Les ransomwares continuent de poser d’importants défis à la cyber-résilience des entreprises. Ces dernières doivent encore réviser leurs approches cybersécurité et mettre en place les mesures indispensables pour améliorer leur préparation et leur réponse à ces cyberattaques dévastatrices. Voici quelques pistes à suivre pour remporter la bataille contre les ransomwares.

C’est en 2020 que, pour la première fois, les ransomwares sont devenus l’arme favorite des cybercriminels. Aujourd’hui, ils constituent une des menaces les plus préoccupantes à l’échelle internationale, en touchant sans distinction les entreprises, les services publics et les individus.

Face à cette inquiétante situation, il est devenu indispensable d’adapter les stratégies de cybersécurité, de protection des données et de reprise d’activité après sinistre des entreprises. Mais quel impact ces ajustements ont-ils sur la prévalence de cette menace ? Lutter contre les ransomwares et assurer la cyber-résilience sont les principales priorités des équipes de sécurité ces dernières années. Existe-t-il une fin à la longue liste, qui s’agrandit de jour en jour, des nouvelles victimes d’attaques par ransomware ? Qu’est-ce qui a changé depuis 2020 et quelles sont les mesures qui restent à prendre pour enfin mettre un coup d’arrêt à la menace que représentent les ransomwares ?

Comment réagir face à des signaux contradictoires ?

Cette question n’est pas simple. Il y a eu moins d’attaques par ransomware à l’échelle mondiale en 2022 (sachant qu’il avait doublé en 2021) et Chainalysis, le spécialiste de la blockchain, a également révélé une baisse du montant total des rançons versées à la suite d’une attaque en 2022 – deux preuves porteuses d’espoir, qui semblent indiquer un ralentissement généralisé des ransomwares.

En parallèle, d’autres études dressent un bilan différent, attestant d’une augmentation du nombre d’entreprises ayant subi au moins une cyberattaque cette année.

Quelles sont les raisons qui expliquent une telle différence entre les résultats à l’échelle mondiale et ce que déclarent la majorité des entreprises à titre individuel ?

Les statistiques établies à l’échelle mondiale sont plus difficiles à confirmer que celles au niveau local ou sectoriel. De plus, sur la question des ransomwares, les entreprises ont moins tendance à admettre que leurs données ont été compromises – parfois, elles en sont même empêchées par certaines polices d’assurance.
Il est également difficile de retracer les paiements en cryptomonnaies, à cause de l’absence d’identification de nombreuses adresses sur la blockchain, qui ne peuvent donc pas être prises en compte dans des données à l’échelle mondiale.
En zone EMEA par exemple, les entreprises se montrent de plus en plus a transparentes sur le sujet des ransomwares, à mesure que les dirigeants prennent conscience du fait que la collaboration et le partage d’informations peuvent les aider à faire progresser la sécurité en tant que secteur et à bâtir ensemble une meilleure résilience.

Quels facteurs de changement ?

Parmi toutes ces zones grises, qu’est-ce qui a réellement changé ? Le propre de la cybersécurité est que les menaces évoluent en permanence et se perfectionnent, poussant les spécialistes à redoubler d’efforts en matière de protection des données et de résilience et à faire perdurer indéfiniment le jeu du chat et de la souris. Avec les ransomwares en particulier, les approches en matière de paiement des rançons continuent d’osciller d’un extrême à l’autre. L’un des montants les plus élevés jamais versés à la suite d’une attaque par ransomware a été payé, il y a deux ans, simplement « pour prévenir tout risque potentiel ». Les acteurs du secteur ont compris, depuis, qu’une telle stratégie peut se révéler à la fois peu fiable, contraire à l’éthique et inopportune, mais deux nouveaux facteurs se sont ajoutés à l’équation, compliquant davantage encore l’objectif de mettre un terme à tout paiement de rançons.

En premier lieu, la cyberassurance, un domaine qui a connu une transformation radicale depuis l’avènement des ransomwares et demeure à ce jour encore très volatile. La cyberassurance n’est évidemment pas une mauvaise chose, car elle donne aux entreprises la possibilité de bénéficier d’un certain degré de résilience financière face à des menaces quasi certaines ; elle leur donne aussi les moyens de répondre favorablement aux demandes de rançons. L’augmentation continue du montant des primes pourrait cependant contribuer à mettre un terme à ces pratiques, tout comme le nombre croissant de polices qui excluent spécifiquement les ransomwares de leur couverture.

