur les chaînes d’approvisionnement… Les défis auxquels font face les entreprises aujourd’hui sont nombreux et complexes. Il en existe un supplémentaire qui ne peut être ignoré : la cybercriminalité, une menace sans équivoque désormais portée par la généralisation du ransomware-as-a-service.
Cette menace, bien trop souvent oubliée dans les discours économiques, est pourtant le risque numéro un pour les organisations du monde entier, selon le baromètre des risques d’Allianz de 2023. Un constat qui n’est pas étonnant à l’heure où le coût des cyberattaques réussies est évalué à environ deux milliards d’euros, selon le cabinet Asterès.
Bien que ce montant puisse paraître vertigineux, il n’est cependant pas surprenant car la menace évolue constamment et de manière fulgurante. En cause : le contexte géopolitique actuel, et les instabilités qui en découlent, les dernières innovations technologiques, ou encore le travail hybride sont tous des facteurs qui permettent aux cybercriminels de prospérer et d’innover.
Autre fait inquiétant, remonté par notre étude Analyse du Risque Humain, près de la moitié des entreprises françaises ont déjà été victimes de plusieurs cyberattaques, au cours des trois dernières années. Celles par ransomware étant les plus prévalentes actuellement. Ce qui suscite une question non négligeable : comment se préparer à une menace qui semble inévitable ?
Une professionnalisation grandissante des cybercriminels
34 % des entreprises françaises interrogées lors de notre enquête admettent avoir subi une cyberattaque de type ransomware, au cours des trois dernières années. L’un des facteurs qui explique cette recrudescence est la professionnalisation des cybercriminels qui peuvent compter sur de nouveaux outils, dont l’IA générative, pour mettre au point des attaques plus sophistiquées. Désormais, tout individu peut mener une cyberattaque réussie avec seulement quelques compétences en piratage informatique, l’IA pouvant combler ses lacunes.
Selon des recherches effectuées par nos équipes d’ingénierie sociale, les outils d’IA générative peuvent aider les hackers à rédiger des emails de phishing 40 % plus rapidement. Ceci est un gain de temps non négligeable pour les cybercriminels, même les plus amateurs d’entre eux.
D’autre part, les pirates, perfectionnent davantage leurs modèles commerciaux en développant des plateformes ransomwares en tant que service (RaaS), et sont ainsi en mesure de proposer des modèles d’abonnement et une assistance à leurs « clients ». Il suffit de se tourner vers le Dark Web, et d’utiliser des crypto-monnaies afin d’y accéder.
Le développement et la croissance de ce modèle commercial d’un nouveau genre montre comment les cybercriminels adaptent et diversifient leurs stratégies, renforçant ainsi leurs activités illicites. Les pirates sont de cette manière en mesure d’innover et de collaborer entre eux afin de mener à bien des cyberattaques contre les entreprises.
Un coup de massue pour les finances et le moral
Selon notre étude, seules 30 % des entreprises françaises se disent disposées à accepter de payer une rançon, l’un des taux les plus bas en comparaison aux autres pays européens. Cependant, ce type d’attaques peut avoir des conséquences dévastatrices pour les organisations ciblées. Une étude récente d’IBM indique qu’un ransomware réussi coûte aux entreprises un montant moyen de 4,54 millions de dollars, en plus de la somme de rançon demandée.
Ce chiffre astronomique s’explique par le fait que les demandes de rançon connaissent aussi leur propre forme d’inflation, les demandes de paiement atteignant ainsi plusieurs millions de dollars. Par conséquent, en mars 2021, l’assureur américain CNA Financial a déboursé 40 millions de dollars pour payer des pirates informatiques lors d’une cyberattaque par ransomware réussie, considéré comme le versement le plus important à ce jour.
Par ailleurs, le fournisseur de logiciels Kaseya s’est vu demander, en 2021, le montant de 70 millions de dollars, somme record à ce jour pour une rançon. Cette attaque, menée par REvi, une entreprise de RaaS Russe, a impacté non seulement cette entreprise, mais aussi ses milliers de clients, dans le monde entier. Bien que Kaseya ait choisi de ne pas se soumettre à cette demande, l’incident montre le pouvoir de nuisance des attaques par ransomware-as-a-service, surtout lorsqu’elles touchent un maillon de la chaîne d’approvisionnement.
De la sorte, selon notre étude, 8 RSSI français sur 10 ont déclaré que la sécurité de leur organisation dépend de plus en plus de celle de leurs partenaires et fournisseurs. Avec l’essor de l’économie numérique, et la dépendance grandissante des entreprises à de nombreux services et de logiciels, ce phénomène va s’amplifier. Gartner prévoit d’ailleurs que, d’ici 2025, 45 % des organisations dans le monde seront victimes d’attaques contre leur chaîne d’approvisionnement numérique, soit trois fois plus qu’en 2021.
Outre les dommages financiers, l’un des effet néfaste des attaques par ransomwares est l’impact sur le mental de la victime. Comme expliqué par Stéphane Duguin, directeur général de l’Institut CyberPeace, dans le cadre de notre étude, « Lorsque vous êtes touché par une attaque par ransomware, la victime doit prendre des décisions difficiles, comme le fait de payer la rançon ou de signaler l’attaque, qui ont un impact psychologique non négligeable pour elles ».
Quelles solutions pour les entreprises ?
En réponse à cette menace, les organisations ne doivent plus considérer la cybersécurité comme un simple problème informatique, mais comme une priorité absolue dans leur stratégie commerciale et la gestion des risques.
Ainsi 66 % des experts en sécurité français que nous avons interrogés ont déclaré que leur équipe dirigeante y accorde désormais plus d’importance que les années précédentes. Cette prise de conscience est un atout important leur permettant d’aligner plus efficacement leurs stratégies de sécurité sur leurs objectifs commerciaux, allouer les ressources nécessaires, s’adapter plus facilement et établir des chaînes de responsabilité claire.
Toutefois, si l’on considère que chaque entreprise sera un jour la victime d’une cyberattaque, la priorité ne doit pas être seulement donnée à la prévention des risques, mais aussi à la gestion de crise pour limiter l’impact de toute attaque. Ainsi, il devient nécessaire de restreindre les privilèges administratifs des employés, encourager la création de mots de passe sûrs, ou encore mettre en place une gestion rigoureuse des accès aux serveurs. Ces mesures contribuent à empêcher l’attaque de se propager au sein de tous les systèmes d’une entreprise.
Par ailleurs, une stratégie de cybersécurité efficace doit également inclure des formations fréquentes de sensibilisation au risque, étant donné que les cybercriminels ciblent en premier lieu les employés au moyen de techniques d’ingénierie sociale. De ce fait, la clé pour lutter contre la montée du « ransomware-as-a-service » n’est pas seulement d’investir dans de nouveaux outils et de nouvelles technologies, mais aussi d’entretenir une culture de la sécurité centrée sur l’humain.
____________________________
Par le Dr. Niklas Hellemann, PDG de SoSafe
puis