Comme chacun sait, les attaques par ransomwares constituent aujourd’hui une menace sérieuse, voire fatale pour les entreprises. Mais si certaines ont fait la une des médias, l’ampleur et la profondeur réelles de ce problème demeurent un mystère pour bon nombre de sociétés.

Dans le cadre d’une grande enquête menée auprès de 2 200 décideurs informatiques, CrowdStrike a ainsi découvert que le nombre d’entreprises à avoir subi plusieurs attaques au cours d’une seule année n’a jamais été aussi élevé qu’en 2021 (32 % des personnes interrogées), et qu’un quart des entreprises consultées n’ont été attaquées qu’une seule fois au cours de la même période.
Enfin, seulement 23 % des personnes interrogées ont indiqué ne pas avoir encore été victimes d’une attaque par ransomware, soit une baisse significative de 10 % par rapport à l’étude 2020.

Pour nombre d’experts, la responsabilité de la vague d’attaques par ransomwares incombe — certes de façon légèrement simpliste — à la pandémie de COVID-19, laquelle a provoqué la modification d’urgence de certains protocoles, l’utilisation de terminaux non managés et le recours au télétravail. Ce n’est pas faux, mais ces raisons qui étaient logiques il y a douze mois, soit pour la période 2019-2020, ont sans nul doute contribué à la vague de cybercriminalité enregistrée à l’époque. Or, les conditions de travail ont relativement peu évolué entre 2020 et 2021, de sorte que les entreprises auraient dû atteindre une certaine maturité dans la gestion des connexions à distance et de la sécurité hors site.

Indéniablement, la pandémie a donné aux cybercriminels l’occasion de gagner en expérience et en sophistication, ainsi que de développer de façon continue et en toute confiance de nouvelles techniques. L’accélération de la cybercriminalité s’est « émancipée » de la pandémie après y avoir puisé son impulsion initiale. Entre-temps, nombre d’entreprises ont échoué à rattraper leur retard tandis que l’éventail des menaces s’élargissait.

Ce gain de confiance se reflète dans le montant des rançons exigées qui, selon notre enquête, a crû de 63 % en une année pour atteindre en moyenne 1,79 million de dollars. De même, la probabilité que plusieurs attaques soient lancées contre les mêmes cibles a augmenté, qu’il s’agisse de violations individuelles ou de tentatives d’extorsion venues s’ajouter à la demande initiale.
Certains dirigeants sont convaincus que le versement de la rançon est la seule option envisageable, mais c’est généralement une mauvaise décision : 96 % des entreprises qui se plient aux exigences des cyber-ravisseurs sont par la suite victimes d’une nouvelle extorsion dont le montant atteint en moyenne 792 493 dollars !

De nouvelles formes d’attaques menées par le biais de logiciels tiers ou de leurs composants et visant notamment les chaînes d’approvisionnement sont de plus en plus fréquentes en raison de leur aptitude à déjouer les défenses traditionnelles.

Face à des menaces de plus en plus pressantes, comment les entreprises doivent-elles réagir ? Dans un premier temps, en réévaluant leur arsenal technologique. Les antivirus obsolètes à base de signatures ont depuis longtemps cessé de constituer une contre-mesure viable. Ces logiciels sont en effet totalement inefficaces contre les attaques ciblées sans malware qui prolifèrent depuis plusieurs années. Les outils de nouvelle génération continueront bien sûr de détecter ce type d’attaques, mais la priorité porte désormais sur la détection des caractéristiques et des comportements, ainsi que sur l’exploration de gigantesques quantités de données sur le cloud en vue de détecter des anomalies et des risques de prolifération.

Parallèlement à la mise en place de logiciels de type EDR (Endpoint Detection & Response), les entreprises doivent déployer un ensemble d’outils connectés pour les compléter et en combler les lacunes. À titre d’exemple, nous savons que de nombreuses attaques utilisent initialement des identifiants légitimes volés à leur propriétaire, mais que les outils classiques ne peuvent les considérer comme hostiles. Autrement dit, les autorisations accordées sur la base du nom d’un utilisateur et du mot de passe associé sont par nature suspectes. Les entreprises doivent investir dans une solution d’authentification multifactorielle (MFA), voire opter pour une architecture et des solutions Zero Trust. Chaque utilisateur et chaque agent connectés au réseau sont alors surveillés en permanence, même après avoir été authentifiés. Il n’est pas rare que des acteurs malveillants disposant de mots de passe subtilisés fassent profil bas pendant plusieurs mois après avoir réussi à pénétrer dans une entreprise, de sorte que les systèmes de protection doivent être prêts à réagir dès qu’ils se réactivent.

De même, les outils EDR doivent être étendus afin d’englober tous les organes, au-delà des endpoints — serveurs cloud, imprimantes et écrans connectés, terminaux mobiles, etc. Une telle couverture nécessite à la fois des solutions de sécurité spécifiques au cloud et le déploiement d’une technologie de détection et de réponse étendues XDR (eXtended Detection & Response). Bien évidemment, ces technologies doivent fonctionner ensemble en toute transparence. L’afflux de notifications et de rapports générés par différentes solutions n’améliore en rien la posture de sécurité d’une entreprise, risquant même de la compromettre. En effet, un volume excessif d’informations risque fort de masquer la seule alerte qui nécessite réellement une action urgente de la part d’un administrateur.

Enfin, en parlant des intervenants humains, il est impératif de ne jamais négliger leur importance pour la cybersécurité et la résilience des entreprises. Les technologies de cybersécurité avancées sont en grande partie très performantes, et d’importants moyens d’automatisation sont disponibles. Mais les entreprises doivent comprendre qu’une dépendance excessive vis-à-vis de la technologie est une erreur.

Comme dans d’autres domaines, des opérateurs formés et chevronnés sont indispensables. Côté fournisseurs, les experts humains alimentent et affinent en permanence les modèles d’intelligence artificielle, analysent les renseignements sur les menaces, réagissent en personne aux événements et testent des systèmes pour y détecter d’éventuelles failles. Côté entreprises, les règles et les processus axés sur les personnes demeurent essentiels pour éviter les attaques et y survivre : les mots de passe doivent être sûrs et sécurisés, les terminaux physiquement protégés, et les fonctions de réponse et reprise après sinistre testées avec rigueur en émulant les probables conditions post-attaque. Enfin, si la cybercriminalité a évolué en se renforçant, c’est également le cas de nos moyens de défense : mais pour être

vraiment efficaces, les différentes pratiques de sécurité et de résilience doivent être mises en œuvre par les entreprises selon une approche rigoureuse et proactive.
___________________

Par Sébastien Baron, Sales Engineering Manager chez CrowdStrike

 

À lire également :

Le grand retour de la cybercriminalité des États-nations

Telecoms : cible numéro un des cyberattaques commanditées par les États-nations

Environnements Cloud : 3 fondamentaux pour assurer la sécurité.

Cybersécurité et IA, une arme à double tranchant ?

Risque cyber : comment protéger les données des entreprises contre les ransomwares et la double extorsion.

50 nuances de ransomwares : retour sur une année de cyberattaques.