L’autre point important, qui est aussi la raison pour laquelle les entreprises pensent qu’elles n’ont pas d’autre choix que de payer la rançon, tient au fait que les attaques ciblent de plus en plus fréquemment les référentiels de sauvegarde. Il y a plus de risque d’être tenté par le fait de céder aux demandes des cyberattaquants si l’entreprise ne dispose pas de copies hors site de ses données ou n’a tout simplement pas la capacité de se remettre rapidement d’une attaque avec les moyens dont elle dispose. Même si les dirigeants souhaitent évidemment adopter le meilleur comportement possible au regard de la sécurité, leur principale priorité demeure la préservation de la continuité d’activité de l’entreprise.

Comment réagir en dernier lieu ?

Que faut-il mettre en place pour orienter à son avantage l’issue du combat contre les ransomwares ? Que faut-il changer pour en finir définitivement avec ces attaques et les demandes de rançons qui les accompagnent ? On touche ici à la question de la formation et de la préparation des entreprises – en particulier des collaborateurs qui ne font pas partie des équipes en charge de la sécurité ou de la sauvegarde. Par exemple, le chiffrement des données ne se réalise pas immédiatement après qu’une personne ait cliqué sur un lien de phishing malveillant – cela peut prendre des mois, voire un an, pour que les cybercriminels puissent pénétrer au sein du système, verrouiller les données et envoyer une demande de rançon. Dans la même logique, le déchiffrement ne débute pas forcément dès le versement de la rançon. En faisant abstraction du fait d’une bonne partie des entreprises qui versent une rançon ne parviennent pas à récupérer leurs données, même dans le meilleur des cas, ces processus peuvent se révéler extrêmement lents. Cela fait même partie du business model, sachant que la plupart des cybercriminels proposent aux victimes d’acheter des clés de déchiffrement en plus de celle remise en échange de la rançon afin d’accélérer le processus !

La première étape pour se préparer à faire face à une attaque consiste à bien comprendre la nature de la menace.

Un plan de reprise d’activité après une attaque par ransomware doit comporter trois étapes :

1- Préparation : Planifier la reprise d’activité, s’assurer de disposer de sauvegardes fiables (en s’appuyant sur la règle du 3-2-1-1-0), avoir défini un emplacement de restauration prêt à l’emploi pour la reprise d’activité après le sinistre, renforcer la formation et organiser des exercices pour s’assurer que les équipes métier sont bien préparées, de même que l’ensemble de l’organisation.

2- Réponse : Après avoir prédéfini et testé un processus de réponse aux incidents, repérer et contenir l’incursion, tout en scannant les sauvegardes afin de s’assurer que celles-ci ne sont pas contaminées.

3- Reprise d’activité : Restaurer les systèmes sans réintroduire au cours du processus le logiciel malveillant ou des données infectées au sein de l’environnement de production et permettre à l’entreprise de reprendre son activité.

Les attaques par ransomware demeurent inévitables pour la plupart des entreprises, et ce même si elles comportent une part d’incertitude. Cela ne signifie pas qu’il est impossible de contrer les cybercriminels. Au contraire, il faut garder à l’esprit qu’en étant bien préparées et en ayant mis en place un plan de reprise d’activité adapté, les entreprises peuvent atteindre un taux de résilience total face aux ransomwares. Sans garantir que les attaques n’aient aucun impact sur leur activité, cela permet tout de même de s’en remettre plus rapidement et de refuser de céder aux demandes de rançons.
____________________________

Par Edwin Weijdema, Field CTO EMEA and Lead Cybersecurity Technologist chez Veeam

 

À lire également :

Le recul des ransomwares masque une menace plus ciblée et sophistiquée

Ransomware, autopsie d’une menace qui déstabilise…

Groupes de pirates Ransomware : sont-ils seulement motivés par l’appât du gain ?

5 idées fausses à propos des ransomwares…

Ransomwares : des entreprises bien trop confiantes…

Quelles sont les incidences juridiques d’une attaque par ransomware ?