Ransomware! Le mot fait frémir tous les RSSI et DSI. Ennemi public n°1 des entreprises, le ransomware prend en otage votre ordinateur, votre donnée et parfois l’intégralité du système d’information paralysant intégralement le fonctionnement de l’entreprise. Se posent alors les terribles questions de quelle posture adopter et des multiples incidences juridiques…
Imaginez la scène : vous êtes directeur juridique d’une grande multinationale et en essayant de vous connecter à votre système le lundi matin, vous remarquez que votre boîte e-mail ne se met pas à jour et que vous ne pouvez pas vous connecter à votre ordinateur en utilisant le VPN de l’entreprise. Vous constatez ensuite que d’autres personnes de l’entreprise ont le même problème.
Peu après, vous recevez un appel affolé du responsable de la sécurité de l’entreprise qui vous explique que l’entreprise a été attaquée par un ransomware et que les attaquants ont envoyé une note de rançon exigeant une énorme somme dans les trois jours, et que si le paiement n’est pas reçu, toutes les données privées de l’entreprise seront publiées en ligne et accessibles à tous.
Les attaques de ransomware ciblent tous les secteurs d’activité au niveau mondial, y compris les secteurs hautement réglementés tels que le gouvernement et le secteur de la santé. Des incidents de ce type se sont produits dans des proportions jamais vues, et lorsqu’une entreprise subit une attaque réussie de ransomware, les implications techniques et juridiques sont importantes.
Lorsqu’une entreprise cesse d’être opérationnelle à la suite d’un ransomware, elle doit se poser les questions suivantes :
* Avons-nous les capacités de réponse technique en interne pour traiter rapidement l’incident ?
* Devrions-nous payer ou non la rançon ? Si oui, comment la rançon sera-t-elle payée ? Quels points devons-nous considérer avant de payer une demande de rançon ?
* Y a-t-il aussi eu une violation de données où des informations sensibles ont été exfiltrées par le gang du ransomware à des fins de double extorsion ?
* Faut-il prévenir les forces de l’ordre et toute instance réglementaire pertinente ?
Comment les entreprises doivent-elles réagir ?
La première chose à faire est de recourir à une équipe d’intervention en cas d’incident, après l’événement ou avant l’attaque, pour vous guider dans le processus d’assainissement. Si vous avez déjà été victime d’un incident de sécurité, qu’il s’agisse d’un ransomware ou autre, il est important de vous assurer que vous avez accès à cette équipe. Vous devez avoir accès à des personnes qui ont une expérience unique en matière de réponse et de traitement des cyber incidents.
Si vous avez une police de cyber assurance, vérifiez les conditions de couverture et si vous avez accès à un panel de sociétés d’intervention et/ou de conseillers juridiques auxquels vous pourriez être amené à faire appel en cas de violation de données.
Les entreprises doivent-elles payer la rançon ?
Il faut tenir compte de divers facteurs et risques avant de décider de payer ou non une rançon. Les entreprises devront établir un certain niveau d’attribution afin de déterminer si l’acteur de la menace fait l’objet de sanctions imposées à des nations spécifiques.
L’entreprise doit également déterminer si le paiement de la rançon est autorisé par les lois en vigueur, sinon l’entreprise pourrait se retrouver confrontée à un autre incident majeur si elle violait involontairement les sanctions internationales en versant une rançon.
Il n’est actuellement pas illégal de payer les demandes de ransomware, mais il existe une grande zone grise lorsqu’il est question de déterminer si une rançon doit être payée ou non. Dans l’UE, les groupes de cybercriminels peuvent se voir imposer des sanctions financières…
Dans de nombreux cas, il est souvent inutile de payer la demande d’un ransomware. Les entreprises peuvent encore être infectées par des ransomware, ce qui entraînera des coûts supplémentaires pour supprimer tous les malware avant qu’une nouvelle attaque ne se produise.
Nous savons que 73 % des entreprises ont subi au moins une attaque par ransomware en 2022, contre seulement 55 % en 2021.
Et 80 % des entreprises qui ont payé ont été à nouveau victimes d’un ransomware. 68 % d’entre elles ont déclaré que la deuxième attaque s’est produite moins d’un mois plus tard et que les acteurs de la menace ont exigé une rançon plus élevée, et près de 70 % des entreprises ont payé une rançon plus élevée la deuxième fois.
Une attaque par ransomware signifie-t-elle que votre réseau a été violé ?
Les entreprises infectées par un ransomware sont également confrontées à la forte probabilité que les attaquants aient également infiltré leurs réseaux et exfiltré des données sensibles propriétaires ou clients. Il convient donc de procéder à une analyse juridique plus approfondie pour évaluer le risque pour l’entreprise en conséquence.
De nombreux groupes d’acteurs de la menace ransomware utilisent la tactique de la double extorsion, où les données exfiltrées sont utilisées comme un levier supplémentaire pour obliger les entreprises à payer la rançon ou à envisager la possibilité que les données soient rendues publiques, un scénario où l’existence de sauvegardes de données ne contribue guère à mettre l’entreprise à l’abri du danger. Dans de telles situations, il est essentiel de déterminer si une violation des données a eu lieu dans le cadre de l’attaque par ransomware et de prendre les mesures nécessaires en conséquence.
Se protéger contre les ransomwares
D’un point de vue commercial, les problèmes de continuité des activités consécutifs à une attaque par ransomware peuvent amener une entreprise à enfreindre des accords de service ou à retarder l’exécution d’autres obligations contractuelles. Il est donc impératif de se préparer au mieux à une attaque par ransomware et de mettre en place une stratégie pour y faire face.
Attendre qu’une telle attaque se produise pour évaluer votre stratégie et votre réponse à une attaque par ransomware est bien trop tardif. Les entreprises devraient mettre en place un plan de réponse aux incidents qui envisage une attaque potentielle par ransomware avant qu’elle ne se produise réellement. Il est préférable d’être le mieux préparé possible et d’avoir une longueur d’avance sur les cybercriminels.
Pour se défendre contre une attaque de ransomware, de nombreuses entreprises se tournent vers les sauvegardes de données pour prendre des mesures correctives après l’attaque, mais comme nous l’avons vu plus haut, cela ne suffit pas. Si la sauvegarde des systèmes et des données reste un choix judicieux, elle ne résout pas le problème de la double extorsion.
Un plan de prévention efficace contre les ransomware comprend des actions comme :
* Le respect des meilleures pratiques en matière d’hygiène de sécurité : Cela comprend la gestion des correctifs en temps voulu et l’assurance que les systèmes d’exploitation et autres logiciels sont régulièrement mis à jour, le déploiement d’un programme de sensibilisation du personnel à la sécurité et le recours aux meilleures solutions de sécurité sur le réseau.
* La mise en œuvre de capacités de prévention multicouches : Les solutions de prévention telles que NGAV devraient être standard sur tous les points d’extrémité de l’entreprise à travers le réseau pour contrecarrer les attaques de ransomware exploitant à la fois les TTP connus et les malware personnalisés.
* Le déploiement de Endpoint et Extended Detection and Response (EDR et XDR) : Les solutions ponctuelles de détection des activités malveillantes comme une attaque RansomOps dans l’ensemble de l’environnement permettent d’obtenir la visibilité nécessaire pour mettre fin aux attaques de ransomware avant que l’exfiltration des données ne se produise ou que la charge utile du ransomware ne puisse être délivrée.
* S’assurer que les acteurs clés puissent être contactés : Les responsables doivent être disponibles à tout moment de la journée car les efforts d’atténuation indispensables pourraient être retardés pendant les week-ends et les jours fériés. Il est primordial d’avoir des attributions claires en matière d’astreinte pour les incidents de sécurité en dehors des heures de travail.
* La réalisation d’exercices de simulation périodiques : Ces exercices interfonctionnels doivent inclure les principaux responsables des services juridiques, des ressources humaines, de l’assistance informatique et d’autres départements, jusqu’à l’équipe de direction, afin de garantir une réponse fluide aux incidents.
* La garantie de pratiques d’isolement claires : Ces mesures peuvent stopper toute pénétration dans le réseau ou la propagation du ransomware à d’autres appareils ou systèmes. Les équipes doivent savoir déconnecter un hôte, verrouiller un compte compromis, bloquer un domaine malveillant, etc.
* L’évaluation des options des fournisseurs de services de sécurité gérés : Si votre entreprise de sécurité connaît des pénuries de personnel ou de compétences, établissez des procédures de réponse préétablies avec vos MSP afin qu’ils puissent prendre des mesures immédiates selon un plan convenu.
En définitive, une approche de défense multicouche permet d’analyser, de protéger contre la double extorsion et d’empêcher les éléments exécutables inconnus jusqu’alors, afin de réellement mettre en place une stratégie proactive contre les ransomware.
____________________________
Par Guillaume Leseigneur, Regional Sales Director chez Cybereason
puis